Bundesamt für Sicherheit in der Informationstechnik

IT-Grundschutzhandbuch
Standard-Sicherheitsmaßnahmen
Version: Januar 2000

Hinweis: Das Inhaltsverzeichnis dieses Dokumentes wird über die "Lesezeichen" des
Adobe Acrobat Readers geöffnet.
Diese Funktion wird in in der Version 3.x des Acrobat Readers über die Tastenkombination
"Strg+7" und in der Version 4.x über die Funktionstaste "F5" aktiviert.

Bundesamt für Sicherheit in der Informationstechnik
Der Präsident

Vorwort

Das

vorliegende

IT-Grundschutzhandbuch

enthält

Standardsicherheitsmaßnahmen,

Umsetzungshinweise und Hilfsmittel für zahlreiche IT-Konfigurationen, die typischerweise im
heutigen IT-Einsatz anzutreffen sind. Dieses Informationsangebot soll zur zügigen Lösung
häufiger Sicherheitsprobleme dienen, die Anhebung des Sicherheitsniveaus von ITSystemen unterstützen und die Erstellung von IT-Sicherheitskonzepten vereinfachen. Die im
IT-Grundschutzhandbuch zusammengestellten Standardsicherheitsmaßnahmen orientieren
sich dabei an einem Schutzbedarf, der für die meisten IT-Systeme zutrifft.
Damit kann für die überwiegende Zahl der IT-Systeme der bislang arbeitsintensive Prozess
der Erstellung eines IT-Sicherheitskonzeptes erheblich vereinfacht werden, da aufwendige
und oft komplexe Analysen von Bedrohungen und Eintrittswahrscheinlichkeiten entfallen. Mit
Verwendung des Handbuchs bedarf es lediglich eines Abgleichs des Maßnahmen-Solls mit
dem Maßnahmen-Ist, um Sicherheitsdefizite zu ermitteln und passende Sicherheitsmaßnahmen zu identifizieren.
Das IT-Grundschutzhandbuch ist als "weiterentwicklungsfähiges Werk" angelegt. Durch eine
halbjährliche Fortschreibung sollen Verbesserungsvorschläge, Erweiterungen sowie die
Weiterentwicklung der IT berücksichtigt werden. Für die von den Anwendern des IT-Grundschutzhandbuchs übersandten Beiträge, die bei der Fortschreibung der vorliegenden Version
berücksichtigt wurden, möchte ich mich bedanken.

Dr. Dirk Henze

__________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Januar 2000

2000
IT-Grundschutzhandbuch
__________________________________________________________________________________________

Dankesworte

Für die Mitarbeit bei der Weiterentwicklung des IT-Grundschutzes und die engagierte Unterstützung
bei der Fortschreibung der Version 2000 des IT-Grundschutzhandbuchs wird an dieser Stelle
folgenden Beteiligten gedankt:

- Gesamtkoordination

Frau Isabel Münch, BSI

- Redaktionelle Bearbeitung
und Hotline

Herr Fabian Schelo, BSI

- Baustein Behandlung von
Sicherheitsvorfällen

Frau Isabel Münch, BSI
Herr Dr. Hartmut Isselhorst, BSI

- Baustein Faxserver

Herr Thomas Biere, BSI
Herr Dr. Harald Niggemann, BSI

- Überarbeitung Baustein Unix

Herr Alexander Geschonneck,
HiSolutions Software GmbH

- Kapitel 2.4.3 Modellierung einer
IT-Anlage nach IT-Grundschutz

Herr Dr. Harald Niggemann, BSI
Herr Rainer Belz, BSI

- Kapitel 2.5 Vorgehensweise
Basis-Sicherheitscheck

Herr Dr. Harald Niggemann, BSI
Herr Rainer Belz, BSI

- Qualitätssicherung

Herr Achim Klabunde, DeTeMobil
Herr Dr. Harald Niggemann, BSI

Darüber hinaus sei allen gedankt, die sich durch konstruktive Kritik und praktische Verbesserungsvorschläge an der Verbesserung des IT-Grundschutzhandbuchs beteiligt haben.

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Januar 2000

2000
IT-Grundschutzhandbuch
__________________________________________________________________________________________

Bei der Fortschreibung und Weiterentwicklung vorhergehender Versionen des IT-Grundschutzhandbuchs haben die nachfolgend aufgezählten Personen und Institutionen mitgewirkt. Auch ihnen sei
hiermit Dank ausgesprochen:

- Bundesbeauftragter für den
Datenschutz
Herr Alke, Herr Ernestus, Herr Biermann
- Bundeskriminalamt, Wiesbaden
- Bundesministerium des Innern,
Bundesgrenzschutz
Herr Walder
- Bundesministerium der Finanzen
Herr Polcyk
- Daimler-Benz Aerospace AG
Herr Anton
- Daimler-Benz AG
Herr Heinle, Hr. Schlette
- DeTeMobil
Herr Achim Klabunde
- Evangelische Kirche von Westfalen,
Das Landeskirchenamt
Herr Huget
- Flughafen Düsseldorf GmbH
Herr Andreas Peters
- GUIDE SHARE EUROPE
Arbeitskreis "DATENSCHUTZ und
DATENSICHERHEIT"

- Henkel KGaA
Herr Rhefus
- INFODAS
Herr Dr. Weck
- Ingenieurbüro Mink
- Innenministerium des Landes
Schleswig-Holstein
Herr Kuhr
- Landesbeauftragter für den
Datenschutz Saarland
Herr Simon
- Fa. Oracle
- Röhm GmbH Chemische Fabrik
Datenschutzbeauftragter
Herr Güldemeister
- Stadtverwaltung Wesel
- Universität GH Essen, FB Wirtschaftinformatik
Herr Prof. Dr. Voßbein
- Universitätsklinikum der TU Dresden
Klinik für Orthopädie
Herr Frank Heyne
- Verband der Chemischen Industrie e. V.
- Zentrale Datenverarbeitungsstelle
für das Saarland
Herr Müller

Folgende Autoren haben durch die Erstellung von Bausteinen ihr Fachwissen in das ITGrundschutzhandbuch einfließen lassen. Ihnen gebührt besonderer Dank, da ihr Engagement die
Entstehung und Weiterentwicklung des IT-Grundschutzhandbuchs erst ermöglicht hat.
Bundesministerium des Innern: Herr Jörg-Udo Aden, Herr Hartmut Wettmann
Bundesamt für Sicherheit in der Informationstechnik: Herr Peter Belkin, Herr Thomas Biere,
Herr Uwe Dornseifer, Herr Günther Ennen, Herr Olaf Erber, Herr Frank W. Felzmann, Herr
Michael Förtsch, Herr Dr. Kai Fuhrberg, Herr Dr. Bernhard Geib, Herr Dr. Dirk Häger, Herr
Dr. Hartmut Isselhorst, Herr Rolf Köster, Herr Manfred Kramer, Herr Wilhelm Merx, Frau
Isabel Münch, Herr Robert Rasten, Herr Fabian Schelo, Herr Heiner Schorn, Herr Dr. Ernst
Schulte-Geers, Herr Carsten Schulz, Herr Bernd Schweda, Frau Katja Vogel, Herr Frank
Weber, Herr Dr. Stefan Wolf

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Januar 2000

2000
IT-Grundschutzhandbuch
__________________________________________________________________________________________

Inhaltsverzeichnis
Einleitung
1
1.1
1.2
1.3

IT-Sicherheitsmanagement
Überblick über den IT-Sicherheitsprozeß
Initiierung des IT-Sicherheitsprozesses
Verantwortlichkeiten und Befugnisse im IT-Sicherheitsprozeß

2
2.1
2.2
2.3
2.4

2.5

Anwendung des IT-Grundschutzhandbuchs
Anwendung des IT-Grundschutzhandbuchs
Schutzbedarfsfeststellung
Gebrauch des IT-Grundschutzhandbuchs
Hinweise und Hilfen für die praktische Umsetzung
2.4.1
Hinweise für die Schutzbedarfsfeststellung
2.4.2
Hinweise für die Abbildung realer IT-Systeme in den "IT-Grundschutz-Baukasten"
2.4.3
Modellierung einer IT-Anlage nach IT-Grundschutz
Vorgehensweise Basis-Sicherheitscheck

3
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8

IT-Grundschutz übergeordneter Komponenten
Organisation
Personal
Notfallvorsorge-Konzept
Datensicherungskonzept
Datenschutz
Computer-Virenschutzkonzept
Kryptokonzept
Behandlung von Sicherheitsvorfällen

4
4.1
4.2
4.3

4.4
4.5

Infrastruktur
Gebäude
Verkabelung
Räume
4.3.1
Büroraum
4.3.2
Serverraum
4.3.3
Datenträgerarchiv
4.3.4
Raum für technische Infrastruktur
Schutzschränke
Häuslicher Arbeitsplatz

5
5.1
5.2
5.3
5.4
5.5
5.6
5.99

Nicht vernetzte Systeme
DOS-PC (ein Benutzer)
Unix-System
Tragbarer PC
PCs mit wechselnden Benutzern
PC unter Windows NT
PC mit Windows 95
Allgemeines nicht vernetztes IT-System

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Januar 2000

2000
IT-Grundschutzhandbuch
__________________________________________________________________________________________

6
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8

Vernetzte Systeme
Servergestütztes Netz
Unix-Server
Peer-to-Peer-Netz
Windows NT Netz
Novell Netware 3.x
Novell Netware 4.x
Heterogene Netze
Netz- und Systemmanagement

7
7.1
7.2
7.3
7.4
7.5

Datenübertragungseinrichtungen
Datenträgeraustausch
Modem
Firewall
E-Mail
WWW-Server

8
8.1
8.2
8.3
8.4
8.5

Telekommunikation
TK-Anlage
Faxgerät
Anrufbeantworter
LAN-Anbindung eines IT-Systems über ISDN
Faxserver

9
9.1
9.2
9.3

Sonstige IT-Komponenten
Standardsoftware
Datenbanken
Telearbeit

Kataloge zu Maßnahmen und Gefährdungen
Maßnahmenkataloge

Gefährdungskataloge

M1
M2
M3
M4
M5
M6

G1
G2
G3
G4
G5

Infrastruktur
Organisation
Personal
Hardware/Software
Kommunikation
Notfallvorsorge

Höhere Gewalt
Organisatorische Mängel
Menschliche Fehlhandlungen
Technisches Versagen
Vorsätzliche Handlungen

Anhang
- Hilfsmittel
- Faxvordruck für:
- Änderungsvorschlag
- Erfahrungsbericht
- Schadensmeldung
- Meldebogen für Computer-Viren

- KBSt-Empfehlung 2/95
- Bezugsdokumente
- BSI-Tool IT-Grundschutz
- BSI-Tool sichere Unix-Administration
- Index
- Registrierungsbogen

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Januar 2000

Neues
__________________________________________________________________________________________

Neues in Version 2000 des IT-Grundschutzhandbuchs
Rechtschreibung
In das Handbuch neu aufgenommene Seiten wurden nach den Regeln der Rechtschreibreform
abgefasst. Erfolgte für ein auszutauschendes Blatt eine inhaltliche Änderung auf nur einer Seite, so
wurde auch für die andere Seite des Blattes die neue Rechtschreibung angewandt. Auf diese Weise
soll verhindert werden, dass mit dem Ablauf der Übergangszeit zum 31. August 2005 eine
vollständige Überarbeitung des Werkes erfolgen muss. Um die Blattzahl der Ergänzungslieferung
durch die Anwendung der neuen Rechtschreibung nicht unnötig zu erhöhen, wurde darauf verzichtet,
Änderungen bis ins letzte Detail durchzuführen. Dies hat jedoch zur Folge, dass z. B. die Schreibweise
einer Maßnahmenüberschrift im Inhaltsverzeichnis von der Schreibweise im Maßnahmenkatalog
abweichen kann.
Marginalien
Auf den auszutauschenden Seiten wurden in der Bemerkungsspalte Marginalien eingefügt. Mit Hilfe
dieser Randbemerkungen soll in Form von Stichwörtern auf die Thematik des Dokumentenabschnittes
hingewiesen werden.
Fußzeilen
Seiten, die neu in das Handbuch aufgenommen oder inhaltlich aktualisiert wurden, sind durch die
Fußzeile "Stand Januar 2000" gekennzeichnet. Wurde auf einer Seite lediglich die Rechtschreibung an
die neuen Regeln angepasst oder Marginalien hinzugefügt, so lautet die Fußzeile wie bisher "Stand
Juli 1999". Auf diese Weise ist anhand der Fußzeilen direkt erkennbar, welche Seiten sich inhaltlich
geändert haben.
WWW-Seiten zum IT-Grundschutz
Das Bundesamt für Sicherheit in der Informationstechnik ist auch über das Internet erreichbar. Den
aktuellen Sachstand zum IT-Grundschutz können Sie über die Seite http://www.bsi.bund.de/gshb
abrufen. Auf diesen Seiten ist ein Forum eingerichtet, um aktuelle Informationen zum ITGrundschutzhandbuch zeitnah zu präsentieren.
Aktualisierung und Überarbeitung
Strukturelle Veränderungen wurden in der aktualisierten Ausgabe nicht durchgeführt. Die
Nummerierung bestehender Gefährdungen und Maßnahmen blieb erhalten, sodass ein im Vorjahr auf
Basis des IT-Grundschutzhandbuchs erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es
empfiehlt sich dennoch, die ausgewählten Maßnahmen bei der Bearbeitung komplett zu lesen, um
Ergänzungen berücksichtigen zu können und um ggf. das Wissen zur IT-Sicherheit aufzufrischen.
Eine detaillierte Darstellung der durchgeführten Änderungen kann dem Winword-Versionsvergleich
entnommen werden, der sich auf der CD-ROM im Verzeichnis .../VGL befindet.
Bedarfsorientierte Weiterentwicklung
Aufgrund der jährlichen Bedarfsabfrage bei registrierten Anwendern wurde das Handbuch bedarfsorientiert weiterentwickelt.
Insgesamt wurden für die Version 2000 folgende Bausteine neu entwickelt:
3.8

Behandlung von Sicherheitsvorfällen

8.5

Faxserver

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Januar 2000

Neues
__________________________________________________________________________________________

Inhaltlich überarbeitet wurden die Bausteine:
5.2

Unix-System

6.2

Unix-Server

8.2

Faxgerät

Modellierung einer IT-Anlage
Eine IT-Anlage ist die Gesamtheit von technischen Komponenten, die gemeinsam der
Informationsverarbeitung dienen. In Abschnitt 2.4.3 wird beschrieben, wie die Verbindung zwischen
den Komponenten einer bestehenden IT-Anlage und den Bausteinen des IT-Grundschutzhandbuchs
hergestellt wird. Dies ist beispielsweise für die Durchführung eines Basis-Sicherheitschecks
erforderlich.
Basis-Sicherheitscheck
Das Kapitel 2.5 Vorgehensweise Basis-Sicherheitscheck wurde neu in das Handbuch aufgenommen.
Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches überwiegend mittels Interviewtechnik einen schnellen Einstieg in die IT-Sicherheitsproblematik bietet. Durch einen Soll-IstVergleich wird ein Überblick über das IT-Sicherheitsniveau einer bestehenden IT-Anlage gewonnen
und Verbesserungsmöglichkeiten aufgezeigt.
Neue Hilfsmittel
Der CD-ROM zum IT-Grundschutzhandbuch wurden weitere neue Hilfsmittel hinzugefügt. Eine
Übersicht hierzu befindet sich im Anhang.
CD-ROM
Eine überarbeitete elektronische Version wird ca. 6 Wochen nach der Veröffentlichung der gedruckten
Fassung vorliegen. Interessenten übersenden einen mit 3 DM frankierter Rückumschlag (Format C 5)
an folgende Adresse:
Bundesamt für Sicherheit in der Informationstechnik
z. Hd. Herrn Schelo
Postfach 20 03 63
53133 Bonn

Management-Report
Auf den letzten Seiten des Handbuchs ist eine Liste registrierter Anwender des ITGrundschutzhandbuchs abgedruckt worden. Sie stellt im Überblick dar, in welchen Branchen und in
welchen Firmen bzw. Behörden IT-Grundschutz angewendet wird.

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Januar 2000

1999
IT-Grundschutzhandbuch
__________________________________________________________________________________________

Einleitung
IT-Sicherheit

Ziel des IT-Grundschutzes

-

Zuständigkeit
Verantwortung
Kosten
Kontrolle

Ziel des IT-Grundschutzes ist es, durch geeignete
Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu
erreichen, das für den mittleren Schutzbedarf angemessen
und ausreichend ist und als Basis für hochschutzbedürftige IT-Anwendungen dienen kann.
Dazu werden im IT-Grundschutzhandbuch Maßnahmenbündel für typische IT-Konfigurationen, Umfeld- und Organisationsbedingungen empfohlen. Das
Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Erstellung überschlägige
Risikobetrachtungen aufgrund bekannter Gefährdungen und Schwachstellen vorweggenommen und
dafür geeignete Maßnahmenbündel erarbeitet. Daher muß der Anwender des IT-Grundschutzhandbuchs diese aufwendigen Analysen für den IT-Grundschutz nicht mehr wiederholen, er muß lediglich
dafür Sorge tragen, daß die empfohlenen Maßnahmen konsequent und vollständig umgesetzt werden.
Damit wird gleichzeitig erreicht, daß IT-Sicherheit für den mittleren Schutzbedarf arbeitsökonomisch
umgesetzt werden kann, zumal individuelle Sicherheitskonzepte auf das IT-Grundschutzhandbuch
verweisen können. IT-Grundschutz wird somit zu einer gemeinsamen Verständigungsbasis für
Maßnahmen für den mittleren Schutzbedarf.
Grenzen des IT-Grundschutzes
Die für den IT-Grundschutz statthaften pauschalen Ansätze von Maßnahmenempfehlungen sind
jedoch nicht ohne weiteres für hochschutzbedürftige IT-Systeme ausreichend. In solchen Fällen
können individuelle Sicherheitsuntersuchungen detaillierte Ergebnisse erzielen, insbesondere bei der
Auswahl geeigneter Sicherheitsmaßnahmen unter Beachtung von Kosten- und Wirksamkeitsaspekten.
Solche Analysen können über die IT-Grundschutzmaßnahmen hinaus zusätzliche oder qualitativ
wirksamere Maßnahmen herausarbeiten. Grundsätzlich sollte bei hochschutzbedürftigen IT-Anwendungen neben der Realisierung des IT-Grundschutzes auf individuelle Sicherheitsuntersuchungen
nicht verzichtet werden.
Einführung eines IT-Sicherheitsprozesses
Das einmalige Erstellen eines IT-Sicherheitskonzepts, auch auf der Basis des IT-Grundschutzhandbuchs, ist für eine umfassende IT-Sicherheit nicht ausreichend. Vielmehr ist es erforderlich, den
IT-Sicherheitsprozeß durch einen Regelkreislauf bestehend aus der Konzeption, der Realisierung und
der Kontrolle von IT-Sicherheitsmaßnahmen zu gestalten. Diese Aufgabe ist von fundamentaler
Bedeutung und muß durch die Behörden-/Unternehmensleitung initiiert werden. Zur Unterstützung
widmet sich Kapitel 1 des Handbuchs diesem Thema mittels eines Aktionsplans.
Aufbau des IT-Grundschutzhandbuchs
Das IT-Grundschutzhandbuch gliedert sich in mehrere Teile. Im ersten Teil werden in Übersichtskapiteln die Gefährdungslage und die Maßnahmenempfehlungen für den IT-Grundschutz knapp
umrissen. Sie dienen der Leitungsebene zur Orientierung und bilden den Rahmen der empfohlenen
Maßnahmenbündel. Die folgenden Teile führen in Katalogen die Maßnahmen und Gefährdungen ausführlich aus. Sie dienen dem Vergleich des Sicherheits-Istzustandes mit den Maßnahmen-

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Juli 1999

1999
IT-Grundschutzhandbuch
__________________________________________________________________________________________

empfehlungen und der Realisierung und Kontrolle der erforderlichen IT-Sicherheitsmaßnahmen.
Ergänzende Informationen befinden sich im Anhang des Handbuchs.
Notwendige oder weiterführende Hilfsmittel runden das Handbuch ab. Sie sind aus ökonomischen und
ökologischen Gründen auf der beiliegenden CD-ROM gespeichert.
Anwendungsweise des Handbuchs
Hilfestellung zur Anwendungsweise bietet Kapitel 2: Zuerst sind die IT-Systeme mittels einer
Schutzbedarfsanalyse zu ermitteln, für die der IT-Grundschutz umgesetzt werden soll, und solche, für
die über den IT-Grundschutz hinaus eine individuelle Sicherheitsuntersuchung notwendig ist.
Dann werden die einzelnen IT-Systeme in den IT-Grundschutz-"Baukasten" abgebildet. Anschließend
braucht der Anwender nur noch die Maßnahmenempfehlungen der Übersichtskapitel und der Kataloge
mit den schon realisierten IT-Sicherheitsmaßnahmen zu vergleichen. Festgestellte Differenzen werden
in einem IT-Sicherheitskonzept dokumentiert und mittels eines Realisierungsplans umgesetzt.
Fortschreibung
Die vorliegende Version des Handbuchs kann nicht sämtliche IT-Konfigurationen abdecken. Das BSI
plant, das IT-Grundschutzhandbuch jährlich zu aktualisieren und bedarfsgerecht zu erweitern. Jeder
Leser wird gebeten, mittels beiliegender Fax-Vordrucke (s. Anhang) seinen Bedarf an Erweiterung des
Handbuchs, Verbesserungsvorschläge und anonyme Schadensmeldungen dem BSI mitteilen. Darüber
hinaus führt das BSI jährlich eine Fragebogenaktion durch, in der die Verbesserungsmöglichkeiten
und aktuellen Themen für den IT-Grundschutz erfragt werden.
Registrierung
Um das IT-Grundschutzhandbuch bedarfsgerecht weiterentwickeln zu können, benötigt das BSI den
Erfahrungsaustausch mit den Anwendern des Handbuchs. Hierzu ist dem Handbuch auf der letzten
Seite ein Faxvordruck zur freiwilligen Registrierung beigefügt. Registrierte Anwender können auf
diesem Weg direkt über aktuelle Themen des IT-Grundschutzes informiert werden. Eine Liste derjenigen registrierten Anwender, die einer Veröffentlichung zugestimmt haben, ist am Ende des Handbuchs abgedruckt. Sie zeigt auf, daß IT-Grundschutz schon in weiten Teilen der Wirtschaft Anklang
gefunden hat.
Hotline
Das BSI versucht, seinem gesetzlichen Auftrag der Förderung der IT-Sicherheit auch dadurch nachzukommen, daß es für Fragen und Auskünfte in offener, unbürokratischer und anwenderfreundlicher
Weise zur Verfügung steht. Als Dienstleistung im Rahmen des IT-Grundschutzes ist dazu eine
kostenlose Hotline eingerichtet worden, die zu den üblichen Bürozeiten verfügbar ist. Auch Anregungen und Verbesserungsvorschläge zum IT-Grundschutzhandbuch können dort weitergegeben
werden. Die Hotline ist erreichbar unter:

IT-Grundschutz-Hotline:
Tel.: 0228-9582-369
E-Mail: gshb@bsi.de
X.400: c = de, a = bund400, p = bsi, s = gshb

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

1

IT-Sicherheitsmanagement

1.1

Überblick über den ITSicherheitsprozeß

IT-Sicherheit
-

Zuständigkeit
Verantwortung
Kosten
Kontrolle

Funktionen in der öffentlichen Verwaltung und in der
Wirtschaft werden in der modernen Informations- und
Kommunikationsgesellschaft zunehmend durch den
Einsatz von Informationstechnik (IT) unterstützt. Viele
Arbeitsprozesse werden elektronisch gesteuert, und große
Mengen von Informationen werden in Form von Daten
digital gespeichert, elektronisch verarbeitet und in
lokalen und öffentlichen Netzen übermittelt. Die
Wahrnehmung mancher öffentlicher oder privatwirtschaftlicher Aufgaben ist ohne IT überhaupt nicht,
die Erfüllung anderer Aufgaben nur noch teilweise möglich. Damit sind viele Institutionen in
Verwaltung und Wirtschaft von dem einwandfreien Funktionieren der eingesetzten IT abhängig; ein
Erreichen der Behörden- und Unternehmensziele ist nur bei ordnungsgemäßem und sicheren ITEinsatz möglich.
Aufgrund dieser Abhängigkeit ist IT-Sicherheit als integraler Bestandteil der originären Aufgabe
anzusehen. Die Verantwortung für eine sichere und ordnungsgemäße IT-gestützte Aufgabenerfüllung
ist somit gleichermaßen in der Linie zu delegieren wie die Verantwortung für die originäre Aufgabe
selbst. Ebenso wie für die originäre Aufgaben verbleibt die letztendliche Verantwortung für ITSicherheit beim Management. Die für IT-Sicherheit notwendigen betriebsweiten konzeptionellen
Aufgaben, die Organisation, die Zuweisung von Verantwortlichkeiten sowie die nötigen Kontrollen
werden von einer dafür eingerichteten Organisationseinheit, dem IT-Sicherheitsmanagement-Team,
realisiert.
Motivation
Pressemeldungen der letzten Jahre verdeutlichen, daß durch mangelnde IT-Sicherheit immer wieder
beträchtliche Schäden in Behörden und Wirtschaftsunternehmen entstehen. Die Dunkelziffer solcher
Schäden ist noch um einiges höher anzusetzen, da der weitaus größere Teil behörden- bzw. firmenintern verschwiegen wird. Einige der bekannt gewordenen Vorkommnisse sind:

Datum
März 1993
Mai 1993
Feb. 1994
Feb. 1995
Mitte 1995
Mitte 1996
April 1998

Art des Schadens
Durch den Michelangelo-Virus werden diverse
Daten auf PCs gelöscht
Hackereinbruch in den Rechner einer Wirtschaftsauskunftei
Hackereinbruch im Datennetz INTERNET
Anschlag auf Datenkommunikationsleitungen des
Frankfurter Flughafens
Ein namhafter Hersteller verteilt mit Originalsoftware die ersten Makro-Viren
Brand in der zentralen DV-Abteilung einer großen
französischen Bank
Ausfall eines zentralen Computersystems am Flughafen Düsseldorf

Schadenshöhe
Geschätzter Schaden
über 1,0 Million DM
Vertrauens- und
Imageverlust
unbekannt
unbekannt
unbekannt
unbekannt
unbekannt

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Angesichts dieser Vorkommnisse wird klar, daß es nicht ausreichen kann, nur die Schäden und ihre
Folgen zu beseitigen oder intuitiv auf erkannte Gefahren zu reagieren. Zur Wahrung des ordnungsgemäßen und sicheren IT-Einsatzes ist ein systematischer Weg zu beschreiten, der zu einem ganzheitlichen und vollständigen Ergebnis führt.
Zur Erreichung des notwendigen Zieles "ausreichende und angemessene IT-Sicherheit" wird daher der
Behörden- bzw. Unternehmensleitung der folgende Aktionsplan vorgeschlagen. Er beinhaltet die
wesentlichen Schritte, die für einen kontinuierlichen IT-Sicherheitsprozeß notwendig sind.

Planung
1 . E n tw ic k lu n g e in e r IT -S ic h e rh e its p o litik

2 . E rs te llu n g e in e s IT -S ic h e rh e its k o n ze p te s

Realisierung
3 . R e a lis ie ru n g d e r IT -S ic h e rh e its m a ß n a h m e n

4 . S c h u lu n g u n d S e n s ib ilis ie ru n g

Aufrechterhaltung
5 . IT -S ic h e rh e it im la u fe n d e n B e trie b

Aktionsplan für den IT-Sicherheitsprozeß

Da mit der allgemeinen Verantwortung für das zielgerichtete und ordnungsgemäße Funktionieren
einer Organisation auch die Gewährleistung der IT-Sicherheit dem Management obliegt, muß die
Leitungsebene den IT-Sicherheitsprozeß initiieren und kontrollieren.
Grundregeln:
- Die Initiative für IT-Sicherheit geht vom Management aus.
- Die Verantwortung für IT-Sicherheit liegt beim Management.
- Nur wenn sich das Management um IT-Sicherheit bemüht, wird die Aufgabe "IT-Sicherheit"
wahrgenommen.

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Aktionsplan zur Initiierung des IT-Sicherheitsprozesses
1. Entwicklung einer IT-Sicherheitspolitik
Die Entwicklung der IT-Sicherheitspolitik verläuft in drei Schritten: zunächst wird das für die
Institution notwendige und angemessene IT-Sicherheitsniveau bestimmt. Dies hängt von den
Sicherheitszielen dieser Institution und dem Aufwand, der für IT-Sicherheit betrieben werden kann,
ab. Danach wird das IT-Sicherheitsmanagement-Team etabliert, daß das Erreichen und Halten des
angestrebten IT-Sicherheitsniveaus zur Aufgabe hat. Das IT-Sicherheitsmanagement-Team
erarbeitet dann die IT-Sicherheitspolitik.
2. Erstellung des IT-Sicherheitskonzepts
Zur Umsetzung der IT-Sicherheitsziele wird durch detaillierte Risikoanalysen für hochschutzbedürftige IT-Anwendungen und durch Anwendung des vorliegenden IT-Grundschutzhandbuchs
ein IT-Sicherheitskonzept erstellt.
3. Realisierung der IT-Sicherheitsmaßnahmen
Mittels Prioritätensetzung, Benennung von Verantwortlichen und Realisierungsplanung sind die
notwendigen IT-Sicherheitsmaßnahmen unter Berücksichtigung der zur Verfügung stehenden Zeit
und Ressourcen zu realisieren.
4. Schulung und Sensibilisierung
Ein bedarfsorientiertes Schulungskonzept ist zu erstellen, um alle Ebenen der Organisation, vom
Management bis zu den IT-Benutzern, für IT-Sicherheitsmaßnahmen zu sensibilisieren und die
notwendigen Erklärungen zum sachgemäßen IT-Gebrauch und der Einhaltung der IT-Sicherheitsmaßnahmen zu liefern.
5. IT-Sicherheit im laufenden Betrieb
Der IT-Sicherheitsprozeß endet nicht mit der Umsetzung von Maßnahmen, sondern es bedarf periodischer Kontrollen, die bei Veränderungen auch die Aktualisierung des Sicherheitskonzeptes veranlassen. Auch die Reaktionen auf sicherheitsrelevante Ereignisse müssen geregelt werden, um den
Schaden zu begrenzen und Wiederholungen zu vermeiden.

Aufgabenbereiche des IT-Sicherheitsmanagement-Teams
Das IT-Sicherheitsmanagement-Team soll den IT-Sicherheitsprozeß koordinieren und steuern. Die
personelle Ausstattung richtet sich dabei nach der Größe der Behörde bzw. des Unternehmens und
nach dem Umfang der IT-Unterstützung. Sie reicht von Teilzeitarbeit bis zu einer Gruppe von
mehreren Personen. Die wahrzunehmenden Aufgaben sind:
Konzeption der IT-Sicherheit
- Definition und Aktualisierung der IT-Sicherheitsziele in der Behörde bzw. im Unternehmen in
Abstimmung mit der Leitungsebene.
- Erstellung bzw. Aktualisierung des IT-Sicherheitskonzepts, insbesondere in der Entscheidungsvorbereitung für die Leitungsebene bei der Schutzbedarfsfeststellung, der Risikoentscheidung, der
Risikobewertung sowie der Auswahl von Maßnahmen.
- Entwicklung eines Realisierungsplanes zur Umsetzung der aus dem IT-Sicherheitskonzept resultierenden Maßnahmen.

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

- Konzeption von Schulungen, da durch nicht ausreichend ausgebildete und motivierte IT-Benutzer
Schäden verursacht werden können.
- Konzeption und Einführung eines Meldesystems für sicherheitsrelevante Informationen. Beispiele:
Schadensmeldungen, Personalwechsel, Effizienzmängel von IT-Sicherheitsmaßnahmen,
Änderungen der eingesetzten IT.
Koordination des IT-Sicherheitsprozesses
- Abstimmung und Festlegung des Ressourcen- und Personaleinsatzes zur Erstellung und Umsetzung
des IT-Sicherheitskonzepts.
- Organisation und Koordination von IT-Sicherheitsmaßnahmen im laufenden Betrieb, auch der sich
aus der Aktualisierung des IT-Sicherheitskonzepts ergebenden Maßnahmen.
Kontrolle des IT-Sicherheitsprozesses
- Wahrnehmung einer übergeordneten Kontrollfunktion im Hinblick auf Angemessenheit und Wirksamkeit anhand von Rückmeldungen und Kontrollen vor Ort.

Umsetzungsbeispiele
Zur Etablierung eines IT-Sicherheitsmanagement-Teams werden einige Lösungsmöglichkeiten
beschrieben, die sowohl in der Bundesverwaltung als auch in Wirtschaftsunternehmen gewählt
wurden.
Kleine Behörde/Mittelständisches Unternehmen ohne Außenstellen:
Die oben genannten Aufgabenblöcke Konzeption, Koordination und Kontrolle werden durch eine
Person gleichzeitig wahrgenommen. In einigen Fällen wird diese Aufgaben mit der Aufgabe des
Datenschutzbeauftragten vereint durchgeführt.
Größere Behörde/größeres Unternehmen ohne Außenstellen:
Die genannten Aufgabenblöcke werden innerhalb einer Gruppe wahrgenommen, die bis zu fünf
Personen umfaßt. Organisatorisch wird diese Gruppe oft als Stabsstelle geführt. Eine Trennung von
den Aufgaben des Datenschutzbeauftragten wird teilweise vollzogen.
Größere Behörde/größeres Unternehmen mit Außenstellen:
Die Aufgaben werden zentral von einer kleinen Gruppe koordiniert. Insbesondere werden zentral die
Definition der IT-Sicherheitsziele, die Konzeption der Schulung und die Koordination des IT-Sicherheitsprozesses durchgeführt.
Dezentral werden in den einzelnen Außenstellen die Erstellung des jeweiligen Teil-IT-Sicherheitskonzepts, die Umsetzung der betreffenden Anteile der Maßnahmen und die Rückmeldungen von
Kontrollergebnissen und Veränderungen durchgeführt. Hierbei werden in den Außenstellen diese
dezentralen Aufgaben oft von einer Person wahrgenommen. Von besonderer Bedeutung ist bei der
Erstellung von Teil-IT-Sicherheitskonzepten die zentrale Koordination, um ein einheitliches GesamtIT-Sicherheitskonzept zu erhalten.
Teilweise werden Kontrollen in den Außenstellen gemeinsam von den zentral und dezentral Verantwortlichen durchgeführt.

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

1.2

Initiierung des IT-Sicherheitsprozesses

Der im vorhergehenden Kapitel in Kurzform dargestellte Aktionsplan zur Initiierung des IT-Sicherheitsprozesses wird nachfolgend ausführlich dargestellt. Hat die Behörden- bzw. Unternehmensleitung
entschieden, diesem Aktionsplan zu folgen, können diese ausführlichen Erläuterungen für die
Umsetzung beachtet werden.
Aktion 1: Entwicklung einer IT-Sicherheitspolitik
Die Entwicklung der IT-Sicherheitspolitik verläuft in drei Schritten: Zunächst wird festgestellt,
welches IT-Sicherheitsniveau für die Organisation angemessen ist. Danach wird das IT-Sicherheitsmanagement-Team gebildet, das das Erreichen und Halten dieses Sicherheitsniveaus zum Ziel hat. Das
IT-Sicherheitsmanagement-Team entwickelt dann die IT-Sicherheitspolitik der Organisation.
Aktion 1.1: Bestimmung des IT-Sicherheitsniveaus
Hundertprozentige Sicherheit ist nie zu erreichen, weder im täglichen Leben noch bei der IT-Sicherheit. Die im jeweiligen Fall als ausreichend angesehene Sicherheit ergibt sich aus dem Wert der zu
schützenden Güter, den Gefährdungen, denen diese Güter ausgesetzt sind, sowie einer durch andere
Faktoren bestimmten Risikobereitschaft der Institution. Mit Hilfe des IT-Grundschutzes kann ein
definiertes IT-Sicherheitsniveau als Basis erreicht werden, die obere Grenze des IT-Sicherheitsniveaus
wird bestimmt von dem maximalen finanziellen und personellen Aufwand, den die Institution für ITSicherheit betreiben kann bzw. will.
Um das für die jeweilige Institution notwendige und angemessene IT-Sicherheitsniveau festzustellen,
verschafft man sich zunächst einen Überblick über den Wert der zu schützenden Güter. Im Rahmen
der IT-Sicherheit ist das vordringlich die Bedeutung der IT für die Aufgabenerfüllung. Der intuitiv
häufig in den Vordergrund gestellte Wert der IT selbst macht meistens nur einen geringen Teil des
Gesamtwertes aus, die strategische und operative Bedeutung der IT liegt oft weit höher. Daher ist es
wichtig, sich über den Wert der IT selbst hinaus klarzumachen, wie stark die Aufgabenerfüllung
innerhalb der Institution von der eingesetzten IT abhängt. Fragen für die Beurteilung der Abhängigkeit
der gesamten Institution von der eingesetzten IT sind:
- Werden mit der eingesetzten IT Informationen verarbeitet, deren Vertraulichkeit besonders zu
schützen ist?
- Hängen wesentliche Entscheidungen von der Richtigkeit, Aktualität und Verfügbarkeit von Informationen ab, die mit IT verarbeitet werden?
- Gibt es wichtige und/oder sehr wichtige Aufgaben in der Institution, die nur mit Unterstützung von
IT erledigt werden können?
- Gibt es Massenaufgaben in der Institution, deren Erledigung nur mit IT-Einsatz möglich ist?
Um einen Einblick in die für eine Institution spezifische Gefährdungslage zu erhalten, sollte man
besonders solche Gefährdungen betrachten, die in einem besonderen Anreiz für einen potentiellen
Täter begründet liegen (Bsp.: Es werden besonders vertrauliche Informationen verarbeitet, deren
Weitergabe einem potentiellen Täter einen großen finanziellen Vorteil verschaffen kann). Häufig liegt
der Grund für einen vorsätzlichen Angriff genau in der strategischen und operativen Bedeutung der IT
für die Institution. Neben diesen aus vorsätzlichen Handlungen resultierenden Gefährdungen bedrohen
erfahrungsgemäß auch Nachlässigkeit, Hardware-/Softwarefehler sowie höhere Gewalt die IT.
Weitere Faktoren, die die generelle Risikobereitschaft einer Behörde oder eines Unternehmens
beeinflussen, sind Gesetze, Richtlinien, interne Vorschriften etc., deren Einhaltung gewährleistet sein
muß.

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Aufgrund dieser Überlegungen kann nun festgelegt werden, welches das für die jeweilige Institution
notwendige und angemessene IT-Sicherheitsniveau ist. Nachstehend sind einige Beispielkriterien für
eine solche Einschätzung aufgeführt. Die Aussagen, die der Bedeutung der IT für die Aufgabenerfüllung, der spezifischen Gefährdungslage und den Gesetzesvorgaben für die Institution am nächsten
kommen, bestimmen das zu erreichende IT-Sicherheitsniveau.
Maximal:
- Der Schutz vertraulicher Informationen muß gewährleistet sein und in sicherheitskritischen
Bereichen strengen Vertraulichkeitsanforderungen genügen.
- Die Informationen müssen im höchsten Maße korrekt sein.
- Die zentralen Aufgaben der Institution sind ohne IT-Einsatz nicht durchführbar. Knappe
Reaktionszeiten für kritische Entscheidungen fordern ständige Präsenz der aktuellen Informationen,
Ausfallzeiten sind nicht akzeptabel.
Insgesamt gilt: Der Ausfall der IT führt zum totalen Zusammenbruch der Institution oder hat
schwerwiegende Folgen für breite gesellschaftliche oder wirtschaftliche Bereiche.

Hoch:
- Der Schutz vertraulicher Informationen muß hohen gesetzlichen Anforderungen genügen und in
sicherheitskritischen Bereichen stärker ausgeprägt sein.
- Die verarbeiteten Informationen müssen korrekt sein, auftretende Fehler müssen erkennbar und
vermeidbar sein.
- In zentralen Bereichen der Institution laufen zeitkritische Vorgänge oder es werden dort Massenaufgaben wahrgenommen, die ohne IT-Einsatz nicht zu erledigen sind; es können nur kurze
Ausfallzeiten toleriert werden.
Insgesamt gilt: Im Schadensfall tritt Handlungsunfähigkeit zentraler Bereiche der Institution ein;
Schäden haben erhebliche Beeinträchtigungen der Institution selbst oder betroffener Dritter zur Folge.
Mittel:
- Der Schutz von Informationen, die nur für den internen Gebrauch bestimmt sind, muß gewährleistet sein.
- Kleinere Fehler können toleriert werden, Fehler, die die Aufgabenerfüllung erheblich beeinträchtigen, müssen jedoch erkenn- oder vermeidbar sein.
- Längere Ausfallzeiten, die zu Terminüberschreitungen führen, sind nicht zu tolerieren.
Insgesamt gilt: Schäden haben Beeinträchtigungen der Institution zur Folge.
Niedrig:
- Vertraulichkeit von Informationen ist nicht gefordert.
-

Fehler können toleriert werden, solange sie die Erledigung der Aufgaben nicht völlig unmöglich
machen.

-

Dauernder Ausfall ist zu vermeiden, längere Ausfallzeiten sind jedoch hinnehmbar.

Insgesamt gilt: Schäden haben nur eine unwesentliche Beeinträchtigung der Institution zur Folge.

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Diese Einschätzung kann intuitiv erfolgen, eine genaue, objektive Einschätzung ist an dieser Stelle
(ohne genaue Betrachtung der eingesetzten Werte und des drohenden Risikos) ohnehin schwer zu
erreichen.
Wichtig ist zu beachten, daß das gewählte IT-Sicherheitsniveau nur mit einem entsprechenden Aufwand zu erreichen ist. Das nachstehende Diagramm soll verdeutlichen, wieviel Aufwand in Relation
zu dem angestrebten IT-Sicherheitsniveau zu betreiben ist. Dieser Aufwand bietet eine Orientierung
für die personellen, zeitlichen und monetären Ressourcen, die zur Realisierung der IT-Sicherheitsziele
notwendig sind. Eine Orientierung für den monetären Aufwand kann der in der Privatwirtschaft
betriebene Aufwand von durchschnittlich 5% der IT-Investitionssumme pro Jahr für IT-Sicherheit
bieten.

]QhY]Q\

X_SX

]YddU\

^YUTbYW

7be^TcSXedj

UbX‰Xd

]QhY]Q\

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Aktion 1.2: Etablierung des IT-Sicherheitsmanagement-Teams
Die anfallenden Aufgaben, um das angestrebte IT-Sicherheitsniveau zu erreichen und zu erhalten,
müssen von einer Instanz oder Person innerhalb der Institution koordiniert und verantwortlich geregelt
werden. Diese Instanz (oder Person) wird als "IT-Sicherheitsmanagement-Team" der Institution
bezeichnet. Die genaue Ausprägung dieser Instanz ist von der Größe der Institution, den vorhandenen
Ressourcen und dem IT-Sicherheitsniveau abhängig. Eine ausführliche Beschreibung der verschiedenen Möglichkeiten findet sich im Kapitel 1.3 "Verantwortlichkeiten und Befugnisse im IT-Sicherheitsprozeß".
Nur wenige, entweder sehr große Institutionen oder Institutionen mit einem hohen Bedarf an ITSicherheit werden die Möglichkeit haben, hauptamtliche Stellen für das IT-SicherheitsmanagementTeam bereitstellen zu können; im allgemeinen werden diese Aufgaben neben den originären Aufgaben
wahrzunehmen sein. Wenn möglich sollten die verantwortlichen Personen des IT-Sicherheitsmanagement-Teams während der Konzeptionsphase (Schritt 1 und 2 des Aktionsplans) weitgehend
von ihren sonstigen Aufgaben freigestellt werden. Die Entscheidung, ob diese Freistellung auch nach
der Konzeptionsphase noch sinnvoll ist, ist davon abhängig, ob und in welchem Maße das IT-Sicherheitsmanagement-Team Beratungs-, Kontroll- und Revisionsaufgaben im laufenden Betrieb auszuführen hat. Die endgültige Entscheidung hierüber sollte erst nach Vollendung des IT-Sicherheitskonzepts getroffen werden; aus diesem ergibt sich der genaue Bedarf der Institution an IT-Sicherheit,
und die ausgewählten Sicherheitsmaßnahmen machen eine Einschätzung der nötigen Kontrollen
möglich.
Grundregel:
Das Wichtigste bei der Einrichtung des IT-Sicherheitsmanagement-Teams ist:
- die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerfüllung (und damit für
die IT-Sicherheit) verbleibt bei der Leitungsebene, und
- die Verantwortung für die IT-Sicherheit am einzelnen Arbeitsplatz ist genauso in der Linie zu
delegieren wie die Verantwortung für die originäre Aufgabe.
Aktion 1.3: Umsetzung des angestrebten IT-Sicherheitsniveaus in die IT-Sicherheitspolitik
Zur Entwicklung der IT-Sicherheitspolitik werden zunächst die spezifischen IT-Sicherheitsziele der
Institution erarbeitet, die mit dieser Politik erreicht werden sollen. Mögliche IT-Sicherheitsziele einer
Institution könnten sein:
- Hohe Verläßlichkeit des Handelns, besonders in puncto Rechtzeitigkeit (hier ist die Verfügbarkeit
der IT gefordert), Richtigkeit (das betrifft die Integrität der IT) und Vertraulichkeit,
- Gewährleistung des gutes Rufs der Institution in der Öffentlichkeit,
- Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte,
- Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen,
- Sicherung der Qualität der Informationen, z. B. wenn sie als Basis für weitreichende Entscheidungen dienen,
- Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen (GG, BDSG, SGB,
GoB, GoS, GoBS, ...),
- Reduzierung der im Schadensfall entstehenden Kosten (sowohl durch Schadensvermeidung wie
Schadensverhütung),
- Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb der Organisation.

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Diese (allgemeinen) IT-Sicherheitsziele haben Gültigkeit für die meisten Institutionen, die mit ITUnterstützung arbeiten. Um die spezifischen Sicherheitsziele einer Institution zu ermitteln, ist es
unumgänglich, diese Ziele für die in der Institution durchgeführten Arbeiten und Projekte zu formulieren.
Beispiel: Bei der Verarbeitung von Daten in der Personalabteilung, die unter das Datenschutzgesetz
fallen, müssen die dort beschriebenen Anforderungen an Vertraulichkeit und Integrität
sichergestellt sein.
Die Ergebnisse dieser Überlegungen sollten in einem Papier zur IT-Sicherheitspolitik formuliert
werden. Es ist wichtig, daß die Leitungsebene bei der Initiierung des IT-Sicherheitsprozesses den
Stellenwert und die Wichtigkeit der IT-Sicherheit in der gesamten Institution bekannt macht. Die ITSicherheitspolitik sollte erläutern, welches IT-Sicherheitsniveau die Institution anstrebt, und wie sich
dieses Sicherheitsniveau aus den Aufgaben und Pflichten der Institution ableitet. Weiterhin sollten die
angestrebten IT-Sicherheitsziele sowie der Weg dahin vorgestellt werden. Schließlich sollten alle
Mitarbeiter darauf aufmerksam gemacht werden, daß nicht nur bei der Aufgabenerfüllung allgemein,
sondern auch bei der Erfüllung der Aufgabe "IT-Sicherheit" von ihnen engagiertes, kooperatives
sowie verantwortungsbewußtes Handeln erwartet wird. Im Einzelnen sollte das Papier zur IT-Sicherheitspolitik die folgenden Informationen beinhalten:
- Stellenwert der IT-Sicherheit, sowie
-

Bedeutung der IT für die Aufgabenerfüllung,

-

das angestrebte Sicherheitsniveau der Institution und

-

die Sicherheitsziele für die eingesetzte IT,

- Bericht über die Einrichtung des IT-Sicherheitsmanagement-Teams,
- Bekanntgabe des IT-Sicherheitsbeauftragten und
- Darstellung der Verantwortung der Mitarbeiter für IT-Sicherheit (die Verantwortung für ITSicherheit wird genauso in der Linie delegiert wie die originäre Aufgabe selbst).
Später, entsprechend zu dem jeweiligen Stand der IT-Sicherheitsuntersuchungen, sollten außerdem die
folgenden Punkte ergänzt werden:
- Pläne zu Umsetzung der ausgewählten IT-Sicherheitsmaßnahmen,
- Konzeption von Schulungsmaßnahmen,
- Kontrolle und Revision der IT-Sicherheit im laufenden Betrieb, und
- Reaktionen auf sicherheitsrelevante Ereignisse.
Dieses Papier kann seine Funktion nur dann erfolgreich erfüllen, wenn es in der ganzen Institution
bekannt ist. Niemand sollte die Chance haben, es nicht zur Kenntnis nehmen zu müssen! Genauso
wichtig ist, daß die Leitungsebene deutlich macht, daß sie in vollem Umfang hinter diesem Papier und
den darin festgehaltenen Zielen steht.

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Aktion 2: Erstellung eines IT-Sicherheitskonzepts
Um die in der IT-Sicherheitspolitik beschriebenen IT-Sicherheitsziele in die Tat umsetzen zu können,
muß ein Ansatz zur Untersuchung der Risiken entwickelt werden, der den speziellen Anforderungen
der Institution genügt. Dieser Ansatz sollte die Sicherheitsbemühungen dort konzentrieren, wo sie
erforderlich sind, und so einen Weg finden, alle Risiken in möglichst zeit- und kostensparender Weise
zu reduzieren.
Es ist weder zeit- und kostengünstig, für jedes noch so geringe Risiko eine detaillierte Analyse durchzuführen, noch ist es sinnvoll, ernsthafte Risiken nur "nebenbei" zu behandeln. Um die richtige
Balance zwischen diesen Extremen zu finden, bietet sich der folgende Weg an:
Ausgehend von den IT-Systemen werden zunächst die IT-Anwendungen identifiziert. Nach Ableitung
des Schutzbedarfs der IT-Anwendungen und Informationen wird der Schutzbedarf des IT-Systems, auf
denen diese IT-Anwendungen und Informationen verarbeitet werden, ermittelt (Maximum-Prinzip,
vgl. Kapitel 2.2). Dieser Schutzbedarf gibt an, wie wichtig es ist, das IT-System vor Schäden zu
bewahren. Hält sich dieser potentielle Schaden in vertretbarem Rahmen, so wird für dieses IT-System
die Anwendung des IT-Grundschutzes (vgl. Kapitel 2.3) empfohlen. Ist jedoch ein höherer Schaden zu
befürchten, so sollten die Risiken mit Hilfe des Verfahrens der Risikoanalyse detailliert untersucht und
gezielt reduziert werden.
Durch diese Vorgehensweise, die die Vorteile von IT-Grundschutz (zeitsparende Auswahl kostengünstiger IT-Sicherheitsmaßnahmen) und Risikoanalyse (detaillierte Analyse, um die hohen ITSicherheitsrisiken wirksam zu reduzieren) miteinander kombiniert, ist es möglich, effektive und
angemessene IT-Sicherheitsmaßnahmen zeit- und kostengünstig auszuwählen, und gleichzeitig die
hochschutzbedürftigen IT-Systeme in geeigneter Weise zu schützen.
Unabhängig davon, für welche Vorgehensweise man sich entscheidet, jeder dieser Wege liefert eine
Reihe von Maßnahmen, die die Sicherheitsrisiken auf ein akzeptables Maß reduzieren sollen. Bevor
diese Maßnahmen umgesetzt werden, sollte die Leitungsebene entscheiden, ob die Kosten für die
Realisierung der Maßnahmen im richtigen Verhältnis zu der Reduzierung der Risiken stehen, und ob
die Risiken auf ein akzeptables Maß reduziert werden.
Nach der Realisierung der ausgewählten Sicherheitsmaßnahmen wird immer ein Restrisiko verbleiben,
da hundertprozentige Sicherheit nicht effizient erreichbar ist. Nachdem dieses Restrisiko ermittelt
wurde, ist es Aufgabe der Leitungsebene, zu entscheiden, ob dieses Restrisiko akzeptabel ist. Falls
nicht, müssen weitere Sicherheitsmaßnahmen ausgewählt werden, die das Restrisiko auf ein akzeptables Maß reduzieren.
Aktion 3: Realisierung der im IT-Sicherheitskonzept ausgewählten Maßnahmen
Nachdem alle IT-Sicherheitsmaßnahmen zum Schutz gegen die erkannten Risiken identifiziert
wurden, muß ein Plan zur Realisierung dieser Maßnahmen erstellt werden. Dieser Plan sollte alle
kurz-, mittel- und langfristigen Aktionen beinhalten, die zur Umsetzung der ausgewählten Sicherheitsmaßnahmen nötig sind. Im einzelnen sollte dieser Plan enthalten:
-

eine Liste der zu realisierenden Sicherheitsmaßnahmen für jedes IT-System,

-

die in diesem Zusammenhang anfallenden Kosten in Form von Investitionen, Arbeitsaufwand,
Schulungen etc.,

- einen detaillierten Arbeitsplan zur Umsetzung der Maßnahmen, der auch Prioritäten, Budget sowie
einen Zeitplan beinhaltet,
- eine Liste der Aktionen, Projekte etc., die zur Realisierung der Maßnahmen nötig sind,
- Möglichkeiten der Kontrolle, wie:

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

-

gezielte Zuweisung von Verantwortlichkeiten und Ressourcen und

-

Definitionen von Kontrollmechanismen für die Implementierung sowie

- Sensibilisierungs- und Schulungsveranstaltungen, die im Zusammenhang mit der Umsetzung von
Maßnahmen nötig sind.
Bei der Umsetzung dieses Planes ist unbedingt zu beachten, daß Verantwortlichkeiten und Ressourcen
rechtzeitig zugewiesen werden, daß die Kosten sich in dem vorher abgeschätzten Rahmen halten, daß
die Maßnahmen korrekt umgesetzt werden, und daß der vorgegebene Zeitplan eingehalten wird.
Sollten sich durch die Maßnahmen einschneidende Veränderungen, z. B. im Arbeitsablauf, ergeben, so
sollte ihre Umsetzung unbedingt an ein Schulungsprogramm gekoppelt werden (vgl. auch Aktion 4).
Weiterhin ist zu beachten, daß die meisten technischen Sicherheitsmaßnahmen ein geeignetes
organisatorisches Umfeld brauchen, um vollständig wirksam zu sein.
Verantwortlich für die Erstellung des institutionsweiten Realisierungsplans ist normalerweise der ITSicherheitsbeauftragte, für die Ausarbeitung des detaillierten Realisierungsplans einzelner Institutionseinheiten sowie dessen Umsetzung ist der jeweilige Bereichs-IT-Sicherheitsbeauftragte
zuständig (eine genauere Beschreibung der Zuständigkeiten befindet sich im Kapitel 1.3
"Verantwortlichkeiten und Befugnisse im IT-Sicherheitsprozeß").

Aktion 4: Konzeption von Schulungs- und Sensibilisierungsmaßnahmen
Das Schulungs- und Sensibilisierungsprogramm sollte alle Ebenen der Institution betreffen, von den
Top-Managern bis hin zu den IT-Benutzern. Dieses Programm sollte die institutionsweite IT-Sicherheitspolitik erklären und sicherstellen, daß die Richtlinien und Vorschriften zur IT-Sicherheit verstanden werden. Nur durch Verständnis und Motivation ist zu erreichen, daß die Vorgaben eingehalten
werden. Im einzelnen sollte das Schulungs- und Sensibilisierungsprogramm die folgenden Punkte
behandeln:
- die IT-Sicherheitsziele und -politik der Institution sowie deren Erläuterung,
- die Gründe, warum IT-Sicherheit für die Institution wichtig ist,
- Verantwortlichkeiten, Stellenbeschreibungen und Vorgehensweisen in Zusammenhang mit ITSicherheit,
- die Ergebnisse der Schutzbedarfsfeststellung, deren Erklärung und den daraus resultierenden
Ansatz zur Risikominderung (IT-Grundschutz oder Risikoanalyse),
- die Pläne zur Implementation und Überprüfung der Sicherheitsmaßnahmen,
- die Auswirkungen von sicherheitsrelevanten Ereignisses, für IT-Nutzer und für die Institution,
- die Notwendigkeit, von Sicherheitsverstößen zu berichten, und
- die Konsequenzen, falls sich jemand nicht an die Sicherheitsvorgaben hält.
Das Schulungs- und Sensibilisierungsprogramm sollte jeden innerhalb der Institution auf seine Verantwortlichkeit für IT-Sicherheit hinweisen. Der erste und wichtigste Schritt hierbei ist, der Leitungsebene ihre Verantwortung für IT-Sicherheit deutlich zu machen. Die Verantwortung für das
Schulungs- und Sensibilisierungsprogramm und dessen Einhaltung wird genauso in der Linie delegiert, wie die Verantwortung für die Aufgabenerfüllung und die IT-Sicherheit. Die institutionsweite
Planung dieser Veranstaltungen sollte der IT-Sicherheitsbeauftragte übernehmen; ggf. liefern
Bereichs-IT-Sicherheitsbeauftragte Informationen, wann und wo solche Veranstaltungen nötig sind.

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Ziel dieses Programms ist es, jedem Mitarbeiter, der mit IT arbeitet, zu verdeutlichen, daß ITAnwendungen und Informationen wertvoll sind, und ein Verlust von Vertraulichkeit, Integrität oder
Verfügbarkeit schwerwiegende Konsequenzen für die Institution und ihre Mitarbeiter haben kann.
Die Schulungs- und Sensibilisierungsveranstaltungen sollten in regelmäßigen Zeitabständen wiederholt werden, um das vorhandene Wissen aufzufrischen und neue Mitarbeiter zu informieren. Darüber
hinaus sollte jeder neue, beförderte oder versetzte Mitarbeiter soweit in IT-Sicherheit geschult werden,
wie es der neue Arbeitsplatz verlangt. Das Wichtigste an diesem Schulungs- und Sensibilisierungsprogramm ist jedoch, daß es rechtzeitig geplant und auch umgesetzt wird. Schulungen zu
Sicherheitsmaßnahmen nützen nicht mehr viel, wenn sie Jahre nach Einführung dieser Maßnahmen
stattfinden.
Aktion 5: IT-Sicherheit im laufenden Betrieb
Dieser bedeutende Aspekt der IT-Sicherheit wird häufig vernachlässigt. Allzu häufig findet man
veraltete, nicht umgesetzte IT-Sicherheitskonzepte, die Paßwörter am Bildschirm klebend oder durch
Keile offen gehaltene Brandschutztüren. Daher ist es notwendig zu prüfen, ob die ausgewählten
Sicherheitsmaßnahmen eingesetzt werden, ob sie korrekt eingehalten werden, ob sie den Anforderungen im laufenden Betrieb genügen, und ob sie bei Änderungen nach wie vor relevant sind oder
ebenfalls verändert werden müssen. Auch auf sicherheitsrelevante Ereignisse muß angemessen
reagiert werden.
Die verschiedenen Aufgabenfelder zur Aufrechterhaltung der IT-Sicherheit werden nachfolgend kurz
beschrieben. Verantwortlich sind jeweils (falls vorhanden) die Bereichs-IT-Sicherheitsbeauftragten;
der IT-Sicherheitsbeauftragte ist für die institutionsweite Planung dieser Aktivitäten zuständig.

Aufrechterhaltung des erreichten IT-Sicherheitsniveaus:
Das nach der Umsetzung der im IT-Sicherheitskonzept ausgewählten Maßnahmen erreichte ITSicherheitsniveau läßt sich nur aufrechterhalten, wenn
- die Aufrechterhaltung der Sicherheitsmaßnahmen im laufenden Betrieb durch organisatorische
Regelungen ermöglicht wird,
- die Verantwortungen für diese Aufrechterhaltung klar zugewiesen werden,
- die Maßnahmen regelmäßig daraufhin geprüft werden, ob sie wie gedacht funktionieren,
- Maßnahmen verstärkt werden, falls sich neue Schwachstellen zeigen, und
- die Maßnahmen angepaßt werden, falls es personelle oder organisatorische Änderungen bzw.
Änderungen im Hardware- oder Softwarebereich gibt.

Kontrolle der eingesetzten Sicherheitsmaßnahmen:
Um die nötige IT-Sicherheit zu erreichen, muß sichergestellt sein, daß alle Maßnahmen so eingesetzt
werden, wie es in dem Plan zur Umsetzung der Sicherheitmaßnahmen beschrieben ist. Dies muß für
alle IT-Systeme und Projekte sowohl während der Planungsphase wie im laufenden Betrieb gewährleistet sein. Es muß geprüft werden, ob die richtigen Sicherheitsmaßnahmen vollständig umgesetzt
wurden, ob sie korrekt umgesetzt wurden, und es sollte von Zeit zu Zeit getestet werden, ob sie korrekt eingesetzt bzw. eingehalten und ob sie akzeptiert werden. Dabei können Stichproben hilfreich
sein.

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Darüber hinaus sollten Kontrollen in regelmäßigen Abständen stattfinden. Hierzu zählt auch das
Auswerten von Protokollen etc., die häufig im Rahmen von Sicherheitsmaßnahmen automatisch
erstellt werden. Die Ergebnisse dieser Kontrollen sollten dem IT-Sicherheitsbeauftragten und dem ITSicherheitsmanagement-Team mitgeteilt werden, damit im Fall von Problemen wirkungsvoll reagiert
werden kann.

Überprüfung der Zielsetzung und Reaktion auf Änderungen:
Durch die Überprüfung der Zielsetzung sollte die Leitungsebene ein klares Bild bekommen
- von dem, was durch die IT-Sicherheitsmaßnahmen erreicht wurde, verglichen mit den in der ITSicherheitspolitik beschriebenen Zielen, und
- ob das Erreichte den Sicherheitsanforderungen der Institution genügt und die Aktivitäten im
Rahmen IT-Sicherheit Erfolg hatten.
Falls sich bei dieser Überprüfung herausstellt, daß das tatsächliche Risiko von dem im IT-Sicherheitskonzept akzeptierten Restrisiko abweicht, so sollten Ressourcen bereitgestellt werden, um diesen
Zustand zu ändern.
Außerdem sollte sichergestellt werden, daß auf alle sicherheitsrelevanten Änderungen angemessen
reagiert wird. Dazu gehören zum Beispiel:
- Änderungen in der Aufgabenstellung oder in der Wichtigkeit der Aufgabe für die Institution,
- räumliche Änderungen, wie z. B. nach einem Umzug,
- Änderungen in der Bewertung der eingesetzten IT, der notwendigen Vertraulichkeit, Integrität
und/oder Verfügbarkeit, und
- Änderungen in Bedrohungen und/oder Schwachstellen.
Diese Änderungen haben einen signifikanten Einfluß auf die Sicherheitsrisiken und sollten so früh wie
möglich festgestellt werden, um rechtzeitige Reaktionen zu erlauben.

Reaktionen auf sicherheitsrelevante Ereignisse:
Trotz noch so wirksamer Sicherheitsmaßnahmen ist es unvermeidlich, daß es Ereignisse gibt, die
Sicherheitsprobleme aufdecken oder nach sich ziehen. Auf jedes dieser Ereignisse sollte so schnell
und effektiv wie möglich reagiert werden. Außerdem sollte aus solchen Vorkommnissen gelernt
werden, wie man diese und ähnliche Probleme in Zukunft vermeidet. Man kann Nutzen aus solchen
Ereignissen ziehen, indem man Schwachstellen identifiziert und Sicherheitsmaßnahmen verstärkt, wo
es nötig ist. Der IT-Sicherheitsbeauftragte kann ein Schema entwickeln, in dem festgeschrieben wird,
wie auf sicherheitsrelevante Ereignisse reagiert werden soll und welche Meldewege einzuhalten sind,
um die Reaktionszeit und den Schaden zu begrenzen.

__________________________________________________________________________________________
13

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

1.3

Verantwortlichkeiten und Befugnisse im IT-Sicherheitsprozeß

IT-Sicherheit ist für jedes IT-Projekt, jedes IT-System und alle IT-Nutzer innerhalb einer Institution
von besonderer Bedeutung. Dieser abteilungsübergreifende Charakter des IT-Sicherheitsprozesses
macht es notwendig, die Rollen und Verantwortlichkeiten klar zu definieren. Nur so kann gewährleistet werden, daß alle wichtigen Aspekte berücksichtigt und sämtliche anfallenden Aufgaben effizient erledigt werden.
Obwohl dieses Ziel auf verschiedenen organisatorischen Wegen erreicht werden kann, die von der
Größe, Beschaffenheit und Struktur der jeweils betrachteten Institution abhängen, sind zwei Funktionen in jedem Fall wahrzunehmen:
- das IT-Sicherheitsmanagement-Team (siehe auch Aktion 1.2 des Aktionsplans), welches die
abteilungsübergreifenden Belange regelt und Pläne, Vorgaben und Richtlinien erarbeitet, sowie
- der IT-Sicherheitsbeauftragte, der für alle IT-Sicherheitsfragen in der Institution verantwortlich ist.
Sowohl das IT-Sicherheitsmanagement-Team als auch der IT-Sicherheitsbeauftragte müssen klar
definierte Aufgaben, Verantwortlichkeiten und Befugnisse haben, um diese Aufgabe erfolgreich
erfüllen zu können. Das Management der Institution muß sicherstellen, daß der IT-Sicherheitsbeauftragte die notwendige Unterstützung von den IT-Benutzern erhält, die Pflichten des IT-Sicherheitsbeauftragten werden von dem IT-Sicherheitsmanagement-Team festgelegt.
An dieser Stelle sei deutlich darauf hingewiesen, daß es sich bei den oben beschriebenen Aufgaben um
Funktionen handelt, die nicht unbedingt von mehreren Personen wahrgenommen werden müssen. Die
genaue personelle Ausgestaltung richtet sich nach der Größe und den Sicherheitsanforderungen der
jeweiligen Institution. Auf der anderen Seite sei betont, daß IT-Sicherheit leider nicht zum Nulltarif zu
haben ist. Die verantwortlichen Personen müssen soweit von ihren sonstigen Pflichten entbunden
werden, daß sie der Aufgabe "IT-Sicherheit" genügend Zeit widmen können. Das hat sich bereits dann
mehr als bezahlt gemacht, wenn es keine schädigenden Vorkommnisse aufgrund mangelnder
Sicherheitsvorsorge mehr gibt.
Die nachfolgenden Abbildungen zeigen drei Möglichkeiten für die Organisation des
IT-Sicherheitsmangements.
Die
erste
Abbildung
beschreibt
die
Organisation
des
IT-Sicherheitsmanagements in einer großen Organisation und zeigt die Beziehungen zwischen dem
Management, dem IT-Sicherheitsmanagement-Team, dem IT-Sicherheitsbeauftragten, den BereichsIT-Sicherheitsbeauftragten (für Abteilungen oder für Außenstellen), dem IT-Koordinierungsausschuß
und den IT-Anwendern auf.
Die zweite Abbildung zeigt eine mögliche Lösung in einer mittelgroßen Institution auf, in der das ITSicherheitsmanagement-Team und der IT-Sicherheitsbeauftragte zusammengefaßt wurden. Er arbeitet
mit dem IT-Koordinierungsausschuß zusammen.
Die dritte Abbildung zeigt eine Organisationsstruktur für das IT-Sicherheitsmanagement für eine
kleine Institution auf. Sämtliche Aufgaben für IT-Sicherheit werden vom IT-Sicherheitsbeauftragten
wahrgenommen, die Notwendigkeit für einen IT-Koordinierungsausschuß gibt es nicht.

__________________________________________________________________________________________
14

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

M anagem ent

IT -S ic h e rh e itsm a n a g e m e n tT eam

IT - K o o rdin ie rung s ausschuß

IT -S ic h e rh e itsb e a u ftra g te r

V e rtre te r d e r
IT -A n we n d e r

B e re ich sIT -S ic h e rh e itsb e a u ftra g te r
b e ste llt / w e ist a n
ist M itg lie d vo n

IT -A n w e n d e r

Abb. 1:Beispiel zur Organisation des IT-Sicherheitsmanagements in einer großen Institution

M anagem ent

IT - K o o rd in ie run g s ausschuß

V e rtre te r d e r
IT -A n w e n d e r

IT -S ic h e rh e itsb e a u ftra g te r

IT -A n w e n d e r

Abb. 2: Beispiel zur Organisation des IT-Sicherheitsmanagements in einer mittelgroßen Institution

__________________________________________________________________________________________
15

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

M anagem ent

IT -S ich er h eitsb ea u ftra g te r

IT - An w e n d e r

Abb.: Beispiel zur Organisation des IT-Sicherheitsmanagements in einer kleinen Institution

Aufgaben des IT-Sicherheitsmanagement-Teams
Das IT-Sicherheitsmanagement-Team sollte aus Personen bestehen, die in der Lage sind, IT-Sicherheitsziele zu definieren, eine IT-Sicherheitspolitik zu formulieren, mit der diese zu erreichen sind, die
Pflichten des IT-Sicherheitsbeauftragten festzulegen, sowie die erreichten Ergebnisse kritisch zu
überprüfen. Sollte es in der Institution bereits ein ähnliches Komitee geben, könnten dessen Aufgaben
entsprechend erweitert werden; wird IT-Sicherheit als sehr wichtig eingeschätzt, ist jedoch eine separate Einrichtung des IT-Sicherheitsmanagement-Teams mit genauer Zuweisung von Ressourcen vorzuziehen. Die detaillierten Aufgaben des IT-Sicherheitsmanagement-Teams sind:
- IT-Sicherheitsziele festzulegen und eine Politik zu entwickeln, diese Ziele zu erreichen,
- die Pflichten des IT-Sicherheitsbeauftragten festzulegen,
- bei der Erstellung des IT-Sicherheitskonzepts beratend zu unterstützen, sowie zu überprüfen, ob die
IT-Sicherheitsziele erreicht werden,
- einen Realisierungsplan der im IT-Sicherheitskonzept ausgewählten Sicherheitsmaßnahmen zu
entwickeln,
- die Implementierung dieser Sicherheitsmaßnahmen zu überwachen,
- die Sensibilisierung für IT-Sicherheit in der gesamten Institution zu fördern,
- die Effektivität von Sicherheitsmaßnahmen im laufenden Betrieb zu kontrollieren,
- den IT-Koordinierungsausschuß und das Management in IT-Sicherheitsfragen zu beraten, sowie
- die Ressourcen (Personen, Geld, Wissen etc.) festzulegen, die im IT-Sicherheitsprozeß verbraucht
werden dürfen.
Um seine Aufgaben effektiv erfüllen zu können, sollte das IT-Sicherheitsmanagement-Team je ein
Mitglied haben mit Wissen und Erfahrung in IT-Sicherheit, technischen Kenntnissen über IT-Systeme,
sowie Erfahrung mit Organisation und Verwaltung. Weiterhin sollten die folgenden Personen
teilnehmen: der IT-Sicherheitsbeauftragte, ein Vertreter aus dem IT-Koordinierungsausschuß und ein
Vertreter der IT-Nutzer. Nur so ist gewährleistet, daß eine praktikable IT-Sicherheitspolitik festgelegt
und umgesetzt wird.

__________________________________________________________________________________________
16

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Aufgaben des IT-Sicherheitsbeauftragten
Da die Verantwortung für IT-Sicherheit genauso in der Linie delegiert wird wie die Verantwortung für
die Aufgabenerfüllung selbst, besteht bei unklarer Zuweisung die Gefahr, daß IT-Sicherheit
grundsätzlich zu einem "Problem anderer Leute" wird. Damit wird die Verantwortung für IT-Sicherheit so lange hin und her geschoben, bis keiner sie mehr hat. Um dies zu vermeiden, sollte die Verantwortung für IT-Sicherheit einer Person, dem IT-Sicherheitsbeauftragten, direkt übertragen werden.
Dieser sollte sich um alle Belange der IT-Sicherheit innerhalb der Institution kümmern.
Vielleicht gibt es bereits eine geeignete Person in der Institution, die zusätzlich zu den übrigen Aufgaben diese Pflichten übernehmen kann. Aufgrund der Wichtigkeit der IT-Sicherheit für die
ordnungsgemäße Aufgabenerfüllung ist die bessere Lösung jedoch, eine gesonderte Stelle für den ITSicherheitsbeauftragten einzurichten. Das ist besonders dann der Fall, wenn die Sicherheitsanforderungen oder schlicht die Größe der Institution entsprechenden Aufwand erfordern und die Ressourcen der Institution das zulassen. Zu den Pflichten des IT-Sicherheitsbeauftragten gehört:
- verantwortlich an der Erstellung des IT-Sicherheitskonzepts mitzuwirken,
- im gesamten IT-Sicherheitsprozeß dem IT-Sicherheitsmanagement-Team und damit der Leitungsebene zu berichten,
- Wege für den Informationsfluß von den Bereichs-IT-Sicherheitsbeauftragten festzulegen und diese
Informationen in geeigneter Weise einzuarbeiten,
- die Verantwortung und Übersicht über die Realisierung der ausgewählten IT-Sicherheitsmaßnahmen zu haben,
- Schulungs- und Sensibilisierungsveranstaltungen zu planen und zu koordinieren,
- die IT-Sicherheit im laufenden Betrieb (z. B. durch Prüfungen der Einhaltung von IT-Sicherheitsmaßnahmen) zu gewährleisten, und
- die Untersuchungen von evtl. auftretenden sicherheitsrelevanten Ereignissen zu leiten.
Zur Erfüllung dieser Aufgaben ist es wünschenswert, daß der IT-Sicherheitsbeauftragte Wissen und
Erfahrung in den Gebieten IT-Sicherheit und IT hat. Da diese Aufgabe eine Vielzahl von Fähigkeiten
erfordert, sollte bei der Auswahl außerdem darauf geachtet werden, daß die folgenden Qualifikationen
vorhanden sind:
- Identifikation mit den Zielsetzungen der IT-Sicherheit und Einsicht in die Notwendigkeit von ITSicherheit.
- Kooperations- und Teamfähigkeit (wenige andere Projekte erfordern soviel Fähigkeit zum und
Geschick im Umgang mit anderen Personen: die Leitungsebene muß in zentralen Fragen des ITSicherheitsprozesses immer wieder eingebunden werden, Entscheidungen müssen gefordert werden
und die IT-Nutzer müssen - evtl. mit Hilfe der Bereichs-IT-Sicherheitsbeauftragte - in den ITSicherheitsprozeß mit eingebunden werden).
- Erfahrungen im Projektmanagement, idealerweise im Bereich der Systemanalyse (das sind die
Schwerpunkte, die auch bei dem Projekt "IT-Sicherheit" und besonders in der Risikoanalyse
verstärkt eine Rolle spielen).

__________________________________________________________________________________________
17

IT-Grundschutzhandbuch: Stand Juli 1999

1
IT-Sicherheitsmanagement
__________________________________________________________________________________________

Aufgaben des Bereichs-IT-Sicherheitsbeauftragten
Die verschiedenen IT-Systeme und IT-Anwendungen einer Institution haben oft verschiedene ITSicherheitsanforderungen, -gegebenheiten, -maßnahmen sowie -vorkommnisse. Diese Informationen
werden von den Bereichs-IT-Sicherheitsbeauftragten an den IT-Sicherheitsbeauftragten der Institution
weitergeleitet. Auf der anderen Seite setzt der Bereichs-IT-Sicherheitsbeauftragte die Vorgaben des
IT-Sicherheitsbeauftragten für die einzelnen IT-Systeme um. Der Bereichs-IT-Sicherheitsbeauftragte
ist verantwortlich für alle Sicherheitsbelange der IT-Systeme in seinem Bereich (z. B. Abteilung,
Außenstelle, IT-System). Seine genauen Aufgaben sind:
- Meldungen an den IT-Sicherheitsbeauftragten, Umsetzung von dessen Vorgaben sowie Ansprechpartner der IT-Nutzer,
- Mitwirkung bei der Erstellung des IT-Sicherheitskonzepts (Lieferung der jeweils nötigen Informationen über IT-Systeme, Ergebnisse von IT-Benutzerbefragungen etc.),
- Erarbeitung eines detaillierten Plans zur Realisierung der ausgewählten IT-Sicherheitsmaßnahmen,
- Umsetzung dieses Plans, und dabei Anpassung der ausgewählten IT-Sicherheitsmaßnahmen an
örtliche Gegebenheiten, falls nötig,
- Information des IT-Sicherheitsbeauftragten über Schulungs- und/oder Sensibilisierungsbedarf von
IT-Benutzern,
- Regelmäßige Prüfung der Wirksamkeit und
IT-Sicherheitsmaßnahmen im laufenden Betrieb und

genauen

Einhaltung

der

eingesetzten

- Meldung an den IT-Sicherheitsbeauftragten bei sicherheitsrelevanten Ereignissen, Änderungen etc.
Je nach Größe des zu betreuenden Bereiches kann die Aufgabe des Bereichs-IT-Sicherheitsbeauftragten von einer Person übernommen werden, die bereits mit ähnlichen Aufgaben betraut ist, z. B.
dem (falls vorhanden) Bereichs-IT-Beauftragten. Auf jeden Fall ist bei der Auswahl des Bereichs-ITSicherheitsbeauftragten darauf zu achten, daß er die Aufgaben, Gegebenheiten und Arbeitsabläufe in
dem zu betreuenden Bereich gut kennt. Detaillierte IT-Kenntnisse sind von Vorteil, da diese die
Gespräche mit IT-Benutzern vor Ort erleichtern und bei der Suche nach IT-Sicherheitsmaßnahmen für
die speziellen IT-Systeme von Nutzen sind.
Weiterhin sollte der Bereichs-IT-Sicherheitsbeauftragte Kenntnisse im Projektmanagement haben
(diese können zum Beispiel durch Schulungen erworben werden), die bei der Organisation von ITBenutzerbefragungen und der Erstellung von Plänen zur Umsetzung und Kontrolle von IT-Sicherheitsmaßnahmen hilfreich sind. Die Zusammenarbeit mit den IT-Benutzern verlangt viel Geschick, da
diese zunächst von der Notwendigkeit der (für sie manchmal etwas lästigen) IT-Sicherheit überzeugt
werden müssen. Mindestens genauso heikel ist die Befragung der IT-Nutzer nach sicherheitskritischen
Vorkommnissen und Schwachstellen. Um den Erfolg dieser Befragungen zu garantieren, müssen die
IT-Nutzer davon überzeugt werden, daß ehrliche Antworten nicht zu Problemen für sie selbst führen.

__________________________________________________________________________________________
18

IT-Grundschutzhandbuch: Stand Juli 1999

2.1
Anwendung des IT Grundschutzhandbuchs
__________________________________________________________________________________________

2

Anwendung des
IT-Grundschutzhandbuchs

Risikoanalyse

IT-Grundschutz

In diesem Kapitel wird zunächst die Stellung des ITGrundschutzes im Verfahren der IT-Sicherheitskonzeption dargestellt.
Darüber hinaus wird erläutert, wie anhand einer Schutzbedarfsfeststellung die IT-Systeme ermittelt werden
IT-Sicherheitskonzept
können, für deren Sicherheit IT-Grundschutz ausreichend
ist. Anschließend wird die Vorgehensweise zur
Erreichung eines IT-Grundschutzes und die Nutzung des
Handbuches aufgezeigt. Den Abschluß bildet ein Kapitel,
das praktische Hinweise und Hilfen für den Einsatz des Handbuchs formuliert.

2.1

IT-Grundschutz als Bestandteil eines IT-Sicherheitskonzeptes

Mit dem IT-Grundschutz wird das Ziel verfolgt, den analytischen Arbeitsaufwand für die Erstellung
eines IT-Sicherheitskonzeptes auf die hochschutzbedürftigen IT-Systeme zu konzentrieren und somit
angemessen zu begrenzen. Das geschieht, indem für IT-Systeme mit mittlerem Schutzbedarf der
Untersuchungsaufwand aufgrund einer pauschalisierten Gefährdungslage und Betrachtungsweise
sowohl bei der Risikoanalyse als auch bei der nachfolgenden Auswahl von Sicherheitsmaßnahmen
minimiert wird. Zur Erreichung eines "IT-Grundschutzes" ist für diese IT-Systeme lediglich die
Umsetzung der in diesem Handbuch empfohlenen Maßnahmen erforderlich.
Für IT-Systeme mit hohem Schutzbedarf bleibt neben dem IT-Grundschutz prinzipiell die Durchführung einer detaillierten Risikoanalyse (z. B. nach dem IT-Sicherheitshandbuch) erforderlich.
Für die Unterscheidung zwischen mittlerem und hohem Schutzbedarf wird in Kapitel 2.2 eine diesbezügliche Vorgehensweise (Schutzbedarfsfeststellung) vorgestellt.
Die nachfolgende Abbildung verdeutlicht, daß beide Vorgehensweisen - sowohl IT-Grundschutz als
auch detaillierte Risikoanalyse - bei der Erstellung eines IT-Sicherheitskonzeptes zum Einsatz
kommen können.

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Juli 1999

2.1
Anwendung des IT Grundschutzhandbuchs
__________________________________________________________________________________________

Prinzipiell sollten die hochschutzbedürftigen IT-Anwendungen vorrangig angegangen werden, da sich
hier die größten Risiken für eine Behörde/ein Unternehmen ergeben können. Hierzu ist eine detaillierte Risikoanalyse zu empfehlen, denn eine Abwägung von Wirksamkeit und Wirtschaftlichkeit
eventuell kostenintensiver Sicherheitsvorkehrungen erfordert eine individuelle und situationsbedingte
Betrachtungsweise (siehe auch KBSt-Empfehlung 2/95 im Anhang). Es sei in diesem Zusammenhang
darauf hingewiesen, daß in der Bundesverwaltung die den IT-Einsatz prüfenden Stellen für ITAnwendungen mit hohem Schutzbedarf nachdrücklich detaillierte Risikoanalysen im Rahmen von ITSicherheitskonzepten fordern.
Bestehen solche Verpflichtungen nicht - wie bei privatwirtschaftlichen Organisationen - oder fehlt es
an Zeit oder Erfahrung für die Erstellung von detaillierten Risikoanalysen, so bietet sich als zunächst
aufwandsersparende Alternative an, zuerst die Maßnahmen des IT-Grundschutzhandbuchs zügig
umzusetzen, um in kurzer Zeit ein "Sicherheitsfundament" zu errichten - auch für solche IT-Anwendungen und Informationen mit hohem Schutzbedarf. In einer daran anschließenden detaillierten Risikoanalyse können dann mit der im IT-Grundschutz gewonnenen Erfahrung die zusätzlich erforderlichen Maßnahmen ermittelt werden. Solche Maßnahmen können ggf. IT-Grundschutzmaßnahmen
ersetzen oder ergänzen.
Welcher Weg beschritten wird - zuerst eine Risikoanalyse oder die Realisierung des IT-Grundschutzes - ist individuell vom Management zu entscheiden.

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

2.2

Schutzbedarfsfeststellung

Bei der Erstellung eines IT-Sicherheitskonzepts ist die
erste und wichtigste Aufgabe festzustellen, welcher
Schutz für die IT-Systeme, IT-Anwendungen und Informationen ausreichend und angemessen ist. Dazu wird der
Schutzbedarf ermittelt. Er gibt an, welche möglichen
Schäden beim IT-Einsatz entstehen können, und wie
wichtig es daher ist, den Eintritt solcher Schäden zu
verhindern.

Schutzbedarfsfeststellung

Vertrauliche
Information
über Herrn M

In Phase 1 werden hierzu zunächst alle vorhandenen und
geplanten IT-Systeme erfaßt. Dann werden in Phase 2
die IT-gestützten Fachaufgaben betrachtet. Die zur Aufgabenerfüllung erforderlichen IT-Anwendungen und die zugehörigen Informationen werden - sortiert nach den IT-Systemen - erfaßt. In Phase
3 werden die Schäden ermittelt, die beim Verlust von Vertraulichkeit, Integrität und Verfügbarkeit
entstehen können. Diese Schäden werden für jedes IT-System in ihrer Gesamtheit betrachtet. Aus
diesen Schäden und ihren Folgen leitet sich der Schutzbedarf für die eingesetzte IT ab.
Die Entscheidung, ob für ein betrachtetes IT-System der IT-Grundschutz ausreichend ist oder ob zur
Ermittlung geeigneter IT-Sicherheitsmaßnahmen eine Risikoanalyse durchzuführen ist, hängt von dem
ermittelten Schutzbedarf ab: Liegen die für ein IT-System insgesamt ermittelten möglichen Schäden
im niedrigen bis mittleren Bereich, so ist die Realisierung von IT-Grundschutz für dieses IT-System
ausreichend. Sind hohe Schäden zu erwarten, so ist die Durchführung einer Risikoanalyse, zum
Beispiel nach dem IT-Sicherheitshandbuch, erforderlich.
Hinweis: Da anhand der Feststellung des Schutzbedarfs über die weitere Vorgehensweise der ITSicherheitskonzeption entschieden wird, ist dieser Schutzbedarfsfeststellung große Bedeutung
beizumessen. Entsprechend sorgfältig und gründlich muß sie durchgeführt werden. Werden bei der
Schutzbedarfsfeststellung bereits Fehler gemacht, so pflanzen sich diese im weiteren Verfahren fort
und sind kaum noch zu korrigieren.

Im folgenden werden die einzelnen Phasen zur Schutzbedarfsfeststellung beschrieben:

Phase 1: Erfassung der IT-Systeme
Zunächst werden die vorhandenen und geplanten IT-Systeme aufgelistet. Hierbei steht die technische
Realisierung eines IT-Systems im Vordergrund, z. B. stand-alone PC, Windows NT-Server, PC-Client
unter Windows 95, Unix-Server, TK-Anlage. An dieser Stelle soll nur das System als solches erfaßt
werden (z. B. Unix-Server), nicht die einzelnen Bestandteile/Objekte, aus denen das IT-System
zusammengesetzt ist (also nicht: Rechner, Tastatur, Bildschirm, Drucker etc.).

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Bei dieser Erfassung ist es sinnvoll, zusätzliche nützliche Informationen zu erfassen, die die nachfolgende Arbeit erleichtern werden:
- Vergabe einer laufenden Nummer,
- Bezeichnung und Art des IT-Systems,
- Installationsort des IT-Systems,
- Vernetzung des IT-Systems,
- Typ des IT-Systems (stand-alone, Client, Server, ...),
- Status des IT-Systems (in Betrieb, im Test, in Planung) und
- Benutzer des IT-Systems.
Unter der Rubrik "Vernetzung des IT-Systems" können folgende Informationen erfaßt werden:
- für stand-alone IT-Systeme sind keine Angaben zu machen,
- für einen Client ist anzugeben, an welches Netzsegment er angeschlossen ist und welche Netzwerkressourcen (Server, Printer, etc.) er typischerweise nutzt,
- für einen Server ist anzugeben, an welches Netzsegment er angeschlossen ist, zu welchem
logischen Netz er gehört und welche Netzdienste (zum Beispiel Internet-Zugang, FTP, E-MailService) er anbietet und
- für sonstige IT-Systeme ist anzugeben, mit welchen IT-Systemen sie vernetzt sind.
Diese Auflistung kann in einer Tabelle erfolgen. Ein Beispiel soll dies veranschaulichen:
Tabelle vorhandener und geplanter IT-Systeme
Nr.

Bezeichnung
und Art

Ort

Typ

Vernetzung

Status

Benutzer

1

PERSO,
Unix-System

Haus 1

Server

Token-Ring 1
Personalnetz
keine Dienste

im Test

Abt. 1

2

TK,
TK-Anlage

Haus 2

stand-alone

---

in Betrieb

alle

3

ENTE,
Windows NTSystem

Haus 2

Server

Ethernetsegment 2 in Betrieb
Hausnetz
Internet, FTP

Abt. 6

4

PC-6.3-1,
DOS-PC

Haus 2

Client

Ethernetsegment 2 in Betrieb
Server Nr. 3

Ref. 6.3

5

PC-6.3-2,
DOS-PC

Haus 2

Client

Ethernetsegment 2 in Betrieb
Server Nr. 3

Ref. 6.3

6

PC-5.4-1,
DOS-PC

Haus 3

stand-alone

---

Ref. 5.4

geplant

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Hinweis: Sollte eine so große Anzahl von IT-Systemen vorhanden sein, daß eine vollständige Erfassung nicht angemessen erscheint, so kann man gleiche IT-Systeme zu Gruppen zusammenfassen,
wenn von Anwendungsstruktur und -ablauf vergleichbare IT-Anwendungen auf diesen IT-Systemen
laufen. Dies gilt insbesondere für PCs, die oft in großer Anzahl vorhanden sind.

Phase 2: Erfassung der IT-Anwendungen und der zugehörigen Informationen
Ziel ist es, die jeweils wichtigsten auf dem betrachteten IT-System laufenden oder geplanten ITAnwendungen festzustellen. Zu jedem IT-System sollten die Grundwerte der IT-Sicherheit
- Vertraulichkeit, Integrität und Verfügbarkeit - betrachtet werden. Vertraulichkeit soll sicherstellen,
daß der Zugriff auf bestimmte Daten und Informationen nur berechtigten Benutzern ermöglicht wird.
Integrität bezeichnet die Korrektheit, Manipulationsfreiheit und Unversehrtheit von Daten und Informationen. Verfügbarkeit charakterisiert ein IT-System, dessen Daten und Informationen, Prozesse und
IT-Anwendungen zur rechten Zeit bereitstehen.
Um den Schutzbedarf eines IT-Systems zu bestimmen, müssen zuerst diejenigen IT-Anwendungen des
jeweiligen IT-Systems benannt werden,
- deren Daten/Informationen und Programme den höchsten Bedarf an Vertraulichkeit besitzen,
- deren Daten/Informationen und Programme den höchsten Bedarf an Integrität besitzen,
- die die kürzeste tolerierbare Ausfallzeit haben.
Dazu sollten alle oder zumindest die wichtigsten IT-Anwendungen eines IT-Systems aufgelistet und
nach den drei oben genannten Kriterien vorsortiert werden. Eine genauere Sortierung wird nach der
Ermittlung von Schäden und der Ableitung des Schutzbedarfs in Phase 3 erarbeitet. Zur Vorsortierung
kann evtl. auf bereits vorhandene IT-Sicherheitskonzepte und die dort vorgenommenen Bewertungen
zurückgegriffen werden. In jedem Fall sollten auch die Benutzer bzw. die für die IT-Anwendungen
Verantwortlichen nach ihrer Einschätzung befragt werden.
Die Ergebnisse können wiederum in einer Tabelle beschrieben werden. Beispiel:

Liste von IT-Anwendungen je IT-System
Nr.

Bezeichnung und Art

IT-Anwendungen (grob absteigend vorsortiert)

1

PERSO, Unix-System

Personaldatenverarbeitung

2

TK, TK-Anlage

Gebührenabrechnung,
Telefonie

3

ENTE, Windows NT- Reisekostenabrechnung,
System
Dokumentenverwaltung

4

PC-6.3-1, DOS-PC

Reisekostenabrechnung

5

PC-6.3-2, DOS-PC

Dokumentenverwaltung

6

PC-5.4-1, DOS-PC

Inventarliste
Bestellwesen

...

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

IT-Sicherheitskonzeption für deutsche Bundesbehörden
Für deutsche Bundesbehörden kann vorausgesetzt werden, daß sie in IT-Rahmenkonzepten die eingesetzte IT und die darauf ablaufenden IT-Anwendungen vollständig dargestellt haben. Diese Informationen können für die hier vorgestellte Schutzbedarfsfeststellung arbeitsökonomisch übernommen
werden.
Auf dieser Grundlage kann wie folgt vorgegangen werden:
Bei der Erfassung der vorhandenen und geplanten IT-Systeme (Phase 1) werden die notwendigen
Informationen dem IT-Rahmenkonzept (oder dem fortzuschreibenden IT-Sicherheitskonzept)
entnommen. Ggf. sollten sie für die Schutzbedarfsfeststellung präzisiert oder ergänzt werden, damit
sichergestellt ist, daß die Erfassung der IT-Systeme vollständig ist.
In Phase 2 werden die im IT-Rahmenkonzept beschriebenen IT-Anwendungen und die von ihnen
verarbeiteten Informationen den einzelnen IT-Systemen zugeordnet.
Zur Vorbereitung der Phase 3 kann zur besseren Einschätzung und Bewertung möglicher Schäden die
Aussage getroffen werden, wie wichtig die IT-Anwendungen und Informationen für die Erledigung
der entsprechenden Fachaufgabe sind, wie sehr also die Erfüllung der Fachaufgabe der Behörde vom
sicheren IT-Einsatz abhängig ist. Für diese Einschätzung kann die nachfolgende Tabelle als
Orientiertung dienen:
Der IT-Einsatz ist für die Erfüllung der Fachaufgabe:
unterstützend

Die Fachaufgabe ist bei geringem Mehraufwand mit anderen Mitteln
(z. B. manuell) zu erfüllen.

wichtig

Die Fachaufgabe ist nur mit deutlichem Mehraufwand mit anderen
Mitteln zu erfüllen.

wesentlich

Die Menge der anfallenden Vorgänge/Informationen läßt lediglich ein
fragmentarisches Erfüllen der Fachaufgabe mit den verfügbaren
Ressourcen zu.

hochgradig notwendig

Die Fachaufgabe kann ohne IT-Einsatz überhaupt nicht durchgeführt
werden.

Für die Erfassung der notwendigen Informationen kann das als Hilfsmittel beigefügte "Formular
Schutzbedarfsfeststellung" benutzt werden.
Für die Schutzbedarfsfeststellung muß sichergestellt werden, daß zumindest die IT-Anwendungen,
die einen hohen Schutzbedarf besitzen, erfaßt werden. Nur so kann erreicht werden, daß der Schutzbedarf der IT-Systeme korrekt ermittelt und die Entscheidung für IT-Grundschutz oder Risikoanalyse
korrekt gefällt wird. Falls Unsicherheiten bestehen, ob sämtliche dieser hochschutzbedürftigen ITAnwendungen damit erfaßt sind, empfiehlt es sich, die IT-Anwendungen auf diesem IT-System
vollständig zu erfassen.
Auch unter dem Aspekt, daß IT-Anwendungen durch Informationsaustausch gegenseitig abhängig
sind und daher Sicherheitsanforderungen einer IT-Anwendung u. U. auf eine andere übertragen
werden müssen, oder daß Kumulationseffekte auftreten können, ist der vollständige Überblick oder
die vollständige Erfassung aller IT-Anwendungen und der zugehörigen Informationen von Bedeutung.

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Phase 3: Schutzbedarfsfeststellung für jedes IT-System
In dieser Phase soll die Frage beantwortet werden, welche Schäden zu erwarten sind, wenn Vertraulichkeit, Integrität oder Verfügbarkeit einer IT-Anwendung und/oder der zugehörigen Informationen
ganz oder teilweise verloren gehen. Die zu erwartenden Schäden bestimmen den Schutzbedarf. An
dieser Stelle ist eine Einteilung des Schutzbedarfs in drei Kategorien ausreichend:

Schutzbedarfskategorien
"niedrig bis mittel"

Die Schadensauswirkungen sind begrenzt und überschaubar. Maßnahmen
des IT-Grundschutzes reichen im allgemeinen aus.

"hoch"

Die Schadensauswirkungen können beträchtlich sein, IT-Grundschutzmaßnahmen alleine sind ggf. nicht ausreichend. Die weitergehenden
Maßnahmen sollten auf Basis einer individuellen Risikoanalyse ermittelt
werden.

"sehr hoch"

Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. IT-Grundschutzmaßnahmen alleine reichen i. a.
nicht aus. Die erforderlichen Sicherheitsmaßnahmen müssen individuell auf
der Grundlage einer Risikoanalyse ermittelt werden.

Schutzbedarfsfeststellung anhand von Schäden und ihren Folgen
Ausgehend von der Vorstellung, daß Vertraulichkeit, Integrität oder Verfügbarkeit einer IT-Anwendung oder der zugehörigen Informationen verloren gehen, werden die maximalen Schäden und Folgeschäden betrachtet, die aus einer solchen Situation entstehen können. Unter der Fragestellung
"Was wäre, wenn ... ?"
werden aus Sicht der Anwender realistische Schadenszenarien entwickelt und die zu erwartenden
materiellen oder ideellen Schäden beschrieben.
Es ist unbedingt erforderlich, die Verantwortlichen und die Benutzer der betrachteten IT-Anwendung
nach ihrer Einschätzung zu befragen. Sie haben i. a. eine gute Vorstellung darüber, welche Schäden
entstehen können.

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Schadenskategorien für Schäden und ihre Folgen
Um die möglichen Schäden besser einschätzen zu können, werden nachfolgend einige typische
Schadenskategorien erläutert. Sie werden ergänzt um spezifische Fragestellungen, die bei der Bewertung der möglichen Schäden bzw. Folgeschäden berücksichtigt werden können.
Diese Anregungen können nicht vollständig sein. In jedem Fall müssen Überlegungen, die die individuelle Aufgabenstellung und Situation der Institution berücksichtigen, diese Aufzählungen ergänzen.
Es muß daher überlegt werden, ob - über diese Fragen hinaus - weitere Schäden denkbar sind, und
damit weitere Anforderungen an die Sicherheit des IT-Einsatzes formuliert werden müssen.

Verstoß gegen Gesetze/Vorschriften/Verträge
Aus dem Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit können derlei Verstöße
resultieren. Die Schwere des Schadens ist dabei oftmals abhängig davon, welche rechtlichen Konsequenzen daraus für die Institution entstehen können.
Beispiele für relevante Gesetze sind:
Grundgesetz, Bürgerliches Gesetzbuch, Strafgesetzbuch (2. Wirtschaftskriminalitätsgesetz),
Bundesdatenschutzgesetz und Datenschutzgesetze der Länder, Sozialgesetzbuch, Handelsgesetzbuch, Personalvertretungsgesetz, Betriebsverfassungsgesetz, Urheberrechtsgesetz, Patentgesetz.
Beispiele für relevante Vorschriften sind:
Verwaltungsvorschriften, Verordnungen und Dienstvorschriften.
Beispiele für Verträge:
Dienstleistungsverträge im Bereich Datenverarbeitung, Verträge zur Wahrung von Betriebsgeheimnissen.
Fragen:
Verlust der Vertraulichkeit
Erfordern gesetzliche Auflagen die Vertraulichkeit der Daten?
Ist im Falle einer Veröffentlichung von Informationen mit Strafverfolgung oder Regreßforderungen zu
rechnen?
Sind Verträge einzuhalten, die die Wahrung der Vertraulichkeit bestimmter Informationen beinhalten?
Verlust der Integrität
Erfordern gesetzliche Auflagen die Integrität der Daten?
In welchem Maße wird durch einen Verlust der Integrität gegen Vorschriften/Gesetze verstoßen?
Verlust der Verfügbarkeit
Sind im Falle des Ausfalls einer schutzbedürftigen IT-Anwendung auf dem betrachteten IT-System
Verstöße gegen Vorschriften oder sogar Gesetze die Folge? Wenn ja, in welchem Maße?
Schreiben Gesetze die dauernde Verfügbarkeit bestimmter Informationen vor?
Gibt es Termine, die bei Einsatz des IT-Systems zwingend einzuhalten sind?
Gibt es vertragliche Bindungen für bestimmte einzuhaltende Termine?

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Beeinträchtigung des informationellen Selbstbestimmungsrechts
Bei der Implementation und dem Betrieb von IT-Systemen und IT-Anwendungen besteht die Gefahr
einer Verletzung des informationellen Selbstbestimmungsrechts bis hin zu einem Mißbrauch personenbezogener Daten.
Beispiele für die Beeinträchtigung des informationellen Selbstbestimmungsrechts sind:
- Unzulässige Erhebung personenbezogener Daten ohne Rechtsgrundlage oder Einwilligung,
- Unbefugte Kenntnisnahme bei der Datenverarbeitung bzw. der Übermittlung von personenbezogenen Daten,
- Nutzung von personenbezogenen Daten zu einem anderen, als dem bei der Erhebung zulässigen
Zweck,
- Verfälschung von personenbezogenen Daten in IT-Systemen oder bei der Übertragung.
Die folgenden Fragen können zur Abschätzung möglicher Folgen und Schäden herangezogen werden:
Fragen:
Verlust der Vertraulichkeit
Welche Schäden können für den Betroffenen entstehen, wenn seine personenbezogenen Daten nicht
vertraulich behandelt werden?
Werden personenbezogene Daten für unzulässige Zwecke verarbeitet?
Ist es im Zuge einer zulässigen Verarbeitung personenbezogener Daten möglich, aus diesen Daten
z. B. auf den Gesundheitszustand oder die wirtschaftliche Situation einer Person zu schließen?
Welche Schäden können durch den Mißbrauch der im IT-System gespeicherten personenbezogenen
Daten entstehen?
Verlust der Integrität
Welche Schäden würden für den Betroffenen entstehen, wenn seine personenbezogenen Daten im ITSystem unabsichtlich verfälscht oder absichtlich manipuliert würden?
Wann würde der Verlust der Integrität personenbezogener Daten frühestens auffallen?
Verlust der Verfügbarkeit
Können bei Ausfall des IT-Systems oder bei einer Störung einer Datenübertragung personenbezogene
Daten verlorengehen oder verfälscht werden, so daß der Betroffene in seiner gesellschaftlichen
Stellung beeinträchtigt wird oder gar persönliche oder wirtschaftliche Nachteile zu befürchten hat?

Beeinträchtigung der persönlichen Unversehrtheit
Die Fehlfunktion eines IT-Systems oder einer IT-Anwendung kann unmittelbar die Verletzung, die
Invalidität oder den Tod von Personen nach sich ziehen. Die Höhe des Schadens ist am direkten
persönlichen Schaden zu messen.
Beispiele für solche IT-Systeme sind:
- medizinische Überwachungsrechner,
- medizinische Diagnosesysteme,
- Flugkontrollrechner und
- Verkehrsleitsysteme.

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Fragen:
Verlust der Vertraulichkeit
Kann durch das Bekanntwerden personenbezogener Daten eine Person physisch oder psychisch
geschädigt werden?
Verlust der Integrität
Können durch manipulierte Programmabläufe oder Daten Menschen gesundheitlich gefährdet werden?
Verlust der Verfügbarkeit
Bedroht der Ausfall einer IT-Anwendung oder des IT-Systems unmittelbar die persönliche Unversehrtheit von Personen?

Beeinträchtigung der Aufgabenerfüllung
Gerade der Verlust der Verfügbarkeit eines IT-Systems oder der Integrität der Daten kann die Aufgabenerfüllung in einem Unternehmen oder in einer Behörde erheblich beeinträchtigen. Die Schwere
des Schadens richtet sich hierbei nach der zeitlichen Dauer der Beeinträchtigung und nach dem
Umfang der Einschränkungen der angebotenen Dienstleistungen.
Beispiele sind:
- Fristversäumnisse durch verzögerte Bearbeitung von Verwaltungsvorgängen,
- verspätete Lieferung aufgrund verzögerter Bearbeitung von Bestellungen,
- fehlerhafte Produktion aufgrund falscher Steuerungsdaten,
- unzureichende Qualitätssicherung durch Ausfall eines Testsystems.
Fragen:
Verlust der Vertraulichkeit
Gibt es Daten, deren Vertraulichkeit die Grundlage für die Aufgabenerfüllung ist (z. B. Strafverfolgungsinformationen, Ermittlungsergebnisse)?
Verlust der Integrität
Können Datenveränderungen die Aufgabenerfüllung dergestalt einschränken, daß die Institution
handlungsunfähig wird?
Entstehen erhebliche Schäden, wenn die Aufgaben trotz verfälschter Daten wahrgenommen werden?
Wann werden unerlaubte Datenveränderungen frühestens erkannt?
Können verfälschte Daten in einer IT-Anwendung zu Fehlern in anderen IT-Anwendungen führen?
Verlust der Verfügbarkeit
Kann durch den Ausfall eines IT-Systems oder Teilsystems die Aufgabenerfüllung der Institution so
stark beeinträchtigt werden, daß die Wartezeiten für die Betroffenen nicht mehr tolerabel sind?
Sind von dem Ausfall dieser IT-Anwendung andere IT-Anwendungen betroffen?
Ist es für die Institution bedeutsam, daß der Zugriff auf IT-Anwendungen nebst Programmen und
Daten ständig gewährleistet ist?

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Negative Außenwirkung
Durch den Verlust eines der Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit in einem ITSystem können verschiedenartige negative Außenwirkungen entstehen, zum Beispiel:
- Ansehensverlust einer Behörde/eines Unternehmens,
- Vertrauensverlust gegenüber einer Behörde/einem Unternehmen,
- Beeinträchtigung der wirtschaftlichen Beziehungen zusammenarbeitender Unternehmen,
- verlorenes Vertrauen in die Arbeitsqualität einer Behörde/eines Unternehmens,
- Einbuße der Konkurrenzfähigkeit.
Die Höhe des Schadens orientiert sich an der Schwere des Vertrauensverlustes oder des Verbreitungsgrades der Außenwirkung.
Ursachen für diese Schäden können vielfältiger Natur sein:
- Handlungsunfähigkeit einer Behörde durch IT-Ausfall,
- fehlerhafte Veröffentlichungen durch manipulierte Daten,
- Fehlbestellungen durch mangelhafte Lagerhaltungsprogramme,
- Nichteinhaltung von Schweigepflichten,
- Weitergabe von Fahndungsdaten an interessierte Dritte,
- Zuspielen vertraulicher Informationen an die Presse.
Fragen
Verlust der Vertraulichkeit
Welche Konsequenzen ergeben sich für die Institution durch die unerlaubte Veröffentlichung der im
IT-System gespeicherten schutzbedürftigen Daten?
Kann der Vertraulichkeitsverlust der im IT-System gespeicherten Daten zu einer Schwächung der
Wettbewerbsposition führen?
Entstehen bei Veröffentlichung von vertraulichen, im IT-System gespeicherten Daten Zweifel an der
amtlichen Verschwiegenheit?
Können Veröffentlichungen von Daten des IT-Systems zur politischen oder gesellschaftlichen Verunsicherung führen?
Verlust der Integrität
Welche Schäden können sich durch die Verarbeitung, Verbreitung oder Übermittlung falscher oder
unvollständiger Daten ergeben?
Wird die Verfälschung von Daten öffentlich bekannt?
Entstehen bei einer Veröffentlichung von verfälschten Daten Ansehensverluste?
Können Veröffentlichungen von verfälschten Daten zur politischen oder gesellschaftlichen Verunsicherung führen?
Können verfälschte Daten zu einer verminderten Produktqualität und damit zu einem Ansehensverlust
führen?

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Verlust der Verfügbarkeit
Schränkt der Ausfall des IT-Systems die Informationsdienstleistungen für Externe ein?
Wird der (vorübergehende) Ausfall des IT-Systems extern bemerkt?

Finanzielle Auswirkungen
Unmittelbare oder mittelbare finanzielle Schäden können durch den Verlust der Vertraulichkeit
schutzbedürftiger Daten, die Veränderung von Daten oder den Ausfall eines IT-Systems entstehen.
Beispiele dafür sind:
- unerlaubte Weitergabe von Forschungs- und Entwicklungsergebnissen,
- Manipulation von finanzwirksamen Daten in einem Abrechnungssystem,
- Ausfall eines IT-gesteuerten Produktionssystems und dadurch bedingte Umsatzverluste,
- Einsichtnahme in Marketingstrategiepapiere oder Umsatzzahlen,
- Ausfall eines Buchungssystems einer Reisegesellschaft,
- Zusammenbruch des Zahlungsverkehrs einer Bank,
- Diebstahl oder Zerstörung von Hardware.
Die Höhe des Gesamtschadens setzt sich zusammen aus den direkt und indirekt entstehenden Kosten,
z. B. durch Sachschäden, Schadenersatzleistungen, Kosten für zusätzlichen Aufwand (z. B.
Wiederherstellung).
Fragen
Verlust der Vertraulichkeit
Kann die Veröffentlichung vertraulicher Informationen Regreßforderungen nach sich ziehen?
Gibt es im IT-System Daten, aus denen ein Dritter (z. B. Konkurrenzunternehmen) finanzielle
Gewinne ziehen kann?
Sind auf dem IT-System Forschungsdaten gespeichert, die einen erheblichen Wert darstellen? Was
passiert, wenn sie unerlaubt kopiert und weitergegeben werden?
Können durch vorzeitige Veröffentlichung von schutzbedürftigen Daten finanzielle Schäden
entstehen?
Verlust der Integrität
Können durch Datenmanipulationen finanzwirksame Daten so verändert werden, daß finanzielle
Schäden entstehen?
Kann die Veröffentlichung falscher Informationen Regreßforderungen nach sich ziehen?
Können durch verfälschte Bestelldaten finanzielle Schäden entstehen (z. B. bei Just-in-Time Produktion)?
Können verfälschte Daten zu falschen Geschäftsentscheidungen führen?
Verlust der Verfügbarkeit
Wird durch den Ausfall des IT-Systems die Produktion, die Lagerhaltung oder der Vertrieb
beeinträchtigt?

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Ergeben sich durch den Ausfall des IT-Systems finanzielle Verluste aufgrund von verzögerten
Zahlungen bzw. Zinsverlusten?
Wie hoch sind die Reparatur- oder Wiederherstellungskosten bei Ausfall, Defekt, Zerstörung oder
Diebstahl des IT-Systems?
Kann es durch Ausfall des IT-Systems zu mangelnder Zahlungsfähigkeit oder zu Konventionalstrafen
kommen?
Wieviele wichtige Kunden wären durch den Ausfall des IT-Systems betroffen?

Gesamtsicht der Schäden je IT-System
Um den Schutzbedarf eines IT-Systems festzustellen, müssen nun die ermittelten Schäden für jedes
IT-System in ihrer Gesamtheit betrachtet werden. Im Wesentlichen bestimmt der Schaden bzw. die
Summe der Schäden mit den schwerwiegensten Auswirkungen den Schutzbedarf eines IT-Systems
(Maximum-Prinzip).
Beachtung von Abhängigkeiten und Kumulationseffekten
Bei der Betrachtung der möglichen Schäden und ihrer Folgen muß auch beachtet werden, daß ITAnwendungen Arbeitsergebnisse anderer IT-Anwendungen als Input nutzen können. Diese Informationen können dabei auch auf anderen IT-Systemen erarbeitet worden sein. Eine - für sich betrachtet - weniger bedeutende IT-Anwendung kann wesentlich an Wert gewinnen, wenn eine andere wichtige IT-Anwendung auf ihre Ergebnisse angewiesen ist. In diesem Fall muß der ermittelte Schutzbedarf auch für die abhängigen IT-Anwendungen und Informationen sichergestellt werden. Handelt es
sich dabei um IT-Anwendungen verschiedener IT-Systeme, dann müssen Schutzbedarfsanforderungen
des einen IT-Systems auch auf das andere übertragen werden.
Werden mehrere IT-Anwendungen/Informationen auf einem IT-System verarbeitet, so ist zu überlegen, ob durch Kumulation mehrerer (z. B. kleinerer) Schäden auf einem IT-System ein insgesamt
höherer Gesamtschaden entstehen kann. Zutreffendenfalls erhöht sich der Schutzbedarf des ITSystems entsprechend.
Beispiel: Auf einem Netz-Server befinden sich sämtliche für den Schreibdienst benötigten IT-Anwendungen einer Institution. Der Schaden bei Ausfall einer dieser IT-Anwendungen wurde als gering eingeschätzt, da genügend Ausweichmöglichkeiten vorhanden sind. Fällt jedoch der Server (und damit
alle IT-Anwendungen) aus, so ist der dadurch entstehende Schaden deutlich höher zu bewerten. Die
Aufgabenerfüllung innerhalb der notwendigen Zeitspanne kann u. U. nicht mehr gewährleistet werden.
Daher ist auch der Schutzbedarf dieser "zentralen" Komponenten entsprechend höher zu bewerten.
Entscheidung für IT-Grundschutz oder Risikoanalyse
Anhand der Einschätzung der ermittelten Schäden kann nun über die weitere Vorgehensweise entschieden werden: Sind nur niedrige oder mittlere Schäden ermittelt worden, dann bietet die Realisierung von IT-Grundschutz einen ausreichenden Schutz. Wurde dagegen mindestens ein hoher
potentieller Schaden ermittelt, dann sollte zusätzlich zum IT-Grundschutz eine Risikoanalyse durchgeführt werden.
Orientierungshilfe
Zur Orientierung, welchen Schutzbedarf ein potentieller Schaden und seine Folgen erzeugen, sollten
folgende Tabellen benutzt werden. Sie wurden bei der Erstellung des IT-Grundschutzhandbuches
benutzt, um angemessene und ausreichende Maßnahmen auszuwählen, die als IT-Grundschutz
empfohlen werden.

__________________________________________________________________________________________
13

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Schutzbedarf "niedrig bis mittel"
1. Verstoß gegen Gesetze/Vorschriften/Verträge

- Verstöße gegen Vorschriften und Gesetze mit geringfügigen
Konsequenzen
- Geringfügige Vertragsverletzungen mit maximal geringen
Konventionalstrafen

1. Verstoß gegen Gesetze/Vorschriften/Verträge

- Verstöße gegen Vorschriften und Gesetze mit geringfügigen
Konsequenzen
- Geringfügige Vertragsverletzungen mit maximal geringen
Konventionalstrafen
- Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel
eingeschätzt werden.
- Ein möglicher Mißbrauch personenbezogener Daten hat
nur geringfügige Auswirkungen auf die gesellschaftliche
Stellung oder die wirtschaftlichen Verhältnisse des
Betroffenen.
- Eine Beeinträchtigung erscheint nicht möglich.

2. Beeinträchtigung des informationellen
Selbstbestimmungsrechts

3. Beeinträchtigung der persönlichen
Unversehrtheit
4. Beeinträchtigung der Aufgabenerfüllung

5. Negative Außenwirkung
6. Finanzielle Auswirkungen

- Die Beeinträchtigung würde von den Betroffenen als
tolerabel eingeschätzt werden.
- Die maximal tolerierbare Ausfallzeit des IT- Systems ist
größer als 48 Stunden.
- Eine geringe bzw. nur interne Ansehens- oder
Vertrauensbeeinträchtigung ist zu erwarten.
- Der finanzieller Schaden ist kleiner als 25.000,- DM.

Schutzbedarf "hoch"
- Verstöße gegen Vorschriften und Gesetze mit erheblichen
1. Verstoß gegen Gesetze/Vorschriften/Verträge
Konsequenzen
- Vertragsverletzungen mit hohen Konventionalstrafen
- Eine erhebliche Beeinträchtigung des informationellen
2. Beeinträchtigung des informationellen
Selbstbestimmungsrechts des Einzelnen erscheint möglich.
Selbstbestimmungsrechts
- Ein möglicher Mißbrauch personenbezogener Daten hat
erhebliche Auswirkungen auf die gesellschaftliche Stellung
oder die wirtschaftlichen Verhältnisse des Betroffenen.
- Eine Beeinträchtigung der persönlichen Unversehrtheit kan
3. Beeinträchtigung der persönlichen
nicht absolut ausgeschlossen werden.
Unversehrtheit
4. Beeinträchtigung der Aufgabenerfüllung

5. Negative Außenwirkung
6. Finanzielle Auswirkungen

- Die Beeinträchtigung würde von einzelnen Betroffenen als
nicht tolerabel eingeschätzt.
- Ein IT-Systemausfall ist nur bis zu einem Tag tolerabel.
- Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist
erwarten.
- Der finanzielle Schaden liegt zwischen 25.000,- DM und
5.000.000,-DM.

__________________________________________________________________________________________
14

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Schutzbedarf "sehr hoch"
- Fundamentaler Verstoß gegen Vorschriften und Gesetze
1. Verstoß gegen Gesetze/Vorschriften/Verträge
- Vertragsverletzungen, deren Haftungsschäden ruinös sind
- Eine besonders bedeutende Beeinträchtigung des infor2. Beeinträchtigung des informationellen
mationellen Selbstbestimmungsrechts des Einzelnen
Selbstbestimmungsrechts
erscheint möglich.
- Ein möglicher Mißbrauch personenbezogener Daten
würde für den Betroffenen den gesellschaftlichen oder
wirtschaftlichen Ruin bedeuten.
- Gravierende Beeinträchtigungen der persönlichen
3. Beeinträchtigung der persönlichen
Unversehrtheit sind möglich.
Unversehrtheit
- Gefahr für Leib und Leben
- Die Beeinträchtigung würde von allen Betroffenen als
4. Beeinträchtigung der Aufgabenerfüllung
nicht tolerabel eingeschätzt werden.
- Ein IT-Systemausfall ist nur bis zu einer Stunde tolerabel.
- Ein landes- bzw. bundesweite Ansehens- oder Vertrauens5. Negative Außenwirkung
beeinträchtigung, evtl. sogar existenzgefährdender Art, ist
denkbar.
Der
finanzielle Schaden ist größer als 5.000.000,- DM.
6. Finanzielle Auswirkungen

Es wurde bereits darauf hingewiesen, daß diese sechs Schadenskategorien nicht vollständig sein
könnten. Für alle Schäden, die sich nicht in diesen Kategorien abbilden lassen, muß ebenfalls eine
Aussage getroffen werden, wo die Grenze zwischen "niedrig bis mittel", "hoch" oder "sehr hoch" zu
ziehen ist.
Darstellung der Ergebnisse
Die Ergebnisse der Schutzbedarfsfeststellung können in einer Tabelle festgehalten werden. Darin
sollte verzeichnet sein, welchen Schutzbedarf jedes IT-System bezüglich Vertraulichkeit, Integrität
und Verfügbarkeit hat. Besonderer Wert ist auf die Begründung der Einschätzungen zu legen, damit
diese auch für Außenstehende nachvollziehbar sind.

__________________________________________________________________________________________
15

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Eine solche Tabelle könnte beispielsweise wie folgt aussehen:
Schutzbedarfsfeststellung
Nr.
1

2

3

4

5

6

Bezeichnung
PERSO

TK

ENTE

PC-6.3-1

PC-6.3-2

PC-5.4-1

Grundwert

Schutzbedarf

Begründung

Vertraulichkeit

hoch

Personaldaten sind besonders schutzbedürftige personenbezogene Daten, deren Bekanntwerden die Betroffenen
erheblich beeinträchtigen können.

Integrität

mittel

Der Schutzbedarf ist nur "mittel", da Fehler rasch erkannt und
die Daten nachträglich korrigiert werden können.

Verfügbarkeit

mittel

Ausfälle bis zu 72 Stunden können auf Papierbasis überbrückt
werden.

Vertraulichkeit

mittel

Ein Bekanntwerden der Daten beeinträchtigt die Betroffenen
nur unerheblich.

Integrität

hoch

Da die Rechnungslegung aufgrund der Gebührendaten erfolgt,
können Verfälschungen zu finanziellen Schäden über 40.000,DM führen.

Verfügbarkeit

hoch

Aufgrund des direkten Kundenkontaktes darf die TK-Anlage
maximal einen Tag ausfallen, da sonst erhebliche Ansehensverluste und finanzielle Einbußen zu erwarten sind.

Vertraulichkeit

mittel

Ein Bekanntwerden dieser personenbezogenen
beeinträchtigt die Betroffenen nur geringfügig.

Integrität

mittel

Fehlerhafte Rechnungen aufgrund fehlerhafter Daten können
nachträglich überprüft und korrigiert werden. Schäden aufgrund
verfälschter Daten sind im allg. kleiner als 25.000,- DM.

Verfügbarkeit

mittel

Ein Ausfall bis zu einer Woche kann manuell überbrückt
werden.

Vertraulichkeit

mittel

Ein Bekanntwerden dieser personenbezogenen
beeinträchtigt die Betroffenen nur geringfügig.

Integrität

mittel

Fehlerhafte Rechnungen aufgrund fehlerhafter Daten können
nachträglich überprüft und korrigiert werden. Schäden aufgrund
verfälschter Daten sind im allg. kleiner als 25.000,- DM.

Verfügbarkeit

mittel

Für eine Übergangszeit von etwa einer Woche kann auf
Papierbasis weitergearbeitet werden.

Vertraulichkeit

mittel

Es werden keinerlei vertrauliche Daten verarbeitet.

Integrität

mittel

Fehlerhafte Daten der Dokumentenverwaltung werden erkannt
und können nachträglich bereinigt werden.

Verfügbarkeit

mittel

Für eine Übergangszeit von etwa einer Woche kann auf
Papierbasis weitergearbeitet werden.

Vertraulichkeit

mittel

Es werden nur Daten verarbeitet, die einen maximal mittleren
Vertraulichkeitsanspruch besitzen.

Integrität

mittel

Schäden aufgrund verfälschter Daten sind im allg. kleiner als
25.000,- DM.

Verfügbarkeit

mittel

Für eine Übergangszeit von etwa einer Woche kann auf
Papierbasis weitergearbeitet werden.

Daten

Daten

...

__________________________________________________________________________________________
16

IT-Grundschutzhandbuch: Stand Juli 1999

2.2
Schutzbedarfsfeststellung
__________________________________________________________________________________________

Hinweis: Sind die meisten IT-Anwendungen auf einem IT-System nur mittelschutzbedürftig und sind
nur eine oder wenige hochschutzbedürftig, so ist unter Kostengesichtspunkten zu prüfen, diese
hochschutzbedürftigen auf ein isoliertes IT-System auszulagern. Eine solche Alternative kann als
Management-Entscheidungsvorlage erarbeitet werden.
Ein Ergebnis der Schutzbedarfsfeststellung ist eine Auflistung aller IT-Systeme, für die der ITGrundschutz angewendet werden kann. Um den zu leistenden Aufwand für die nun folgende
Realisierung des IT-Grundschutzes so gering wie möglich zu halten, ist es sinnvoll, gleichartige ITSysteme dieser Liste zu Gruppen zusammenzuführen.
Hilfsmittel:
Für die Durchführung der Schutzbedarfsfeststellung wurden als Hilfsmittel Formblätter entwickelt, die
auf der CD-ROM im Verzeichnis ...\HILFSMI\06SCHUTZ.DOC zu finden sind.

__________________________________________________________________________________________
17

IT-Grundschutzhandbuch: Stand Juli 1999

2.3
Gebrauch des IT-Grundschutzhandbuchs
__________________________________________________________________________________________

2.3

Gebrauch des IT-Grundschutzhandbuchs

In diesem Kapitel wird die Anwendungsweise des ITGrundschutzhandbuchs dargestellt, die für die Erstellung
eines IT-Grundschutz-Maßnahmenkonzeptes empfohlen
wird.
Vorausgesetzt sei, daß die Schutzbedarfsfeststellung
abgeschlossen ist und damit die IT-Systeme identifiziert
sind, für die der IT-Grundschutz zu konzipieren ist. Für
ein solches ausgewähltes IT-System wird aufgezeigt,
mittels welcher Aktionen die Liste der für den ITGrundschutz noch zu realisierenden Maßnahmen ermittelt wird. Eine graphische Darstellung des
Ablaufes ist dem Bild auf der nachfolgenden Seite zu entnehmen.

Aktion 1:

Abbildung des IT-Systems durch vorhandene Bausteine

Das IT-Grundschutzhandbuch ist nach einem "Baukastensystem" aufgebaut. Die einzelnen
"Bausteine", also die entsprechenden Kapitel/Unterkapitel des Handbuches, mit denen ein reales ITSystem nachgebildet werden kann, sind in drei Gruppen zusammengefaßt:
- Kapitel 3 beinhaltet übergeordnete oder grundlegende Komponenten wie Organisation, Personal,
Notfallvorsorge-Konzept, Datensicherungskonzept,
- Kapitel 4 beinhaltet Bausteine der Infrastruktur wie Gebäude und Serverraum und
- Kapitel 5 ff. beinhalten IT-spezifische Bausteine wie PC, LAN, TK-Anlage und Standardsoftware.
Die in dieser Aktion zu leistende Aufgabe besteht darin, das reale IT-System durch die vorhandenen Bausteine möglichst genau nachzubilden.
Wurde bereits ein IT-Grundschutz-Maßnahmenkonzept für das IT-System erstellt, sollte überprüft
werden, ob in der aktuellen fortgeschriebenen Version des IT-Grundschutzhandbuchs neue Bausteine
beschrieben werden, die zusätzlich zur Abbildung des IT-Systems genutzt werden können und damit
zusätzlich bearbeitet werden sollten.
Weitere Erläuterungen zur Abbildung realer IT-Systeme in IT-Grundschutz-Bausteine werden in
Kapitel 2.4 gegeben.

__________________________________________________________________________________________
18

IT-Grundschutzhandbuch: Stand Juli 1999

2.3
Gebrauch des IT-Grundschutzhandbuchs
__________________________________________________________________________________________

Aktion 1
Abbildung des
IT-Systems durch
vorhandene
Bausteine

3.1

Teil 1 Kapitel 2.4
XYZABC-PC System
x
x

3.2

x

x

3.3

e

x

3.4
Durchführung der
Aktionen 2 bis 4 für
alle ausgewählten
Bausteine
3.1 Organisation

Aktion 2
Lesen des
jeweiligen
Bausteins

optional
Schutzbedarfsfeststellung
Schutzbedarf
niedrig bis mittel

IT-Grundschutz

Schutzbedarf
hoch bis sehr hoch

Einlesen in die
Gefährdungslage

Detaillierte
Risikoanalyse
z.B. nach ITSicherheitshandbuch

Gefährdungskatalog
G 3.1
G 3.2
G 3.3

Aktion 3

Soll-Ist-Vergleich
mit empfohlenen
Maßnahmen

Bedrohungsanalyse
Lesen der

Maßnahmen-

Risikobetrachtung
Beschreibungen

IT-Sicherheitskonzept
IT-Grundschutzmaßnahmen

Maßnahmenkatalog

individuelle
Aktion 4
Maßnahmen

Soll-Ist-Vergleich
zwischen vorhandenen und
empfohlenen
Maßnahmen

M 1.1
M 1.2
M 1.3

Teilergebnis
Liste der für den IT-Grundschutz noch zu
realisierenden Maßnahmen des jeweiligen
Bausteins

Gesamtergebnis
Zusammenstellung aller Teilergebnisse
der einzelnen Bausteine zum
IT-Grundschutz-Maßnahmenkonzept

Bild: Anwendungsweise des IT-Grundschutzhandbuches

__________________________________________________________________________________________
19

IT-Grundschutzhandbuch: Stand Juli 1999

2.3
Gebrauch des IT-Grundschutzhandbuchs
__________________________________________________________________________________________

Aktion 2:

Lesen des jeweiligen Bausteins

Nun werden die in Aktion 1 ausgewählten Kapitel (= Bausteine) bearbeitet. Jedes dieser Kapitel ist
gleichermaßen aufgebaut: nach einer einführenden Beschreibung folgt eine Aufzählung pauschal für
den IT-Grundschutz angenommener Gefährdungen und die Empfehlung der hiergegen wirkenden
Maßnahmen.
Maßnahmen und Gefährdungen werden folgendermaßen unterteilt:

Maßnahmen

Gefährdungen

M 1 Infrastruktur

G 1 Höhere Gewalt

M 2 Organisation

G 2 Organisatorische Mängel

M 3 Personal

G 3 Menschliche Fehlhandlungen

M 4 Hardware/Software

G 4 Technisches Versagen

M 5 Kommunikation

G 5 Vorsätzliche Handlungen.

M 6 Notfallvorsorge

Eine ausführliche Beschreibung der Maßnahmen und Gefährdungen ist in den Katalogen des ITGrundschutzhandbuchs enthalten, nachzuschlagen unter:
Beispiel: G 2.1 Gefährdung XYZ
· º¶lfd. Nr. 1
·
º¶¶¶¶¶Katalog G 2
M 3.4 Maßnahme ABC
· º¶lfd. Nr. 4
·
º¶¶¶¶¶Katalog M 3

Für die Sensibilisierung und zum Verständnis der empfohlenen Maßnahmen ist es ratsam, die
Gefährdungslage und die einzelnen Gefährdungen in den entsprechenden Katalogen zu lesen.

Aktion 3: Lesen der Maßnahmenbeschreibungen
Unbedingt notwendig innerhalb der Bearbeitung eines Kapitels ist es, die empfohlenen Maßnahmen
und die dazu existierenden Maßnahmenbeschreibungen in den Katalogen sorgfältig zu lesen. Dies ist
erforderlich, um den angestrebten Soll-Ist-Vergleich durchführen zu können. Desweiteren kann dies
als Informationsgewinn über IT-Sicherheitsmaßnahmen genutzt werden.
Neben der eigentlichen Empfehlung, wie die einzelnen Maßnahmen umzusetzen sind, werden
Verantwortliche beispielhaft genannt, die die Initiierung als auch Umsetzung der Maßnahmen
typischerweise bewerkstelligen sollen. Weiterhin werden ergänzende Kontrollfragen angeführt, die zur
Beurteilung der umgesetzten Maßnahmen und für Revisionszwecke hilfreich sein können.
Hinweis: Unmittelbar mit dem Baustein in Zusammenhang stehende Maßnahmen anderer Kapitel
(Bausteine) werden zusätzlich genannt. Diese Redundanz soll sicherstellen, daß selbst bei einer
unvollständigen Baustein-Auswahl die wesentlichen Maßnahmen (auch anderer Bausteine) beachtet
werden.

__________________________________________________________________________________________
20

IT-Grundschutzhandbuch: Stand Juli 1999

2.3
Gebrauch des IT-Grundschutzhandbuchs
__________________________________________________________________________________________

Aktion 4:

SOLL-IST-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen

Das SOLL besteht aus den in den einzelnen Bausteinen empfohlenen Maßnahmen. Der Vergleich mit
den vorhandenen Maßnahmen ergibt als Resultat die Maßnahmen, die es noch für den IT-Grundschutz
umzusetzen gilt.
Für die Errichtung eines IT-Grundschutzes sollten alle im Baustein vorgeschlagenen IT-Grundschutzmaßnahmen umgesetzt werden.
Empfohlene Maßnahmen, die mit dem Hinweis "(optional)" gekennzeichnet sind, können nicht
pauschal als angemessene IT-Grundschutzmaßnahmen angesehen werden. Bei diesen Maßnahmen ist
es erforderlich zu entscheiden und zu begründen, ob diese angemessen und wirtschaftlich sind.
Rahmenbedingungen werden in den Maßnahmenbeschreibungen genannt.
Es kann nicht ausgeschlossen werden, daß bei bestimmten Einsatzumgebungen zum IT-Grundschutz
empfohlene Maßnahmen nicht umgesetzt werden können oder sollten. Diese Abweichung von der
Empfehlung ist dann zu dokumentieren und zu begründen.
An dieser Stelle können auch die über den IT-Grundschutz hinaus vorhandenen IT-Sicherheitsmaßnahmen herausgearbeitet und dokumentiert werden.
Resümee:
Die beschriebene Anwendungsweise liefert als Ergebnis eine Liste von Maßnahmen, die es für
die Erreichung des IT-Grundschutzes noch umzusetzen gilt.
Sinnvollerweise wird auf Veranlassung des IT-Sicherheitsmanagement von der Behörden- bzw.
Unternehmensleitung anschließend entschieden, welche der fehlenden Maßnahmen umgesetzt werden
sollen. Für die Erstellung eines Realisierungsplans bedarf es der Ergänzung der anzustrebenden
Realisierungszeitpunkte und der Zuständigkeiten. Wenn finanzielle oder zeitliche Engpässe die anzustrebende vollständige Umsetzung aller fehlenden Maßnahmen behindern, gibt die in den Bausteinen
ausgewiesene Priorität einer Maßnahme einen Anhaltspunkte für die anzustrebende Reihenfolge bei
der Umsetzung fehlender Maßnahmen. Folgende Prioritätsstufen wurden vergeben:
- "1" bedeutet: diese Maßnahme ist besonders wichtig.
- "2" bedeutet: diese Maßnahme ist wichtig.
- "3" bedeutet: diese Maßnahme ist von nachgeordneter Bedeutung.
Beispiel aus dem Baustein Organisation:
- M 2.2 (2) Betriebsmittelverwaltung

(2) bedeutet Umsetzungspriorität 2

Hinweis:
Der Zusammenhang zwischen den für den IT-Grundschutz angenommenen Gefährdungen und den
empfohlenen Maßnahmen ist den im Katalogteil vorhandenen Maßnahmen-Gefährdungs-Tabellen zu
entnehmen.
Um die Dokumentation der Ergebnisse zu vereinfachen, sind auf der CD-ROM (Verzeichnis
FORMULAR) für jeden Baustein Formblätter enthalten, in die systematisch die erzielten Ergebnisse
und Entscheidungen eingetragen werden können. Ein Beispielergebnis ist auf der nachfolgenden Seite
abgedruckt:

__________________________________________________________________________________________
21

IT-Grundschutzhandbuch: Stand Juli 1999

IT-Grundschutzerhebung
Bezeichnung des IT-Systems: Nr. 3 PC-LAN
Angaben erfaßt am:

Kap. 6.1
Priorität
M 1.29
(2)
M 1.32
(1)
M 2.03
(2)

04.-08.03.1997

Lokation:

Haus 2

Benutzer:

Referat 6.2

erfaßt durch: Herr Meyer befragte Benutzer:
-"Herr Schulz
-"Herr Schmitt

Baustein Servergestütztes Netz

Ja

teil-

Nein

verantwort Bemerkungen / Begründung für Nicht-Umsetzung

Kosten-

X

schätzung
0,- DM

X

0,- DM

X

im Rahmen des

bis

weise

Geeignete Aufstellung eines IT-Systems
(optional)
Geeignete Aufstellung von Konsole, Geräten mit
austauschbaren Datenträgern und Druckern
Datenträgerverwaltung

Umsetzung

Frau Müller

lich

IT-Betriebs
notwendig

M 2.04
(2)

Regelungen für Wartungs- und
Reparaturarbeiten

X

M 2.09
(2)

Nutzungsverbot nicht freigegebener Software

X

M 2.10
(3)

Überprüfung des Software-Bestandes

M 2.13
(2)
M 2.22
(2)

Ordnungsgemäße Entsorgung von
schützenswerten Betriebsmitteln
Hinterlegen des Paßwortes

M 2.25
(2)

Dokumentation der Systemkonfiguration

M 2.26
(1)

Ernennung eines Administrators und eines
Vertreters

M 2.30
(2)

Regelung für die Einrichtung von Nutzern /
Nutzergruppen

Auf die Umsetzung der Maßnahme wird verzichtet,

---

da die Wartung bzw. Reparatur ausschließlich
durch eigene Mitarbeiter erfolgt.
01.10.1998

0,- DM

Hr. Meyer

1 Tag/Jahr
X

01.01.1999

0,- DM

Fr. Schulz

2 Tage/Jahr
X

10000.- DM
X

01.07.1998

Fr. Müller Das Hinterlegen des Paßwortes wird empfohlen,

es wird jedoch nicht konsequent durchgeführt.

0,- DM
2 Tage/Jahr

Regelung wird angestrebt.
X

0,- DM
3 Tage/Jahr
X

01.07.1998

Fr. Müller Es ist zwar ein Administrator, aber kein

0 ,- DM

Stellvertreter benannt.
X

0,- DM
2 Tage

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________

2.4

Hinweise und Hilfen für die
praktische Umsetzung

In diesem Kapitel sollen Hinweise und Hilfen gegeben
werden, wie die praktische Umsetzung des ITGrundschutzes, insbesondere die Erstellung des auf dem
IT-Grundschutzhandbuch basierenden Teils eines ITSicherheitskonzepts, erfolgen kann.

2.4.1

n
lfe
Hi
s
Tip

e
eis
w
in
-H

ie
tw
ß
u
ew
-G

Hinweise für die Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung besteht die schwierige Aufgabe, jedes IT-System anhand der bei
einem Sicherheitsvorfall möglicherweise entstehenden Schäden und Folgeschäden in die
Schutzbedarfsklassen "niedrig bis mittel", "hoch" oder "sehr hoch" einzuordnen.
Falls eine große Zahl von IT-Systemen in Betrieb ist, kann es zweckmäßig sein, das StellvertreterPrinzip anzuwenden. Dazu werden IT-Systeme mit gleicher Funktion innerhalb der Aufgabenstellung
und gleichen organisatorischen Rahmenbedingungen in eine gemeinsame Klasse eingruppiert.
Anschließend sollten aus jeder gebildeten Klasse einige Stichproben ausgewählt werden, deren
Schutzbedarf dann stellvertretend für die übrigen Mitglieder der Klasse betrachtet wird.
Eine weitere Möglichkeit besteht darin, über geeignete Hilfsmittel direkt diejenigen IT-Systeme zu
identifizieren, die einen höheren Schutzbedarf haben. Dazu bieten sich unterschiedliche
Vorgehensweisen an:
Je IT-System muss untersucht werden, welche Folgeschäden bei Verlust einer der drei Grundwerte
Verfügbarkeit, Integrität und Vertraulichkeit erwartet werden. Als Orientierungshilfe dafür können die
Tabellen aus Kapitel 2.2 herangezogen werden. Diese sollten aber immer an die konkreten
Gegebenheiten der jeweiligen Organisation angepasst werden.
Diese Prüfung kann vollzogen werden, indem je IT-System
1.

die relevanten Benutzer persönlich durch das IT-Sicherheitsmanagement auf mögliche Schäden
hin befragt werden oder

2.

die relevanten Benutzer einen Fragebogen beantworten, der - vom IT-Sicherheitsmanagement
entwickelt - konkret die Aussagen der Tabelleninhalte abfragt.

Der praktische Einsatz des IT-Grundschutzhandbuchs zeigt, dass es bei Behörden bzw. Unternehmen
mit weniger als 50 zu befragenden Benutzern sinnvoll ist, auf Methode 1 zurückzugreifen, damit das
IT-Sicherheitsmanagement individuell vor Ort zu einer Entscheidung gelangen kann.
Methode 2 scheint sinnvoll, wenn die Anzahl der zu befragenden Personen die Möglichkeiten des ITSicherheitsmanagements übersteigt. Es muss dann anhand der Fragebogen eine Entscheidung
getroffen werden, die sich lediglich an den in den Tabellen vorgegebenen Aussagen orientieren kann.
Für die Schutzbedarfsfeststellung und für die Erhebung des Sicherheits-IST beim PC-Einsatz ist auf
der CD-ROM als Hilfsmittel ein Vordruck - PC-Fragebogen - beigefügt (Verzeichnis
...\HILFSMI\06SCHUTZ.DOC).

__________________________________________________________________________________________
23

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________

2.4.2

Hinweise für die Abbildung realer IT-Systeme durch die Bausteine
des IT-Grundschutz-Baukastens

Um die Abbildung eines IT-Systems mit Hilfe einzelner Kapitel ("Bausteine") des ITGrundschutzhandbuchs vornehmen zu können, ist die Kenntnis der bislang vorhandenen Bausteine
notwendig. Daher werden nachfolgend die Inhalte der einzelnen Bausteine kurz umrissen.
Kurzdarstellung vorhandener Bausteine
3.1

Organisation
In diesem Baustein werden die für die IT-Sicherheit grundlegend notwendigen organisatorischen Regelungen angeführt. Beispiele sind Festlegung der Verantwortlichkeiten,
Datenträgerverwaltung und Regelungen zum Passwortgebrauch. Sie gelten für jedes IT-System.

3.2

Personal
Der Baustein "Personal" beschreibt die Maßnahmen im Personalbereich, die zum Erreichen von
IT-Sicherheit zu beachten sind. Beispiele sind Vertretungsregelungen, Schulungsmaßnahmen
und geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern. Sie gelten unabhängig von
der Art des IT-Systems.

3.3

Notfallvorsorge-Konzept
In diesem Baustein wird eine Vorgehensweise dargestellt, wie ein Notfallvorsorge-Konzept
erstellt werden kann. Dieser Baustein sollte insbesondere für größere IT-Systeme berücksichtigt
werden.

3.4

Datensicherungskonzept
Dieser Baustein stellt dar, wie ein fundiertes Datensicherungskonzept systematisch erarbeitet
werden kann. Dieser Baustein ist insbesondere für größere IT-Systeme oder IT-Systeme mit
großem Datenbestand gedacht.

3.5

Datenschutz
Die Rahmenbedingungen für einen praxisgerechten Datenschutz und die Verbindung zur ITSicherheit über den IT-Grundschutz werden in dem Baustein dargestellt. Das Kapitel
Datenschutz wurde federführend vom Bundesbeauftragten für den Datenschutz gemeinsam mit
dem Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder erstellt.

3.6

Computer-Virenschutzkonzept
Ziel eines Computer-Virenschutzkonzeptes ist es, ein geeignetes Maßnahmenbündel
zusammenzustellen, bei dessen Einsatz das Auftreten von Computer-Viren auf den in einer
Organisation eingesetzten IT-Systemen verhindert bzw. möglichst früh erkannt wird, um
Gegenmaßnahmen vornehmen zu können und evtl. mögliche Schäden zu minimieren.

3.7

Kryptokonzept
Dieser Baustein beschreibt eine Vorgehensweise, wie in einer heterogenen Umgebung sowohl
die lokal gespeicherten Daten als auch die zu übertragenen Daten wirkungsvoll durch
kryptographische Verfahren und Techniken geschützt werden können.

3.8

Behandlung von Sicherheitsvorfällen
Um die IT-Sicherheit im laufenden Betrieb aufrecht zu erhalten, ist es notwendig, die
Behandlung von Sicherheitsvorfällen (Incident Handling) konzipiert und eingeübt zu haben. Als
Sicherheitsvorfall wird dabei ein Ereignis bezeichnet, das Auswirkungen nach sich ziehen kann,
die einen großen Schaden anrichten können. Um Schäden zu verhüten bzw. zu begrenzen, sollte
die Behandlung der Sicherheitsvorfälle zügig und effizient ablaufen.

__________________________________________________________________________________________
24

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________

4.1

Gebäude
Hier werden die Maßnahmen genannt, die in jedem Gebäude, in dem Datenverarbeitung
stattfindet, zu beachten sind. Es sind Maßnahmen zur Stromversorgung, zum Brand- und
Gebäudeschutz sowie organisatorische Maßnahmen wie die Schlüsselverwaltung.

4.2

Verkabelung
Im Baustein "Verkabelung" werden Maßnahmen empfohlen, die für die Verkabelung eines
Gebäudes mit Versorgungs- und Kommunikationsleitungen relevant sind. Beispiele sind:
Brandabschottung von Trassen, Auswahl geeigneter Kabeltypen und Dokumentation der
Verkabelung.

4.3.1 Büroraum
Im Kapitel "Büroraum" sind alle Maßnahmen zusammengefasst, die im Zusammenhang mit
dem IT-Einsatz in einem Büro zu beachten sind. Beispiele sind: Geschlossene Fenster und
Türen und die Beaufsichtigung von Fremdpersonen.
4.3.2 Serverraum
Hier werden die Maßnahmen genannt, die bei Nutzung eines Raumes, in dem ein Server (für ITSysteme oder TK-Anlagen) aufgestellt ist, beachtet werden müssen. Beispiele sind: Vermeidung
von Wasserleitungen, Klimatisierung, lokale unterbrechungsfreie Stromversorgung und
Rauchverbot.
4.3.3 Datenträgerarchiv
Wird ein Raum als Datenträgerarchiv genutzt, so sind bestimmte Randbedingungen für die ITSicherheit einzuhalten. Diese werden als Maßnahmen für den IT-Grundschutz formuliert.
Beispiele sind: Handfeuerlöscher, Verwendung von Sicherheitstüren und Rauchverbot.
4.3.4 Raum für technische Infrastruktur
Auch für Räume, in denen technische Infrastruktur installiert wird, wie im Postkabeleingangsraum, Verteilerraum, Niederspannungsverteilerraum, müssen im Sinne der ITSicherheit bestimmte Maßnahmen ergriffen werden, die in diesem Kapitel genannt werden.
4.4

Schutzschränke
Für die sichere Aufbewahrung von Datenträgern oder Hardware können Schutzschränke die
Schutzwirkung von Räumen (Serverraum, Datenträgerarchiv) zusätzlich erhöhen. Ggf. kann ein
spezieller Serverschrank auch als Alternative zu einem Serverraum eingesetzt werden. Die für
die Beschaffung, die Aufstellung und die Nutzung eines Schutzschrankes erforderlichen
Maßnahmen werden in diesem Baustein beschrieben.

4.5

Häuslicher Arbeitsplatz
In diesem Baustein werden die Maßnahmen beschrieben, die erforderlich sind, um einen
häuslichen Arbeitsplatz mit einem adäquaten Sicherheitsstandard einzurichten, so dass dieser
für dienstliche Aufgaben genutzt werden kann.

5.1

DOS-PC (ein Benutzer)
In diesem Baustein werden die Maßnahmen genannt, die beim Einsatz eines handelsüblichen
PCs beachtet werden müssen, der standardmäßig nur von einem Benutzer betrieben wird.
Beispiele sind: Passwortschutz, Einsatz eines Viren-Suchprogramms, regelmäßige
Datensicherung.

5.2

Unix-System
Betrachtet wird ein IT-System unter dem Betriebssystem Unix, dass entweder ohne Verbindung
zu anderen Rechnern oder als Client in einem Netz betrieben wird. Terminals oder PCs, die als
Terminal betrieben werden, können angeschlossen sein. Hierzu werden sowohl organisatorische
wie auch Unix-spezifische Maßnahmen genannt.

__________________________________________________________________________________________
25

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________

5.3

Tragbarer PC
Ein tragbarer PC (Laptop) erfordert gegenüber dem normalen PC zusätzliche IT-Sicherheitsmaßnahmen, da er aufgrund der mobilen Nutzung anderen Gefährdungen ausgesetzt ist.
Beispiele für zusätzliche Maßnahmen sind: geeignete Aufbewahrung im mobilen Einsatz und
der Einsatz eines Verschlüsselungsproduktes.

5.4

PCs mit wechselnden Benutzern
In diesem Baustein werden die Maßnahmen genannt, die beim Einsatz eines handelsüblichen
PCs beachtet werden müssen, der standardmäßig von mehreren Benutzer betrieben wird.
Beispiele sind: PC-Sicherheitsprodukt, Passwortschutz, Einsatz eines Viren-Suchprogramms,
regelmäßige Datensicherung.

5.5

PC unter Windows NT
In diesem Baustein werden Maßnahmen genannt, die für nicht vernetzte PCs mit dem
Betriebssystem Windows NT (Version 3.51 oder 4.0) erforderlich sind. Auf
sicherheitsspezifische Aspekte einzelner Windows NT-Anwendungen wird nur am Rande
eingegangen.

5.6

PC mit Windows 95
Nicht vernetzte PCs mit dem Betriebssystem Windows 95 können als Stand-alone-Systeme
bzw. als Clients in einem Netz für einen oder für mehrere Benutzer eingerichtet werden. Für
beide Betriebsvarianten werden die erforderlichen Maßnahmen in diesem Baustein genannt.

5.99 Allgemeines nicht vernetztes IT-System
Für die noch nicht im IT-Grundschutzhandbuch betrachteten IT-Systeme wie z. B. OS/2 kann
der generische Baustein 5.99 angewendet werden.
6.1

Servergestütztes Netz
In diesem Baustein werden die notwendigen Maßnahmen erläutert, die beim Betrieb eines
servergestützten Netzes beachtet werden müssen. Diese Betrachtungen sind unabhängig von den
Server- und Client-Betriebssystemen. Die bezüglich der Betriebsysteme zu ergreifenden
Maßnahmen befinden sich in den spezifischen Bausteinen der Kapitel 5 und 6.

6.2

Unix-Server
Es werden IT-Systeme betrachtet, die als Server Dienste in einem Netz anbieten und unter dem
Betriebssystem Unix betrieben werden. Für diese IT-Umgebung werden Maßnahmen genannt,
die IT-Sicherheit ermöglichen. Diese Maßnahmen sind Unix-spezifisch und müssen durch
Kapitel 6.1 ergänzt werden.

6.3

Peer-to-Peer-Netz
Beschrieben wird, wie ein Peer-to-Peer-Netz für den IT-Grundschutz ausreichend sicher
betrieben werden kann. Themen sind die Konzeption eines solchen Netzes unter
Sicherheitsgesichtspunkten, Administrationsmöglichkeiten und funktionelle Einschränkungen.
Grundlagen bilden die Betriebssysteme Windows für Workgroups 3.11, Window 95 und
Windows NT.

6.4

Windows NT Netz
In diesem Baustein wird die Konzeption und der Betrieb eines sicheren Windows NT Netzes
beschrieben. Hierbei handelt es sich überwiegend um Windows NT-spezifische Maßnahmen,
die um die allgemeinen Maßnahmen aus Kapitel 6.1 ergänzt werden müssen.

__________________________________________________________________________________________
26

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________

6.5

Novell Netware 3.x
Gegenstand dieses Kapitels ist ein Novell 3.x Netz in einer Client-Server-Funktionalität. Damit
ist dieses Kapitel die betriebssystemspezifische Ergänzung des Kapitels 6.1 "Servergestütztes
Netz". Behandelt werden die Installation, die Einrichtung, der Betrieb und die Revision von
Novell Netware Servern.

6.6

Novell Netware 4.x
Gegenstand dieses Kapitels ist ein Novell 4.x Netz in einer Client-Server-Funktionalität. Damit
ist dieses Kapitel die betriebssystemspezifische Ergänzung des Kapitels 6.1 "Servergestütztes
Netz". Die erforderlichen Maßnahmen für die Bereiche Installation, Einrichtung und Betrieb
eines Novell 4.x Netzes werden beschrieben. Hierbei wird insbesondere auch auf den
Verzeichnisdienst NDS (Netware Directory Services) eingegangen.

6.7

Heterogene Netze
Mit Hilfe des Bausteins wird die Analyse und Weiterentwicklung eines bestehenden bzw. die
Planung eines neuen heterogenen Netzes ermöglicht. Für einen sicherer Betrieb des heterogenen
Netzes wird u. a. aufgezeigt, wie eine geeignete Segmentierung des Netzes vorgenommen wird,
wie ein Netzmanagement-System geplant und umgesetzt wird und wie ein Audit und die
Revision des Netzes erfolgen kann. Daneben werden Aspekte wie die redundante Auslegung
von Netzkomponenten und Sicherung von Konfigurationsdaten im Rahmen der Notfallplanung
behandelt.

6.8

Netz- und Systemmanagement
Mittels eines Managementsystems kann eine zentrale Verwaltung aller in einem lokalen Netz
angesiedelten Hard- und Softwarekomponenten durchgeführt werden. Für den erfolgreichen
Aufbau eines Netz- und Systemmanagementsystems werden in diesem Baustein die
erforderlichen Schritte beschrieben, beginnend mit der Konzeption über die Beschaffung bis hin
zum Betrieb.

7.1

Datenträgeraustausch
Beschrieben werden die Maßnahmen, die bei einem Datenträgeraustausch beachtet werden
sollten. Technische Maßnahmen wie Verschlüsselung werden ebenso betrachtet wie die richtige
Auswahl der Versandart. Die Maßnahmen zielen insbesondere auf den Fall, dass der
Datenträgeraustausch regelmäßig stattfindet.

7.2

Modem
Dargestellt werden in diesem Baustein Maßnahmen, die im Zusammenhang mit dem Einsatz
eines Modems zu beachten sind. Dies sind insbesondere Callback-Mechanismen und
Verschlüsselung. Auch Hinweise zur Absicherung der Fernwartung über Modem werden
gegeben.

7.3

Firewall
Die Vernetzung vorhandener Teilnetze mit globalen Netzen wie dem Internet erfordert einen
effektiven Schutz des eigenen Netzes. Um dies mit Hilfe einer Firewall zu gewährleisten, bedarf
es der Formulierung von Sicherheitszielen, die schließlich durch eine korrekte Installation und
Administrierung der Firewall umgesetzt werden.

7.4

E-Mail
Für eine sichere E-Mail-Kommunikation werden hier die erforderlichen Maßnahmen sowohl
auf Seiten des Mailservers als auch auf Seiten des Mailclients aufgeführt. Außerdem werden die
von den Benutzern einzuhaltenden Sicherheitsbestimmungen vorgestellt.

__________________________________________________________________________________________
27

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________

7.5

WWW-Server
Ein WWW-Server ist ein IT-System, das über eine Informationsdatenbank WWW-Clients
Dateien zur Verfügung stellt. Ein WWW-Client, auch Browser genannt, zeigt die Informationen
eines WWW-Servers auf dem Benutzerrechner an. Die Sicherheit der WWW-Nutzung beruht
auf der Sicherheit des WWW-Servers, des WWW-Clients und der Kommunikationsverbindung
zwischen beiden. Die für eine sichere WWW-Nutzung erforderlichen Maßnahmen werden im
Baustein WWW-Server beschrieben.

8.1

TK-Anlage
In diesem Baustein wird eine ISDN-basierende Telekommunikationsanlage betrachtet. Sie ist in
der heutigen Ausprägung als IT-System zu betrachten, bei deren Administration eine Reihe von
Maßnahmen beachtet werden müssen, um den sicheren Betrieb der TK-Anlage zu
gewährleisten.

8.2

Faxgerät
Die Informationsübermittlung per stand-alone Faxgerät eröffnet ein neues Feld von
Gefährdungen. Dargestellt werden daher die notwendigen Maßnahmen, mit denen für die
Faxnutzung ein IT-Grundschutz realisiert werden kann. Dies sind zum Beispiel die Entsorgung
von Fax-Verbrauchsgütern, die geeignete Aufstellung des Faxgerätes und die ggf. notwendigen
Absprachen von Absender und Empfänger.

8.3

Anrufbeantworter
Moderne Anrufbeantworter mit Fernabfragemöglichkeiten können als IT-Systeme aufgefasst
werden, in denen Sprachinformationen gespeichert werden. Sie sind der Gefährdung ausgesetzt,
dass die Fernabfrage missbraucht wird. Dargestellt werden IT-Grundschutz-Maßnahmen für
Anrufbeantworter, auch speziell zu dieser Gefährdung.

8.4

LAN-Anbindung eines IT-Systems über ISDN
Die Anbindung eines IT-Systems über eine ISDN-Adapterkarte mit S0-Schnittstelle an ein
entfernt stehendes lokales Netz (LAN) wird in diesem Baustein betrachtet. Vorausgesetzt wird,
dass innerhalb dieses LAN ein Router vorhanden ist, der über eine S2M-Schnittstelle mit dem
öffentlichen Netz verbunden ist.

8.5

Faxserver
In diesem Baustein werden für die Informationsübertragung per Fax als technische Basis
ausschließlich Faxserver betrachtet. Ein Faxserver in diesem Sinne ist eine Applikation, die auf
einem IT-System installiert ist und in einem Netz für andere IT-Systeme die Dienste
Faxversand und/oder Faxempfang zur Verfügung stellt.

9.1

Standardsoftware
Es wird eine Vorgehensweise beschrieben, wie der Lebenszyklus von Standardsoftware, d. h.
Anforderungskatalog, Auswahl, Testen, Freigabe, Installation und Deinstallation, gestaltet
werden kann. Insbesondere werden Aspekte wie Tests der Funktionalität und
Sicherheitseigenschaften, Installationsanweisungen und Freigabeerklärung erläutert.

9.2

Datenbanken
Die für die Auswahl einer Datenbank, deren Installation und Konfiguration sowie für den
laufenden Betrieb erforderlichen Maßnahmen wie z. B. Erstellung eines Datenbankkonzeptes,
Regelung zur Einrichtung von Datenbankbenutzern/-benutzergruppen oder Richtlinien für
Datenbank-Anfragen werden in diesem Kapitel beschrieben.

__________________________________________________________________________________________
28

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________

9.3

Telearbeit
Die aus organisatorischer und personeller Sicht erforderlichen Regelungen für die Einrichtung
von Telearbeitsplätzen werden in diesem Baustein beschreiben. Weiterhin werden die
sicherheitstechnischen Anforderungen an die Telearbeit formuliert, die durch den Einsatz
geeigneter IT-Komponenten realisiert werden müssen.

Abbildung realer IT-Systeme
Um nun ein reales IT-System durch diese Bausteine abzubilden, kann wie folgt vorgegangen werden.
1.

Zunächst bestimmt man die übergeordneten Bausteine (Teil 1, Kapitel 3), die für jedes ITSystem anzuwenden sind. Hier sind insbesondere "Organisation" und "Personal" zu betrachten.
Bei größeren IT-Systemen sind unter Anderem die Ausführungen zu "NotfallvorsorgeKonzept", "Datensicherungskonzept" und "Standardsoftware" zu beachten.

2.

Anschließend werden die Bausteine der Infrastruktur (Teil 1, Kapitel 4) ausgewählt, die für den
Betrieb des IT-Systems benötigt werden. Es sind insbesondere "Gebäude", "Verkabelung" und
die eingesetzten Räume auszuwählen.

3.

Zum Abschluss werden die Bausteine aus den verbliebenen Kapiteln des ersten Teils des
Handbuchs ausgewählt, die dem technischen Anteil des IT-Systems am nächsten kommen.
Hinweis: Viele der empfohlenen Maßnahmen lassen sich auch auf andere IT-Systeme
übertragen, wenn sie nicht betriebssystemspezifisch festgelegt sind. An dieser Stelle gilt es
insbesondere die passenden Kapitel für vorhandene Server und Clients auszuwählen.

Abbildung einer vorhandenen IT-Anlage
Falls anstelle von einzelnen IT-Systemen eine komplexe IT-Anlage betrachtet werden soll, wird die in
Kapitel 2.4.3 beschriebene Vorgehensweise empfohlen.

Beispiele:
In den nachfolgenden Tabellen ist für einige IT-System aufgeführt, welche Bausteine für die
Abbildung typischerweise genutzt werden können.

Legende:
X:
zu beachten
(X): zu beachten, falls im IT-System vorhanden
X1:
Ein Schutzschrank kann ggf. den Schutzraum ersetzen
e:
empfehlenswert

__________________________________________________________________________________________
29

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________

Stand-alone-Systeme / Clients

IT-Systeme
Baustein

DOS-PC
Ein User

UnixSystem

Tragbarer
PC

PC
Multi-User

Windows
NT - PC

Windows
95 - PC

3.1

Organisation

X

X

X

X

X

X

3.2

Personal

X

X

X

X

X

X

3.3

Notfallvorsorge-Konzept

3.4

Datensicherungskonzept

e

e

e

e

e

e

3.6

Computer-Virenschutzkonzept

e

e

e

e

e

3.7

Kryptokonzept

3.8

Behandlung von
Sicherheitsvorfällen

4.1

Gebäude

X

X

X

X

X

X

4.2

Verkabelung

e

e

e

e

e

e

X

X

X

X

X

X

(X)

(x)

(X)

(X)

(X)

(X)

4.3.1 Büroraum
4.3.2 Serverraum
4.3.3 Datenträgerarchiv

(X)

4.3.4 Raum für technische Infrastruktur
4.4

Schutzschränke

4.5

Häuslicher Arbeitsplatz

5.1

DOS-PC (ein Benutzer)

5.2

Unix-System

X

(X)
X
X

5.3

Tragbarer PC

5.4

PCs mit wechselnden Benutzern

(X)

5.5

PC unter Windows NT

(X)

5.6

PC mit Windows 95

(X)

5.99

Allgemeines nicht vernetztes ITSystem

6.1

Servergestütztes Netz

6.2

Unix-Server

6.3

Peer-to-Peer-Netz

6.4

Windows NT Netz

6.5

Novell Netware 3.x

6.6

Novell Netware 4.x

6.7

Heterogene Netze

6.8

Netz- und Systemmanagement

X
X
X

7.1

Datenträgeraustausch

(X)

(X)

(X)

(X)

(X)

(X)

7.2

Modem

(X)

(X)

(X)

(X)

(X)

(X)

(X)

(X)

(X)

(X)

(X)

(X)

e

e

e

e

e

e

(X)

(X)

(X)

(X)

(X)

(X)

7.3

Firewall

7.4

E-Mail

7.5

WWW-Server

8.1

TK-Anlage

8.2

Faxgerät

8.3

Anrufbeantworter

8.4

LAN-Anbindung eines ITSystems über ISDN

8.5

Faxserver

9.1

Standardsoftware

9.2

Datenbanken

9.3

Telearbeit

__________________________________________________________________________________________
30

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________
IT-Systeme

Stand-alone-Systeme Stand-alone-Systeme
/ Clients
/ Clients

Baustein

Telearbeit
X
X

Allgemeines nicht
vernetztes IT-System
X
X

3.1
3.2

Organisation
Personal

3.3

Notfallvorsorge-Konzept

3.4

Datensicherungskonzept

e

e

3.6

Computer-Virenschutzkonzept

X

e

3.7

Kryptokonzept

e

3.8
4.1

Behandlung von
Sicherheitsvorfällen
Gebäude

4.2

Verkabelung

X
e
X

4.3.1 Büroraum
4.3.2 Serverraum

(X)

4.3.3 Datenträgerarchiv
4.3.4 Raum für technische Infrastruktur
4.4
Schutzschränke
4.5

Häuslicher Arbeitsplatz

X

5.1

DOS-PC (ein Benutzer)

(X)

5.2

Unix-System

(X)

5.3

Tragbarer PC

5.4
5.5

PCs mit wechselnden Benutzern
PC unter Windows NT

(X)

5.6

PC mit Windows 95

(X)

5.99

Allgemeines nicht vernetztes ITSystem
Servergestütztes Netz

(X)

X

6.1
6.2

Unix-Server

6.3

Peer-to-Peer-Netz

6.4

Windows NT Netz

6.5

Novell Netware 3.x

6.6

Novell Netware 4.x

6.7

Heterogene Netze

6.8

Netz- und Systemmanagement

7.1

Datenträgeraustausch

(X)

(X)

7.2

Modem

(X)

(X)

7.3

Firewall

7.4

E-Mail

(X)

(X)

7.5

WWW-Server

8.1

TK-Anlage

8.2

Faxgerät

(X)

8.3

Anrufbeantworter

(X)

8.4

LAN-Anbindung eines ITSystems über ISDN

8.5

Faxserver

9.1

Standardsoftware

9.2

Datenbanken

9.3

Telearbeit

X

e

e

(X)

(X)

X

__________________________________________________________________________________________
31

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________
IT-System
Baustein

Server / Netze
Unix-Netz

X
X

Peer-to-Peer- Windows NT Netz unter
Netz
Netz
Novell
Netware 3.x
X
X
X
X
X
X

Netz unter
Novell
Netware 4.x
X
X

3.1
3.2

Organisation
Personal

3.3

Notfallvorsorge-Konzept

e

e

e

e

3.4

Datensicherungskonzept

X

e

X

X

X

3.6

Computer-Virenschutzkonzept

e

X

X

X

X

3.7

Kryptokonzept

e

e

e

e

e

3.8

e

e

e

e

e

4.1

Behandlung von
Sicherheitsvorfällen
Gebäude

X

X

X

X

X

4.2

Verkabelung

X

X

X

X

X

4.3.1 Büroraum
X

X

X

4.3.3 Datenträgerarchiv

(X)

(X)

(X)

(X)

(X)

4.3.4 Raum für technische Infrastruktur
4.4
Schutzschränke

X1

X1

X1

X1

X1

X

X

X

(X)

(X)

(X)

4.3.2 Serverraum

X

4.5

Häuslicher Arbeitsplatz

5.1

DOS-PC (ein Benutzer)

5.2

Unix-System

5.3

Tragbarer PC

5.4
5.5

PCs mit wechselnden Benutzern
PC unter Windows NT

5.6

PC mit Windows 95

5.99
6.1

Allgemeines nicht vernetztes ITSystem
Servergestütztes Netz

X

6.2

Unix-Server

X

6.3

Peer-to-Peer-Netz

X

X

6.4

Windows NT Netz

6.5

Novell Netware 3.x

6.6

Novell Netware 4.x

6.7

Heterogene Netze

(X)

(X)

(X)

(X)

(X)

6.8

Netz- und Systemmanagement

(X)

(X)

(X)

(X)

(X)

7.1

Datenträgeraustausch

(X)

(X)

(X)

(X)

(X)

7.2

Modem

(X)

(X)

(X)

(X)

(X)

7.3

Firewall

(X)

(X)

(X)

(X)

(X)

7.4

E-Mail

(X)

(X)

(X)

(X)

(X)

7.5

WWW-Server

(X)

(X)

(X)

(X)

(X)

8.1

TK-Anlage

(X)

(X)

(X)

(X)

(X)

8.2

Faxgerät

8.3

Anrufbeantworter

8.4

LAN-Anbindung eines ITSystems über ISDN

8.5

Faxserver

9.1

Standardsoftware

9.2

Datenbanken

9.3

Telearbeit

X
X

e

e

e

e

e

(X)

(X)

(X)

(X)

(X)

__________________________________________________________________________________________
32

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Hinweise und Hilfen für die praktische Umsetzung
__________________________________________________________________________________________
IT-System
Baustein

Kommunikationssysteme
Firewall

TK-Anlage

Faxgerät

Anrufbeantworter

3.1
3.2

Organisation
Personal

X
X

X
X

3.3

Notfallvorsorge-Konzept

e

e

3.4

Datensicherungskonzept

X

X

3.6

Computer-Virenschutzkonzept

e

3.7

Kryptokonzept

X

3.8

e

e

4.1

Behandlung von
Sicherheitsvorfällen
Gebäude

X

X

X

X

4.2

Verkabelung

X

X

e

X

4.3.3 Datenträgerarchiv
4.3.4 Raum für technische Infrastruktur
4.4
Schutzschränke
4.5

Häuslicher Arbeitsplatz

5.1

DOS-PC (ein Benutzer)

5.2

Unix-System

5.3

Tragbarer PC

5.4
5.5

PCs mit wechselnden Benutzern
PC unter Windows NT

X
X
e

e

X

4.3.1 Büroraum
4.3.2 Serverraum

X
X

Faxserver

X

X

X

(X)

(X)

(X)

X1

X
X1

X1

(X)

5.6

PC mit Windows 95

5.99
6.1

Allgemeines nicht vernetztes ITSystem
Servergestütztes Netz

6.2

Unix-Server

6.3

Peer-to-Peer-Netz

6.4

Windows NT Netz

(X)

6.5

Novell Netware 3.x

(X)

6.6

Novell Netware 4.x

(X)

X
X

(X)

6.7

Heterogene Netze

(X)

6.8

Netz- und Systemmanagement

(X)

7.1

Datenträgeraustausch

(X)

(X)

7.2

Modem

(X)

(X)

7.3

Firewall

X

7.4

E-Mail

7.5

WWW-Server

8.1

TK-Anlage

8.2

Faxgerät

8.3

Anrufbeantworter

8.4

LAN-Anbindung eines ITSystems über ISDN

8.5

Faxserver

9.1

Standardsoftware

9.2

Datenbanken

9.3

Telearbeit

(X)
(X)
(X)

X
X

(X)
X

(X)

X

X
e

e

__________________________________________________________________________________________
33

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

2.4.3

Modellierung einer IT-Anlage nach IT-Grundschutz

Durch einen Vergleich des im IT-Grundschutzhandbuch dargestellten Soll-Zustands mit dem IstZustand einer bestehenden IT-Anlage kann das IT-Sicherheitsniveau dieser IT-Anlage geprüft bzw.
bewertet werden. Weiterhin werden Möglichkeiten zur Verbesserung und zur Vervollständigung der
IT-Sicherheit aufgezeigt. Diese ergeben sich durch die Empfehlungen, die in den nicht oder nur teilweise umgesetzten Maßnahmen enthalten sind. Unter einer IT-Anlage ist dabei die Gesamtheit von
technischen Komponenten zu verstehen, die der Aufgabenerfüllung im Bereich der Informationsverarbeitung dienen. Dies umfasst beispielsweise einzelne IT-Systeme, wie Server- und ClientComputer, aktive Netzkomponenten und Software.
Um das IT-Grundschutzhandbuch auf eine IT-Anlage anwenden zu können, ist es erforderlich, die
Verknüpfung zwischen den relevanten Bausteinen des IT-Grundschutzhandbuchs und den Komponenten des vorliegenden Gesamtsystems herzustellen. Dies geschieht, indem die IT-Anlage, die sich in
der Regel aus mehreren IT-Netzen und vielen IT-Systemen zusammensetzt, mit Hilfe der Bausteine
des IT-Grundschutzhandbuchs nachgebildet ("modelliert") wird. Es ist zweckmäßig, dabei in sechs
Schritten vorzugehen, die im Folgenden beschrieben werden. Die in diesem Abschnitt aufgeführte
Tabelle (siehe unten) stellt eine Übersicht dar, welche Bausteine in den einzelnen Schritten für die
Modellierung herangezogen werden sollten. Eine kurze Beschreibung, welche Sicherheitsaspekte in
den einzelnen Bausteinen behandelt werden, findet sich in Abschnitt 2.4.2. Auf diese Kurzbeschreibungen kann bei der Nachbildung der IT-Anlage zurückgegriffen werden. Im Folgenden wird für
jeden Schritt der Nachbildung kurz eine geeignete Vorgehensweise beschrieben. Das hier vorgestellte
Verfahren ist darauf ausgerichtet, den Arbeitsaufwand zu minimieren und möglichst wenig Redundanzen zu erzeugen.
Schritt 1:

Übergeordnete Aspekte der IT-Sicherheit

Im ersten Schritt werden alle Aspekte des Gesamtsystems modelliert, die den technischen Komponenten der IT-Anlage übergeordnet sind. Im Vordergrund stehen dabei Konzepte und die von diesen
Konzepten abgeleiteten Regelungen. Diese Aspekte sollten für die gesamte IT-Anlage einheitlich
geregelt sein, so dass die entsprechenden Bausteine nur einmal für die gesamte IT-Anlage anzuwenden
sind.
Abhängig von der Struktur des Gesamtsystems kann es jedoch in bestimmten Fällen zweckmäßig sein,
Bausteine aus dem Bereich Übergeordnete Aspekte mehrfach anzuwenden. Wenn beispielsweise Teile
der vorliegenden IT-Anlage einer anderen Organisation(seinheit) zugeordnet sind und daher anderen
Rahmenbedingungen unterliegen, sollte der Baustein 3.1 Organisation und der Baustein 3.2 Personal
für jede Organisation(seinheit) getrennt herangezogen werden. Dies sollte auch dann gemacht werden,
wenn Teile der IT-Anlage im Outsourcing betrieben werden.
Denkbar ist auch, dass für bestimmte Teile der IT-Anlage - beispielsweise aufgrund von speziellen
Sicherheitsanforderungen - Sonderregelungen in Kraft sind, die unabhängig von den allgemeinen
Regelungen fortgeschrieben werden. In diesem Fall kann es sinnvoll sein, einzelne Bausteine aus
Kapitel 3 einmal organisationsweit und einmal auf die Sonderregelungen anzuwenden.
Schritt 2:

Sicherheit der Infrastruktur

Die für die vorliegende IT-Anlage relevanten baulichen Gegebenheiten werden mit Hilfe der Bausteine aus Kapitel 4 Infrastruktur modelliert. Jeder Komponente wird dabei der entsprechende Baustein aus dem IT-Grundschutzhandbuch zugeordnet. Der Baustein 4.2 Verkabelung sollte in der Regel
einmal pro Gebäude herangezogen werden. Falls bestimmte Bereiche - beispielsweise Serverraum
oder Leitstand - in Bezug auf die Verkabelung Besonderheiten aufweisen, kann es jedoch zweckmäßig
sein, den Baustein 4.2 an diesen Stellen gesondert anzuwenden.

__________________________________________________________________________________________
34

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

Es ergibt sich in der Regel das Problem, dass eine große Anzahl nahezu identischer Räume (z. B.
Büroräume) oder Schutzschränke nachzubilden ist. Dabei ist es weder praktikabel noch notwendig,
jede einzelne Komponente zu betrachten. Vielmehr sollten die Räume, Schränke, etc. geeignet in
Klassen aufgeteilt werden, die jeweils möglichst gleichartige Komponenten enthalten. Anschließend
werden aus jeder dieser Klassen stichprobenartig Komponenten ausgewählt, die dann stellvertretend
für die gesamte Klasse betrachtet werden.
Schritt 3:

Sicherheit der IT-Systeme

Sicherheitsaspekte, die sich auf IT-Systeme, d. h. auf Server- und Client-Computer, Hosts, Terminals,
etc. beziehen, werden in diesem Schritt abgedeckt. Hierzu werden in der Regel Bausteine aus den
Kapiteln 5 und 6 herangezogen. Für Stand-alone-Systeme und Client-Computer muss üblicherweise
nur der jeweilige systemspezifische Baustein, z. B. Baustein 5.6 PC mit Windows 95, betrachtet
werden. Für Server-Computer dagegen ist zusätzlich zum systemspezifischen Baustein immer auch
der Baustein 6.1 Servergestütztes Netz heranzuziehen. Der Baustein 5.99 Allgemeines nicht vernetztes
IT-System kann für IT-Systeme herangezogen werden, für die kein systemspezifischer Baustein im
IT-Grundschutzhandbuch enthalten ist. Falls das betreffende IT-System Dienste im Netz zur
Verfügung stellt, wird zusätzlich die Anwendung von Baustein 6.1 empfohlen.
Insbesondere bei den Client-Computern wird in der Regel eine große Anzahl nahezu identischer ITSysteme vorhanden sein, die auch einheitlich administriert werden. Hier sollten - analog zu der in
Schritt 2 beschriebenen Vorgehensweise - die IT-Systeme in Klassen zusammengefasst werden. Dabei
enthält jede Klasse möglichst gleichartig aufgebaute und konfigurierte IT-Systeme. Aus jeder dieser
Klassen werden danach einige der darin enthaltenen IT-Systeme als Stichproben ausgewählt und
durch den bzw. die entsprechenden Bausteine des IT-Grundschutzhandbuchs nachgebildet. Dieselbe
Vorgehensweise kann auch bei mehreren, gleich konfigurierten Servern angewandt werden. Enthält
eine Klasse nur wenige IT-Systeme, so reicht es aus, ein einzelnes IT-System als Stellvertreter zu
betrachten.
Die Frage, inwieweit die Komponenten im Detail übereinstimmen müssen, damit sie in dieselbe
Klasse eingeordnet werden können, lässt sich streng genommen erst dann beantworten, wenn alle
relevanten Maßnahmen des IT-Grundschutzhandbuchs im Hinblick auf die Unterschiede geprüft
wurden. Als Faustregel gilt jedoch, dass qualitative Unterschiede (z. B. Computer hat CD-ROMLaufwerk / hat kein CD-ROM-Laufwerk) in der Regel eine höhere Sicherheitsrelevanz haben als
quantitative Unterschiede (z. B. Computer hat 64 MB statt 32 MB Hauptspeicher).
Schritt 4:

Sicherheit im Netz

In diesem Schritt werden Sicherheitsaspekte im Netz behandelt, die nicht an bestimmten IT-Systemen
(z. B. Servern) im Netz festgemacht werden können. Vielmehr geht es um Sicherheitsaspekte, die sich
auf die Netzverbindungen und die Kommunikation zwischen den IT-Systemen beziehen. Die konkrete
Modellierung ist in der Praxis oft schwieriger als in Schritt 3, da sicherheitsrelevante Komponenten
leicht übersehen werden können.
Es wird empfohlen, anhand eines Netztopologie-Plans der Behörde bzw. des Unternehmens vorzugehen. Dieser sollte eine graphische Übersicht über die Struktur des Gesamtnetzes aus der Sicht der
Schicht 2 und/oder Schicht 3 des ISO/OSI-Modells enthalten (Informationen zum ISO/OSI-Modell
finden sich in Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung). Im Netztopologie-Plan sollten außerdem alle Schnittstellen des Gesamtnetzes nach außen und alle Weitverkehrsverbindungen eingezeichnet sein.
Um die Komplexität zu verringern, ist es sinnvoll, bei der Untersuchung statt des Gesamtnetzes Teilbereiche jeweils einzeln zu betrachten. Bei der Aufteilung in Teilnetze sind folgende Anforderungen
zu berücksichtigen:

__________________________________________________________________________________________
35

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

- Jedes einzelne Teilnetz sollte im Hinblick auf Netztechnik, Protokolle, Dienste und IT-Systemtypen möglichst homogen sein. Dies ermöglicht eine geschlossene Untersuchung der Sicherheitsaspekte innerhalb der Teilnetze.
- Es sollten möglichst wenig verschiedene Kommunikationsarten zwischen den Teilnetzen zum
Einsatz kommen. Ansonsten besteht die Gefahr, dass der Untersuchungsumfang innerhalb der
Teilnetze zwar minimiert wird, dies aber durch einen erhöhten Untersuchungsaufwand bei der
Betrachtung der Kommunikationsbeziehungen zwischen den Teilnetzen überkompensiert wird.
- Komponenten, die nur über eine Weitverkehrsverbindung miteinander verbunden sind, sollten
nicht demselben Teilnetz zugeordnet werden, d. h. Teilnetze sollten sich nicht über mehrere
Standorte oder Liegenschaften erstrecken. Dies ist sowohl aus Gründen der Übersichtlichkeit als
auch im Hinblick auf eine effiziente Projektdurchführung wünschenswert.
In der Praxis werden diese Anforderungen nur selten vollständig miteinander vereinbar sein. So
können z. B. auf den einzelnen Schichten des ISO/OSI-Modells durchaus unterschiedliche Aufteilungen von Netzen sinnvoll sein. Die Aufteilung auf den unteren Schichten ist in der Regel durch die
Anordnung der aktiven Netzkoppelelemente vorgegeben. Auf der Anwendungsschicht dagegen muss
berücksichtigt werden, welche Clients mit welchen Servern kommunizieren.
Es ist nicht möglich, eine grundsätzliche Empfehlung darüber zu geben, welche Aufteilung in Teilnetze zu bevorzugen ist, falls die oben angegebenen Anforderungen bei der vorliegenden IT-Anlage
grundsätzlich nicht vereinbar sind. Stattdessen sollte im Einzelfall entschieden werden, welche
Aufteilung des Gesamtnetzes im Hinblick auf die anzuwendenden Bausteine des ITGrundschutzhandbuchs am praktikabelsten ist.
Neben der Struktur der Teilnetze sind die Schnittstellen des Gesamtnetzes nach außen besonders
sicherheitsrelevant. Dieser Bereich umfasst sowohl Anbindungen an öffentliche Netze (z. B. Internet,
Telekommunikationsnetz) als auch Weitverkehrsverbindungen zwischen verschiedenen Standorten
oder Liegenschaften (z. B. Standleitungen).
Insgesamt sind in Schritt 4 folgende Bereiche mit den Bausteinen des IT-Grundschutzhandbuchs
nachzubilden:
- Die nach dem o. a. Verfahren identifizierten Teilnetze der IT-Anlage. Relevant für die Modellierung ist beispielsweise der Baustein 6.3 Peer-to-Peer-Netz.
- Die Kommunikationsbeziehungen zwischen den Teilnetzen. Hier sind beispielsweise der Baustein
6.7 Heterogene Netze und der Baustein 6.8 Netz- und Systemmanagement zu betrachten.
- Die Schnittstellen des Gesamtnetzes nach außen. Für diesen Bereich sind z. B. der Baustein 7.3
Firewall und der Baustein 7.5 WWW-Server relevant.
Schritt 5:

Sicherheit in Anwendungen

Den vorletzten Schritt in der Modellierung einer IT-Anlage stellt die Nachbildung der Anwendungen
dar. Moderne Anwendungen beschränken sich nur selten auf ein einzelnes IT-System. Insbesondere
behörden- bzw. unternehmensweite Kernanwendungen sind in der Regel als Client-Server-Applikation
realisiert. In vielen Fällen greifen Server selbst wieder auf andere, nachgeschaltete Server, z. B.
Datenbank-Systeme, zu. Die Nachbildung der Anwendungen muss daher unabhängig von den ITSystemen und Netzen erfolgen. Hierbei sind insbesondere die Bausteine 9.1 Standardsoftware und
9.2 Datenbanken des IT-Grundschutzhandbuchs heranzuziehen.

__________________________________________________________________________________________
36

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

Bei fehlender Vernetzung oder auch aus Gründen der IT-Sicherheit werden die von den Anwendungen
verarbeiteten Daten oftmals mit Hilfe von Datenträgeraustausch transportiert. Die Modalitäten richten
sich dabei in der Regel nach den Anwendungen auf Seiten des Absenders und Empfängers.
Entsprechend sollte der Baustein 7.1 herangezogen werden, wenn eine Anwendung als Datenquelle für
einen Datenträgeraustausch dient oder auf diesem Weg eingegangene Daten weiterverarbeitet.
Schritt 6:

Prüfung auf Vollständigkeit

Im letzten Schritt sollte überprüft werden, ob die Modellierung des Gesamtsystems vollständig ist und
keine Lücken aufweist. Es wird empfohlen, hierzu erneut den Netztopologieplan oder eine vergleichbare Übersicht über die IT-Anlage heranzuziehen und die einzelnen Komponenten systematisch
durchzugehen. Jede Komponente sollte entweder in eine Klasse eingruppiert oder einzeln modelliert
worden sein. Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht
nachgebildet sind, sondern dass auch die zugehörigen organisatorischen, personellen und
infrastrukturellen Aspekte vollständig abgedeckt sind. Falls das Gesamtsystem in den vorangegangenen Schritten in Teilsysteme aufgeteilt wurde (z. B. in Schritt 1 Aufteilung aufgrund unterschiedlicher organisatorischer Zuständigkeiten, in Schritt 4 Aufteilung in verschiedene Teilnetze, etc.), sollte
geprüft werden, ob
- jedes Teilsystem vollständig nachgebildet wurde und
- durch die Summe aller Teilsysteme das Gesamtsystem vollständig dargestellt wird.
Falls sich bei der Überprüfung Lücken in der Modellierung zeigen, sind die entsprechenden fehlenden
Bausteine hinzuzufügen. Andernfalls besteht die Gefahr, dass wichtige Bestandteile des Gesamtsystems bei der Anwendung des IT-Grundschutzhandbuchs nicht berücksichtigt werden, weil sie in
der Nachbildung nicht enthalten sind.

Die folgende Tabelle enthält eine Zusammenfassung, in welchem Schritt der zuvor beschriebenen
Vorgehensweise die einzelnen Bausteine des IT-Grundschutzhandbuchs für die Modellierung einer
bestehenden IT-Anlage herangezogen werden sollten.
Legende:
X: Der Baustein sollte in der Regel in dem im Spaltenkopf genannten Schritt der Vorgehensweise für
die Nachbildung einer IT-Anlage berücksichtigt werden.
#: Neben den technischen IT-Sicherheitsaspekten werden in diesem Baustein übergeordnete
Gesichtspunkte behandelt, die behörden- bzw. unternehmensweit geregelt sein sollten.

__________________________________________________________________________________________
37

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

Baustein

Schritt 1:
Übergeordnete
Aspekte

3.1
3.2
3.3
3.4
3.6
3.7
3.8

Organisation
Personal
Notfallvorsorge-Konzept
Datensicherungskonzept
Computer-Virenschutzkonzept
Kryptokonzept
Behandlung von Sicherheitsvorfällen
4.1
Gebäude
4.2
Verkabelung
4.3.1 Büroraum
4.3.2 Serverraum
4.3.3 Datenträgerarchiv
4.3.4
4.4
4.5
5.1
5.2
5.3

Raum für technische Infrastruktur
Schutzschränke
Häuslicher Arbeitsplatz
DOS-PC (ein Benutzer)
Unix-System
Tragbarer PC

5.4
5.5
5.6
5.99

PCs mit wechselnden Benutzern
PC unter Windows NT
PC mit Windows 95
Allgemeines nicht vernetztes ITSystem
Servergestütztes Netz
Unix-Server
Peer-to-Peer-Netz
Windows NT Netz
Novell Netware 3.x
Novell Netware 4.x
Heterogene Netze
Netz- und Systemmanagement
Datenträgeraustausch
Modem
Firewall
E-Mail
WWW-Server
TK-Anlage

6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
7.1
7.2
7.3
7.4
7.5
8.1
8.2

Faxgerät

Schritt 2:
Sicherheit der
Infrastruktur

Schritt 3:
Sicherheit der
IT-Systeme

Schritt 4:
Sicherheit
im Netz

Schritt 5:
Sicherheit in
Anwendungen

X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
#
#
#
#
#

X
X
X
X
X
X
X

#

8.3

Anrufbeantworter

X

8.4

LAN-Anbindung eines ITSystems über ISDN

X

8.5

Faxserver

9.1

Standardsoftware

X

9.2

Datenbanken

X

9.3

Telearbeit

#

X

X

__________________________________________________________________________________________
38

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

Beispiel: Bundesamt für Organisation und Verwaltung (BOV)
Im Folgenden wird anhand einer fiktiven Behörde, dem BOV, beispielhaft beschrieben, wie eine ITAnlage mit Hilfe der Bausteine des IT-Grundschutzhandbuchs modelliert werden kann.
Ausgangspunkt ist der folgende Übersichtsplan, der grob die Netztopologie des BOV darstellt.
P rim ä rer
D o m ä ne n-C on trolle r E xch a ng e-S erve r
(W in d ow s N T )
(W in d ow s N T )

F ile-S erver
(N o ve ll N etw a re )

K o m m u nikatio nsS e rve r
(U n ix)

B a cku p
D o m ä ne n-C on trolle r
(W in d ow s N T )

Intern e t

R o ute r

S w itch

IP

IP

S w itch

F ire w a ll
R o ute r

S tan d leitu n g

R o ute r

S w itch

S e rve r fü r
P e rso n alve rw a ltu ng
(W in d ow s N T )

1 5 C lie nt-C o m pu ter
(W in d ow s N T )

7 5 C lie nt-C o m pu ter
(W in d ow s N T )

L ie ge n sch a ft B o n n

4 0 C lie nt-C o m pu ter
(W in d ow s N T )

L ie ge n sch a ft B e rlin

Das BOV ist eine Behörde mit 150 Mitarbeitern, von denen 130 an Bildschirmarbeitsplätzen arbeiten.
Räumlich besteht eine Aufteilung des Bundesamts in die Hauptstelle Bonn und eine Außenstelle in
Berlin, wo unter anderem die Teilaufgaben Grundsatz, Normung und Koordinierung wahrgenommen
werden. Von den insgesamt 130 Mitarbeitern mit IT-gestützten Arbeitsplätzen sind 90 in Bonn und 40
in Berlin tätig.
Um die Dienstaufgaben leisten zu können, sind alle Arbeitsplätze vernetzt worden. Die Außenstelle
Berlin ist über eine angemietete Standleitung angebunden. Alle zu Grunde liegenden Normen und
Vorschriften sowie Formulare und Textbausteine sind ständig für jeden Mitarbeiter abrufbar. Alle
relevanten Arbeitsergebnisse werden in eine zentrale Datenbank eingestellt. Entwürfe werden ausschließlich elektronisch erstellt, weitergeleitet und unterschrieben. Zur Realisierung und Betreuung
aller benötigten Funktionalitäten ist in Bonn ein IT-Referat installiert worden.
Schritt 1:

Übergeordnete Aspekte der IT-Sicherheit

Das BOV setzt sich aus zwei Organisationseinheiten zusammen, die den beiden Liegenschaften Berlin
und Bonn zugeordnet sind. Der Baustein 3.1 Organisation wird daher für jede dieser beiden
Liegenschaften einmal angewandt. Für das gesamte Bundesamt ist jedoch nur ein Personalreferat
zuständig, so dass der entsprechende Baustein 3.2 Personal einmal herangezogen wird.
Der gesamte Datenbestand des BOV wird zentral an einem Fileserver (Novell Netware) gesichert. Aus
datenschutzrechtlichen Gründen gibt es jedoch eine Ausnahme: Die Personaldaten, die auf einem
eigenen Server verarbeitet werden, werden dort lokal gesichert. Die Regelungen für die zentrale
Datensicherung und für die Sicherung der Personaldaten werden in verschiedenen Dokumenten
gepflegt. Die Lagerung und Archivierung der entsprechenden Datenträger erfolgt separat. Obwohl
__________________________________________________________________________________________
39

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

grundsätzlich darauf hingewirkt werden sollte, dass ein einheitliches Datensicherungskonzept für das
gesamte Bundesamt erstellt wird, wird der Baustein 3.4 Datensicherungskonzept im vorliegenden Fall
zweimal angewandt, einmal für die Datensicherung am Fileserver und einmal für die Datensicherung
am Server für die Personalverwaltung. Hierdurch wird den bestehenden getrennten Regelungen im
BOV Rechnung getragen.
Für die Bereiche Notfallvorsorge, Computer-Virenschutzkonzept und Behandlung von Sicherheitsvorfällen bestehen jeweils einheitliche, organisationsweite Regelungen. Diese Aspekte werden daher
durch je einen der Bausteine 3.3, 3.6 und 3.8 modelliert.
An zwei Stellen innerhalb der Behörde kommt Verschlüsselung zum Einsatz. Zum einen werden die
Vertraulichkeit und Integrität der auf der Weitverkehrsverbindung übertragenen Daten durch die eingebaute Verschlüsselungsfunktion der beiden WAN-Router geschützt. Außerdem wird der gesamte
Netzverkehr im Subnetz des Servers für die Personalverwaltung und der 15 Client-Computer verschlüsselt. Hierdurch wird verhindert, dass Unbefugte durch Mitlesen des Netzverkehrs Personaldaten
einsehen können. Der Einsatz der Verschlüsselung wird durch ein behördenweites Kryptokonzept
geregelt, Baustein 3.7 wird daher einmal angewandt.
Insgesamt ergibt sich für den Bereich Übergeordnete Aspekte folgende Zuordnung von Bausteinen zu
Komponenten:
3.1

3.2
3.3
3.4

3.6
3.7
3.8

Organisation
- Liegenschaft (Organisationseinheit) Berlin
- Liegenschaft (Organisationseinheit) Bonn
Personal
- gesamtes Bundesamt
Notfallvorsorge-Konzept
- gesamtes Bundesamt
Datensicherungskonzept
- Datensicherung am Fileserver
- Datensicherung am Server für die Personalverwaltung
Computer-Virenschutzkonzept
- gesamtes Bundesamt
Kryptokonzept
- gesamtes Bundesamt
Behandlung von Sicherheitsvorfällen
- gesamtes Bundesamt

Schritt 2:

Sicherheit der Infrastruktur

Auf jeder der beiden Liegenschaften befindet sich ein Gebäude, das sich im Bundesbesitz befindet.
Daher sind die Bausteine aus dem Bereich Sicherheit der Infrastruktur zunächst grundsätzlich einzeln
auf die beiden Liegenschaften anzuwenden. Dies gilt insbesondere für die Bausteine 4.1 Gebäude und
4.2 Verkabelung. Beim Baustein 4.2 ist zusätzlich die elektrotechnische Verkabelung von der datentechnischen Verkabelung zu unterscheiden. (Die datentechnische Verkabelung ist erst nachträglich in
den Gebäuden erfolgt, daher existiert kein einheitliches Konzept für diese beiden Komponenten.)
Insgesamt wird der Baustein 4.2 also viermal herangezogen.
Aufgrund von organisationsweiten Regelungen im Hinblick auf Beschaffung und Arbeitsergonomie
sind die Büroräume in Berlin und Bonn einheitlich ausgestaltet. Alle Büroräume werden daher zu
einer einheitlichen Klasse zusammengefasst, aus der drei Räume als Stichproben ausgewählt werden.
Auf diese drei Stichproben wird jeweils der Baustein 4.3.1 angewandt.

__________________________________________________________________________________________
40

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

Die zentrale Datenverarbeitung im BOV erfolgt in Bonn. Hierfür existiert ein Serverraum, der auch
das Datenträgerarchiv beinhaltet. Baustein 4.3.2 und 4.3.3 werden also jeweils einmal für die Liegenschaft Bonn herangezogen.
4.1

Gebäude
- Gebäude der Liegenschaft Berlin
- Gebäude der Liegenschaft Bonn
4.2Verkabelung
- Liegenschaft Berlin, Elektroverkabelung
- Liegenschaft Berlin, Datenverkabelung
- Liegenschaft Bonn, Elektroverkabelung
- Liegenschaft Bonn, Datenverkabelung
4.3.1 Büroraum
- Stichprobe 1 aus der Klasse der Büroräume
- Stichprobe 2 aus der Klasse der Büroräume
- Stichprobe 3 aus der Klasse der Büroräume
4.3.2 Serverraum
- Serverraum in der Liegenschaft Bonn
4.3.3 Datenträgerarchiv
- Datenträgerarchiv in der Liegenschaft Bonn
Schritt 3:

Sicherheit der IT-Systeme

In der Liegenschaft Bonn befindet sich ein Kommunikations-Server (Unix), der u. a. für die IntranetFunktionalität innerhalb des Bundesamtes genutzt wird. Dieser Server wird modelliert durch die
Bausteine 6.1 Servergestütztes Netz und 6.2 Unix-Server.
Weiterhin sind insgesamt drei Server mit dem Betriebssystem Windows NT vorhanden, die nahezu
gleich konfiguriert sind. Dies sind: Ein Primärer Domänen-Controller, ein Exchange-Server (beide in
Bonn) und ein Backup Domänen-Controller in der Liegenschaft Berlin. Diese Server unterliegen auch
einem einheitlichen Administrationskonzept, sie können daher zu einer Klasse zusammengefasst
werden. Diese Klasse wird modelliert durch die Bausteine 6.1 Servergestütztes Netz und
6.4 Windows NT Netz.
Weiterhin existiert ein Server unter Windows NT, der ausschließlich für die Datenhaltung der
Personalverwaltung genutzt wird. Für diesen Server gibt es ein besonderes Administrationskonzept im
Hinblick auf den hohen Schutzbedarf der Grundwerte Vertraulichkeit und Integrität. Die Modellierung
erfolgt daher getrennt von den drei vorgenannten Servern, jedoch ebenfalls mit Hilfe der Bausteine 6.1
und 6.4.
Speziell für die Bereitstellung von häufig genutzten Dateien wird ein Fileserver unter Novell Netware
4.11 betrieben. Hierfür werden die Bausteine 6.1 und 6.6 Novell Netware 4.x jeweils einmal
herangezogen.
Alle 130 Client-Computer werden unter dem Betriebssystem Windows NT Workstation 4.0 betrieben
und einheitlich installiert und konfiguriert. Hierfür kommt ein Systemmanagement-Tool zum Einsatz,
das von Bonn aus gesteuert wird. Alle 130 Client-Computer werden daher in einer einzigen Klasse
zusammengefasst, aus der vier Stichproben ausgewählt werden. Die Modellierung erfolgt durch den
Baustein 5.5 PC unter Windows NT.
Aus Gründen der Übersichtlichkeit ist die folgende Zusammenfassung nach IT-Systemen sortiert,
abweichend von der Darstellung in den anderen Schritten der Modellierung.

__________________________________________________________________________________________
41

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

Stichproben 1 bis 4 aus der Klasse der 130 Client-Computer
- Baustein 5.5 PC unter Windows NT
Kommunikations-Server (Unix)
- Baustein 6.1 Servergestütztes Netz
- Baustein 6.2 Unix-Server
Klasse (Primärer Domänen-Controller, Exchange-Server, Backup Domänen-Controller)
- Baustein 6.1 Servergestütztes Netz
- Baustein 6.4 Windows NT Netz
Server für Personalverwaltung
- Baustein 6.1 Servergestütztes Netz
- Baustein 6.4 Windows NT Netz
Fileserver
- Baustein 6.1 Servergestütztes Netz
- Baustein 6.6 Novell Netware 4.x
Schritt 4:

Sicherheit im Netz

In beiden Liegenschaften liegt eine heterogene Netzlandschaft vor, z. B. existieren unterschiedliche
Netzkoppelelemente und LAN-Protokolle. Da der Anwendungsbereich eines Bausteins im Bereich
Sicherheit im Netz keine WAN-Verbindungen umfassen sollte, wird der Baustein 6.7 Heterogene
Netze jeweils einmal für die beiden Liegenschaften herangezogen.
Aus Sicherheitsgründen sieht die Gesamtkonzeption keine Peer-to-Peer-Funktionalitäten im Netz vor.
Der entsprechende Baustein des IT-Grundschutzhandbuchs kommt daher nicht zur Anwendung.
Für die Installation und Konfiguration der Client-Computer wird ein Systemmanagement-Tool eingesetzt, das auf dem Exchange-Server in Bonn betrieben wird. Für alle Client-Computer ist die gleiche
Konfiguration vorgesehen. Es ist deshalb ausreichend, das behördenweite Systemmanagement durch
eine Anwendung des Bausteins 6.8 Netz- und Systemmanagement auf das in Bonn installierte Tool zu
modellieren.
Die Anbindung der Liegenschaft Bonn an das Internet erfolgt über eine Firewall. Diese Anbindung
wird nicht für den Internet-Auftritt genutzt, sondern dient lediglich dazu, dass die Client-Computer in
Bonn Informationen aus dem Internet abrufen und E-Mail versenden können. Hinter der Firewall
befindet sich ein Router, der vom Internet Service Provider (ISP) zur Verfügung gestellt und administriert wird. Das BOV hat keine Administratorrechte auf diesem Router. Die Firewall wird modelliert
durch den entsprechenden Baustein 7.3. Da der Internet-Router nicht vom BOV administriert wird,
wird von einer Modellierung abgesehen. Nichtsdestotrotz ist der Provider vertraglich zum sicheren
Betrieb der Internet-Anbindung zu verpflichten. Es sollten Nachweise über die Durchführung geeigneter IT-Sicherheitsmaßnahmen verlangt werden.
Die WAN-Verbindung der Liegenschaften Berlin und Bonn ist durch die Server-Server- und ServerClient-Kommunikation ausgelastet. Eine Anbindung der Client-Computer in Berlin an das Internet
über diese WAN-Verbindung kann daher im Hinblick auf die Verfügbarkeit der übrigen Netzdienste
nicht erfolgen. Insbesondere sind nur die Benutzer in der Liegenschaft Bonn in der Lage, E-Mails zu
empfangen und zu versenden. Entsprechend wird der Baustein 7.4 E-Mail einmal für die gesamte
Liegenschaft Bonn angewandt.
Auf dem Kommunikations-Server in Bonn ist ein WWW-Dienst installiert, der Webseiten im Intranet
zur Verfügung stellt. Dies wird durch den Baustein 7.5 WWW-Server nachgebildet.
Für die Telekommunikation sind in Berlin und Bonn unterschiedliche ISDN-TK-Anlagen in Betrieb.
Diese werden auch von unterschiedlichen Personen betreut. Der Baustein 8.1 TK-Anlage ist daher
zweifach anzuwenden.

__________________________________________________________________________________________
42

IT-Grundschutzhandbuch: Stand Januar 2000

2.4
Modellierung einer IT-Anlage nach IT-Grundschutz
__________________________________________________________________________________________

In Bonn sind zwei Faxgeräte im Einsatz, die jedoch einheitlich verwaltet werden. Diese beiden Geräte
werden daher in einer Klasse zusammengefasst. Das Faxgerät in der Liegenschaft Berlin wird jedoch
anderweitig verwaltet. Der Baustein 8.2 wird daher einmal auf die Klasse der Faxgeräte in Bonn und
einmal auf das Faxgerät in Berlin abgebildet.
6.7

6.8
7.3
7.4
7.5
8.1

8.2

Heterogene Netze
- IT-Netz in der Liegenschaft Berlin
- IT-Netz in der Liegenschaft Bonn
Netz- und Systemmanagement
- Systemmanagement-Tool, Betrieb in Bonn
Firewall
- Anbindung der Liegenschaft Bonn an das Internet
E-Mail
- E-Mail-Nutzung in der Liegenschaft Bonn
WWW-Server
- Intranet in der Liegenschaft Bonn
TK-Anlage
- TK-Anlage in der Liegenschaft Berlin
- TK-Anlage in der Liegenschaft Bonn
Faxgerät
- Klasse (zwei Faxgeräte in Bonn)
- Faxgerät in Berlin

Schritt 5:

Sicherheit in Anwendungen

Für die Nutzung von Büro-Anwendungen gibt es im BOV ein behördenweites Konzept. Die Software
wird zentral über das Systemmanagement-Tool verteilt und gewartet. Die Kernanwendungen
(Datenbank-Applikationen) wurden eigens für das BOV entwickelt und werden kontinuierlich fortgeschrieben. Auch die zugehörigen Server- und Client-Komponenten werden über das Systemmanagement-Produkt gewartet. Der Baustein 9.1 Standardsoftware ist somit zweifach anzuwenden, nämlich
einmal für die Büro-Anwendungen und einmal für die Datenbank-Applikationen.
Die Datenbanksoftware ist auf dem Kommunikations-Server (Unix) in der Liegenschaft Bonn
installiert. Von dort aus erfolgt auch die Wartung und Überwachung der Anwendung. ClientComputer in der Liegenschaft Berlin greifen über die WAN-Verbindung auf diesen Server zu.
Entsprechend ist der Baustein 9.2 Datenbanken einmal für die Liegenschaft Bonn heranzuziehen.
9.1 Standardsoftware
- Büro-Anwendungen (behördenweit)
- Kernanwendungen (Datenbank-Applikationen, behördenweit)
9.2 Datenbanken
- Datenbanksoftware auf dem Kommunikations-Server
Schritt 6:

Prüfung auf Vollständigkeit

Bei dem gewählten Beispiel kann die Vollständigkeit der Modellierung anhand des Übersichtsplans
und der tabellarischen Zuordnungen sofort nachvollzogen werden. Bei großen IT-Anlagen, die komplex strukturiert sind oder viele verschiedene IT-Systeme oder Außenanbindungen haben, ist die
Prüfung auf Vollständigkeit jedoch ein substantieller Arbeitsschritt.

__________________________________________________________________________________________
43

IT-Grundschutzhandbuch: Stand Januar 2000

2.5
Vorgehensweise Basis-Sicherheitscheck
__________________________________________________________________________________________

2.5

Vorgehensweise
Basis-Sicherheitscheck

Die Struktur der Informationstechnik in einer Behörde
oder einem Unternehmen ist in der Regel durch eine
gewachsene Vernetzung gekennzeichnet. Aspekte der
IT-Sicherheit sind daher oftmals nicht von Anfang an
systematisch berücksichtigt, sondern nachträglich in das
Gesamtkonzept integriert worden. Hier ist es
wünschenswert, als Einstieg in die systematische
IT-Sicherheitskonzeption ein Verfahren heranzuziehen,
das den bestehenden Strukturen und den bereits
etablierten Sicherheitsmaßnahmen Rechnung trägt.

2UJDQLVDWLRQ
3HUVRQDO
)LUHZDOO

6HUYHUUDXP

0RGHP

8QL[6\VWHP

Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen Einstieg in die
IT-Sicherheitsproblematik einer bestehenden IT-Anlage bietet. Dazu wird überwiegend Interviewtechnik eingesetzt. Der Begriff IT-Anlage umfasst dabei alle technischen Komponenten, die
gemeinsam der Aufgabenerfüllung im Bereich der Informationsverarbeitung dienen. Zum
Untersuchungsumfang beim Basis-Sicherheitscheck gehören jedoch auch die organisatorischen,
personellen und infrastrukturellen IT-Sicherheitsaspekte.
Der Basis-Sicherheitscheck dient dazu,
- einen Überblick über das IT-Sicherheitsniveau des betrachteten Bereichs zu gewinnen,
- den Status Quo in Bezug auf den Umsetzungsgrad von Sicherheitsmaßnahmen des
IT-Grundschutzhandbuchs festzustellen,
- Verbesserungsmöglichkeiten durch noch umzusetzende IT-Sicherheitsmaßnahmen aufzuzeigen,
- Sofortmaßnahmen für den Schutz der IT-Anlage zu planen und
- Schwerpunkte für weitergehende IT-Sicherheitsanalysen zu ermitteln.
Ein Basis-Sicherheitscheck liefert wichtige Erkenntnisse für die Erstellung einer Sicherheitsleitlinie
und gibt Aufschluss über Schwachstellen und Risiken. Der Basis-Sicherheitscheck ist geeignet,
allgemein gehaltene IT-Sicherheitskonzepte und Verfahrensanweisungen auf ihre Effizienz und
Praxis-Tauglichkeit zu überprüfen und ggf. zu konkretisieren.
Das IT-Sicherheitsmanagement prüft, ob der Basis-Sicherheitscheck ein geeigneter Ansatz für die
vorliegende Problematik ist, und erarbeitet ggf. Vorschläge zum Untersuchungsumfang, d. h. welche
Bereiche der IT-Anlage in die Untersuchung einbezogen werden. Da die Durchführung eines BasisSicherheitschecks Personal bindet, sollte die Leitungsebene beteiligt werden und die Projektdurchführung anordnen.
Schritt 1:

Vorarbeiten

Zunächst ist es notwendig, sich mit den einzusetzenden Unterlagen und Arbeitsmitteln vertraut zu
machen. Ein idealer Einstieg ist das Lesen von Kapitel 1 und Kapitel 2 des IT-Grundschutzhandbuchs.
Dabei sollte ein grundlegendes Verständnis des allgemeinen Wirkungszusammenhangs zwischen
Gefahren für die IT-Grundwerte und konkreten Sicherheitsmaßnahmen zum Schutz der IT-Anlage
erarbeitet werden. Bei einem Basis-Sicherheitscheck wird die Umsetzung der Sicherheitsmaßnahmen
geprüft. Die Gefährdungslage fließt nicht in die Untersuchung ein.
Abhängig von der Größe einer Behörde bzw. eines Unternehmens und der vorhandenen Technik kann
es Teilbereiche in Maßnahmen geben, die nicht relevant sind und daher weggelassen werden können.

__________________________________________________________________________________________
44

IT-Grundschutzhandbuch: Stand Januar 2000

2.5
Vorgehensweise Basis-Sicherheitscheck
__________________________________________________________________________________________

Die vorhandenen Unterlagen des IT-Grundschutzhandbuchs sollten daher dahingehend geprüft
werden, ob eine Anpassung der Dokumente und Tabellen notwendig ist. Soweit die Projektierung
IT-gestützt durchgeführt werden soll, sind geeignete Dateiformate auszuwählen. Dabei ist
sicherzustellen, dass alle betroffenen Mitarbeiter über die nötige Hard- und Softwareausstattung
verfügen. Im Auftrag des BSI wurde das IT-Grundschutz-Tool zur Erstellung von
IT-Sicherheitskonzepten entwickelt, mit dem sich die Ergebnisse des Basis-Sicherheitschecks erfassen
und aufbereiten lassen.
Von Anfang an sollten Überlegungen bezüglich der Bewältigung des Projektmanagements und zur
späteren Revision angestrengt werden. Dabei ist der Aufwand für allgemeine organisatorische Belange
nicht zu unterschätzen: Der Projektablaufplan muss erstellt, Kontakt zur Leitungsebene hergestellt,
Freigaben für Arbeitszeitbedarf der Projektmitglieder erwirkt, Projektbesprechungen angesetzt, die
Bereitstellung von Besprechungsräumen sichergestellt, Termine mit Ansprechpartnern koordiniert
werden usw. Sorgfältige Vorarbeiten helfen dabei, einen möglichst reibungslosen Projektverlauf zu
erreichen. Es ist erforderlich, alle hausinternen Papiere, z. B. Organisationsverfügungen,
Arbeitshinweise, Sicherheitsanweisungen, Manuals und “informelle” Vorgehensweisen, die die
IT-sicherheitsrelevanten Abläufe regeln, zu sichten. Weiterhin ist zu klären, wer gegenwärtig für deren
Inhalt zuständig ist, um später möglichst genau die Ansprechpartner für durchzuführende Interviews
bestimmen zu können.
Als Nächstes sollte festgestellt werden, ob und in welchem Umfang externe Stellen bei der Projektbewältigung beteiligt werden sollen, beispielsweise externe Rechenzentren, vorgesetzte Behörden,
Firmen, die Teile des IT-Betriebes in Outsourcing bewältigen, oder Baubehörden, die für infrastrukturelle Maßnahmen zuständig sind.
Schritt 2:

Bildung einer Projektgruppe

Es hat sich in der Praxis bewährt, den Basis-Sicherheitscheck in einer Projektgruppe mit zwei bis vier
Mitgliedern durchzuführen. Der Projektleiter sollte der IT-Sicherheitsbeauftragte oder ein Mitglied des
IT-Sicherheitsmanagements sein. Seine Aufgabe ist es, den Kontakt zum Management herzustellen
und zu halten. Die Projektmitglieder müssen für die Durchführung des Projekts über genügend
Arbeitszeit verfügen und ggf. von ihrer üblichen Tätigkeit freigestellt werden. Die fachliche Kompetenz der Mitglieder sollte mindestens die Bereiche Informationstechnik, IT-Sicherheit und Verwaltungsorganisation umfassen. Aufgrund der heute allseits präsenten Vernetzung von IT-Systemen bietet
sich für den technischen Teil eine Person mit ausgeprägten Administrationskenntnissen an. Auf
bestehende Arbeitsgruppen oder Ausschüsse für IT-Sicherheit oder IT-Koordinierung sollte zurückgegriffen werden, wobei darauf zu achten ist, dass kein Interessenkonflikt zwischen den üblichen
Tätigkeiten eines Projektmitglieds und seiner Aufgaben während der Projektarbeit entsteht.
Vor Beginn der eigentlichen Projektarbeit sollten alle Verständnisfragen innerhalb des Teams geklärt
werden. Es sollte sichergestellt sein, dass in der Projektgruppe ausreichende Fachkenntnisse für die
Beurteilung aller relevanten Gefährdungen und die technische Umsetzung der Sicherheitsmaßnahmen
vorhanden sind. Gegebenenfalls ist die Zusammensetzung der Projektgruppe zu modifizieren oder zu
erweitern.
Schritt 3:

Abschätzung des Projektumfangs

Der Gesamtaufwand für die Durchführung eines Basis-Sicherheitschecks hängt sicherlich von der
Größe und der Komplexität der betrachteten IT-Anlage ab. Bei Behörden mittlerer Größe und hohem
IT-Durchdringungsgrad ist nach bisheriger Erfahrung des BSI ein Gesamtaufwand von ca. 200 bis 300
Personenstunden realistisch. Bei kontinuierlicher Bewältigung des Projektes sollte die Laufzeit ohne
Vorbereitungen ca. zwei bis drei Kalenderwochen nicht überschreiten. Es ist davon auszugehen, dass
sich der Gesamtaufwand in etwa wie folgt verteilt:

__________________________________________________________________________________________
45

IT-Grundschutzhandbuch: Stand Januar 2000

2.5
Vorgehensweise Basis-Sicherheitscheck
__________________________________________________________________________________________

10 % Projektvorbereitung
10 % Vorerhebung und Schutzbedarfsfeststellung
40 % Interviewtätigkeit
20 % Auswertung und Aufbereitung der Zwischenergebnisse
20 % Abschlussbericht und Präsentationen
Diese Abschätzungen beruhen auf Basis-Sicherheitschecks, die das BSI für Behörden unterschiedlicher Größe durchgeführt hat. Der Gesamtaufwand für die Durchführung des Projekts sollte
abgeschätzt und der Leitungsebene zur Genehmigung vorgelegt werden.
Schritt 4:

Interne Bekanntgabe der Projektdurchführung

Alle Mitarbeiter der Behörde bzw. des Unternehmens, die mit der zu untersuchenden IT-Anlage
arbeiten oder anderweitig von der Projektdurchführung betroffen sind, sollten darüber informiert
werden, dass ein Basis-Sicherheitscheck durchgeführt wird, warum er durchgeführt wird und was
damit langfristig erreicht werden soll.
Der Projektleiter sollte eine Vorlage für eine Bekanntgabe erarbeiten, die von der Behörden- bzw.
Unternehmensleitung unterzeichnet wird. Darin sollten die Namen der Projektmitglieder und deren
Aufgabe, sowie der Zeitraum und die Art der Untersuchung enthalten sein. Weiterhin sollten in dieser
Bekanntgabe die Mitarbeiter dazu aufgefordert werden, am gemeinsamen Ziel eines hohen
IT-Sicherheitsniveaus mitzuwirken. Gegebenenfalls sind elementare Bestandteile einer SicherheitsLeitlinie aufzunehmen. Die Bekanntgabe dient dazu, die Mitarbeiter im Hinblick auf die Zielsetzung
zu motivieren und den Stellenwert, den die Leitungsebene der IT-Sicherheit in der Behörde bzw. dem
Unternehmen beimisst, zu dokumentieren.
Schritt 5:

Vorerhebung

In jeder Organisationseinheit sollte eine Vielzahl von Informationen über die IT-Anlage vorhanden
sein. Dies können z. B. IT-Rahmenkonzepte, IT-Sicherheitskonzepte, IT-Bestandsverzeichnisse,
Verfahrensbeschreibungen oder Ähnliches sein. Diese Informationen sollten zusammengetragen und
für einen Überblick über die eingesetzte Informationstechnik und deren Vernetzung ausgewertet
werden. Soweit noch nicht vorhanden, sollten unbedingt graphische Übersichten der Netzstruktur
erstellt werden. Dies sollte in Absprache und mit Hilfe der IT-Verantwortlichen und der zuständigen
Mitarbeiter erfolgen. Am besten geeignet als Ausgangspunkt für einen Basis-Sicherheitscheck ist ein
sogenannter Netztopologieplan, in dem die vorliegende Netzstruktur, die aktiven Netzkomponenten,
die relevanten Server und eingesetzten Betriebssysteme und die Netzübergänge dargestellt sind.
Soweit noch nicht geschehen, sollte gemeinsam mit dem Management konkretisiert werden, wie die
Zuordnung der Auswirkungen von Schadensereignissen zu Schutzbedarfsklassen geschehen soll.
Insbesondere sind finanzielle Schäden einzuordnen, beispielsweise liegt die Orientierungshilfe des
IT-Grundschutzhandbuchs zwischen 25 und 5.000 TDM bei hohem Schutzbedarf. In Regel ist es
erforderlich, die in der Orientierungshilfe eingesetzten Wertezuweisungen an die Anforderungen der
betrachteten Behörde bzw. des betrachteten Unternehmens anzupassen.
Als Hilfsmittel für die Vorerhebung sind auf der CD-ROM zum IT-Grundschutzhandbuch im
Verzeichnis \HILFSMI\BSC\ Fragebögen enthalten. Diese Fragebögen sollten – ggf. nach Anpassung
an die vorliegenden Gegebenheiten an die entsprechenden Referatsleiter bzw. Systemverantwortlichen weitergeleitet werden. Wenn sichergestellt ist, dass alle Beteiligten über die geeignete Softwareausstattung verfügen, kann dies auch auf elektronischen Weg geschehen. Um den Projektzeitraum
überschaubar zu halten, sollte ein Abgabetermin festgesetzt und der Rücklauf anhand einer
Übersichtsliste kontrolliert werden. Ein Begleitschreiben, welches die Grundwerte und Schutz-

__________________________________________________________________________________________
46

IT-Grundschutzhandbuch: Stand Januar 2000

2.5
Vorgehensweise Basis-Sicherheitscheck
__________________________________________________________________________________________

bedarfskategorien kurz erläutert, sollte in Betracht gezogen werden. Falls mehrere Anwendungen auf
einem System betrieben werden, ist für die Ermittlung des Schutzbedarfs die Anwendung mit dem
höchsten Schutzbedarf ausschlaggebend.
Zusätzlich zu der Erfassung von IT-Systemen und IT-Netzen werden in den Vorerhebungsfragebögen
auch die Interviewpartner für die einzelnen Themenbereiche erfragt.
Schritt 6:

Modellierung der IT-Anlage

In diesem Schritt werden die Komponenten der vorliegenden IT-Anlage auf die Bausteine des
IT-Grundschutzhandbuchs abgebildet. Dies geschieht anhand der Informationen, die aus der Vorerhebung zurückfließen. Die Vorgehensweise für die Modellierung ist in Abschnitt 2.4.3 beschrieben und
verläuft in sechs Schritten. Als Ergebnis liegt eine vollständige Nachbildung aller Komponenten des
betrachteten Bereichs vor, wobei jeder Komponente i. Allg. mehrere Bausteine des
IT-Grundschutzhandbuchs zugeordnet sind.
Hinweise:
Wenn mehrere identische oder nahezu identische Komponenten vorliegen, ist es nicht erforderlich,
dass diese alle einzeln untersucht werden. Stattdessen sollte ein Stellvertreter oder – wenn es sich um
viele Komponenten handelt – einige Stichproben betrachtet werden. Wenn beispielsweise zwei
bauartgleiche Bürogebäude verwaltet werden, genügt es, eines mit dem Baustein 4.1 Gebäude zu
untersuchen. Dies gilt natürlich auch für gleichartige Stand-alone-Systeme, Notebooks usw. Für
identische IT-Systeme mit Netzanbindung ist es sowohl auf Seiten der Clients als auch der Server
möglich, Klassen zu bilden. Grundlage hierfür ist eine im Wesentlichen einheitliche Hard- und Softwareausstattung, gleiche Konfiguration sowie ein einheitliches Administrationskonzept.
Wie in Abschnitt 2.4.3 beschrieben, ist es für die Untersuchung der IT-Sicherheit im Netz meist
erforderlich, das Gesamtnetz in einfach strukturierte Teilnetze zu unterteilen. Grundsätzlich können
auch mehrere solcher Teilnetze gleichen Typs in eine Klasse zusammengefasst werden. Dies setzt
jedoch voraus, dass das Administrationskonzept, die innere Struktur sowie die Schnittstellen zu
anderen Teilnetzen und nach außen einheitlich sind.
Falls für die Überprüfung innerhalb des Basis-Sicherheitschecks mehrere Komponenten zu Klassen
zusammengefasst wurden, darf zum Abschluss nicht vergessen werden, im endgültigen Sicherheitskonzept wieder alle Komponenten aufzuführen oder zumindest die Zusammenfassung zu erläutern.
Die durch die Vorerhebung angeforderten Übersichten zur Netztopographie und Netztopologie
erleichtern abschließend die Vollständigkeitskontrolle, insbesondere in Bezug auf die eingesetzte
Hardware und die aktiven Netzkomponenten. Weiterhin bieten diese Pläne bei der späteren Ortsbegehung eine räumliche Orientierung über die Standorte der physikalischen Netzkomponenten.
Für jeden Baustein des IT-Grundschutzhandbuchs enthält die CD-ROM im Verzeichnis
WORD20/FORMULARE entsprechende Interview-Fragebögen. Diese Fragebögen dienen später
dazu, den Umsetzungsgrad der einzelnen Maßnahmen festzuhalten. Es hat sich bewährt, für jeden
Ansprechpartner im Interview eine Mappe mit den entsprechenden Fragebögen zusammenzustellen.
An dieser Stelle sollten auch Überlegungen einsetzen, welche Räumlichkeiten und technischen
Installationen in Form einer Begehung durch Projektmitglieder besichtigt werden sollen.

__________________________________________________________________________________________
47

IT-Grundschutzhandbuch: Stand Januar 2000

2.5
Vorgehensweise Basis-Sicherheitscheck
__________________________________________________________________________________________

Schritt 7:

Durchführung von Interviews

Ziel dieses Schritts ist, für jede Maßnahme aus den herangezogenen Bausteinen den Umsetzungsstatus
zu ermitteln. Mögliche Werte sind dabei:
"ja" "nein" -

Alle Empfehlungen in der Maßnahme sind vollständig und wirksam
umgesetzt.
Die Empfehlungen der Maßnahme sind größtenteils noch nicht umgesetzt.

"teilweise" -

Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur
teilweise.

"prinzipiell nicht" -

Die Empfehlungen der Maßnahme werden nicht umgesetzt. Den entsprechenden Gefährdungen wird auf andere Weise entgegengewirkt (z. B. durch
andere Maßnahmen, die nicht im IT-Grundschutzhandbuch aufgeführt
sind), oder sie sind nicht relevant (z. B. weil Dienste nicht aktiviert
wurden).

In der Regel wird der Umsetzungsstatus der einzelnen Maßnahmen über Interviews mit den entsprechenden Ansprechpartnern festgestellt. Insbesondere im Bereich Infrastruktur bietet es sich an,
zusätzlich gemeinsam mit dem Ansprechpartner stichprobenartig die zu untersuchenden Objekte vor
Ort zu besichtigen.
Für die anstehenden Interviews mit den Systemverantwortlichen und sonstigen Ansprechpartnern
sollte ein Terminplan - ggf. mit Ausweichterminen - erstellt werden. Je nachdem, welche Hierarchieebene auf den Vorerhebungsbögen als verantwortlich gemeldet wurde, sollte überprüft werden, ob es
sich dabei tatsächlich für alle Fragen des Bausteins um die kompetenten Ansprechpartner handelt.
Häufig ist es vorteilhaft, mehrere Personen gleichzeitig in die Interviews einzubeziehen. Dies muss
natürlich bei der Terminplanung berücksichtigt werden, vor allem wenn Ansprechpartner in anderen
Organisationseinheiten tätig sind.
Je nach Größe der Projektgruppe sollten für die Durchführung der Interviews Teams mit verteilten
Aufgaben gebildet werden. Es hat sich bewährt, in Gruppen mit je zwei Personen zu arbeiten, ggf.
notiert eine Person Anmerkungen zu den Antworten, die andere stellt die notwendigen Fragen.
Es ist nicht zu empfehlen, bei den Interviews den Text der Maßnahmenempfehlung vorzulesen, da er
für ein Zwiegespräch nicht konzipiert wurde. Deshalb ist die inhaltliche Kenntnis des Bausteins für
den Interviewer notwendig, hilfsweise sollten vorher griffige Checklisten mit Stichworten erstellt
werden. Um im Zweifelsfall Unstimmigkeiten klären zu können, ist es jedoch sinnvoll, den Volltext
der Maßnahmen griffbereit zu haben. Während des Interviews die Antworten direkt in einen PC
einzugeben, wird ebenfalls nicht empfohlen, da es alle Beteiligten ablenkt und für ungewollte Unterbrechungen der Kommunikation sorgt.
Es schafft eine entspannte, aufgelockerte und produktive Arbeitsatmosphäre, das Interview mit einleitenden Worten zu beginnen und den Zweck des Basis-Sicherheitschecks kurz vorzustellen. Es bietet
sich an, mit der Maßnahmenüberschrift fortzufahren und diese kurz zu erläutern. Besser als einen
Monolog zu führen ist es, dem Gegenüber die Möglichkeit zu geben, auf die bereits umgesetzten
Maßnahmenteile einzugehen, und danach noch offene Punkte zu besprechen. Die Befragungstiefe
richtet sich stets auf das Niveau von Standard-Sicherheitsmaßnahmen, darüber hinausgehende Aspekte
hochschutzbedürftiger Anwendungen sollten erst nach Abschluss des Basis-Sicherheitschecks
betrachtet werden.
Zum Abschluss jeder Maßnahme sollte den Befragten mitgeteilt werden, wie das Ergebnis ausgefallen
ist (Maßnahme erfüllt: ja/nein/teilweise/prinzipiell nicht), und die Entscheidung erläutert werden.

__________________________________________________________________________________________
48

IT-Grundschutzhandbuch: Stand Januar 2000

2.5
Vorgehensweise Basis-Sicherheitscheck
__________________________________________________________________________________________

Schritt 8:

Auswertung der Interviews

Bei der Auswertung der Interviews ist es wichtig, die durch die nicht bzw. teilweise nicht umgesetzten
Maßnahmen möglicherweise vorhandenen Schadenspotentiale zu betrachten, zu bewerten und zu
priorisieren. Das BSI hat für jede Maßnahme als Anhaltspunkt eine Umsetzungspriorisierung
vorgegeben (1 = Maßnahme ist umgehend umzusetzen, 2 = Maßnahme ist möglichst zeitnah umzusetzen, 3 = Maßnahme ist in Abhängigkeit verfügbarer Ressourcen umzusetzen). Prinzipiell bedeutet
jede Lücke eine Schwachstelle, die ein Risikopotential birgt, welches bei Vorliegen bestimmter
Voraussetzungen zu einem Schaden führen kann.
Es gilt festzustellen, welche Schwachstellen besonders gravierend sind, z. B. Gefahr für Leib und
Leben bergen können. Weiterhin sind Schwachstellen zu identifizieren, die in Verbindung mit anderen
Schwachstellen ein verstärktes Schadenspotential mit sich bringen. Auf Grundlage der Bewertung
sollte eine Priorisierung vorgenommen werden, in die auch der Schutzbedarf des betroffenen
IT-Systems mit einzubeziehen ist. Darüber hinaus ist in die Betrachtung einzubringen, ob im Verlauf
der Interviews bereits Schadensfälle bekannt wurden, ggf. sind diese natürlich in der Priorisierung der
noch zu veranlassenden Maßnahmen hoch einzustufen. Auf diese Weise ergibt sich eine Priorisierung
für die Vervollständigung des IT-Grundschutzes, die sich u. U. von der vom BSI vorgeschlagenen
Priorisierung unterscheidet, die jedoch die speziellen Gegebenheiten in der betrachteten Behörde bzw.
im betrachteten Unternehmen berücksichtigt. Für die noch zu veranlassenden Maßnahmen sollte ein
Zeitplan aufgestellt, die Verantwortlichen für die Umsetzung der Maßnahmen benannt und die
entstehenden Kosten ermittelt werden.
Zu beachten ist, dass für Anwendungen mit hohem und sehr hohem Schutzbedarf allein durch die
Umsetzung der Standard-Sicherheitsmaßnahmen des IT-Grundschutzhandbuchs kein ausreichendes
Schutzniveau garantiert werden kann. Das BSI empfiehlt hierbei, zusätzlich zum IT-Grundschutz eine
Risikoanalyse durchzuführen.
Falls der Basis-Sicherheitscheck die Grundlage für ein noch zu erstellendes IT-Sicherheitskonzept
darstellen soll, ist der Einsatz des IT-Grundschutz-Tools zur Auswertung der Interviews zu empfehlen.
Schritt 9:

Ergebnispräsentation

Die Ergebnisse des Basis-Sicherheitscheck sollten in anschaulicher Form zusammengeführt werden. In
jedem Fall sollte eine Zusammenfassung der wichtigsten Ergebnisse innerhalb eines ManagementReports erfolgen. Die Leitungsebene ist über die größten Risiken, die durch den Basis-Sicherheitscheck aufgedeckt wurden, zu informieren. Sie hat in Bezug auf Kostenverfügungen Entscheidungen zu
treffen. Besonders kritisch sind Maßnahmenempfehlungen, die Baumaßnahmen bedingen und u. U.
mehrjährigen Vorlauf benötigen. Je nach Risikolage sind Zwischenlösungen zu erwägen. Außerdem
sollten langfristige Ziele und Perspektiven der zu verfolgenden IT-Sicherheitsleitlinie aufgezeigt
werden.
Abhängig von der Größe der Gesamtorganisation sollte zusätzlich eine Aufbereitung als Vortrag oder
als Unterlage für ein Diskussions-Forum überlegt werden und eine Kurzform allen Mitarbeitern - z. B.
über Intranet - zugänglich gemacht werden.
Schließlich ist festzulegen, in welcher Form eine Umsetzungskontrolle stattzufinden hat und ggf. ob
und wann erneut ein Basis-Sicherheitscheck durchgeführt werden soll.

__________________________________________________________________________________________
49

IT-Grundschutzhandbuch: Stand Januar 2000

3
IT-Grundschutz übergeordneter Komponenten
__________________________________________________________________________________________

3

IT-Grundschutz übergeordneter Komponenten

In diesem Kapitel werden übergeordnete oder grundlegende IT-Grundschutzmaßnahmen zu folgenden
Themen vorgestellt.

3.1

Organisation

3.2

Personal

3.3

Notfallvorsorge-Konzept

3.4

Datensicherungskonzept

3.5

Datenschutz

3.6

Computer-Virenschutzkonzept

3.7

Kryptokonzept

3.8

Behandlung von Sicherheitsvorfällen

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Januar 2000

3.1
Organisation
__________________________________________________________________________________________

3.1

Organisation

Beschreibung
In diesem Kapitel werden allgemeine und übergreifende
Maßnahmen im Organisationsbereich aufgeführt, die als
organisatorische Standardmaßnahmen zur Erreichung
eines Mindestschutzniveaus erforderlich sind. Spezielle
Maßnahmen organisatorischer Art, die in unmittelbarem
Zusammenhang mit anderen Maßnahmen stehen (z. B.
LAN-Administration), werden in den entsprechenden
Kapiteln aufgeführt.

Gefährdungslage
In diesem Kapitel werden für den IT-Grundschutz die folgenden typischen Gefährdungen betrachtet:
Organisatorischer Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.2
Unzureichende Kenntnis über Regelungen
- G 2.3
Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.4
Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.5
Fehlende oder unzureichende Wartung
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.8
Unkontrollierter Einsatz von Betriebsmitteln
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.10
Nicht fristgerecht verfügbare Datenträger
Menschliche Fehlhandlungen:
- G 3.1
Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Organisation" vorgestellt:
Organisation:
- M 2.1 (2)
- M 2.2 (2)
- M 2.3 (2)
- M 2.4 (2)
- M 2.5 (1)
- M 2.6 (1)
- M 2.7 (1)
- M 2.8 (1)
- M 2.9 (2)
- M 2.10 (2)

Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz
Betriebsmittelverwaltung
Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Aufgabenverteilung und Funktionstrennung
Vergabe von Zutrittsberechtigungen
Vergabe von Zugangsberechtigungen
Vergabe von Zugriffsrechten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Januar 2000

3.1
Organisation
__________________________________________________________________________________________

-

M 2.11
M 2.12
M 2.13
M 2.14
M 2.37
M 2.39
M 2.40
M 2.62
M 2.69
M 2.110
M 2.167
M 2.177
M 2.182

(1)
(3)
(2)
(2)
(2)
(2)
(2)
(2)
(2)
(2)
(2)
(2)
(2)

Regelung des Passwortgebrauchs
Betreuung und Beratung von IT-Benutzern (optional)
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Schlüsselverwaltung
"Der aufgeräumte Arbeitsplatz"
Reaktion auf Verletzungen der Sicherheitspolitik
Rechtzeitige Beteiligung des Personal-/Betriebsrates
Software-Abnahme- und Freigabe-Verfahren
Einrichtung von Standardarbeitsplätzen
Datenschutzaspekte bei der Protokollierung
Sicheres Löschen von Datenträgern
Sicherheit bei Umzügen
Regelmäßige Kontrollen der IT-Sicherheitsmaßnahmen

ˆ

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Januar 2000

3.2
Personal
__________________________________________________________________________________________

3.2

Personal

Beschreibung
In diesem Kapitel werden die übergeordneten IT-Grundschutzmaßnahmen erläutert, die im Bereich Personalwesen standardmäßig durchgeführt werden sollten.
Beginnend mit der Einstellung von Mitarbeitern bis hin
zu deren Ausscheiden ist eine Vielzahl von Maßnahmen
erforderlich. Personelle Maßnahmen, die an eine
bestimmte Funktion gebunden sind wie z. B. die
Ernennung des Systemadministrators eines LAN, werden
in den IT-spezifischen Kapiteln angeführt.
Gefährdungslage
In diesem Kapitel werden für den IT-Grundschutz die folgenden typischen Gefährdungen betrachtet:
Höhere Gewalt:
- G 1.1
Personalausfall
Organisatorische Mängel
- G 2.2
Unzureichende Kenntnis über Regelungen
Menschliche Fehlhandlungen:
- G 3.1
Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.8
Fehlerhafte Nutzung des IT-Systems
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.42
Social Engineering
Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Personal" vorgestellt:
Personal:
- M 3.1
- M 3.2

(1)
(2)

-

(1)
(1)
(1)
(2)
(3)
(3)

M 3.3
M 3.4
M 3.5
M 3.6
M 3.7
M 3.8

Geregelte Einarbeitung/Einweisung neuer Mitarbeiter
Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften
und Regelungen
Vertretungsregelungen
Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern
Anlaufstelle bei persönlichen Problemen (optional)
Vermeidung von Störungen des Betriebsklimas (optional)

ˆ

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Juli 1999

3.3
Notfallvorsorge-Konzept
__________________________________________________________________________________________

3.3

Notfallvorsorge-Konzept

Beschreibung
Die Notfallvorsorge umfaßt Maßnahmen, die auf die
Wiederherstellung der Betriebsfähigkeit nach (technisch
bedingtem bzw. durch fahrlässige oder vorsätzliche
Handlungen herbeigeführten) Ausfall eines IT-Systems
ausgerichtet sind. Abhängig vom Zeitpunkt der
Realisierung dieser Maßnahmen lassen sich vier Phasen
der Notfallvorsorge unterscheiden:

Phase 1: Planung der Notfallvorsorge
In dieser Phase werden die individuell für ein IT-System geeigneten und wirtschaftlich
angemessenen Maßnahmen identifiziert. Es wird festgelegt, welche Maßnahmen während des
Betriebes eines IT-Systems (z. B. Rauchverbot, unterbrechungsfreie Stromversorgung, Wartung,
Datensicherung) durchzuführen sind, damit ein Notfall verhindert bzw. der Schaden aufgrund eines
Notfalls vermindert wird. Darüber hinaus wird in Notfallplänen, die Bestandteile eines
Notfallhandbuchs sind, festgeschrieben, welche Maßnahmen bei Eintreten eines Notfalls
durchgeführt werden müssen.
Phase 2: Umsetzung der den IT-Betrieb begleitenden Notfallvorsorgemaßnahmen
In Phase 2 werden die Notfallvorsorgemaßnahmen realisiert und aufrechterhalten, die schon vor
Eintritt eines Notfalls durchgeführt sein müssen, um die Eintrittswahrscheinlichkeit eines Notfalls
zu verringern oder um eine zügige und wirtschaftliche Wiederherstellung der Betriebsfähigkeit zu
ermöglichen.
Phase 3: Durchführung von Notfallübungen
Von besonderer Bedeutung ist die Durchführung von Notfallübungen zeitgleich zu Phase 2, um die
Umsetzung der im Notfall-Handbuch aufgeführten Maßnahmen einzuüben und deren Effizienz zu
steigern.
Phase 4: Umsetzung geplanter Maßnahmen nach Eintreten eines Notfalls
Ist autorisiert entschieden worden, daß ein Notfall vorliegt, so sind die für diesen Fall geplanten
und im Notfall-Handbuch niedergelegten Maßnahmen unverzüglich umzusetzen.
Um eine unter Wirtschaftlichkeitsgesichtspunkten angemessene Notfallvorsorge betreiben zu können,
müssen die entstehenden Kosten dem potentiellen Schaden (Kosten aufgrund mangelnder
Verfügbarkeit im Notfall) gegenübergestellt und bewertet werden. Als Kosten sind zu betrachten:
- Kosten für die Erstellung eines Notfallvorsorgekonzeptes,
- Kosten für die Realisierung und Aufrechterhaltung der den IT-Betrieb begleitenden
Notfallvorsorgemaßnahmen,
- Kosten für Notfallübungen und
- Kosten für die Wiederherstellung der Betriebsfähigkeit.

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Juli 1999

3.3
Notfallvorsorge-Konzept
__________________________________________________________________________________________

In diesem Kapitel soll ein systematischer Weg aufgezeigt werden, wie ein Notfall-Handbuch erstellt
und dessen Anwendung geübt werden kann. Damit sind Teile der Phase 1 und die Phasen 3 und 4
betroffen. Die in Phase 2 umzusetzenden Maßnahmen setzen eine individuelle Betrachtung des ITSystems und der Einsatzumgebung voraus. Diese Maßnahmen werden in den jeweiligen umfeld- und
systemspezifischen Bausteinen dieses Handbuchs behandelt.
Der Aufwand zur Erstellung eines Notfall-Handbuchs einschließlich der notwendigen begleitenden
Maßnahmen ist beträchtlich. Daher kann dieses Kapitel insbesondere für
- IT-Systeme mit hohen Verfügbarkeitsanforderungen,
- größere IT-Systeme (Großrechner, große Unix-Systeme, umfangreiche Netze) oder
- eine größere Anzahl räumlich konzentrierter IT-Systeme
sinnvoll eingesetzt werden.

Gefährdungslage
In diesem Kapitel wird für den IT-Grundschutz die Gefährdung

-

G 1.2

Ausfall des IT-Systems

stellvertretend für alle Gefährdungen betrachtet, durch die ein Ausfall herbeigeführt werden kann.

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Die Bearbeitung der Maßnahmen sollte in der angegebenen Reihenfolge geschehen, um systematisch
ein Notfall-Handbuch zu erarbeiten.
Notfallvorsorge:
- M 6.1 (2)
- M 6.2 (2)
- M 6.3 (2)
- M 6.4 (2)
- M 6.5 (2)
- M 6.6 (2)
- M 6.7 (2)
- M 6.8 (1)
- M 6.9 (1)
- M 6.10 (2)
- M 6.11 (2)
- M 6.13 (2)
- M 6.14 (3)
- M 6.15 (3)
- M 6.16 (2)
- M 6.12 (1)

Erstellung einer Übersicht über Verfügbarkeitsanforderungen
Notfall-Definition, Notfall-Verantwortlicher
Erstellung eines Notfall-Handbuches
Dokumentation der Kapazitätsanforderungen der IT-Anwendungen
Definition des eingeschränkten IT-Betriebs
Untersuchung interner und externer Ausweichmöglichkeiten
Regelung der Verantwortung im Notfall
Alarmierungsplan
Notfall-Pläne für ausgewählte Schadensereignisse
Notfall-Plan für DFÜ-Ausfall
Erstellung eines Wiederanlaufplans
Erstellung eines Datensicherungsplans
Ersatzbeschaffungsplan
Lieferantenvereinbarungen (optional)
Abschließen von Versicherungen (optional)
Durchführung von Notfallübungen

ˆ

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Juli 1999

3.4
Datensicherungskonzept
__________________________________________________________________________________________

3.4

Datensicherungskonzept

Beschreibung
Durch technisches Versagen, versehentliches Löschen
oder durch Manipulation können gespeicherte Daten
unbrauchbar werden bzw. verloren gehen. Eine
Datensicherung soll gewährleisten, daß durch einen
redundanten Datenbestand der IT-Betrieb kurzfristig
wiederaufgenommen werden kann, wenn Teile des
operativen Datenbestandes verloren gehen.

Diskette 4
Diskette 3
Diskette 2
Diskette 1
11.10.96

Diskette 4
Diskette 3
Diskette 2
Diskette 1
18.10.96

Diskette 4
Diskette 3
Diskette 2
Diskette 1
25.10.96

3. Generation
2. Generation
1. Generation

Die
Konzeption
einer
angemessenen
und
funktionstüchtigen Datensicherung bedarf allerdings
aufgrund der Komplexität einer geordneten Vorgehensweise. In diesem Kapitel wird ein Weg
beschrieben, wie für ein IT-System ein Datensicherungskonzept erstellt werden kann.

Gefährdungslage
Für die mittels eines Datensicherungskonzepts zu schützenden Daten wird für den IT-Grundschutz
folgende typische Gefährdung angenommen:
Technisches Versagen:
- G 4.13
Verlust gespeicherter Daten

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Datensicherungskonzept" vorgestellt, das
vor allem für größere IT-Systeme oder IT-Systeme mit großem Datenvolumen sinnvoll ist. Die
Bearbeitung der Maßnahmen sollte in der angegebenen Reihenfolge geschehen, um systematisch ein
Datensicherungskonzept zu erarbeiten.

Notfallvorsorge:
- M 6.36 (1)
- M 6.37 (2)
- M 6.33 (2)
- M 6.34 (2)
- M 6.35 (2)
- M 6.41 (1)

Festlegung des Minimaldatensicherungskonzeptes
Dokumentation der Datensicherung
Entwicklung eines Datensicherungskonzepts (optional)
Erhebung der Einflußfaktoren der Datensicherung (optional)
Festlegung der Verfahrensweise für die Datensicherung (optional)
Übungen zur Datenrekonstruktion

Organisation:
- M 2.41 (2)
- M 2.137 (2)

Verpflichtung der Mitarbeiter zur Datensicherung
Beschaffung eines geeigneten Datensicherungssystems

ˆ

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Juli 1999

3.5
Datenschutz
__________________________________________________________________________________________

3.5

Datenschutz

Beschreibung
Aufgabe des Datenschutzes ist es, den einzelnen davor zu
schützen, daß er durch den Umgang mit seinen
personenbezogenen Daten in seinem Recht beeinträchtigt
wird, selbst über die Preisgabe und Verwendung seiner
Daten zu bestimmen ("informationelles Selbstbestimmungsrecht").
Aufgrund der engen Verflechtung von Datenschutz und
IT-Sicherheit sollte es Ziel eines IT-Grundschutzkapitels
zum Thema "Datenschutz" sein, einerseits die Rahmenbedingungen für den Datenschutz praxisgerecht aufzubereiten und andererseits die Verbindung zur ITSicherheit über den IT-Grundschutz aufzubauen.
Ein Vorschlag für ein solches IT-Grundschutzkapitel "Datenschutz" wurde federführend vom
Bundesbeauftragten für den Datenschutz gemeinsam mit dem Arbeitskreis Technik der
Datenschutzbeauftragten des Bundes und der Länder erstellt. Es richtet sich an die öffentlichen Stellen
des Bundes und der Länder, die privaten Anbieter von Telekokmmunikationsdiensten und
Postdienstleistungen.
Dieser Vorschlag kann beim Bundesbeauftragten für den Datenschutz per E-Mail angefordert werden
unter der Adresse:
heinz.biermann@bfd.bund400.de
oder
X.400: C=de, A=bund; P=bfd; S=biermann; G=heinz

Darüber hinaus kann dieser Vorschlag auch auf dem Internet-Server des Bundesbeauftragten für den
Datenschutz unter der Adresse www.bfd.bund.de nachgelesen werden. In Vorbereitung befindet sich
darüber hinaus eine Download-Möglichkeit dieses Vorschlagkapitels, das für die Lose-Blattsammlung
des IT-Grundschutzhandbuchs vorformatiert ist.

ˆ

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

3.6
Computer-Virenschutzkonzept
__________________________________________________________________________________________

3.6

Computer-Virenschutzkonzept

Beschreibung
Ziel eines Computer-Virenschutzkonzeptes ist es, ein
geeignetes Maßnahmenbündel zusammenzustellen, bei
dessen Einsatz das Auftreten von Computer-Viren auf
den in einer Organisation eingesetzten IT-Systemen verhindert bzw. möglichst früh erkannt wird, um Gegenmaßnahmen vornehmen zu können und evtl. mögliche
Schäden zu minimieren. Wesentlicher Aspekt des
Schutzes vor Computer-Viren ist die konsequente
Aufrechterhaltung der Maßnahmen und die ständige
Aktualisierung technischer Gegenmaßnahmen. Diese
Forderung begründet sich durch die permanent neu auftauchenden Computer-Viren oder deren
Varianten. Auch durch die Weiterentwicklung von Betriebssystemen, Programmiersprachen und
Anwendungssoftware müssen die sich hieraus ergebenden möglichen Angriffspotentiale für
Computer-Viren beachtet werden und rechtzeitig geeignete Gegenmaßnahmen eingeleitet werden.
Da in Behörden oder Unternehmen Rechner in zunehmendem Maße in lokale Netze integriert werden
oder ein Anschluß an öffentliche Kommunikationsnetze erfolgt, werden über die Weitergabe über
Disketten hinaus zusätzliche Schnittstellen geschaffen, über die eine Infektion mit Computer-Viren
erfolgen kann. Dies erfordert es oftmals, daß eine permanente Kontrolle der eingesetzten Rechner auf
Computer-Viren vorgenommen wird.
Um für eine Gesamtorganisation einen effektiven Computer-Virenschutz zu erreichen, wird in diesem
Kapitel die Vorgehensweise zur Erstellung und Realisierung eines Viren-Schutzkonzeptes in einzelnen
Schritten erläutert. Maßnahmenempfehlungen zum Computer-Virenschutz für einzelne IT-Systeme
finden sich in den entsprechenden Kapiteln 5 und 6.
Gefährdungslage
Für den IT-Grundschutz werden bezüglich Computer-Viren die folgenden typischen Gefährdungen
betrachtet:
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.2
Unzureichende Kenntnis über Regelungen
- G 2.3
Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.4
Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.8
Unkontrollierter Einsatz von Betriebsmitteln
- G 2.9
Mangelhafte Anpassung an Veränderungen des IT-Einsatzes
- G 2.26
Fehlendes oder unzureichendes Test- und Freigabeverfahren
Menschliche Fehlhandlungen:
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
Vorsätzliche Handlungen:
Manipulation an Daten oder Software
- G 5.2
Trojanische Pferde
- G 5.21
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren
- G 5.80
Hoax

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Juli 1999

3.6
Computer-Virenschutzkonzept
__________________________________________________________________________________________

Maßnahmenempfehlungen
Bei der Erstellung eines Computer-Viren-Schutzkonzepts (vgl. M 2.154 Erstellung eines ComputerVirenschutzkonzepts) muß zunächst ermittelt werden, welche der vorhandenen oder geplanten ITSysteme in das Computer-Viren-Schutzkonzept einzubeziehen sind (siehe M 2.155 Identifikation
potentiell von Computer-Viren betroffener IT-Systeme). Für diese IT-Systeme müssen die für die
Umsetzung von Sicherheitsmaßnahmen relevanten Einflußfaktoren betrachtet werden. Darauf aufbauend können dann die technischen und organisatorischen Maßnahmen ausgewählt werden. Hierzu ist
insbesondere die Auswahl geeigneter technischer Gegenmaßnahmen wie Computer-Viren-Suchprogramme zu beachten (siehe M 2.156 Auswahl einer geeigneten Computer-Virenschutz-Strategie
und M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms). Neben der Einrichtung
eines Meldewesens (Vgl. M 2.158 Meldung von Computer-Virusinfektionen) und der Koordinierung
der Aktualisierung eingesetzter Schutzprodukte (vgl. M 2.159 Aktualisierung der eingesetzten
Computer-Viren-Suchprogramme) sind für die Umsetzung des Konzeptes eine Reihe von Regelungen
zu vereinbaren (vgl. M 2.11 Regelungen zum Computer-Virenschutz), in denen zusätzlich notwendige
Maßnahmen zum Virenschutz festgelegt werden.
Eine der wichtigsten Vorbeugemaßnahmen gegen Schäden durch Computer-Viren ist die regelmäßige
Datensicherung (siehe M 6.32 Regelmäßige Datensicherung).
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmebündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen. Als zusätzliche Literatur ist Band 2
der Schriftenreihe zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik "
Informationen zu Computer-Viren" zu empfehlen.
Organisation:
- M 2.154 (1)
- M 2.155 (2)
- M 2.156 (2)
- M 2.157 (2)
- M 2.158 (2)
- M 2.159 (2)
- M 2.160 (2)
- M 2.9 (3)
- M 2.10 (3)
- M 2.34 (2)
- M 2.35 (2)

Erstellung eines Computer-Virenschutzkonzepts
Identifikation potentiell von Computer-Viren betroffener IT-Systeme
Auswahl einer geeigneten Computer-Virenschutz-Strategie
Auswahl eines geeigneten Computer-Viren-Suchprogramms
Meldung von Computer-Virusinfektionen
Aktualisierung der eingesetzten Computer-Viren-Suchprogramme
Regelungen zum Computer-Virenschutz
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Dokumentation der Veränderungen an einem bestehenden System
Informationsbeschaffung über Sicherheitslücken des Systems

Personal:
- M 3.4
- M 3.5

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen

(2)
(2)

Hardware/Software:
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.33 (2) Einsatz eines Viren-Suchprogrammes bei Datenträgeraustausch und
Datenübertragung
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
- M 4.84 (2) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (2) Erstellen einer PC-Notfalldiskette
- M 6.32 (1) Regelmäßige Datensicherung

ˆ

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Juli 1999

3.7
Kryptokonzept
__________________________________________________________________________________________

Kryptokonzept

ABC

Beschreibung

ABC

3.7

Dieser Baustein beschreibt eine Vorgehensweise, wie in
einer heterogenen Umgebung sowohl die lokal gespeicherten Daten als auch die zu übertragenen Daten
wirkungsvoll durch kryptographische Verfahren und
0100011101001000
Techniken geschützt werden können. Dazu wird
beschrieben, wie und wo in einer heterogenen Umgebung
kryptographische Verfahren und die entsprechenden
Komponenten eingesetzt werden können. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe
Einflußfaktoren zu betrachten sind, sollte hierfür ein Kryptokonzept erstellt werden.

In diesem Baustein wird daher beschrieben, wie ein Kryptokonzept erstellt werden kann. Beginnend
mit der Bedarfsermittlung und der Erhebung der Einflußfaktoren geht es über die Auswahl geeigneter
kryptographischer Lösungen und Produkte bis hin zur Sensibilisierung und Schulung der Anwender
und zur Krypto-Notfallvorsorge.
Dieser Baustein kann auch herangezogen werden, wenn nur ein kryptographisches Produkt für eines
der möglichen Einsatzfelder ausgewählt werden soll. Dann können einige der im folgenden beschriebenen Schritte ausgelassen werden und nur die für das jeweilige Einsatzfeld relevanten Teile bearbeitet werden.
Für die Umsetzung dieses Bausteins sollte ein elementares Verständnis der grundlegenden kryptographischen Mechanismen vorhanden sein. Ein Überblick über kryptographische Grundbegriffe findet
sich in M 3.23 Einführung in kryptographische Grundbegriffe.
Gefährdungslage
Kryptographische Verfahren werden eingesetzt zur Gewährleistung von
- Vertraulichkeit,
- Integrität,
- Authentizität und
- Nichtabstreitbarkeit.
Daher werden für den IT-Grundschutz primär die folgenden Gefährdungen für kryptographische
Verfahren betrachtet:
- G 4.33
Schlechte oder fehlende Authentikation
- G 5.85
Integritätsverlust schützenswerter Informationen
- G 5.27
Nichtanerkennung einer Nachricht
- G 5.71
Vertraulichkeitsverlust schützenswerter Informationen
Werden kryptographische Verfahren eingesetzt, sollten für den IT-Grundschutz zusätzlich folgende
Gefährdungen betrachtet werden:
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.2
Unzureichende Kenntnis über Regelungen
- G 2.4
Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.19
Unzureichendes Schlüsselmanagement bei Verschlüsselung

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Juli 1999

3.7
Kryptokonzept
__________________________________________________________________________________________

Menschliche Fehlhandlungen:
- G 3.1
Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.32
Verstoß gegen rechtliche Rahmenbedingungen beim Einsatz von kryptographischen Verfahren
- G 3.33
Fehlbedienung von Kryptomodulen
Technisches Versagen:
- G 4.22
Software-Schwachstellen oder -Fehler (hier: schwache Verschlüsselungsverfahren)
- G 4.34
Ausfall eines Kryptomoduls
- G 4.35
Unsichere kryptographische Algorithmen
- G 4.36
Fehler in verschlüsselten Daten
Vorsätzliche Handlungen:
- G 5.81
Unautorisierte Benutzung eines Kryptomoduls
- G 5.82
Manipulation eines Kryptomoduls
- G 5.83
Kompromittierung kryptographischer Schlüssel
- G 5.84
Gefälschte Zertifikate

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Darüber hinaus sind im Bereich kryptographische Verfahren im wesentlichen die folgenden Schritte
durchzuführen:
1. Entwicklung eines Kryptokonzepts (siehe M 2.161)
Der Einsatz kryptographischer Verfahren wird von einer großen Zahl von Einflußfaktoren
bestimmt. Das IT-System, das Datenvolumen, das angestrebte Sicherheitsniveau und die Verfügbarkeitsanforderungen sind einige dieser Faktoren. Daher sollte zunächst ein Konzept entwickelt
werden, in dem alle Einflußgrößen und Entscheidungskriterien für die Wahl eines konkreten
kryptographischen Verfahrens und der entsprechenden Produkte berücksichtigt werden und das
gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.
2. Ermittelung der Anforderungen an die kryptographischen Verfahren
Es muß ein Anforderungskatalog erstellt werden, in dem die Einflußgrößen und die Entscheidungskriterien beschrieben werden, die einem Einsatz von kryptographischen Verfahren zugrunde
liegen (siehe M 2.162 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte
und M 2.163 Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte).
Kryptographische Verfahren können auf den verschiedenen Schichten des ISO/OSI-Schichtenmodells eingesetzt werden. Je nach den festgestellten Anforderungen oder Gefährdungen ist der
Einsatz auf bestimmten Schichten zu empfehlen (siehe auch M 4.90 Einsatz von kryptographischen
Verfahren auf den verschiedenen Schichten des ISO/OSI-Referenzmodells).
3. Auswahl geeigneter kryptographischer Verfahren (M 2.164)
Bei der Auswahl von kryptographischen Verfahren steht zunächst die Frage, ob symmetrische,
asymmetrische oder hybride Algorithmen geeignet sind, im Vordergrund und dann die Mechanismenstärke. Anschließend sind geeignete Produkte zu bestimmen.

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Juli 1999

3.7
Kryptokonzept
__________________________________________________________________________________________

4. Auswahl eines geeigneten kryptographischen Produktes (M 2.165 Auswahl eines geeigneten
kryptographischen Produktes)
Nachdem alle Rahmenbedingungen bestimmt worden sind, muß ein Produkt ausgewählt werden,
das die im Kryptokonzept dargelegte Sicherheitsfunktionalität bietet. Ein solches Produkt, im folgenden kurz Kryptomodul genannt, kann dabei aus Hardware, Software, Firmware oder aus einer
diesbezüglichen Kombination sowie der zur Durchführung der Kryptoprozesse notwendigen Bauteilen wie Speicher, Prozessoren, Busse, Stromversorgung etc. bestehen. Ein Kryptomodul kann
zum Schutz von sensiblen Daten bzw. Informationen in unterschiedlichsten Rechner- oder Telekommunikationssystemen Verwendung finden.
5. Geeigneter Einsatz der Kryptomodule (M 2.166 Regelung des Einsatzes von Kryptomodulen)
Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an ein Kryptomodul
gestellt werden. Neben der Sicherheit der durch das Kryptomodul zu schützenden Daten geht es
schwerpunktmäßig auch darum, das Kryptomodul selbst gegen unmittelbare Angriffe und Fremdeinwirkung zu schützen.
6. Die sicherheitstechnischen Anforderungen an die IT-Systeme, auf denen die kryptographischen
Verfahren eingesetzt werden, sind den jeweiligen systemspezifischen Bausteinen zu entnehmen. So
finden sich die Bausteine für Clients (inkl. Laptops) in Kapitel 5, die für Server in Kapitel 6.
7. Notfallvorsorge, hierzu gehören
-

die Datensicherung bei Einsatz kryptographischer Verfahren (siehe M 6.56), also die Sicherung der Schlüssel, der Konfigurationsdaten der eingesetzten Produkte, der verschlüsselten
Daten,

-

die Informationsbeschaffung über sowie die Reaktion auf Sicherheitslücken.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Kryptokonzept" vorgestellt. Auf eine
Wiederholung von Maßnahmen anderer Kapitel wird hier verzichtet.

Organisation:
- M 2.161 (1)
- M 2.162 (1)
- M 2.163 (1)
- M 2.164 (1)
- M 2.165 (1)
- M 2.166 (1)
- M 2.35 (1)
- M 2.39 (2)
- M 2.46 (2)

Entwicklung eines Kryptokonzepts
Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte
Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte
Auswahl eines geeigneten kryptographischen Verfahrens
Auswahl eines geeigneten kryptographischen Produktes
Regelung des Einsatzes von Kryptomodulen
Informationsbeschaffung über Sicherheitslücken des Systems
Reaktion auf Verletzungen der Sicherheitspolitik
Geeignetes Schlüsselmanagement

Personal:
- M 3.4 (1)
- M 3.5 (1)
- M 3.23 (1)

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Einführung in kryptographische Grundbegriffe

Hardware/Software:
- M 4.85 (3) Geeignetes Schnittstellendesign bei Kryptomodulen (optional)
- M 4.86 (2) Sichere Rollenzuteilung und Konfiguration der Kryptomodule
- M 4.87 (2) Physikalische Sicherheit von Kryptomodulen (optional)
- M 4.88 (2) Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen

__________________________________________________________________________________________
13

IT-Grundschutzhandbuch: Stand Juli 1999

3.7
Kryptokonzept
__________________________________________________________________________________________

- M 4.89 (3)
- M 4.90 (3)

Abstrahlsicherheit (optional)
Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des
ISO/OSI-Referenzmodells

Notfallvorsorge:
- M 6.56 (2) Datensicherung bei Einsatz kryptographischer Verfahren

Viele andere Bausteine enthalten Maßnahmen, die das Thema kryptographische Verfahren berühren
und die als Realisierungsbeispiele betrachtet werden können. Dazu gehören z. B.:
-

M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare PCs

-

M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen

-

M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen

-

M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes

-

M 4.72 Datenbank-Verschlüsselung

-

M 5.33 Absicherung der per Modem durchgeführten Fernwartung

-

M 5.34 Einsatz von Einmalpaßwörtern

-

M 5.36 Verschlüsselung unter Unix und Windows NT

-

M 5.50 Authentisierung mittels PAP/CHAP

-

M 5.52 Sicherheitstechnische Anforderungen an den Kommunikationsrechner

-

M 5.63 Einsatz von PGP

-

M 5.64 Nutzung von Secure Shell

-

M 5.65 Einsatz von S-HTTP

-

M 5.66 Verwendung von SSL

__________________________________________________________________________________________
14

IT-Grundschutzhandbuch: Stand Juli 1999

3.8
Behandlung von Sicherheitsvorfällen
__________________________________________________________________________________________

3.8

Behandlung von
Sicherheitsvorfällen

Sicherheitsvorfälle:

Feuer
- Meldewege
- Verhaltensmaßnahmen

Beschreibung

Um die IT-Sicherheit im laufenden Betrieb aufrecht zu
erhalten, ist es notwendig, die Behandlung von
Sicherheitsvorfällen (Incident Handling) konzipiert und
eingeübt zu haben. Als Sicherheitsvorfall wird dabei ein
Ereignis bezeichnet, das Auswirkungen nach sich ziehen
kann, die einen großen Schaden anrichten können. Um
Schäden zu verhüten bzw. zu begrenzen, sollte die
Behandlung der Sicherheitsvorfälle zügig und effizient
ablaufen. Wenn hierbei auf ein vorgegebenes Verfahren aufgesetzt werden kann, können
Reaktionszeiten minimiert werden. Die möglichen Schäden bei einem Sicherheitsvorfall können dabei
sowohl die Vertraulichkeit oder Integrität von Daten als auch die Verfügbarkeit betreffen.
Ein besonderer Bereich der Behandlung von Sicherheitsvorfällen ist dabei das Notfallvorsorgekonzept
(vgl. Kapitel 3.3). In einem Notfallvorsorgekonzept wird konkret für bestimmte IT-Systeme der
Ausfall kritischer Komponenten vorab analysiert und eine Vorgehensweise zur Aufrechterhaltung oder
Wiederherstellung der Verfügbarkeit festgelegt.
Sicherheitsvorfälle können zum Beispiel ausgelöst werden durch
- Benutzerfehlverhalten, das
Systemparametern führt,

zu

Datenverlust

oder

sicherheitskritischer

Änderung

von

- Auftreten von Sicherheitslücken in Hard- oder Softwarekomponenten,
- massenhaftes Auftreten von Computer-Viren,
- Hacking von Internet-Servern,
- Offenlegung vertraulicher Daten,
- Personalausfall oder
- kriminelle Handlungen (etwa Einbruch, Diebstahl oder Erpressung mit IT-Bezug).
Alle Arten von Sicherheitsvorfällen müssen angemessen angegangen werden. Dies gilt sowohl für
solche Sicherheitsvorfälle, gegen die man sich konkret rüsten kann, wie z. B. Computer-Viren, als
auch solche, die die Organisation unerwartet treffen.
In diesem Kapitel soll ein systematischer Weg aufgezeigt werden, wie ein Konzept zur Behandlung
von Sicherheitsvorfällen erstellt und wie dessen Umsetzung und Einbettung innerhalb eines
Unternehmens bzw. einer Behörde sichergestellt werden kann. Der Aufwand zur Erstellung und
Umsetzung eines solchen Konzepts ist nicht gering. Daher sollte dieses Kapitel vor allem bei größeren
IT-Systemen und/oder solchen mit hoher Relevanz für die Behörde bzw. das Unternehmen beachtet
werden.

Gefährdungslage
Sicherheitsvorfälle können durch eine Vielzahl von Gefährdungen ausgelöst werden. Eine große
Sammlung von Gefährdungen, die kleinere oder größere Sicherheitsvorfälle verursachen können,
findet sich in den Gefährdungskatalogen.

__________________________________________________________________________________________
15

IT-Grundschutzhandbuch: Stand Januar 2000

3.8
Behandlung von Sicherheitsvorfällen
__________________________________________________________________________________________

Ein großer Schaden kann durch diese Gefährdungen dann ausgelöst werden, wenn dafür keine
angemessene Herangehensweise vorgesehen ist. In diesem Kapitel wird daher stellvertretend für alle
Gefährdungen, die sich im Umfeld von Sicherheitsvorfällen ereignen können, folgende Gefährdung
betrachtet:
- G 2.62

Ungeeigneter Umgang mit Sicherheitsvorfällen

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Um ein effektives System zur Behandlung von Sicherheitsvorfällen einzurichten, sind eine Reihe von
Schritten zu durchlaufen. Diese sind in der Maßnahme M 6.58 Etablierung eines Managementsystems
zur Behandlung von Sicherheitsvorfällen beschrieben und werden durch die daran anschließenden
Maßnahmen erläutert. Daher sollte mit der Umsetzung der Maßnahme M 6.58 begonnen werden.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Behandlung von Sicherheitsvorfällen"
vorgestellt.
Notfallvorsorge:
- M 6.58 (1)
- M 6.59 (1)
- M 6.60 (1)
- M 6.61 (1)
- M 6.62 (1)
- M 6.63 (1)
- M 6.64 (1)
- M 6.65 (1)
- M 6.66 (2)
- M 6.67 (2)
- M 6.68 (2)

Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen
Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen
Verhaltensregeln und Meldewege bei Sicherheitsvorfällen
Eskalationsstrategie für Sicherheitsvorfälle
Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen
Untersuchung und Bewertung eines Sicherheitsvorfalls
Behebung von Sicherheitsvorfällen
Benachrichtigung betroffener Stellen
Nachbereitung von Sicherheitsvorfällen
Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle (optional)
Effizienzprüfung des Managementsystems zur Behandlung von
Sicherheitsvorfällen

ˆ

__________________________________________________________________________________________
16

IT-Grundschutzhandbuch: Stand Januar 2000

4
IT-Grundschutz im Bereich Infrastruktur
__________________________________________________________________________________________

4

IT-Grundschutz im Bereich Infrastruktur

In diesem Kapitel werden IT-Grundschutzmaßnahmen in den nachfolgend aufgezählten Bausteinen
vorgestellt.

4.1

Gebäude

4.2

Verkabelung

4.3

Räume
4.3.1 Büroraum
4.3.2 Serverraum
4.3.3 Datenträgerarchiv
4.3.4 Raum für technische Infrastruktur

4.4

Schutzschränke

4.5

Häuslicher Arbeitsplatz

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Juli 1999

4.1
Gebäude
__________________________________________________________________________________________

4.1

Gebäude

Beschreibung
Das Gebäude umgibt die aufgestellte Informationstechnik
und gewährleistet somit einen äußeren Schutz. Weiterhin
ermöglichen die Infrastruktureinrichtungen des Gebäudes
erst den IT-Betrieb. Daher ist einerseits das Bauwerk,
also Wände, Decken, Böden, Dach, Fenster und Türen zu
betrachten und andererseits alle gebäudeweiten
Versorgungseinrichtungen wie Strom, Wasser, Gas,
Heizung, Rohrpost etc. Die Verkabelung in einem
Gebäude wird in Kapitel 4.2 gesondert betrachtet, die
TK-Anlage in Kapitel 8.1.

Gefährdungslage
Für den IT-Grundschutz eines Gebäudes werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- G 1.3
Blitz
- G 1.4
Feuer
- G 1.5
Wasser
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.2
Ausfall interner Versorgungsnetze
- G 4.3
Ausfall vorhandener Sicherungseinrichtungen
Vorsätzliche Handlungen:
- G 5.3
Unbefugtes Eindringen in ein Gebäude
- G 5.4
Diebstahl
- G 5.5
Vandalismus
- G 5.6
Anschlag

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Juli 1999

4.1
Gebäude
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Gebäude" vorgestellt:
Infrastruktur:
Stromversorgung
- M 1.1 (2)
- M 1.2 (2)
- M 1.3 (1)
- M 1.4 (3)
- M 1.5 (3)

Einhaltung einschlägiger DIN-Normen/VDE-Vorschriften
Regelungen für Zutritt zu Verteilern
Angepaßte Aufteilung der Stromkreise
Blitzschutzeinrichtungen (optional)
Galvanische Trennung von Außenleitungen (optional)

Brandschutz
- M 1.6 (2)
- M 1.7 (2)
- M 1.8 (2)
- M 1.9 (1)
- M 1.10 (2)

Einhaltung von Brandschutzvorschriften und Auflagen der örtlichen Feuerwehr
Handfeuerlöscher
Raumbelegung unter Berücksichtigung von Brandlasten
Brandabschottung von Trassen
Verwendung von Sicherheitstüren (optional)

Gebäudeschutz
- M 1.11 (2)
- M 1.12 (2)
- M 1.13 (3)
- M 1.14 (2)
- M 1.15 (1)
- M 1.16 (3)
- M 1.17 (3)
- M 1.18 (2)
- M 1.19 (2)

Lagepläne der Versorgungsleitungen
Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile
Anordnung schützenswerter Gebäudeteile (optional)
Selbsttätige Entwässerung (optional)
Geschlossene Fenster und Türen
Geeignete Standortauswahl (optional, soweit Auswahlmöglichkeiten bestehen)
Pförtnerdienst (optional)
Gefahrenmeldeanlage (optional)
Einbruchsschutz (optional)

Organisation:
- M 2.14 (2)
- M 2.15 (2)
- M 2.16 (2)
- M 2.17 (2)
- M 2.18 (3)

Schlüsselverwaltung
Brandschutzbegehungen
Beaufsichtigung oder Begleitung von Fremdpersonen (optional)
Zutrittsregelung und -kontrolle
Kontrollgänge (optional)

Notfallvorsorge:
- M 6.17 (1) Alarmierungsplan und Brandschutzübungen

ˆ

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Juli 1999

4.2
Verkabelung
__________________________________________________________________________________________

4.2

Verkabelung

Beschreibung
Die Verkabelung von IT-Systemen umfaßt alle Kabel und
passiven Komponenten (Rangier-/Spleißverteiler) der
Netze vom evtl. vorhandenen Übergabepunkt aus einem
Fremdnetz (Telefon, ISDN) bis zu den Anschlußpunkten
der Netzteilnehmer. Aktive Netzkomponenten (Repeater,
Sternkoppler, Bridges etc.) sind nicht Bestandteil dieses
Kapitels.

230 V

2
5

7

P

8
0

Gefährdungslage
Für den IT-Grundschutz der Verkabelung werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- G 1.6
Kabelbrand
Organisatorische Mängel:
- G 2.11
Unzureichende Trassendimensionierung
- G 2.12
Unzureichende Dokumentation der Verkabelung
- G 2.13
Unzureichend geschützte Verteiler
- G 2.32
Unzureichende Leitungskapazitäten
Menschliche Fehlhandlungen:
- G 3.4
Unzulässige Kabelverbindungen
- G 3.5
Unbeabsichtigte Leitungsbeschädigung
Technisches Versagen:
- G 4.4
Leitungsbeeinträchtigung durch Umfeldfaktoren
- G 4.5
Übersprechen
- G 4.21
Ausgleichsströme auf Schirmungen
Vorsätzliche Handlungen:
- G 5.7
Abhören von Leitungen
- G 5.8
Manipulation an Leitungen

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Verkabelung" vorgestellt:
Infrastruktur:
- M 1.9 (1)
- M 1.20 (3)
- M 1.21 (2)
- M 1.22 (3)
- M 1.39 (3)

Brandabschottung von Trassen
Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht (bei
Verkabelung neuer Netze)
Ausreichende Trassendimensionierung (bei Verkabelung neuer Netze)
Materielle Sicherung von Leitungen und Verteilern (optional)
Verhinderung von Ausgleichsströmen auf Schirmungen

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Juli 1999

4.2
Verkabelung
__________________________________________________________________________________________

Organisation:
- M 2.19 (2)
- M 2.20 (3)

Neutrale Dokumentation in den Verteilern
Kontrolle bestehender Verbindungen (optional)

Kommunikation:
- M 5.1 (3) Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen
- M 5.2 (2) Auswahl einer geeigneten Netz-Topographie (bei Verkabelung neuer Netze)
- M 5.3 (2) Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht (bei
Verkabelung neuer Netze)
- M 5.4 (2) Dokumentation und Kennzeichnung der Verkabelung
- M 5.5 (2) Schadensmindernde Kabelführung (bei Verkabelung neuer Netze)
Notfallvorsorge:
- M 6.18 (3) Redundante Leitungsführung (optional)

ˆ

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Juli 1999

4.3.1
Büroraum
__________________________________________________________________________________________

4.3

Räume

4.3.1

Büroraum

Beschreibung
Der Büroraum ist ein Raum, in dem sich ein oder
mehrere Mitarbeiter aufhalten, um dort der Erledigung
ihrer Aufgaben evtl. auch IT-unterstützt nachzugehen.
Diese Aufgaben können aus den verschiedensten Tätigkeiten bestehen: Erstellung von Schriftstücken, Bearbeitung von Karteien und Listen, Durchführung von
Besprechungen und Telefonaten, Lesen von Akten und
sonstigen Unterlagen.
Wird jedoch ein Büroraum überwiegend zur Archivierung von Datenträgern genutzt, ist zusätzlich
Kapitel 4.3.3 Datenträgerarchiv zu beachten. Ist in einem Büroraum ein Server (LAN, TK-Anlage,
o. ä.) aufgestellt, sind zusätzlich die Maßnahmen aus Kapitel 4.3.2 (Serverraum) zu beachten.

Gefährdungslage
Für den IT-Grundschutz eines Büroraums werden folgende typische Gefährdungen angenommen:
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
- G 2.14
Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen
Menschliche Fehlhandlungen:
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.5
Vandalismus
Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Büroraum" vorgestellt:
Infrastruktur:
- M 1.15 (1)
- M 1.23 (1)

Geschlossene Fenster und Türen
Abgeschlossene Türen

Organisation:
- M 2.14 (2)
- M 2.16 (2)
- M 2.17 (2)
- M 2.18 (3)

Schlüsselverwaltung
Beaufsichtigung oder Begleitung von Fremdpersonen
Zutrittsregelung und -kontrolle
Kontrollgänge (optional)

Personal:
- M 3.9

Ergonomischer Arbeitsplatz (optional)

(3)

ˆ
__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Juli 1999

4.3.2
Serverraum
__________________________________________________________________________________________

4.3.2

Serverraum

Beschreibung
Der Serverraum dient in erster Linie zur Unterbringung
eines Servers, z. B. eines LAN-Servers, eines UnixZentralrechners oder eines Servers für eine TK-Anlage.
Darüber hinaus können dort serverspezifische Unterlagen, Datenträger in kleinem Umfang, weitere Hardware
(Sternkoppler,
Protokolldrucker,
Klimatechnik)
vorhanden sein.
Im Serverraum ist kein ständig besetzter Arbeitsplatz
eingerichtet; er wird nur sporadisch und zu kurzfristigen
Arbeiten betreten. Zu beachten ist jedoch, daß im Serverraum aufgrund der Konzentration von ITGeräten und Daten ein deutlich höherer Schaden eintreten kann als zum Beispiel in einem Büroraum.

Gefährdungslage
Für den IT-Grundschutz eines Serverraumes werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- G 1.4
Feuer
- G 1.5
Wasser
- G 1.7
Unzulässige Temperatur und Luftfeuchte
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.2
Ausfall interner Versorgungsnetze
- G 4.6
Spannungsschwankungen/Überspannung/Unterspannung
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.3
Einbruch
- G 5.4
Diebstahl
- G 5.5
Vandalismus
Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Serverraum" vorgestellt:
Infrastruktur:
- M 1.3 (1)
- M 1.7 (2)
- M 1.8 (2)
- M 1.10 (2)
- M 1.15 (1)

Angepaßte Aufteilung der Stromkreise
Handfeuerlöscher
Raumbelegung unter Berücksichtigung von Brandlasten
Verwendung von Sicherheitstüren (optional)
Geschlossene Fenster und Türen

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Juli 1999

4.3.2
Serverraum
__________________________________________________________________________________________

-

M 1.18
M 1.23
M 1.24
M 1.25
M 1.26
M 1.27
M 1.28
M 1.31

(2)
(1)
(3)
(2)
(2)
(2)
(1)
(3)

Organisation:
- M 2.14 (2)
- M 2.16 (2)
- M 2.17 (2)
- M 2.18 (3)
- M 2.21 (2)

Gefahrenmeldeanlage (optional)
Abgeschlossene Türen
Vermeidung von wasserführenden Leitungen (optional)
Überspannungsschutz (optional)
Not-Aus-Schalter (optional)
Klimatisierung (optional)
Lokale unterbrechungsfreie Stromversorgung (optional)
Fernanzeige von Störungen (optional)
Schlüsselverwaltung
Beaufsichtigung oder Begleitung von Fremdpersonen
Zutrittsregelung und -kontrolle
Kontrollgänge (optional)
Rauchverbot

‰

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

4.3.3
Datenträgerarchiv
__________________________________________________________________________________________

4.3.3

Datenträgerarchiv

Beschreibung
Das Datenträgerarchiv dient der Lagerung von Datenrägern jeder Art. Im Rahmen des IT-Grundschutzes
werden an den Archivraum hinsichtlich des Brandshutzes
keine erhöhten Anforderungen gestellt. Der Brandschutz
kann entsprechend den Bedürfnissen des IT-Betreibers
durch die Behältnisse, in denen die Datenräger
aufbewahrt werden, realisiert werden.
Bei zentralen Datenträgerarchiven und Datensicherungsrchiven ist die Nutzung von Datensicherungsschränken
(vgl. Kapitel 4.4) empfehlenswert, um den Brandschutz, den Schutz gegen unbefugten Zugriff und die
Durchsetzung von Zugangsberechtigungen zu unterstützen.

Gefährdungslage
Für den IT-Grundschutz eines Datenträgerarchivs werden folgende typische Gefährdungen
angenommen:
Höhere Gewalt:
- G 1.4
- G 1.5
- G 1.7
- G 1.8

Feuer
Wasser
Unzulässige Temperatur und Luftfeuchte
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
Vorsätzliche Handlungen:
- G 5.3
Einbruch
- G 5.4
Diebstahl
- G 5.5
Vandalismus
Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Datenträgerarchiv" vorgestellt:
Infrastruktur:
- M 1.6 (2)
- M 1.7 (2)
- M 1.8 (2)
- M 1.10 (2)
- M 1.15 (1)
- M 1.18 (2)
- M 1.23 (1)
- M 1.24 (3)
- M 1.27 (2)

Einhaltung von Brandschutzvorschriften und Auflagen der örtlichen Feuerwehr
Handfeuerlöscher
Raumbelegung unter Berücksichtigung von Brandlasten
Verwendung von Sicherheitstüren (optional)
Geschlossene Fenster
Gefahrenmeldeanlage (optional)
Abgeschlossene Türen
Vermeidung von wasserführenden Leitungen (optional)
Klimatisierung (optional)

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Juli 1999

4.3.3
Datenträgerarchiv
__________________________________________________________________________________________

Organisation:
- M 2.14 (2)
- M 2.16 (2)
- M 2.17 (2)
- M 2.18 (3)
- M 2.21 (2)

Schlüsselverwaltung
Beaufsichtigung oder Begleitung von Fremdpersonal
Zutrittsregelung und -kontrolle
Kontrollgänge (optional)
Rauchverbot

ˆ

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Juli 1999

4.3.4
Raum für technische Infrastruktur
__________________________________________________________________________________________

4.3.4

Raum für technische Infrastruktur

Beschreibung
In Räumen für technische Infrastruktur sind in der Regel
solche Geräte und Einrichtungen untergebracht, die keine
oder nur eine seltene Bedienung durch einen Menschen
benötigen. In der Regel wird es sich um Verteiler interner
Versorgungsnetze handeln (z. B. Postkabeleingangsraum,
Hochspannungsübergaberaum,
Mittelspannungsübergaberaum, Niederspannungshauptverteiler). Eventuell werden in diesen Räumen auch die
Sicherungen der Elektroversorgung untergebracht. Auch
die Aufstellung sonstiger Geräte (USV, Sternkoppler, etc.) ist vorstellbar. Selbst ein Netzserver kann,
wenn er keinen eigenen Raum hat (Kapitel 4.3.2 Serverraum), hier untergebracht sein.
Gefährdungslage
Für den IT-Grundschutz eines Raums für technische Infrastruktur werden folgende typische
Gefährdungen angenommen:
Höhere Gewalt:
- G 1.4
Feuer
- G 1.5
Wasser
- G 1.7
Unzulässige Temperatur und Luftfeuchte
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.2
Ausfall interner Versorgungsnetze
- G 4.6
Spannungsschwankungen/Überspannung/Unterspannung
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.3
Einbruch
- G 5.4
Diebstahl
- G 5.5
Vandalismus
Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Raum für technische Infrastruktrur"
vorgestellt:
Infrastruktur:
- M 1.3 (1)
- M 1.6 (2)
- M 1.7 (2)
- M 1.8 (2)
- M 1.10 (2)
- M 1.15 (1)

Angepaßte Aufteilung der Stromkreisen
Einhaltung von Brandschutzvorschriften und Auflagen der örtlichen Feuerwehr
Handfeuerlöscher
Raumbelegung unter Berücksichtigung von Brandlasten
Verwendung von Sicherheitstüren (optional)
Geschlossene Fenster und Türen

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Juli 1999

4.3.4
Raum für technische Infrastruktur
__________________________________________________________________________________________

-

M 1.18
M 1.23
M 1.24
M 1.25
M 1.26
M 1.27
M 1.31

(2)
(1)
(2)
(2)
(2)
(2)
(3)

Organisation:
- M 2.14 (2)
- M 2.16 (2)
- M 2.17 (2)
- M 2.18 (3)
- M 2.21 (2)

Gefahrenmeldeanlage (optional)
Abgeschlossene Türen
Vermeidung von wasserführenden Leitungen (optional)
Überspannungsschutz (optional)
Not-Aus-Schalter (optional)
Klimatisierung (optional)
Fernanzeige von Störungen (optional)
Schlüsselverwaltung
Beaufsichtigung oder Begleitung von Fremdpersonen
Zutrittsregelung und -kontrolle
Kontrollgänge (optional)
Rauchverbot

ˆ

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Juli 1999

4.4
Schutzschränke
__________________________________________________________________________________________

4.4

Schutzschränke

Beschreibung
Schutzschränke
dienen
zur
Aufbewahrung
von
Datenträgern jeder Art oder zur Unterbringung von
informationstechnischen Geräten ("Serverschrank"). Diese
Schutzschränke sollen den Inhalt gegen unbefugten Zugriff
und/oder gegen die Einwirkung von Feuer oder
schädigenden Stoffen (z. B. Staub) schützen. Sie können
als Ersatz für einen Serverraum oder ein Datenträgerarchiv
(vgl. Kapitel 4.3.2 und 4.3.3) eingesetzt werden, wenn die
vorhandenen räumlichen oder organisatorischen Gegebenheiten eigene Räume nicht zulassen.
Darüber hinaus können Schutzschränke auch in Serverräumen oder Datenträgerarchiven eingesetzt
werden, um die Schutzwirkung der Räume zu erhöhen. Sie sind auch zu empfehlen, wenn in einem
Serverraum Server aus unterschiedlichen Organisationsbereichen aufgestellt sind, die dem jeweils
anderen Administrator nicht zugänglich sein sollen.
Da die Kosten für Schutzschränke nicht unerheblich sind, ist ein Kostenvergleich dringend
empfehlenswert. Zu vergleichen sind die Kosten, die die Beschaffung und der Unterhalt eines
Schutzschrankes verursachen, mit den Kosten, die für die Errichtung eines Serverraums bzw.
Datenträgerarchivs und den Unterhalt der Räume anfallen würden.
Um mit einem Schutzschrank einen mit den dedizierten Räumen vergleichbaren Schutz zu erreichen,
sind eine Reihe von Maßnahmen, beginnend mit der geeigneten Auswahl bis zur Aufstellung und
Nutzungsregelung, notwendig. Diese werden im vorliegenden Kapitel vorgestellt.

Gefährdungslage
Für den IT-Grundschutz eines Schutzschrankes werden folgende typische Gefährdungen
angenommen:
Höhere Gewalt:
- G 1.4
- G 1.5
- G 1.7
- G 1.8

Feuer
Wasser
Unzulässige Temperatur und Luftfeuchte (nur Serverschrank)
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.4
Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
Menschliche Fehlhandlungen:
- G 3.21
Fehlbedienung von Codeschlössern
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung (nur Serverschrank)
- G 4.2
Ausfall interner Versorgungsnetze (nur Serverschrank)
- G 4.3
Ausfall vorhandener Sicherungseinrichtungen
- G 4.4
Leitungsbeeinträchtigung durch Umfeldfaktoren
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.4
Diebstahl

__________________________________________________________________________________________
13

IT-Grundschutzhandbuch: Stand Juli 1999

4.4
Schutzschränke
__________________________________________________________________________________________

-

G 5.5
G 5.16
G 5.17
G 5.53

Vandalismus
Gefährdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
Gefährdung bei Wartungsarbeiten durch externes Personal
Bewußte Fehlbedienung von Schutzschränken aus Bequemlichkeit

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Schutzschränke" vorgestellt. Es ist
gruppiert nach den Maßnahmen, die im Aufstellungsraum des Schutzschrankes, für den Schutzschrank
allgemein und für Serverschränke speziell realisiert werden müssen.

Für den Raum, in dem der Schutzschrank aufgestellt werden soll, sind folgende Maßnahmen zu
beachten:
Infrastruktur:
- M 1.7 (2)
- M 1.8 (2)
- M 1.15 (2)
- M 1.18 (2)
- M 1.24 (3)

Handfeuerlöscher
Raumbelegung unter Berücksichtigung von Brandlasten
Geschlossene Fenster und Türen
Gefahrenmeldeanlage (optional)
Vermeidung von wasserführenden Leitungen (optional)

Organisation:
- M 2.6 (1)
- M 2.14 (2)
- M 2.16 (2)
- M 2.17 (2)
- M 2.18 (3)
- M 2.21 (2)

Vergabe von Zutrittsberechtigungen
Schlüsselverwaltung
Beaufsichtigung oder Begleitung von Fremdpersonen
Zutrittsregelung und -kontrolle
Kontrollgänge (optional)
Rauchverbot (optional)

Für die Beschaffung und den Einsatz eines Schutzschrankes sind folgende Maßnahmen umzusetzen:
Infrastruktur:
- M 1.1 (2)
- M 1.18 (2)
- M 1.40 (1)

Einhaltung einschlägiger DIN-Normen/VDE-Vorschriften
Gefahrenmeldeanlage (für den Schutzschrank) (optional)
Geeignete Aufstellung von Schutzschränken

Organisation:
- M 2.6 (1)
- M 2.14 (2)
- M 2.95 (1)
- M 2.96 (1)
- M 2.97 (1)

Vergabe von Zutrittsberechtigungen
Schlüsselverwaltung
Beschaffung geeigneter Schutzschränke
Verschluß von Schutzschränken
Korrekter Umgang mit Codeschlösser (falls vorhanden)

Personal:
- M 3.3 (1)
- M 3.5 (2)
- M 3.20 (1)

Vertretungsregelungen
Schulung zu IT-Sicherheitsmaßnahmen
Einweisung in die Bedienung von Schutzschränken

__________________________________________________________________________________________
14

IT-Grundschutzhandbuch: Stand Juli 1999

4.4
Schutzschränke
__________________________________________________________________________________________

Soll der Schutzschrank als Serverschrank eingesetzt werden, sind zusätzlich zu den oben genannten
noch folgende Maßnahmen im bzw. für den Serverschrank zu realisieren:
Infrastruktur:
- M 1.25 (2)
- M 1.26 (2)
- M 1.27 (2)
- M 1.28 (2)
- M 1.31 (2)
- M 1.41 (2)

Überspannungsschutz (optional)
Not-Aus-Schalter
Klimatisierung (optional)
Lokale unterbrechungsfreie Stromversorgung (optional)
Fernanzeige von Störungen (optional)
Schutz gegen elektromagnetische Einstrahlung (optional)

Orsanisation:
- M 2.4 (2)

Regelungen für Wartungs- und Reparaturarbeiten

ˆ

__________________________________________________________________________________________
15

IT-Grundschutzhandbuch: Stand Juli 1999

4.5
Häuslicher Arbeitsplatz
__________________________________________________________________________________________

4.5

Häuslicher Arbeitsplatz

Beschreibung
Werden dienstliche Aufgaben in der häuslichen Umgeung
und nicht in Räumen des Unternehmens bzw. der
Behörde wahrgenommen, sind Sicherheitsmaßnahmen zu
ergreifen, die eine mit einem Büroraum vergleichbare
Sicherheitssituation erreichen lassen. Bei einem
häuslichen Arbeitsplatz kann nicht die infrastrukturelle
Sicherheit, wie sie in einer gewerblichen oder behördichen Büroumgebung anzutreffen ist, vorausgesetzt
werden. Besucher oder Familienangehörige haben
oftmals Zutritt zu diesem Arbeitsplatz. In diesem Kapitel werden die typischen Gefährdungen und
Maßnahmen für einen häuslichen Arbeitsplatz beschrieben. Dieser häusliche Arbeitsplatz kann zum
Beispiel im Rahmen der Telearbeit, bei freien Mitarbeitern und für Selbständige eingesetzt werden.

Gefährdungslage
Für den IT-Grundschutz des häuslichen Arbeitsplatzes werden folgende typische Gefährdungen
angenommen:
Höhere Gewalt:
- G 1.4
Feuer
- G 1.5
Wasser
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
- G 2.14
Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen
- G 2.47
Ungesicherter Akten- und Datenträgertransport
- G 2.48
Ungeeignete Entsorgung der Datenträger und Dokumente am häuslichen
Arbeitsplatz
Menschliche Fehlhandlungen:
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.3
Unbefugtes Eindringen in ein Gebäude
- G 5.69
Erhöhte Diebstahlgefahr am häuslichen Arbeitsplatz
- G 5.70
Manipulation durch Mitbewohner und Familienangehörige
- G 5.71
Vertraulichkeitsverlust schützenswerter Informationen

__________________________________________________________________________________________
16

IT-Grundschutzhandbuch: Stand Juli 1999

4.5
Häuslicher Arbeitsplatz
__________________________________________________________________________________________

Maßnahmenempfehlungen:
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Häuslicher Arbeitsplatz" vorgestellt.
Infrastruktur:
- M 1.1 (2)
- M 1.7 (3)
- M 1.15 (1)
- M 1.19 (2)
- M 1.23 (1)
- M 1.44 (2)
- M 1.45 (1)
Organisation:
- M 2.13 (1)
- M 2.16 (2)
- M 2.37 (2)
- M 2.112 (2)

Einhaltung einschlägiger DIN-Normen/VDE-Vorschriften
Handfeuerlöscher (optional)
Geschlossene Fenster und Türen
Einbruchsschutz (optional)
Abgeschlossene Türen
Geeignete Einrichtung eines häuslichen Arbeitsplatzes
Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger

- M 2.136 (2)

Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Beaufsichtigung oder Begleitung von Fremdpersonen
"Der aufgeräumte Arbeitsplatz"
Regelung des Akten- und Datenträgertransports zwischen häuslichem Arbeitsplatz
und Institution
Einhaltung von Regelungen bzgl. Arbeitsplatz und Arbeitsumgebung

Personal:
- M 3.9

Ergonomischer Arbeitsplatz (optional)

(3)

ˆ

__________________________________________________________________________________________
17

IT-Grundschutzhandbuch: Stand Juli 1999

5
Nicht vernetzte Systeme
__________________________________________________________________________________________

5

Nicht vernetzte Systeme

In diesem Kapitel wird der IT-Grundschutz für nicht vernetzte Systeme oder Systeme, die als Client in
einem Netz eingesetzt werden können, definiert. Für die noch nicht im IT-Grundschutzhandbuch
betrachteten IT-Systeme wie z. B. OS/2 kann der generische Baustein 5.99 angewendet werden.

5.1

DOS-PC (ein Benutzer)

5.2

Unix-System

5.3

Tragbarer PC

5.4

PCs mit wechselnden Benutzern

5.5

PC unter Windows NT

5.6

PC mit Windows 95

5.99 Allgemeines nicht vernetztes IT-System

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Januar 2000

5.1
DOS-PC (ein Benutzer)
__________________________________________________________________________________________

5.1

DOS-PC (ein Benutzer)

Beschreibung
Betrachtet wird ein handelsüblicher IBM-kompatibler
PC, der mit dem Betriebssystem DOS oder einem
vergleichbaren betrieben wird. Dieser PC soll nicht an ein
lokales Netz angeschlossen sein. Der PC verfügt über ein
Diskettenlaufwerk, eine Festplatte und evtl. eine Maus.
Ein eventuell vorhandener Drucker wird direkt am PC
angeschlossen. Weiterhin kann eine graphische
Benutzeroberfläche eingesetzt sein. Für die weiteren
Betrachtungen wird vorausgesetzt, dass dieser PC nur
von einem Benutzer betrieben wird.

Gefährdungslage
Für den IT-Grundschutz eines DOS-PC (ein Benutzer) werden folgende Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.4
- G 1.5
- G 1.8

Personalausfall
Ausfall des IT-Systems
Feuer
Wasser
Staub, Verschmutzung

Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.7
Defekte Datenträger
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.9
Unberechtigte IT-Nutzung
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Juli 1999

5.1
DOS-PC (ein Benutzer)
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "DOS-PC (ein Benutzer)" vorgestellt:
Infrastruktur:
- M 1.29 (3)

Geeignete Aufstellung eines IT-Systems (optional)

Organisation:
- M 2.3 (2)
- M 2.4 (2)
- M 2.9 (3)
- M 2.10 (3)
- M 2.13 (2)
- M 2.22 (2)
- M 2.23 (3)
- M 2.24 (3)

Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Hinterlegen des Passwortes
Herausgabe einer PC-Richtlinie (optional)
Einführung eines PC-Checkheftes (optional)

Personal:
- M 3.4
- M 3.5

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen

(1)
(1)

Hardware/Software:
- M 4.1 (1) Passwortschutz für IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Verschluss der Diskettenlaufwerkschächte (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2)
- M 6.21 (3)
- M 6.22 (2)
- M 6.23 (2)
- M 6.24 (3)
- M 6.27 (3)
- M 6.32 (1)

Geeignete Aufbewahrung der Backup-Datenträger
Sicherungskopie der eingesetzten Software
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verhaltensregeln bei Auftreten eines Computer-Virus
Erstellen einer PC-Notfalldiskette
Sichern des CMOS-RAM
Regelmäßige Datensicherung

ˆ

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Juli 1999

5.2
Unix-System
__________________________________________________________________________________________

5.2

Unix-System

Beschreibung
Betrachtet wird ein Unix-System, das entweder im Standalone-Betrieb oder als Client in einem Netz genutzt wird.
Es können Terminals, Laufwerke, Drucker und andere
Geräte angeschlossen sein. Weiterhin kann eine
graphische Benutzeroberfläche wie X-Windows eingesetzt sein. Entsprechend können dann auch X-Terminals
und graphische Eingabegeräte angeschlossen sein. Bei
den weiteren Betrachtungen wird davon ausgegangen,
dass ein Unix-System üblicherweise von mehreren
Personen benutzt wird.

Gefährdungslage
Für den IT-Grundschutz eines Unix-Systems werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.4
- G 1.5
- G 1.8

Personalausfall
Ausfall des IT-Systems
Feuer
Wasser
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.15
Vertraulichkeitsverlust schutzbedürftiger Daten im Unix-System
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.5
Unbeabsichtigte Leitungsbeschädigung
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.9
Fehlerhafte Administration des IT-Systems
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.6
Spannungsschwankungen/Überspannung/Unterspannung
- G 4.7
Defekte Datenträger
- G 4.8
Bekanntwerden von Softwareschwachstellen
- G 4.11
Fehlende Authentisierungsmöglichkeit zwischen NIS-Server und NIS-Client
- G 4.12
Fehlende Authentisierungsmöglichkeit zwischen X-Server und X-Client
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.7
Abhören von Leitungen
- G 5.8
Manipulation an Leitungen

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Januar 2000

5.2
Unix-System
__________________________________________________________________________________________

-

G 5.9
G 5.18
G 5.19
G 5.20
G 5.21
G 5.23
G 5.40
G 5.41
G 5.43
G 5.89

Unberechtigte IT-Nutzung
Systematisches Ausprobieren von Passwörtern
Missbrauch von Benutzerrechten
Missbrauch von Administratorrechten
Trojanische Pferde
Computer-Viren
Abhören von Räumen mittels Rechner mit Mikrofon
Mißbräuchliche Nutzung eines Unix-Systems mit Hilfe von uucp
Makro-Viren
Hijacking von Netz-Verbindungen

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Unix-System" vorgestellt.
Für eventuell angeschlossene Rechner (DOS-PC, PC unter Windows NT oder Windows 95) sind die
in Kapitel 5 beschriebenen Maßnahmen zu realisieren.
Darüber hinaus sind folgende weitere Maßnahmen umzusetzen:
Infrastruktur:
- M 1.29 (3)

Geeignete Aufstellung eines IT-Systems (optional)

Organisation:
- M 2.3 (2)
- M 2.4 (2)
- M 2.9 (2)
- M 2.10 (3)
- M 2.13 (2)
- M 2.22 (2)
- M 2.25 (1)
- M 2.26 (1)
- M 2.30 (1)
- M 2.31 (1)
- M 2.32 (2)
- M 2.33 (2)
- M 2.34 (1)
- M 2.35 (1)

Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Hinterlegen des Passwortes
Dokumentation der Systemkonfiguration
Ernennung eines Administrators und eines Vertreters
Regelung für die Einrichtung von Benutzern / Benutzergruppen
Dokumentation der zugelassenen Benutzer und Rechteprofile
Einrichtung einer eingeschränkten Benutzerumgebung
Aufteilung der Administrationstätigkeiten unter Unix
Dokumentation der Veränderungen an einem bestehenden System
Informationsbeschaffung über Sicherheitslücken des Systems

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals

(1)
(1)
(1)
(1)

Hardware/Software:
Zugang zum Unix-System
- M 4.2 (2) Bildschirmsperre
- M 4.7 (1) Änderung voreingestellter Passwörter
- M 4.13 (1) Sorgfältige Vergabe von IDs
- M 4.14 (1) Obligatorischer Passwortschutz unter Unix

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Januar 2000

5.2
Unix-System
__________________________________________________________________________________________

-

M 4.15
M 4.16
M 4.17
M 4.18

(2)
(3)
(2)
(1)

- M 4.105 (1)

Gesichertes Login
Zugangsbeschränkungen für Accounts und/oder Terminals
Sperren und Löschen nicht benötigter Accounts und Terminals
Administrative und technische Absicherung des Zugangs zum Monitor- und
Single-User-Modus
Erste Maßnahmen nach einer Unix-Standardinstallation

Attributvergabe/Arbeiten mit dem Unix-System
- M 4.9 (1) Einsatz der Sicherheitsmechanismen von X-Windows
- M 4.19 (1) Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen
- M 4.20 (2) Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen
- M 4.21 (1) Verhinderung des unautorisierten Erlangens von Administratorrechten
- M 4.22 (3) Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im UnixSystem
- M 4.23 (3) Sicherer Aufruf ausführbarer Dateien
Protokollierung/Sicherheitscheck
- M 4.25 (1) Einsatz der Protokollierung im Unix-System
- M 4.26 (2) Regelmäßiger Sicherheitscheck des Unix-Systems
- M 4.40 (2) Verhinderung der unautorisierten Nutzung des Rechnermikrofons
- M 4.106 (2) Aktivierung der Systemprotokollierung
Kommunikation:
- M 5.17 (1)
- M 5.18 (1)
- M 5.19 (1)
- M 5.20 (1)
- M 5.21 (1)
- M 5.34 (2)
- M 5.35 (1)
- M 5.36 (2)
- M 5.64 (2)
- M 5.72 (1)

Einsatz der Sicherheitsmechanismen von NFS
Einsatz der Sicherheitsmechanismen von NIS
Einsatz der Sicherheitsmechanismen von sendmail
Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp
Sicherer Einsatz von telnet, ftp, tftp und rexec
Einsatz von Einmalpasswörtern (optional)
Einsatz der Sicherheitsmechanismen von UUCP
Verschlüsselung unter Unix (optional)
Nutzung von Secure Shell
Deaktivieren nicht benötigter Netzdienste

Notfallvorsorge:
- M 6.20 (2)
- M 6.21 (2)
- M 6.22 (2)
- M 6.31 (2)
- M 6.32 (1)

Geeignete Aufbewahrung der Backup-Datenträger
Sicherungskopie der eingesetzten Software
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verhaltensregeln nach Verlust der Systemintegrität
Regelmäßige Datensicherung

ˆ

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Januar 2000

5.3
Tragbarer PC
__________________________________________________________________________________________

5.3

Tragbarer PC

Beschreibung
Unter einem tragbaren PC (Laptop, Notebook) wird ein
handelsüblicher IBM-kompatibler PC verstanden, der mit
dem Betriebssystem DOS oder einem vergleichbaren
betrieben wird. Er verfügt über ein Diskettenlaufwerk
und
eine
Festplatte.
Einrichtungen
zur
Datenfernübertragung (Modem) werden hier nicht
behandelt (vgl. Kap. 7.2). Von besonderer Bedeutung ist,
daß dieser PC aufgrund seiner Bauart, insbesondere mit
interner Stromversorgung, mobil genutzt werden kann.
Für den tragbaren PC wird vorausgesetzt, daß er innerhalb eines bestimmten Zeitraums nur von einem
Benutzer gebraucht wird. Ein anschließender Benutzerwechsel wird berücksichtigt.

Gefährdungslage
Für den IT-Grundschutz eines tragbaren PC werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.4
- G 1.5
- G 1.8

Personalausfall
Ausfall des IT-Systems
Feuer
Wasser
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.8
Unkontrollierter Einsatz von Betriebsmitteln
- G 2.16
Ungeordneter Benutzerwechsel bei tragbaren PCs
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
Technisches Versagen:
- G 4.7
Defekte Datenträger
- G 4.9
Ausfall der internen Stromversorgung
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.9
Unberechtigte IT-Nutzung
- G 5.22
Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Juli 1999

5.3
Tragbarer PC
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Tragbarer PC" vorgestellt:
Infrastruktur:
- M 1.33 (1)
- M 1.34 (2)
- M 1.35 (3)

Geeignete Aufbewahrung tragbarer PCs bei mobilem Einsatz
Geeignete Aufbewahrung tragbarer PCs im stationären Einsatz
Sammelaufbewahrung mehrerer tragbarer PCs (optional)

Organisation:
- M 2.3 (2)
- M 2.4 (2)
- M 2.9 (2)
- M 2.10 (3)
- M 2.13 (2)
- M 2.22 (3)
- M 2.23 (3)
- M 2.24 (3)
- M 2.36 (2)

Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Hinterlegen des Paßwortes
Herausgabe einer PC-Richtlinie (optional)
Einführung eines PC-Checkheftes (optional)
Geregelte Übergabe und Rücknahme eines tragbaren PC

Personal:
- M 3.4
- M 3.5

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen

(1)
(1)

Hardware/Software:
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Verschluß der Diskettenlaufwerkschächte (optional)
- M 4.27 (1) Paßwortschutz am tragbaren PC
- M 4.28 (3) Software-Reinstallation bei Benutzerwechsel eines tragbaren PC (optional)
- M 4.29 (1) Einsatz eines Verschlüsselungsproduktes für tragbare PCs (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.31 (2) Sicherstellung der Energieversorgung im mobilen Einsatz
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
Notfallvorsorge:
- M 6.20 (2)
- M 6.21 (3)
- M 6.22 (2)
- M 6.23 (2)
- M 6.24 (3)
- M 6.27 (3)
- M 6.32 (1)

Geeignete Aufbewahrung der Backup-Datenträger
Sicherungskopie der eingesetzten Software
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verhaltensregeln bei Auftreten eines Computer-Virus
Erstellen einer PC-Notfalldiskette
Sichern des CMOS-RAM
Regelmäßige Datensicherung

ˆ

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

5.4
PCs mit wechselnden Benutzern
__________________________________________________________________________________________

5.4

PCs mit wechselnden Benutzern

Beschreibung
Dieser Baustein sollte beim Einsatz von PCs mit
wechselnden Benutzern beachtet werden. Betrachtet wird
ein handelsüblicher IBM-kompatibler PC, der mit dem
Betriebssystem DOS oder einem vergleichbaren betrieben
wird. Für PCs, die mit anderen Betriebssystemen betrieben
werden, sind die Maßnahmen analog anzupassen.

DOS

Wenn der PC an ein lokales Netz angeschlossen ist, sind
die entsprechenden Bausteine aus Kapitel 6 umzusetzen.
Der PC kann über Disketten- und CD-Laufwerke, eine Festplatte, eine Maus und andere
Peripheriegeräte verfügen. Ein eventuell vorhandener Drucker wird direkt am PC angeschlossen.
Weiterhin kann eine graphische Benutzeroberfläche eingesetzt sein. Für die weiteren Betrachtungen
wird vorausgesetzt, dass mehrere Personen, die unterschiedliche Zugriffsrechte auf die gespeicherten
Daten besitzen, diesen PC nutzen.
PCs mit wechselnden Benutzern können z. B. in PC-Pools, für Schulungszwecke oder aufgrund
organisationsinterner Gegebenheiten eingesetzt werden.

Gefährdungslage
Für den IT-Grundschutz eines PCs mit wechselnden Benutzern werden folgende typischen
Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.4
- G 1.5
- G 1.8

Personalausfall
Ausfall des IT-Systems
Feuer
Wasser
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen
- G 2.21
Mangelhafte Organisation des Wechsels zwischen den Benutzern
- G 2.22
Fehlende Auswertung von Protokolldaten
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.16
Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.17
Kein ordnungsgemäßer PC-Benutzerwechsel
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.7
Defekte Datenträger

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Januar 2000

5.4
PCs mit wechselnden Benutzern
__________________________________________________________________________________________

Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.9
Unberechtigte IT-Nutzung
- G 5.18
Systematisches Ausprobieren von Passwörtern
- G 5.21
Trojanische Pferde
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Für die Durchführung von Datensicherungen seiner persönlichen Daten ist jeder Benutzer selbst
verantwortlich. Der Virenproblematik ist bei Rechnern mit wechselnden Benutzern ganz besondere
Aufmerksamkeit zu schenken. Es sollte daher ein residentes Viren-Suchprogramm eingesetzt werden.
Ansonsten ist sicherzustellen, dass eine Überprüfung auf Computer-Viren vor und nach jedem
Benutzerwechsel vorgenommen wird.
Nachfolgend wird das Maßnahmenbündel für den Bereich "PCs mit wechselnden Benutzern"
vorgestellt:
Infrastruktur:
- M 1.29 (3)

Geeignete Aufstellung eines IT-Systems (optional)

Organisation:
- M 2.3 (2)
- M 2.4 (2)
- M 2.5 (2)
- M 2.7 (2)
- M 2.8 (2)
- M 2.9 (2)
- M 2.10 (3)
- M 2.13 (2)
- M 2.22 (3)
- M 2.23 (3)
- M 2.24 (3)
- M 2.26 (1)
- M 2.37 (2)
- M 2.63 (1)
- M 2.64 (2)
- M 2.65 (1)
- M 2.66 (2)

Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Aufgabenverteilung und Funktionstrennung
Vergabe von Zugangsberechtigungen
Vergabe von Zugriffsrechten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Hinterlegen des Passwortes
Herausgabe einer PC-Richtlinie (optional)
Einführung eines PC-Checkheftes (optional)
Ernennung eines Administrators und eines Vertreters
"Der aufgeräumte Arbeitsplatz"
Einrichten der Zugriffsrechte
Kontrolle der Protokolldateien
Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
Beachtung des Beitrags der Zertifizierung für die Beschaffung

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11
- M 3.18

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals
Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung

(1)
(1)
(1)
(1)
(1)

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Januar 2000

5.4
PCs mit wechselnden Benutzern
__________________________________________________________________________________________

Hardware/Software:
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Verschluss der Diskettenlaufwerkschächte (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes
- M 4.42 (2) Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung (optional)
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
- M 4.109 (2) Software-Reinstallation bei Arbeitsplatzrechnern
Notfallvorsorge:
- M 6.20 (2)
- M 6.21 (3)
- M 6.22 (2)
- M 6.23 (2)
- M 6.24 (3)
- M 6.27 (3)
- M 6.32 (2)

Geeignete Aufbewahrung der Backup-Datenträger
Sicherungskopie der eingesetzten Software
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verhaltensregeln bei Auftreten eines Computer-Virus
Erstellen einer PC-Notfalldiskette
Sichern des CMOS-RAM
Regelmäßige Datensicherung

ˆ

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Januar 2000

5.5
PC unter Windows NT
__________________________________________________________________________________________

5.5

PC unter Windows NT

Beschreibung

WINDOWS

Betrachtet werden einzelne, nicht vernetzte PCs mit
Festplatte (wie in Kapitel 5.1 beschrieben), die unter dem
Betriebssystem Windows NT (Version 3.51 oder 4.0)
betrieben werden. Die PCs können mit einem
Diskettenlaufwerk ausgestattet sein. Auf sicherheitsspezifische Aspekte von einzelnen Windows NTAnwendungen wird nur am Rande eingegangen.

NT

Gefährdungslage
Für den IT-Grundschutz einzelner PCs unter dem Betriebssystem Windows NT werden folgende
typische Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.4
- G 1.5
- G 1.8

Personalausfall
Ausfall des IT-Systems
Feuer
Wasser
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.31
Unzureichender Schutz des Windows NT Systems
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.9
Fehlerhafte Administration des IT-Systems
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.7
Defekte Datenträger
- G 4.8
Bekanntwerden von Softwareschwachstellen
- G 4.23
Automatische CD-ROM-Erkennung
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.9
Unberechtigte IT-Nutzung
- G 5.18
Systematisches Ausprobieren von Passwörtern
- G 5.21
Trojanische Pferde
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Juli 1999

5.5
PC unter Windows NT
__________________________________________________________________________________________

- G 5.52
- G 5.79

Mißbrauch von Administratorrechten im Windows NT System
Unberechtigtes Erlangen von Administratorrechten unter Windows NT

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Die in den folgenden Listen mit dem Zusatz "optional" gekennzeichneten Maßnahmen gehen
zumindest teilweise über den Grundschutz hinaus, oder sie beziehen sich auf spezielle Einsatzumgebungen. Sie sind dann zu realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind,
insbesondere dann, wenn mehrere Benutzer mit demselben System arbeiten und gegeneinander
geschützt werden sollen bzw. wenn die Kontrolle sicherheitskritischer Funktionen nicht beim Benutzer
selbst liegt, sondern zentral verwaltet werden soll.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Nicht vernetzter Windows NT Rechner"
vorgestellt.
Infrastruktur:
- M 1.29 (3)

Geeignete Aufstellung eines IT-Systems (optional)

Organisation:
- M 2.3 (2)
- M 2.4 (2)
- M 2.9 (2)
- M 2.10 (2)
- M 2.13 (2)
- M 2.22 (2)
- M 2.23 (3)
- M 2.24 (3)
- M 2.25 (1)
- M 2.26 (1)
- M 2.30 (2)
- M 2.31 (2)
- M 2.32 (2)
- M 2.34 (2)
- M 2.35 (2)

Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Hinterlegen des Paßwortes
Herausgabe einer PC-Richtlinie (optional)
Einführung eines PC-Checkheftes (optional)
Dokumentation der Systemkonfiguration
Ernennung eines Administrators und eines Vertreters (optional)
Regelung für die Einrichtung von Benutzern / Benutzergruppen (optional)
Dokumentation der zugelassenen Benutzer und Rechteprofile (optional)
Einrichtung einer eingeschränkten Benutzerumgebung (optional)
Dokumentation der Veränderungen an einem bestehenden System (optional)
Informationsbeschaffung über Sicherheitslücken des Systems

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters (optional)
Schulung des Wartungs- und Administrationspersonals (optional)

(1)
(1)
(1)
(1)

Hardware/Software:
- M 4.1 (1) Paßwortschutz für IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Verschluß der Diskettenlaufwerkschächte (optional)
- M 4.15 (2) Gesichertes Login
- M 4.17 (2) Sperren und Löschen nicht benötigter Accounts und Terminals
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren

__________________________________________________________________________________________
13

IT-Grundschutzhandbuch: Stand Juli 1999

5.5
PC unter Windows NT
__________________________________________________________________________________________

-

M 4.48
M 4.49
M 4.50
M 4.51

(1)
(1)
(2)
(3)

- M 4.52 (2)
- M 4.53 (2)
-

M 4.54
M 4.55
M 4.56
M 4.57
M 4.75
M 4.76
M 4.77
M 4.84
M 4.93

(2)
(2)
(3)
(2)
(1)
(3)
(1)
(1)
(1)

Notfallvorsorge:
- M 6.20 (2)
- M 6.21 (3)
- M 6.22 (2)
- M 6.23 (2)
- M 6.27 (3)
- M 6.32 (1)
- M 6.42 (1)
- M 6.44 (1)

Paßwortschutz unter Windows NT
Absicherung des Boot-Vorgangs für ein Windows NT System
Strukturierte Systemverwaltung unter Windows NT (optional)
Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT
(optional)
Geräteschutz unter Windows NT
Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter
Windows NT
Protokollierung unter Windows NT (optional)
Sichere Installation von Windows NT
Sicheres Löschen unter Windows NT und Windows 95
Deaktivieren der automatischen CD-ROM-Erkennung
Schutz der Registrierung unter Windows NT
Sichere Systemversion von Windows NT
Schutz der Administratorkonten unter Windows NT
Nutzung der BIOS-Sicherheitsmechanismen
Regelmäßige Integritätsprüfung
Geeignete Aufbewahrung der Backup-Datenträger
Sicherungskopie der eingesetzten Software
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verhaltensregeln bei Auftreten eines Computer-Virus
Sichern des CMOS-RAM
Regelmäßige Datensicherung
Erstellung von Rettungsdisketten für Windows NT
Datensicherung unter Windows NT

ˆ

__________________________________________________________________________________________
14

IT-Grundschutzhandbuch: Stand Juli 1999

5.6
PC mit Windows 95
__________________________________________________________________________________________

5.6

PC mit Windows 95

Beschreibung

Windows

Betrachtet wird ein handelsüblicher PC, der mit dem
Betriebssystem Windows 95 betrieben wird. Der PC
verfügt über ein Diskettenlaufwerk, eine Fest- oder
Wechselplatte, ein CD-ROM Laufwerk und eine Maus.
Ein eventuell vorhandener Drucker wird direkt am PC
angeschlossen. Für die weiteren Betrachtungen wird
zugrunde gelegt, daß dieser PC auch von mehreren
Benutzern betrieben werden kann.

95

Dabei gelten jedoch folgende grundlegende Überlegungen:
Wesentliche Sicherheitseigenschaften von Windows 95 lassen sich erst in einem servergestütztem
Netz realisieren. Wird ein Windows 95-Rechner als Einzelplatzrechner betrieben, so sollte von einem
Mehr-Benutzer-Betrieb abgesehen werden, solange nicht unter Zuhilfenahme eines PC-Sicherheitsproduktes wichtige Funktionen wie z. B. Rechtekontrolle und Protokollierung realisiert werden
können. Selbst bei Nutzung des Rechners durch nur einen Benutzer gelten dieselben Überlegungen,
wenn die Benutzerumgebung durch einen Administrator mittels Systemrichtlinien eingeschränkt
werden soll, da faktisch damit wieder ein Mehr-Benutzer-Betrieb entsteht.
Fazit: Ein nicht vernetzter Windows 95-Rechner sollte nur von einem Benutzer und uneingeschränkt
genutzt werden können. Eine Einschränkung des Benutzers ist nur dann sinnvoll, wenn damit das
Navigieren im System erleichtert wird oder wenn Fehlbedienungen damit ausgeschlossen werden
sollen. Wird dennoch ein Mehr-Benutzer-Betrieb realisiert, so ist dieser unter Sicherheitsgesichtspunkten nur in Kombination mit einem PC-Sicherheitsprodukt sinnvoll.
Gefährdungslage
Für den IT-Grundschutz eines PC mit Windows 95 werden folgende Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.4
- G 1.5
- G 1.8

Personalausfall
Ausfall des IT-Systems
Feuer
Wasser
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.21
Mangelhafte Organisation des Wechsels zwischen den Benutzern
- G 2.22
Fehlende Auswertung von Protokolldaten
- G 2.36
Ungeeignete Einschränkung der Benutzerumgebung
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.16
Fehlerhafte Administration von Zugangs- und Zugriffsrechten

__________________________________________________________________________________________
15

IT-Grundschutzhandbuch: Stand Juli 1999

5.6
PC mit Windows 95
__________________________________________________________________________________________

- G 3.17
- G 3.22

Kein ordnungsgemäßer PC-Benutzerwechsel
Fehlerhafte Änderung der Registrierung

Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.7
Defekte Datenträger
- G 4.23
Automatische CD-ROM-Erkennung
- G 4.24
Dateinamenkonvertierung bei Datensicherungen unter Windows 95
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.9
Unberechtigte IT-Nutzung
- G 5.21
Trojanische Pferde
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren
- G 5.60
Umgehen der Systemrichtlinien
Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "PC mit Windows 95" vorgestellt. Die
grundlegenden Überlegungen zu Anfang des Kapitels (s. o.) sollten dabei berücksichtigt werden. Die
Maßnahmen unterteilen sich in die folgenden Kategorien:
- Basismaßnahmen (diese sind im wesentlichen analog zu Kapitel 5.1 DOS-PC),
- Maßnahmen für den Mehrbenutzerbetrieb und
- Einschränkungen und
- Einsatz im Netz.
Als Basismaßnahmen sind folgende Maßnahmen umzusetzen:
Infrastruktur:
- M 1.29 (3)

Geeignete Aufstellung eines IT-Systems (optional)

Organisation:
- M 2.3 (2)
- M 2.4 (2)
- M 2.9 (2)
- M 2.10 (2)
- M 2.13 (2)
- M 2.22 (2)
- M 2.23 (3)
- M 2.24 (3)

Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Hinterlegen des Paßwortes
Herausgabe einer PC-Richtlinie (optional)
Einführung eines PC-Checkheftes (optional)

Personal:
- M 3.4
- M 3.5

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen

(1)
(1)

__________________________________________________________________________________________
16

IT-Grundschutzhandbuch: Stand Juli 1999

5.6
PC mit Windows 95
__________________________________________________________________________________________

Hardware/Software:
- M 4.1 (1) Paßwortschutz für IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Verschluß der Diskettenlaufwerkschächte (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
- M 4.56 (1) Sicheres Löschen unter Windows NT und Windows 95
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2)
- M 6.21 (3)
- M 6.22 (2)
- M 6.23 (2)
- M 6.27 (3)
- M 6.32 (1)
- M 6.45 (1)
- M 6.46 (1)

Geeignete Aufbewahrung der Backup-Datenträger
Sicherungskopie der eingesetzten Software
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verhaltensregeln bei Auftreten eines Computer-Virus
Sichern des CMOS-RAM
Regelmäßige Datensicherung
Datensicherung unter Windows 95
Erstellung von Rettungsdisketten für Windows 95

Sollen an dem Windows 95-Rechner mehrere Benutzer arbeiten, so ist eine Administration des Rechners und eine Benutzertrennung unumgänglich. In diesem Fall sind die folgenden Maßnahmen für den
Mehrbenutzerbetrieb zusätzlich umzusetzen:
Organisation:
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.63 (2) Einrichten der Zugriffsrechte
- M 2.103 (1) Einrichten von Benutzerprofilen unter Windows 95
Personal:
- M 3.10 (1) Auswahl eines vertrauenswürdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.18 (1) Verpflichtung der PC-Benutzer zum Abmelden nach Aufgabenerfüllung
Soll die Benutzerumgebung benutzerspezifisch mit bestimmten Einschränkungen versehen werden, so
sind weiterhin die folgenden Maßnahmen zu ergreifen (die Maßnahmen M 2.64 und M 2.65 wirken
nur in Verbindung mit M 4.41 oder M 4.42):
Organisation:
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.65 (1) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
- M 2.66 (2) Beachtung des Beitrags der Zertifizierung für die Beschaffung
- M 2.104 (1) Systemrichtlinien zur Einschränkung der Nutzungsmöglichkeiten von Windows 95
Hardware/Software:
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes
- M 4.42 (2) Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung (optional)
Ist der PC mit Windows 95 in einem Netz eingebunden, so ist zusätzlich folgende Maßnahme umzusetzen:
Hardware/Software:
- M 4.74 (1) Vernetzte Windows 95 Rechner

ˆ

__________________________________________________________________________________________
17

IT-Grundschutzhandbuch: Stand Juli 1999

5.99
Allgemeines nicht vernetztes IT-System
__________________________________________________________________________________________

5.99

Allgemeines nicht vernetztes ITSystem

Beschreibung
Betrachtet wird ein IT-System, das mit keinem anderen
IT-System vernetzt ist. Es kann mit einem beliebigen
Betriebssystem ausgestattet sein. Das IT-System kann auf
einer beliebigen Plattform betrieben werden, es kann sich
dabei um einen PC mit oder ohne Festplatte, aber auch
um eine Unix-Workstation oder einen Apple Macintosh
handeln. Das IT-System kann über Disketten- und CDLaufwerke, eine Festplatte, eine Maus und andere
Peripheriegeräte verfügen. Ein eventuell vorhandener Drucker wird direkt am IT-System
angeschlossen. Weiterhin kann eine graphische Benutzeroberfläche eingesetzt sein.
Dieses Kapitel bietet einen Überblick über Gefährdungen und IT-Sicherheitsmaßnahmen, die für nicht
vernetzte IT-Systeme typisch sind. Dieser Überblick ist unabhängig vom eingesetzten Betriebssystem.
Dafür sind die weiterführenden Kapitel des IT-Grundschutzhandbuchs (zum Beispiel Kapitel 5.2 Nicht
vernetztes Unix-System) zu beachten.

Gefährdungslage
Für den IT-Grundschutz eines allgemeinen nicht vernetzten IT-Systems werden folgende
Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.4
- G 1.5
- G 1.8

Personalausfall
Ausfall des IT-Systems
Feuer
Wasser
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.9
Fehlerhafte Administration des IT-Systems
- G 3.16
Fehlerhafte Administration von Zugangs- und Zugriffsrechten
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.7
Defekte Datenträger
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software

__________________________________________________________________________________________
18

IT-Grundschutzhandbuch: Stand Juli 1999

5.99
Allgemeines nicht vernetztes IT-System
__________________________________________________________________________________________

-

G 5.4
G 5.9
G 5.23
G 5.43

Diebstahl
Unberechtigte IT-Nutzung
Computer-Viren
Makro-Viren

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Allgemeines nicht vernetzes IT-System"
vorgestellt. Die Maßnahmen unterteilen sich in
- Basismaßnahmen und
- Maßnahmen für den Mehrbenutzerbetrieb.
Abhängig vom eingesetzten Betriebssystem sind bei der Anwendung dieses Bausteins ggf. weitere
Maßnahmen erforderlich.
Als Basismaßnahmen sind folgende Maßnahmen umzusetzen:
Infrastruktur:
- M 1.29 (3)

Geeignete Aufstellung eines IT-Systems (optional)

Organisation:
- M 2.3 (2)
- M 2.4 (2)
- M 2.9 (3)
- M 2.10 (2)
- M 2.13 (2)
- M 2.22 (2)
- M 2.23 (3)
- M 2.24 (3)

Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Hinterlegen des Paßwortes
Herausgabe einer PC-Richtlinie (optional)
Einführung eines PC-Checkheftes (optional)

Personal:
- M 3.4
- M 3.5

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen

(1)
(1)

Hardware/Software:
- M 4.1 (1) Paßwortschutz für IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Verschluß der Diskettenlaufwerkschächte (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2)
- M 6.21 (3)
- M 6.22 (2)
- M 6.23 (2)
- M 6.24 (3)

Geeignete Aufbewahrung der Backup-Datenträger
Sicherungskopie der eingesetzten Software
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verhaltensregeln bei Auftreten eines Computer-Virus
Erstellen einer Notfalldiskette

__________________________________________________________________________________________
19

IT-Grundschutzhandbuch: Stand Juli 1999

5.99
Allgemeines nicht vernetztes IT-System
__________________________________________________________________________________________

- M 6.27 (3)
- M 6.32 (1)

Sichern des CMOS-RAM (bei PCs)
Regelmäßige Datensicherung

Sollen an dem IT-System mehrere Benutzer arbeiten, so ist eine Administration des Rechners und eine
Benutzertrennung unumgänglich. In diesem Fall sind die folgenden Maßnahmen und Gefährdungen
für den Mehrbenutzerbetrieb zusätzlich zu betrachten:
Gefährdungslage
Organisatorische Mängel:
- G 2.21
Mangelhafte Organisation des Wechsels zwischen den Benutzern
- G 2.22
Fehlende Auswertung von Protokolldaten
Menschliche Fehlhandlungen:
- G 3.17
Kein ordnungsgemäßer PC-Benutzerwechsel
Vorsätzliche Handlungen:
- G 5.18
Systematisches Ausprobieren von Paßwörtern
- G 5.19
Mißbrauch von Benutzerrechten
- G 5.20
Mißbrauch von Administratorrechten
- G 5.21
Trojanische Pferde
Maßnahmenempfehlungen
Organisation:
- M 2.5 (2)
- M 2.7 (2)
- M 2.8 (2)
- M 2.63 (1)
- M 2.64 (2)
- M 2.65 (1)

Aufgabenverteilung und Funktionstrennung
Vergabe von Zugangsberechtigungen
Vergabe von Zugriffsrechten
Einrichten der Zugriffsrechte
Kontrolle der Protokolldateien
Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System

Personal:
- M 3.10 (1)
- M 3.11 (1)
- M 3.18 (1)

Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals
Verpflichtung der PC-Benutzer zum Abmelden nach Aufgabenerfüllung

Hardware/Software:
- M 4.7 (1) Änderung voreingestellter Paßwörter
Wird durch das auf dem IT-System eingesetzte Betriebssystem keine Benutzertrennung ermöglicht, ist
zusätzlich die folgende Maßnahme zu beachten:
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes

ˆ

__________________________________________________________________________________________
20

IT-Grundschutzhandbuch: Stand Juli 1999

6
Vernetzte Systeme
__________________________________________________________________________________________

6

Vernetzte Systeme

In diesem Kapitel wird der IT-Grundschutz für vernetzte Systeme definiert. Als Grundlage dient
Kapitel 6.1, das betriebssystemunabhängig notwendige Maßnahmen aufzeigt. Es wird ergänzt um die
betriebssystemspezifischen Maßnahmen der Kapitel 6.2, 6.4, 6.5 und 6.6. Wird zusätzlich eine Peerto-Peer-Funktionalität benutzt, ist zusätzlich Kapitel 6.3 zu beachten.
Werden heterogene Netze miteinander gekoppelt, ist das Kapitel 6.7 zusätzlich zu beachten.
Die Maßnahmen zu den angeschlossenen Clients sind Kapitel 5 zu entnehmen.
Folgende Kapitel sind vorhanden:
6.1

Servergestütztes Netz

6.2

Vernetzte Unix-Systeme

6.3

Peer-to-Peer-Netz

6.4

Windows NT Netz

6.5

Novell Netware 3.x

6.6

Novell Netware 4.x

6.7

Heterogene Netze

6.8

Netz- und Systemmanagement

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Juli 1999

6.1
Servergestütztes Netz
__________________________________________________________________________________________

6.1

Servergestütztes Netz

Beschreibung
Betrachtet wird ein lokales Netz mit mindestens
einem Server. Die Clients können PCs mit oder ohne
Festplatte (wie in Kapitel 5.1 beschrieben) sein, aber
auch Unix-Workstations oder Terminals. Dieses
Kapitel bietet einen Überblick über Gefährdungen und
IT-Sicherheitsmaßnahmen, die für lokale Netze
typisch sind. Dieser Überblick ist jedoch unabhängig
vom Netzbetriebssystem bzw. den Betriebssystemen
der Clients. Dafür sind die weiterführenden Kapitel
des
IT-Grundschutzhandbuchs
(zum
Beispiel
Kapitel 6.2 Vernetzte Unix-Systeme) zu beachten.

Gefährdungslage
Für den IT-Grundschutz eines servergestützten Netzes werden folgende typische Gefährdungen
angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.4
- G 1.5
- G 1.8

Personalausfall
Ausfall des IT-Systems
Feuer
Wasser
Staub, Verschmutzung

Organisatorische Mängel:
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.32
Unzureichende Leitungskapazitäten
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.5
Unbeabsichtigte Leitungsbeschädigung
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.9
Fehlerhafte Administration des IT-Systems
- G3.31
Unstrukturierte Datenhaltung
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.6
Spannungsschwankungen/Überspannung/Unterspannung
- G 4.7
Defekte Datenträger
- G 4.8
Bekanntwerden von Softwareschwachstellen
- G 4.10
Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Juli 1999

6.1
Servergestütztes Netz
__________________________________________________________________________________________

-

G 5.4
G 5.7
G 5.8
G 5.9
G 5.18
G 5.19
G 5.20
G 5.21
G 5.23
G 5.24
G 5.25
G 5.26
G 5.27
G 5.28
G 5.43

Diebstahl
Abhören von Leitungen
Manipulation an Leitungen
Unberechtigte IT-Nutzung
Systematisches Ausprobieren von Passwörtern
Missbrauch von Benutzerrechten
Missbrauch von Administratorrechten
Trojanische Pferde
Computer-Viren
Wiedereinspielen von Nachrichten
Maskerade
Analyse des Nachrichtenflusses
Nichtanerkennung einer Nachricht
Verhinderung von Diensten
Makro-Viren

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Servergestütztes Netz" vorgestellt.
Es wird vorausgesetzt, dass der Server in einem Serverraum (vgl. Kapitel 4.3.2) bzw. in einem
Serverschrank (vgl. Kapitel 4.4) untergebracht ist. Die für die Netzbetriebssysteme umzusetzenden
Maßnahmen sind den ergänzenden Kapitel des Handbuchs zu entnehmen. Dies gilt analog auch für die
angeschlossenen Clients.
Darüber hinaus sind folgende weitere Maßnahmen umzusetzen:
Infrastruktur:
- M 1.28 (2)
- M 1.29 (3)
- M 1.32 (1)
Organisation:
- M 2.3 (2)
- M 2.4 (2)
- M 2.9 (2)
- M 2.10 (3)
- M 2.13 (2)
- M 2.22 (2)
- M 2.25 (1)
- M 2.26 (1)
- M 2.30 (2)
- M 2.31 (2)
- M 2.32 (3)
- M 2.34 (2)
- M 2.35 (2)
- M 2.38 (2)
- M 2.138 (2)

Lokale unterbrechungsfreie Stromversorgung
Geeignete Aufstellung eines IT-Systems (optional)
Geeignete Aufstellung von Konsole, Geräten mit austauschbaren Datenträgern und
Druckern
Datenträgerverwaltung
Regelungen für Wartungs- und Reparaturarbeiten
Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
Hinterlegen des Passwortes
Dokumentation der Systemkonfiguration
Ernennung eines Administrators und eines Vertreters
Regelung für die Einrichtung von Benutzern/Benutzergruppen
Dokumentation der zugelassenen Benutzer und Rechteprofile
Einrichtung einer eingeschränkten Benutzerumgebung (optional)
Dokumentation der Veränderungen an einem bestehenden System
Informationsbeschaffung über Sicherheitslücken des Systems
Aufteilung der Administrationstätigkeiten
Strukturierte Datenhaltung

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Januar 2000

6.1
Servergestütztes Netz
__________________________________________________________________________________________

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11

(1)
(1)
(1)
(1)

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals

Hardware/Software:
- M 4.1 (1) Passwortschutz für IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.7 (1) Änderung voreingestellter Passwörter
- M 4.15 (2) Gesichertes Login
- M 4.16 (2) Zugangsbeschränkungen für Accounts und / oder Terminals
- M 4.17 (2) Sperren und Löschen nicht benötigter Accounts und Terminals
- M 4.24 (2) Sicherstellung einer konsistenten Systemverwaltung
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
- M 4.65 (2) Test neuer Hard- und Software
Kommunikation:
- M 5.6 (1)
- M 5.7 (1)
- M 5.8 (1)
- M 5.9 (2)
- M 5.10 (1)
- M 5.13 (1)

Obligatorischer Einsatz eines Netzpasswortes
Netzverwaltung
Monatlicher Sicherheitscheck des Netzes
Protokollierung am Server
Restriktive Rechtevergabe
Geeigneter Einsatz von Elementen zur Netzkopplung

Notfallvorsorge:
- M 6.20 (2)
- M 6.21 (3)
- M 6.22 (2)
- M 6.25 (1)
- M 6.31 (2)
- M 6.32 (1)

Geeignete Aufbewahrung der Backup-Datenträger
Sicherungskopie der eingesetzten Software
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Regelmäßige Datensicherung
Verhaltensregeln nach Verlust der Systemintegrität
Regelmäßige Datensicherung

ˆ

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Januar 2000

6.2
Unix-Server
__________________________________________________________________________________________

6.2

Unix-Server

Beschreibung
Unix-Server sind Rechner mit dem Betriebssystem Unix,
die in einem Netz Dienste anbieten, die von anderen ITSystemen in Anspruch genommen werden können.
In diesem Kapitel werden ausschließlich die für einen
Unix-Server spezifischen Gefährdungen und Maßnahmen
beschrieben, daher sind zusätzlich noch diejenigen für
servergestützte Netze aus Kapitel 6.1 zu betrachten.

Gefährdungslage
Für den IT-Grundschutz eines Unix-Servers werden folgende typische Gefährdungen angenommen:
Organisatorische Mängel:
- G 2.15
Vertraulichkeitsverlust schutzbedürftiger Daten im Unix-System
- G 2.23
Schwachstellen bei der Einbindung von DOS-PCs in ein servergestütztes Netz
Menschliche Fehlhandlungen:
- G 3.10
Falsches Exportieren von Dateisystemen unter Unix
- G 3.11
Fehlerhafte Konfiguration von sendmail
Technisches Versagen:
- G 4.11
Fehlende Authentisierungsmöglichkeit zwischen NIS-Server und NIS-Client
- G 4.12
Fehlende Authentisierungsmöglichkeit zwischen X-Server und X-Client
Vorsätzliche Handlungen:
- G 5.40
Abhören von Räumen mittels Rechner mit Mikrofon
- G 5.41
Missbräuchliche Nutzung eines Unix-Systems mit Hilfe von uucp
- G 5.89
Hijacking von Netz-Verbindungen

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich Unix-Server vorgestellt.
Einige Maßnahmen beziehen sich auf die Konfiguration der einzelnen Server, andere Maßnahmen
müssen auf Servern und Clients eingesetzt werden, um wirksam zu werden. Für eventuell angeschlossene Clients sind die in Kapitel 5 beschriebenen Maßnahmen zu realisieren.
Es ist sinnvoll, den Server in einem separaten Serverraum aufzustellen. Zu realisierende Maßnahmen
sind in Kapitel 4.3.2 beschrieben. Steht kein Serverraum zur Verfügung, sollte ein Serverschrank
verwendet werden, vgl. Kapitel 4.4.
Darüber hinaus sind folgende weitere Maßnahmen umzusetzen:
Infrastruktur:
- M 1.28 (1)

Lokale unterbrechungsfreie Stromversorgung

Organisation:
- M 2.33 (2)

Aufteilung der Administrationstätigkeiten unter Unix

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Januar 2000

6.2
Unix-Server
__________________________________________________________________________________________

Hardware/Software:
Zugang zum Unix-System
- M 4.13 (1) Sorgfältige Vergabe von IDs
- M 4.14 (1) Obligatorischer Passwortschutz unter Unix
- M 4.18 (1) Administrative und technische Absicherung des Zugangs zum Monitor- und
Single-User-Modus
- M 4.105 (1) Erste Maßnahmen nach einer Unix-Standardinstallation
Attributvergabe/Arbeiten mit dem Unix-System
- M 4.9 (1) Einsatz der Sicherheitsmechanismen von X-Windows
- M 4.19 (1) Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen
- M 4.20 (2) Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen
- M 4.21 (1) Verhinderung des unautorisierten Erlangens von Administratorrechten
- M 4.22 (3) Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im UnixSystem
- M 4.23 (3) Sicherer Aufruf ausführbarer Dateien
Protokollierung/Sicherheitscheck
- M 4.25 (1) Einsatz der Protokollierung im Unix-System
- M 4.26 (2) Regelmäßiger Sicherheitscheck des Unix-Systems
- M 4.40 (2) Verhinderung der unautorisierten Nutzung des Rechnermikrofons
- M 4.93 (1) Regelmäßige Integritätsprüfung
- M 4.106 (1) Aktivieren der Systemprotokollierung
- M 4.107 (2) Nutzung von Hersteller-Ressourcen
Kommunikation:
- M 5.16 (2)
- M 5.17 (1)
- M 5.18 (1)
- M 5.19 (1)
- M 5.20 (1)
- M 5.21 (1)
- M 5.34 (2)
- M 5.35 (1)
- M 5.36 (2)
- M 5.38 (2)
- M 5.64 (2)
- M 5.72 (1)

Übersicht über Netzdienste
Einsatz der Sicherheitsmechanismen von NFS
Einsatz der Sicherheitsmechanismen von NIS
Einsatz der Sicherheitsmechanismen von sendmail
Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp
Sicherer Einsatz von telnet, ftp, tftp und rexec
Einsatz von Einmalpasswörtern (optional)
Einsatz der Sicherheitsmechanismen von UUCP
Verschlüsselung unter Unix (optional)
Sichere Einbindung von DOS-PCs in ein Unix-Netz
Nutzung von Secure Shell
Deaktivieren nicht benötigter Netzdienste

Notfallvorsorge:
- M 6.31 (2) Verhaltensregeln nach Verlust der Systemintegrität
- M 6.32 (1) Regelmäßige Datensicherung

ˆ

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Januar 2000

6.3
Peer-to-Peer-Netz
__________________________________________________________________________________________

6.3

Peer-to-Peer-Netz

Beschreibung
Betrachtet werden vernetzte PCs die mit Windows für
Workgroups (WfW), Windows 95 bzw. Windows NT
betrieben werden. Berücksichtigt wird hier nur die reine
Peer-to-Peer-Funktionalität dieser Betriebssysteme auf
der Basis von Ressourcen-Sharing (Drucker, Festplatte).
Auf
sicherheitsspezifische
Aspekte
einzelner
Anwendungen bei der Benutzung von Peer-to-PeerFunktionalitäten, zum Beispiel bezüglich Mail,
Exchange, Schedule+, Direct-Data-Exchange (DDE)
oder Remote Access Service (RAS), wird nur am Rande eingegangen.

Peer-to-Peer

Da Peer-to-Peer-Netze wesentlich geringere Sicherheitsfunktionalitäten als servergestützte Netze
bieten, sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten innerhalb servergestützter PCNetze verzichtet werden. Peer-to-Peer-Netze zur Anbindung von WfW an andere Rechner mit WfW,
Windows 95 oder Windows NT sollten nur als Übergangslösung bis zur Ablösung von WfW
betrachtet werden.
In diesem Kapitel werden ausschließlich die für ein Peer-to-Peer-Netz spezifischen Gefährdungen und
Maßnahmen beschrieben, daher sind zusätzlich noch die PC-spezifischen Bausteine aus Kapitel 5 zu
betrachten.

Gefährdungslage
Für den IT-Grundschutz der Peer-to-Peer-Funktionalität unter Windows für Workgroups, Windows 95
bzw. Windows NT werden folgende typische Gefährdungen angenommen:
Organisatorische Mängel:
- G 2.25
Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peerto-Peer-Funktionalitäten
Menschliche Fehlhandlungen:
- G 3.9
Fehlerhafte Administration des IT-Systems
- G 3.18
Freigabe von Verzeichnissen, Druckern oder der Ablagemappe
- G 3.19
Speichern von Passwörtern unter WfW und Windows 95
- G 3.20
Ungewollte Freigabe des Leserechtes bei Schedule+
Vorsätzliche Handlungen:
- G 5.45
Ausprobieren von Passwörtern unter WfW und Windows 95
- G 5.46
Maskerade unter WfW
- G 5.47
Löschen des Post-Office

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

6.3
Peer-to-Peer-Netz
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Bei der Bearbeitung der originären Peer-to-Peer-Maßnahmen sollte zuerst anhand von Maßnahme
M 2.67 Festlegung einer Sicherheitsstrategie für das Peer-to-Peer-Netz eine Sicherheitsstrategie
ausgearbeitet werden, da diese die Grundlage für die weiteren Maßnahmen ist.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Peer-to-Peer-Netz " vorgestellt:
Organisation:
- M 2.67 (1)
- M 2.68 (2)
- M 2.94 (2)
Personal:
- M 3.19 (1)

Festlegung einer Sicherheitsstrategie für das Peer-to-Peer-Netz
Durchführung von Sicherheitskontrollen durch den Benutzer im Peer-to-Peer-Netz
Freigabe von Verzeichnissen unter Windows NT
Einweisung in den richtigen Einsatz der Sicherheitsfunktionen im Peer-to-PeerNetz

Hardware/Software:
- M 4.1 (1) Paßwortschutz für IT-Systeme
- M 4.2 (2) Bildschirmsperre
- M 4.7 (1) Änderung voreingestellter Paßwörter
- M 4.45 (1) Einrichtung einer sicheren Peer-to-Peer-Umgebung
- M 4.46 (1) Nutzung des Anmeldepaßwortes unter WfW und Windows 95
- M 4.58 (2) Freigabe von Verzeichnissen unter Windows 95
Kommunikation:
- M 5.37 (2) Einschränken der Peer-to-Peer-Funktionalitäten bei Nutzung von
Windows 95 oder Windows NT in einem servergestützten Netz (optional)

WfW,

Notfallvorsorge:
- M 6.32 (2) Regelmäßige Datensicherung

ˆ

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Juli 1999

6.4
Windows NT Netz
__________________________________________________________________________________________

6.4

Windows NT Netz

Beschreibung
Betrachtet wird ein Windows NT Netz, das als ClientServer-System unter dem Betriebssystem Windows NT
Version 3.51 oder 4.0 betrieben wird. Dieses Kapitel
behandelt die Sicherheitsaspekte eines Windows NT
Servers, die Client-spezifischen Maßnahmen sind
Kapitel 5 zu entnehmen.

Windows
NT
Netz

Auf sicherheitsspezifische Aspekte von Windows NTAnwendungen, zum Beispiel bezüglich Mail, Schedule+,
Direct-Data-Exchange (DDE) oder Remote Access
Service (RAS), wird nur am Rande eingegangen. Zusätzlich zu den hier angegebenen Gefährdungen
und Schutzmaßnahmen gelten noch die im Kapitel 6.1 für ein allgemeines servergestütztes Netz
genannten Maßnahmen. Falls im Windows NT Netz die Peer-to-Peer Funktionalität von Windows NT
genutzt wird, ist außerdem der Inhalt des Kapitels 6.3 zu berücksichtigen.

Gefährdungslage
Für den IT-Grundschutz eines servergestützten Netzes unter dem Betriebssystem Windows NT
werden folgende typische Gefährdungen angenommen:
Organisatorische Mängel:
- G 2.23
Schwachstellen bei der Einbindung von DOS-PCs in ein servergestütztes Netz
- G 2.25
Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch
Peer-to-Peer-Funktionalitäten
- G 2.30
Unzureichende Domänenplanung
- G 2.31
Unzureichender Schutz des Windows NT Systems
Technisches Versagen:
- G 4.10
Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.23
Automatische CD-ROM-Erkennung
Vorsätzliche Handlungen:
- G 5.23
Computer-Viren
- G 5.40
Abhören von Räumen mittels Rechner mit Mikrofon
- G 5.43
Makro-Viren
- G 5.52
Mißbrauch von Administratorrechten im Windows NT System
- G 5.79
Unberechtigtes Erlangen von Administratorrechten unter Windows NT

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Bei der Bearbeitung der originären Windows NT Maßnahmen sollte zuerst anhand der Maßnahme
M 2.91 Festlegung einer Sicherheitsstrategie für das Windows NT Client-Server Netz und zusätzlich,
soweit Peer-to-Peer Funktionalität genutzt wird, auch der Maßnahme M 2.67 Festlegung einer
Sicherheitsstrategie für das Peer-to-Peer-Netz eine Sicherheitsstrategie ausgearbeitet werden, da diese
die Grundlage für die weiteren Maßnahmen ist.

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Juli 1999

6.4
Windows NT Netz
__________________________________________________________________________________________

Die eigentliche Planung des Windows NT Netzes sollte dann, wie in der Maßnahme M 2.93 Planung
des Windows NT Netzes beschrieben, durchgeführt werden. Entsprechend den dabei erarbeiteten
Vorgaben sollte zunächst ein Server installiert und mit einer kleinen Anzahl von Clients ausgetestet
werden, um die festgelegten Strukturen optimieren und anpassen zu können, ehe sie in der Breite
eingesetzt werden.
Für die unter Windows NT vernetzten Systeme sind, neben den hier genannten Maßnahmen, die in
Kapitel 6.1 beschriebenen Maßnahmen zu realisieren. Sinnvoll erscheint es, den File-Server in einem
separaten Serverraum aufzustellen. Zu realisierende Maßnahmen sind in Kapitel 4.3.2 beschrieben.
Alternativ ist die Verwendung eines Serverschrankes, vgl. Kapitel 4.4.
Für angeschlossene Clients sind die in Kapitel 5 beschriebenen Maßnahmen zu realisieren. Soweit
auch die Peer-to-Peer Funktionalität von Windows NT genutzt wird, sind außerdem die in Kapitel 6.3
genannten Maßnahmen zu realisieren.
Die mit dem Zusatz "optional" gekennzeichneten Maßnahmen gehen zumindest teilweise über den ITGrundschutz hinaus, oder sie beziehen sich auf spezielle Einsatzumgebungen. Sie sind dann zu
realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind und/oder spezifische, durch diese
Maßnahmen abgewehrte Bedrohungen zu erwarten sind.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Windows NT Netz" vorgestellt:
Organisation:
- M 2.91 (1)
- M 2.92 (2)
- M 2.93 (1)
- M 2.94 (3)

Festlegung einer Sicherheitsstrategie für das Windows NT Client-Server-Netz
Durchführung von Sicherheitskontrollen im Windows NT Client-Server-Netz
Planung des Windows NT Netzes
Freigabe von Verzeichnissen unter Windows NT

Hardware/Software:
- M 4.40 (3) Verhinderung der unautorisierten Nutzung des Rechnermikrofons
- M 4.48 (1) Paßwortschutz unter Windows NT
- M 4.49 (1) Absicherung des Boot-Vorgangs für ein Windows NT System
- M 4.50 (2) Strukturierte Systemverwaltung unter Windows NT (optional)
- M 4.51 (3) Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT
(optional)
- M 4.52 (2) Geräteschutz unter Windows NT
- M 4.53 (2) Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter
Windows NT
- M 4.54 (2) Protokollierung unter Windows NT
- M 4.55 (2) Sichere Installation von Windows NT
- M 4.56 (3) Sicheres Löschen unter Windows NT und Windows 95
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (1) Schutz der Registrierung unter Windows NT
- M 4.76 (2) Sichere Systemversion von Windows NT
- M 4.77 (1) Schutz der Administratorkonten und Windows NT
- M4.93 (1) Regelmäßige Integritätsprüfung

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Juli 1999

6.4
Windows NT Netz
__________________________________________________________________________________________

Kommunikation:
- M 5.36 (3) Verschlüsselung unter Unix und Windows NT (optional)
- M 5.37 (3) Einschränken der Peer-to-Peer-Funktionalitäten bei Nutzung von WfW,
Windows 95 oder Windows NT in einem servergestützten Netz
- M 5.40 (1) Sichere Einbindung von DOS-PCs in ein Windows NT Netz
- M 5.41 (2) Sichere Konfiguration des Fernzugriffs unter Windows NT
- M 5.42 (2) Sichere Konfiguration der TCP/IP-Netzverwaltung unter Windows NT
- M 5.43 (2) Sichere Konfiguration der TCP/IP-Netzdienste unter Windows NT
Notfallvorsorge:
- M 6.32 (1)
- M 6.42 (2)
- M 6.43 (3)
- M 6.44 (1)

Regelmäßige Datensicherung
Erstellung von Rettungsdisketten für Windows NT
Einsatz redundanter Windows NT Server (optional)
Datensicherung unter Windows NT

ˆ

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Juli 1999

6.5
Novell Netware 3.x
__________________________________________________________________________________________

6.5

Novell Netware 3.x

Beschreibung
Betrachtet wird ein LAN mit PCs, die unter dem
Netzbetriebssystem Novell Netware 3.x vernetzt sind.
Die PCs können mit Festplatte, CD-ROM Laufwerk
sowie Diskettenlaufwerken ausgestattet sein. An das Netz
sind ggf. ein oder mehrere Netzdrucker als
Warteschleifendrucker angeschlossen. Gegenstand dieses
Kapitels ist das Novell 3.x Netz in einer Client-ServerFunktionalität. Damit ist dieses Kapitel die
betriebssystemspezifische Ergänzung des Kapitels 6.1
"Servergestütztes Netz".

Novell
Netware
3.x

Die Funktionalitäten des sog. Accounting werden nicht betrachtet.
Bemerkung: Namen von Dateien und Programmen werden immer durch Großbuchstaben mit kursiver
Schreibweise (z. B. SYS:PUBLIC\SYSCON.EXE) dargestellt.
Gefährdungen und die hieraus abgeleiteten Maßnahmen wurden anhand der Versionen Novell 3.11
und 3.12 erarbeitet. Aufgrund verschiedener Patchlevel im Netzbetriebssystem ist es möglich, daß
nicht alle Gefährdungen auf jede Variante von Novell Netware 3.x zutreffen.

Gefährdungslage
Für den IT-Grundschutz werden die folgenden typischen Gefährdungen betrachtet:
Höhere Gewalt:
- G 1.2
Ausfall des IT-Systems
Organisatorische Mängel:
- G 2.33
Nicht gesicherter Aufstellungsort von Novell Netware Servern
- G 2.34
Fehlende oder unzureichende Aktivierung der Novell Netware Sicherheitsmechanismen
- G 2.58
Novell Netware und die Datumsumstellung im Jahr 2000
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
Vorsätzliche Handlungen:
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren
- G 5.54
Vorsätzliches Herbeiführen eines Abnormal End
- G 5.55
Login Bypass
- G 5.56
Temporär frei zugängliche Accounts
- G 5.57
Netzanalyse-Tools
- G 5.58
"Hacking Novell Netware"
- G 5.59
Mißbrauch von Administrationsrechten im Novell Netware Netz

__________________________________________________________________________________________
13

IT-Grundschutzhandbuch: Stand Juli 1999

6.5
Novell Netware 3.x
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Für die vernetzten PCs sind die in Kapitel 5 beschriebenen Maßnahmen zu realisieren. Zu beachten ist,
daß das hier vorgestellte Maßnahmenbündel, das nur die Besonderheiten des Netzbetriebssystems
Novell Netware 3.x berücksichtigt, um die allgemeinen Netzsicherheitsmaßnahmen des Kapitels 6.1
"Servergestütztes Netz" ergänzt werden muß.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Novell Netware 3.x" vorgestellt.
Infrastruktur:
- M 1.28 (1)
- M 1.42 (1)

Lokale unterbrechungsfreie Stromversorgung
Gesicherte Aufstellung von Novell Netware Servern

Organisation:
- M 2.98 (2)
- M 2.99 (1)
- M 2.100 (1)
- M 2.101 (2)
- M 2.102 (3)

Sichere Installation von Novell Netware Servern
Sichere Einrichtung von Novell Netware Servern
Sicherer Betrieb von Novell Netware Servern
Revision von Novell Netware Servern
Verzicht auf die Aktivierung der Remote Console (optional)

Hardware/Software:
- M 4.66 (1) Novell Netware - Sicherer Übergang ins Jahr 2000

ˆ

__________________________________________________________________________________________
14

IT-Grundschutzhandbuch: Stand Juli 1999

6.6
Novell Netware Version 4.x
__________________________________________________________________________________________

6.6

Novell Netware Version 4.x

Beschreibung
Betrachtet wird das Netzbetriebssystem Novell Netware 4.x
Novell
(mit dem Schwerpunkt auf Netware 4.11). Novell Netware
Netware
4.x
wird auf PC-Servern betrieben und stellt im wesentlichen
die
Infra-strukturdienste
Authentisierung,
Verzeichnisdienst, Dateidienst, Druckdienst und Protokolldienst in einem Netz zur Verfügung. Gegenstand dieses
Kapitels ist das Novell 4.x Netz in einer Client-ServerFunktionalität.
Damit
ist
dieses
Kapitel
eine
betriebssystemspezifische Ergänzung des Kapitels 6.1 "Servergestütztes Netz".
Zentraler Aspekt des Novell Netware 4.x-Betriebssystems ist die Verteilung der zentralen Datenbank
des Verzeichnisdienstes NDS (Novell Directory Services) unabhängig von spezifischen Serversystemen über das LAN und der objektorientierte Ansatz zur Verwaltung aller Elemente im Betriebssystemumfeld in einer einheitlichen Umgebung.
Die Funktionalitäten der Zusatzprodukte von Novell Netware wie z. B. DHCP, WEB Server und
WAN Connectivity sind ebenfalls Bestandteil dieser Betrachtung.
Bemerkungen:
- Namen von Dateien und Programmen werden immer durch Großbuchstaben mit kursiver Schreibweise (z. B. SYS:PUBLIC\NWADMIN.EXE) dargestellt.
- Gefährdungen und die hieraus abgeleiteten Maßnahmen wurden anhand der Version Novell 4.11
erarbeitet. Aufgrund verschiedener Patchlevel bzw. Entwicklungsunterschiede zwischen
Netware 4.10 und Netware 4.11 im Netzbetriebssystem ist es möglich, dass nicht alle Gefährdungen auf jede Variante von Novell Netware 4.x zutreffen. Bei Bedarf wird darauf explizit hingewiesen bzw. im Text entsprechend unterschieden.

Gefährdungslage
Für den IT-Grundschutz von Novell Netware Version 4.x werden folgende typische Gefährdungen
angenommen:
Höhere Gewalt:
- G 1.2
Ausfall des IT-Systems
Organisatorische Mängel:
- G 2.33
Nicht gesicherter Aufstellungsort von Novell Netware Servern
- G 2.34
Fehlende oder unzureichende Aktivierung der Novell Netware Sicherheitsmechanismen
- G 2.42
Komplexität der NDS
- G 2.43
Migration von Novell Netware 3.x nach Novell Netware Version 4
- G 2.58
Novell Netware und die Datumsumstellung im Jahr 2000
Menschliche Fehlhandlungen:
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.25
Fahrlässiges Löschen von Objekten
- G 3.26
Ungewollte Freigabe des Dateisystems
- G 3.27
Fehlerhafte Zeitsynchronisation
- G 3.38
Konfigurations- und Bedienungsfehler

__________________________________________________________________________________________
15

IT-Grundschutzhandbuch: Stand Januar 2000

6.6
Novell Netware Version 4.x
__________________________________________________________________________________________

Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
Vorsätzliche Handlungen:
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren
- G 5.55
Login Bypass
- G 5.56
Temporär frei zugängliche Accounts
- G 5.57
Netzanalyse-Tools
- G 5.58
"Hacking Novell Netware"
- G 5.59
Missbrauch von Administrationsrechten im Novell Netware Netz

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Für die vernetzten PCs sind die im Kapitel 5 beschriebenen Maßnahmen zu realisieren. Zu beachten
ist, dass das hier vorgestellte Maßnahmenbündel, das nur die Besonderheiten des Netzbetriebssystems
Novell Netware 4.x berücksichtigt, um die allgemeinen Netzsicherheitsmaßnahmen des Kapitels 6.1
ergänzt werden muss.
Darüber hinaus werden folgende weitere Maßnahmen vorgeschlagen:
Infrastruktur:
- M 1.28 (1)
- M 1.42 (1)

Lokale unterbrechungsfreie Stromversorgung
Gesicherte Aufstellung von Novell Netware Servern

Organisation:
- M 2.102 (2)
- M 2.147 (1)
- M 2.148 (1)
- M 2.149 (2)
- M 2.150 (1)
- M 2.151 (1)
- M 2.152 (2)
- M 2.153 (1)

Verzicht auf die Aktivierung der Remote Console (optional)
Sichere Migration von Novell Netware 3.x Servern in Novell Netware 4.x Netze
Sichere Einrichtung von Novell Netware 4.x Netzen
Sicherer Betrieb von Novell Netware 4.x Netzen
Revision von Novell Netware 4.x Netzen
Entwurf eines NDS-Konzeptes
Entwurf eines Zeitsynchronisations-Konzeptes
Dokumentation von Novell Netware 4.x Netzen

Hardware/Software:
- M 4.66 (1) Novell Netware - Sicherer Übergang ins Jahr 2000
- M 4.102 (2) C2-Sicherheit unter Novell 4.11 (optional)
- M 4.103 (1) DHCP-Server unter Novell Netware 4.x (optional)
- M 4.104 (2) LDAP Services for NDS (optional)
- M 4.108 (2) Vereinfachtes und sicheres Netzmanagement mit DNS Services unter Novell
NetWare 4.11 (optional)
Notfallvorsorge:
- M 6.55 (2) Reduzierung der Wiederanlaufzeit für Novell Netware Server

ˆ

__________________________________________________________________________________________
16

IT-Grundschutzhandbuch: Stand Januar 2000

6.7
Heterogene Netze
__________________________________________________________________________________________

6.7

Heterogene Netze

Beschreibung
Ein lokales Netz setzt sich aus der Verkabelung (d. h. den
passiven Netzkomponenten Kabel und den Verbindungselementen) sowie den aktiven Netzkomponenten zur
Netzkopplung zusammen. Generell können dabei unterschiedliche Verkabelungstypen wie auch unterschiedliche
aktive Netzkomponenten in ein LAN integriert werden.
Als aktive Netzkomponenten werden alle Netzkomponenten bezeichnet, die eine eigene (Netz-)StromVersorgung benötigen. Dazu gehören u. a. Repeater,
Brücken, Switches, Router, Gateways. Als passive Netzkomponenten werden alle Netzkomponenten
betrachtet, die keine eigene Netzstrom-Versorgung benötigen. Dazu gehören z. B. Kabel,
Verteilerschränke, Patchfelder, Steckverbinder.
Die Verkabelung wird bereits detailliert in Kapitel 4.2, die anwendungsbezogene Peripherie in den
Kapiteln 5 und 6 behandelt, so daß im vorliegenden Baustein primär die aktiven Netzkomponenten,
die ihnen zugrundeliegende Topologie, ihre Konfiguration, Kriterien zur Auswahl geeigneter
Komponenten, die Auswahl von Übertragungsprotokollen sowie das zugehörige Netzmanagement
betrachtet werden.
Es werden nur LAN-Technologien betrachtet, z. B. die Netzprotokolle Ethernet, Token Ring oder
FDDI bzw. die zugehörigen Netzkomponenten wie Bridges, Switches oder Router. Diese
Technologien können u. U. auch in einem MAN zum Einsatz kommen. Fragestellungen im
Zusammenhang mit einer WAN-Anbindung werden dagegen nicht behandelt. Hier sei u. a. auf das
Kapitel 7.3 Firewall verwiesen.
Soll ein LAN hinreichend im Sinne des IT-Grundschutzes geschützt werden, so genügt es nicht, nur
das vorliegende Kapitel alleine zu bearbeiten. Neben den aktiven Netzkomponenten und der
eingesetzten Software zum Netzmanagement müssen auch die physikalische Verkabelung und die im
Netz zur Verfügung stehenden Serversysteme beachtet werden. Deshalb ist es unumgänglich, auch die
oben genannten Kapitel durchzuarbeiten.
Dieses Kapitel beschreibt einen Leitfaden, wie ein heterogenes Netz analysiert und darauf aufbauend
unter Sicherheitsaspekten konzipiert und betrieben werden kann. Damit richtet sich dieses Kapitel an
die Stelle einer Organisation, die für den Netzbetrieb verantwortlich ist und das entsprechende
fachliche Wissen besitzt.
Gefährdungslage
Für den IT-Grundschutz eines heterogenen Netzes werden pauschal die folgenden Gefährdungen
angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.3
- G 1.4
- G 1.5
- G 1.7
- G 1.8

Personalausfall
Ausfall des IT-Systems
Blitz
Feuer
Wasser
Unzulässige Temperatur und Luftfeuchte
Staub, Verschmutzung

__________________________________________________________________________________________
17

IT-Grundschutzhandbuch: Stand Juli 1999

6.7
Heterogene Netze
__________________________________________________________________________________________

Organisatorische Mängel:
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.22
Fehlende Auswertung von Protokolldaten
- G 2.27
Fehlende oder unzureichende Dokumentation
- G 2.32
Unzureichende Leitungskapazitäten
- G 2.44
Inkompatible aktive und passive Netzkomponenten
- G 2.45
Konzeptionelle Schwächen des Netzes
- G 2.46
Überschreiten der zulässigen Kabel- oder Buslänge bzw. der Ringgröße
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.5
Unbeabsichtigte Leitungsbeschädigung
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.9
Fehlerhafte Administration des IT-Systems
- G 3.28
Ungeeignete Konfiguration der aktiven Netzkomponenten
- G 3.29
Fehlende oder ungeeignete Segmentierung
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.6
Spannungsschwankungen/Überspannung/Unterspannung
- G 4.8
Bekanntwerden von Softwareschwachstellen
- G 4.31
Ausfall oder Störung von Netzkomponenten
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.5
Vandalismus
- G 5.6
Anschlag
- G 5.7
Abhören von Leitungen
- G 5.8
Manipulation an Leitungen
- G 5.9
Unberechtigte IT-Nutzung
- G 5.18
Systematisches Ausprobieren von Paßwörtern
- G 5.28
Verhinderung von Diensten
- G 5.66
Unberechtigter Anschluß von IT-Systemen an ein Netz
- G 5.67
Unberechtigte Ausführung von Netzmanagementfunktionen
- G 5.68
Unberechtigter Zugang zu den aktiven Netzkomponenten

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
An dieser Stelle sei nochmals darauf hingewiesen, daß ein ausreichender Schutz für ein LAN im Sinne
des IT-Grundschutzhandbuchs nur dann gewährleistet werden kann, wenn zusätzlich die
Maßnahmenbündel aus Kapitel 4.2 Verkabelung, Kapitel 6.1 Servergestütztes Netz und ggf. die
betriebssystemspezifischen Ergänzungen und Kapitel 6.8 Netz- und Systemmanagement umgesetzt
werden.

__________________________________________________________________________________________
18

IT-Grundschutzhandbuch: Stand Juli 1999

6.7
Heterogene Netze
__________________________________________________________________________________________

Weiterhin sollten die aktiven Netzkomponenten in Räumen für technische Infrastruktur (z. B.
Verteilerräume) untergebracht werden, so daß auch die Maßnahmen aus Kapitel 4.3.4 Raum für
technische Infrastruktur realisiert werden müssen.
Der Arbeitsplatz des Netzadministrators sollte ebenfalls besonders geschützt werden. Neben den
Maßnahmen aus Kapitel 4.3.1 Büroraum sind hier die Regelungen für das eingesetzte Betriebssystem
zu nennen (siehe Kapitel 6).
Für den sicheren Einsatz eines heterogenen Netzes sind eine Reihe von Maßnahmen umzusetzen,
beginnend mit der Analyse der aktuellen Netzsituation über die Entwicklung eines NetzmanagementKonzeptes bis zum Betrieb eines heterogenen Netzes. Die Schritte, die dabei durchlaufen werden
sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im
folgenden aufgeführt.
1. Analyse der aktuellen Netzsituation (siehe M 2.139 Ist-Aufnahme der aktuellen Netzsituation und
M 2.140 Analyse der aktuellen Netzsituation)
-

Erhebung von Lastfaktoren und Verkehrsflußanalyse

-

Feststellung von Netzengpässen

-

Identifikation kritischer Bereiche

2. Konzeption
-

Konzeption eines Netzes (siehe M 2.141 Entwicklung eines Netzkonzeptes und M 2.142
Entwicklung eines Netz-Realisierungsplans und M 5.60 Auswahl einer geeigneten BackboneTechnologie)

-

Konzeption Netzmanagement (siehe M 2.143 Entwicklung eines Netzmanagement-Konzeptes
und M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls)

3. Sicherer Betrieb des Netzes
-

Segmentierung des Netzes (siehe M 5.61 Geeignete physikalische Segmentierung und
M 5.62 Geeignete logische Segmentierung)

-

Einsatz einer Netzmanagement-Software (siehe M 2.145 Anforderungen an ein Netzmanagement-Tool und M 2.146 Sicherer Betrieb eines Netzmanagementsystems)

-

Audit und Revision des Netzes (siehe M 4.81 Audit und Protokollierung der Aktivitäten im
Netz und M 2.64 Kontrolle der Protokoll- und Auditdateien)

4. Notfallvorsorge
-

Redundante Auslegung der Netzkomponenten (siehe M 6.53 Redundante Auslegung der
Netzkomponenten)

-

Sicherung der Konfigurationsdaten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten und M 6.22 Sporadische Überprüfung auf
Wiederherstellbarkeit von Datensicherungen)

Nachfolgend wird das komplette Maßnahmenbündel für den Bereich Heterogene Netze vorgestellt, in
dem auch Maßnahmen von eher grundsätzlicher Art enthalten sind, die zusätzlich zu den oben
aufgeführten Schritten beachtet werden müssen.

__________________________________________________________________________________________
19

IT-Grundschutzhandbuch: Stand Juli 1999

6.7
Heterogene Netze
__________________________________________________________________________________________

Infrastruktur:
- M 1.25 (1)
- M 1.27 (2)
- M 1.28 (1)
- M 1.29 (3)
- M 1.32 (1)

Überspannungsschutz
Klimatisierung
Lokale unterbrechungsfreie Stromversorgung
Geeignete Aufstellung eines IT-Systems (optional)
Geeignete Aufstellung von Konsole, Geräten mit austauschbaren Datenträgern und
Druckern

Organisation:
- M 2.4 (2)
- M 2.22 (2)
- M 2.25 (1)
- M 2.26 (1)
- M 2.34 (1)
- M 2.35 (1)
- M 2.38 (2)
- M 2.64 (2)
- M 2.139 (1)
- M 2.140 (1)
- M 2.141 (1)
- M 2.142 (1)
- M 2.143 (1)
- M 2.144 (1)
- M 2.145 (2)
- M 2.146 (1)

Regelungen für Wartungs- und Reparaturarbeiten
Hinterlegen des Paßwortes
Dokumentation der Systemkonfiguration
Ernennung eines Administrators und eines Vertreters
Dokumentation der Veränderungen an einem bestehenden System
Informationsbeschaffung über Sicherheitslücken des Systems
Aufteilung der Administrationstätigkeiten
Kontrolle der Protokolldateien
Ist-Aufnahme der aktuellen Netzsituation
Analyse der aktuellen Netzsituation (optional)
Entwicklung eines Netzkonzeptes
Entwicklung eines Netz-Realisierungsplans
Entwicklung eines Netzmanagementkonzeptes
Geeignete Auswahl eines Netzmanagement-Protokolls
Anforderungen an ein Netzmanagement-Tool
Sicherer Betrieb eines Netzmanagementsystems

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals

(1)
(1)
(1)
(1)

Hardware/Software:
- M 4.7 (1) Änderung voreingestellter Paßwörter
- M 4.15 (2) Gesichertes Login
- M 4.24 (1) Sicherstellung einer konsistenten Systemverwaltung
- M 4.79 (1) Sichere Zugriffsmechanismen bei lokaler Administration
- M 4.80 (1) Sichere Zugriffsmechanismen bei Fernadministration
- M 4.81 (2) Audit und Protokollierung der Aktivitäten im Netz
- M 4.82 (1) Sichere Konfiguration der aktiven Netzkomponenten
- M 4.83 (3) Update/Upgrade von Soft- und Hardware im Netzbereich
Kommunikation:
- M 5.2 (1)
- M 5.7 (1)
- M 5.12 (2)
- M 5.13 (1)
- M 5.60 (1)
- M 5.61 (1)
- M 5.62 (1)

Auswahl einer geeigneten Netz-Topographie
Netzverwaltung
Einrichtung eines zusätzlichen Netzadministrators
Geeigneter Einsatz von Elementen zur Netzkopplung
Auswahl einer geeigneten Backbone-Technologie
Geeignete physikalische Segmentierung
Geeignete logische Segmentierung (optional)

__________________________________________________________________________________________
20

IT-Grundschutzhandbuch: Stand Juli 1999

6.7
Heterogene Netze
__________________________________________________________________________________________

Notfallvorsorge:
- M 6.22 (2)
- M 6.52 (1)
- M 6.53 (1)
- M 6.54 (3)

Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten
Redundante Auslegung der Netzkomponenten
Verhaltensregeln nach Verlust der Netzintegrität

ˆ

__________________________________________________________________________________________
21

IT-Grundschutzhandbuch: Stand Juli 1999

6.8
Netz- und Systemmanagement
__________________________________________________________________________________________

6.8

Netz- und Systemmanagement

Beschreibung
Ein Managementsystem für ein i. allg. lokales Rechnernetz (LAN, VLAN) dient dazu, möglichst alle im lokale
Netz angesiedelten Hard- und Software-Komponenten
i. d. R. zentral zu verwalten. Ein solches System soll den
Systemverwalter maximal in seiner täglichen Arbeit
unterstützen. Grundsätzlich kann zwischen Netzmanagement und Systemmanagement unterschieden
werden. Die Unterschiede ergeben sich durch die jeweils
verwalteten Komponenten.
Netzmanagement umfaßt die Gesamtheit der Vorkehrungen und Aktivitäten zur Sicherstellung des
effektiven Einsatzes eines Netzes. Hierzu gehört beispielsweise die Überwachung der
Netzkomponenten auf ihre korrekte Funktion, das Monitoring der Netzperformance und die zentrale
Konfiguration der Netzkomponenten. Netzmanagement ist in erster Linie eine organisatorische
Problemstellung, deren Lösung lediglich mit technischen Mitteln, einem Netzmanagementsystem,
unterstützt werden kann.
Systemmanagement befaßt sich in erster Linie mit dem Management verteilter IT-Systeme. Hierzu
gehören beispielsweise eine zentrale Verwaltung der Benutzer, Softwareverteilung, Management der
Anwendungen usw. In einigen Bereichen, wie z. B. dem Konfigurationsmanagement (dem Überwachen und Konsolidieren von Konfigurationen eines Systems oder einer Netzkomponente), sind
Netz- und Systemmanagement nicht klar zu trennen.
Im folgenden wird das (Software-) System, das zum Verwalten eines Netzes und dessen Komponenten
dient, immer als "Managementsystem" bezeichnet, die damit verwalteten Komponenten werden als
"verwaltetes System" bezeichnet. Im Englischen werden hier die Begriffe "management system" und
"managed system" verwendet, dies gilt insbesondere für den Bereich Netzmanagement.
In der ISO/IEC-Norm 7498-4 bzw. als X.700 der ITU-T ist ein Netz- und SystemmanagementFramework definiert. Zu den Aufgaben eines Managementsystems gehören demnach:
1.
2.
3.
4.
5.

Konfigurationsmanagement,
Performancemanagement,
Fehlermanagement,
Abrechnungsmanagement,
Sicherheitsmanagement.

Dabei muß ein konkretes Systemmanagement-Produkt nicht für jeden der Bereiche Unterstützung
anbieten. Die Hersteller bieten i.d.R Produktpaletten an, die so konzipiert sind, daß spezielle Funktionalitäten als Modul oder als kooperierendes Einzelprodukt erhältlich sind.
Netzmanagement ist die ältere und ausgereiftere Managementdisziplin. Systemmanagement ist im
Gegensatz dazu eine noch junge Disziplin, wird aber durch die stark gewachsene Vernetzung in
Unternehmen bzw. Behörden und die damit zunehmende Heterogenität und Komplexität immer mehr
gefordert. Ziel muß es hier sein, beide Disziplinen zu integrieren. Die zur Zeit erhältlichen Managementprodukte sind so angelegt, daß sie primär entweder zum Netzmanagement oder zum Systemmanagement konzipiert sind. Produkte, die beide Funktionalitäten vereinen, sind in der Entwicklung.
In der Regel erlauben Produkte, die für das Systemmanagement ausgelegt sind, auch den Zugriff auf
Informationen des Netzmanagements.

__________________________________________________________________________________________
22

IT-Grundschutzhandbuch: Stand Juli 1999

6.8
Netz- und Systemmanagement
__________________________________________________________________________________________

Aufgrund der Heterogenität von Hard- und Software heutiger Netze ist Systemmangement eine sehr
komplexe Aufgabe. Erschwert wird Systemmanagement zusätzlich dadurch, daß die Managementsoftware und die Software, die verwaltet werden soll, sehr eng zusammenarbeiten müssen. In der
Regel ist heute erhältliche Software jedoch nicht darauf eingerichtet, mit einem Managementsystem
zusammenzuarbeiten. Dies liegt zum einen an fehlenden Standards, die z. B. ausreichende Sicherheit
garantieren, zum anderen daran, daß größere Softwarepakete mit eigenem, proprietärem Management
ausgestattet sind, da Interna über die Software, die zum Verwalten dieser nötig sind, nicht offengelegt
werden sollen. Beispielsweise existiert für den Microsoft Internet Explorer eine Managementsoftware,
das ”Internet Explorer Administration Kit (IEAK)”, welches z. B. die Vorgabe von Sicherheitseinstellungen durch den Administrator erlaubt, die vom Benutzer nachträglich nicht mehr oder
nur im Rahmen vorgegebener Werte verändert werden können. Die Funktionsweise dieses Tools ist
proprietär und unterliegt keinem Standard.
Prinzipiell ist die Architektur von Managementsoftware zentralistisch aufgebaut: es gibt eine zentrale
Managementstation oder –konsole, von der aus der Systemadministrator das ihm anvertraute Netz mit
den darin befindlichen Hard- und Software-Komponenten verwalten kann. Insbesondere die Systeme
zum Netzmanagement bauen darauf auf. Durch die fehlenden Standards im Bereich Systemmanagement findet man hier in den erhältlichen Produkten in vielen Fällen zwar die zentralistische Architektur, die jedoch im Detail proprietär realisiert ist, so daß hier keine weitere generelle Architekturaussage gemacht werden kann.
Einem Netzmanagementsystem liegt i. d. R. ein Modell zugrunde, das zwischen ”Manager”, ”Agent”
(auch ”Managementagent”) und ”verwalteten Objekten” (auch ”managed objects”) unterscheidet. Die
weiteren Bestandteile sind das zur Kommunikation verwendete Protokoll zwischen Manager und den
Agenten, sowie eine Informationsdatenbank, die sogenannte ”MIB” (Management Information Base).
Die MIB muß sowohl dem Manager als auch jedem Managementagenten zur Verfügung stehen.
Konzeptionell werden Managementagenten und deren MIB als Teil des verwalteten Systems angesehen.
Managementsystem

Manager

Verwaltetes System
Managed
Object:
Rechner

Subagenten
Agenten

Managed
Object:
Drucker
Managementprotokoll
MIB

MIB

Ein Agent ist für ein oder mehrere zu verwaltende Objekte zuständig. Es ist möglich, die Agenten
hierarchisch zu organisieren: Ein Agent ist dann für die ihm zugeordneten Unteragenten zuständig.
Am Ende einer jeden auf diese Art entstehenden Befehlskette steht immer ein zu verwaltendes Objekt.
Ein zu verwaltendes Objekt ist entweder ein physikalisch vorhandenes Objekt (Gerät), wie ein
Rechner, ein Drucker oder ein Router, oder ein Softwareobjekt, wie z. B. ein Hintergrundprozeß zur
Verwaltung von Druckaufträgen. Bei Geräten, die über ein Managementsystem verwaltet werden

__________________________________________________________________________________________
23

IT-Grundschutzhandbuch: Stand Juli 1999

6.8
Netz- und Systemmanagement
__________________________________________________________________________________________

können, ist der Managementagent i. d. R. schon vom Hersteller in das Gerät ”fest” eingebaut. Versteht
dieser das vom Manager verwendete Kommunikationsprotokoll nicht, ist z. B. ein SoftwareManagementagent nötig, der die Protokollumsetzung beherrscht. In ähnlicher Weise können SoftwareKomponenten den Managementagenten schon enthalten, oder es wird ein spezieller Managementagent
benötigt, der für die Verwaltung dieser Software-Komponente konzipiert ist.
Um die einzelnen Komponenten des zu verwaltenden Systems anzusprechen, tauschen der Manager
und die jeweiligen Agenten Informationen aus. Die Art des zur Kommunikation verwendeten Protokolls bestimmt maßgeblich die Mächtigkeit und insbesondere die Sicherheit des Managementsystems.
Prinzipiell können Managementsysteme bezüglich des verwendeten Kommunikationsprotokolles in
drei Kategorien unterteilt werden (siehe auch M 2.144 Geeignete Auswahl eines NetzmanagementProtokolls):
1. Es wird SNMP (Simple Network Management Protocol) benutzt, das weit verbreitete Standardprotokoll des TCP/IP-basierten Systemmanagements.
2. Es wird CMIP (Common Management Information Protocol) benutzt, das seltener benutzte
Standardprotokoll des ISO/OSI-basierten Systemmanagements.
3. Es wird ein hersteller-spezifisches Protokoll benutzt. Es existiert meist die Möglichkeit, sogenannte
Adapter zum Einbinden der Standardprotokolle zu verwenden, wobei in der Regel lediglich eine
SNMP-Anbindung existiert.
Das am häufigsten benutzte Protokoll ist SNMP. SNMP ist ein sehr einfaches Protokoll, das nur fünf
Nachrichtentypen kennt und daher auch einfach zu implementieren ist. CMIP wird hauptsächlich zum
Management von Telekommunikationsnetzen verwandt, und hat im Inter- und Intranet-basierten
Management keine Bedeutung, da es den OSI-Protokollstack verwendet und nicht den TCP/IP-Stack.
Systemmanagementsysteme sind zwar in der Regel auch zentralistisch ausgelegt, um das Verwalten
des Systems von einer Managementstation aus zu erlauben, die konkrete Architektur hängt jedoch
davon ab, wie groß die Systeme, die verwaltet werden können, sein dürfen und welcher Funktionsumfang angeboten wird. Hier reicht die Palette von einfachen Sammlungen von Management-Tools,
die ohne Integration nebeneinander in kleinen Netzen eingesetzt werden, bis hin zu Managementplattformen, die ein weltumspannendes Firmennetz mit mehreren Tausend Rechnern verwalten können.
Bestimmte Managementplattformen benutzen proprietäre Protokolle zur Kommunikation zwischen
den Komponenten. Diese Systeme weisen in der Regel ein wesentlich höheres Leistungsspektrum auf
und dienen nicht nur dem Netz- und Systemmanagement, sondern bieten unternehmens- bzw. behördenweites Ressourcenmanagement an. Durch die unzureichend spezifizierten Sicherheitsmechanismen
in den wenigen existierenden Standards, erlauben proprietäre Lösungen zudem die (zwar nicht
standardisierte) Verfügbarkeit sicherheitsrelevanter Mechanismen, wie z. B. Verschlüsselungsverfahren.
Gefährdungslage
Für den IT-Grundschutz eines Managementsystems werden die folgenden typischen Gefährdungen
angenommen:
Höhere Gewalt
- G 1.1
- G 1.2

Personalausfall
Ausfall des IT-Systems

Organisatorische Mängel:
- G 2.59
Betreiben von nicht angemeldeten Komponenten
- G 2.60
Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement

__________________________________________________________________________________________
24

IT-Grundschutzhandbuch: Stand Juli 1999

6.8
Netz- und Systemmanagement
__________________________________________________________________________________________

- G 2.61

Unberechtigte Sammlung personenbezogener Daten

Menschliche Fehlhandlungen:
- G 3.34
Ungeeignete Konfiguration des Managementsystems
- G 3.35
Server im laufenden Betrieb ausschalten
- G 3.36
Fehlinterpretation von Ereignissen
Technisches Versagen:
- G 4.38
Ausfall von Komponenten eines Netz- und Systemmanagementsystems
Vorsätzliche Handlungen:
- G 5.86
Manipulation von Managementparametern
Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Das zu verwaltende System besteht aus einzelnen Rechnern, Netzkoppelelementen und dem physikalischen Netz. Jede dieser Komponenten ist ein potentielles Sicherheitsrisiko für das Gesamtsystem.
Diese Risiken können im allgemeinen alleine durch die Einführung von Managementsoftware nicht
vollständig beseitigt werden. Dies gilt schon deshalb, weil in der Regel nicht alle Systeme in gleichem
Maße durch ein Managementsystem erfaßt werden. Grundvoraussetzung für die Systemsicherheit ist
hier einerseits die Definition und andererseits die Realisierung einer unternehmensweiten
Sicherheitspolitik, die sich im betrachteten Fall insbesondere in der Konfiguration von Hard- und
Software niederschlagen muß. Aus diesem Grund sollten insbesondere die Maßnahmen der im
Kapitel 6 aufgeführten Bausteine betrachtet werden. Als Ausgangsbaustein kann der Baustein 6.7
Heterogene Netze dienen.
Da Managementsysteme von einem zentralistischen Ansatz ausgehen, kommt der zentralen Managementstation eine besondere Bedeutung unter Sicherheitsgesichtspunkten zu und ist daher besonders zu
schützen. Zentrale Komponenten eines Managementsystems sollten daher in Räumen aufgestellt
werden, die den Anforderungen an einen Serverraum (vgl. Kapitel 4.3.2) entsprechen. Wenn kein
Serverraum zur Verfügung steht, können sie alternativ in einem Serverschrank aufgestellt werden (vgl.
Kapitel 4.4 Schutzschränke).
Für den erfolgreichen Aufbau eines Netz- und Systemmanagementsystems sind eine Reihe von
Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die
Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten
beachtet werden sollten, sind im folgenden aufgeführt.
1. Erstellen eines Managementkonzeptes, das auf den Anforderungen beruht, die sich aus den
Gegebenheiten des in der Regel bereits vorhandenen IT-Systems ergeben
1.1
1.2

Anforderungsanalyse (siehe M 2.168 IT-System-Analyse vor Einführung eines Systemmanagementsystems)
Definition des Konzeptes (siehe M 2.169 Entwickeln einer Systemmanagementstrategie)

2. Die Beschaffung des Managementsystems erfordert zunächst, die aus dem Managementkonzept
resultierenden
2.1
2.2

Anforderungen an das Managementprodukt zu formulieren (siehe M 2.170 Anforderungen
an ein Systemmanagementsystem) und basierend darauf
die Auswahl eines geeigneten Managementproduktes zu treffen (siehe M 2.170 Geeignete
Auswahl eines Systemmanagement-Produktes).

__________________________________________________________________________________________
25

IT-Grundschutzhandbuch: Stand Juli 1999

6.8
Netz- und Systemmanagement
__________________________________________________________________________________________

3. Die sicherheitsrelevanten Maßnahmen für den Betrieb des Managementsystems untergliedern sich
in die Bereiche:
3.1
3.2
3.3

Installation, mit der Umsetzung des Managementkonzeptes (siehe M 4.91 Sichere Installation eines Systemmanagementsystems) und
den laufenden Betrieb des Managementsystems (siehe M 4.92 Sicherer Betrieb eines
Systemmanagementsystems). Daneben sind natürlich die bisherigen Maßnahmen für
den laufenden Betrieb des verwalteten Systems zu beachten (siehe Kapitel 4 bis 9)

Nachfolgend wird das Maßnahmenbündel für den Baustein Netz- und Systemmanagement vorgestellt.
Infrastruktur:
- M 1.29 (1)

Geeignete Aufstellung eines IT-Systems

Organisation:
- M 2.2 (2)
- M 2.25 (1)
- M 2.40 (2)
- M 2.143 (1)
- M 2.144 (1)
- M 2.168 (1)
- M 2.169 (1)
- M 2.170 (1)
- M 2.171 (1)

Betriebsmittelverwaltung
Dokumentation der Systemkonfiguration
Rechtzeitige Beteiligung des Personal-/Betriebsrates
Entwicklung eines Netzmanagementkonzeptes
Geeignete Auswahl eines Netzmanagement-Protokolls
IT-System-Analyse vor Einführung eines Systemmanagementsystems
Entwickeln einer Systemmanagementstrategie
Anforderungen an ein Systemmanagementsystem
Geeignete Auswahl eines Systemmanagement-Produktes

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals

(1)
(1)
(1)
(1)

Hardware / Software:
M 4.91 (1) Sichere Installation eines Systemmanagementsystems
M 4.92 (1) Sicherer Betrieb eines Systemmanagementsystems
Kommunikation:
M 5.68 (2) Einsatz von Verschlüsselungsverfahren zur Netzkommunikation
Notfallvorsorge:
M 6.57 (2) Erstellen eines Notfallplanes für den Ausfall des Managementsystems

ˆ

__________________________________________________________________________________________
26

IT-Grundschutzhandbuch: Stand Juli 1999

7
Datenübertragungseinrichtungen
__________________________________________________________________________________________

7

Datenübertragungseinrichtungen

In diesem Kapitel wird der IT-Grundschutz für Einrichtungen zur Datenübertragung dargestellt:

7.1

Datenträgeraustausch

7.2

Modem

7.3

Firewall

7.4

E-Mail

7.5

WWW-Server

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Juli 1999

7.1
Datenträgeraustausch
__________________________________________________________________________________________

7.1

Datenträgeraustausch

Beschreibung
Betrachtet wird der Austausch von Datenträgern zur
Datenübertragung zwischen nicht vernetzten ITSystemen. Berücksichtigte Datenträger sind Disketten,
Wechselplatten (magnetisch, magneto-optisch), CDs,
Magnetbänder und Kassetten. Daneben wird auch die
Speicherung der Daten auf dem Sender- und EmpfängerSystem, soweit es in direktem Zusammenhang mit dem
Datenträgeraustausch steht, sowie der Umgang mit den
Datenträgern vor bzw. nach dem Versand berücksichtigt.

Gefährdungslage
Für den IT-Grundschutz im Rahmen des Austausches von Datenträgern werden folgende typische
Gefährdungen angenommen:
Höhere Gewalt:
- G 1.7
Unzulässige Temperatur und Luftfeuchte
- G 1.8
Staub, Verschmutzung
- G 1.9
Datenverlust durch starke Magnetfelder beim Transport
Organisatorische Mängel:
- G 2.3
Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.10
Nicht fristgerecht verfügbare Datenträger
- G 2.17
Mangelhafte Kennzeichnung der Datenträger
- G 2.18
Ungeordnete Zustellung der Datenträger
- G 2.19
Unzureichendes Schlüsselmanagement bei Verschlüsselung
Menschliche Fehlhandlungen:
- G 3.1
Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.12
Verlust der Datenträger beim Versand
- G 3.13
Übertragung falscher oder nicht gewünschter Datensätze
Technisches Versagen:
- G 4.7
Defekte Datenträger
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten und Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.9
Unberechtigte IT-Nutzung
- G 5.23
Computer-Viren
- G 5.29
Unberechtigtes Kopieren der Datenträger
- G 5.43
Makro-Viren

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Juli 1999

7.1
Datenträgeraustausch
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Datenträgeraustausch" vorgestellt.
Infrastruktur:
- M 1.36 (2)

Sichere Aufbewahrung der Datenträger vor und nach Versand (optional)

Organisation:
- M 2.3 (2)
- M 2.42 (2)
- M 2.43 (1)
- M 2.44 (1)
- M 2.45 (1)
- M 2.46 (2)

Datenträgerverwaltung
Festlegung der möglichen Kommunikationspartner
Ausreichende Kennzeichnung der Datenträger beim Versand
Sichere Verpackung der Datenträger
Regelung des Datenträgeraustausches
Geeignetes Schlüsselmanagement (optional)

Personal:
- M 3.14 (2)

Einweisung des Personals in den geregelten Ablauf eines Datenträgeraustausches
(optional)

Hardware/Software:
- M 4.32 (2) Physikalisches Löschen der Datenträger vor und nach Verwendung
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und
Datenübertragung
(bei üblicherweise von Computer-Viren betroffenen IT-Systemen)
- M 4.34 (1) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.35 (3) Verifizieren der zu übertragenden Daten vor Versand (optional)
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
Kommunikation:
- M 5.22 (2) Kompatibilitätsprüfung des Sender- und Empfängersystems (optional)
- M 5.23 (2) Auswahl einer geeigneten Versandart für den Datenträger
Notfallvorsorge:
- M 6.38 (2) Sicherungskopie der übermittelten Daten (optional)

ˆ

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Juli 1999

7.2
Modem
__________________________________________________________________________________________

7.2

Modem

Beschreibung
Über ein Modem wird eine Datenendeinrichtung, z. B.
ein PC, über das öffentliche Telefonnetz mit anderen
Datenendeinrichtungen verbunden, um Informationen
austauschen zu können. Ein Modem wandelt die digitalen
Signale aus der Datenendeinrichtung in analoge
elektrische Signale um, die über das Telefonnetz
übertragen werden können. Damit zwei IT-Systeme über
Modem kommunizieren können, muß auf den ITSystemen die entsprechende Kommunikationssoftware
installiert sein.

Modem

Unterschieden werden externe, interne und PCMCIA-Modems. Ein externes Modem ist ein
eigenständiges Gerät mit eigener Stromversorgung, das üblicherweise über eine serielle Schnittstelle
mit dem IT-System verbunden wird. Als internes Modem werden Steckkarten mit ModemFunktionalität, die über keine eigene Stromversorgung verfügen, bezeichnet. Ein PCMCIA-Modem ist
eine scheckkartengroße Einsteckkarte, die über eine PCMCIA-Schnittstelle üblicherweise in Laptops
eingesetzt wird.
In diesem Kapitel wird Datenübertragung über ISDN nicht betrachtet, dazu siehe Kapitel 8.1 TKAnlage.

Gefährdungslage
In diesem Kapitel werden für den IT-Grundschutz beim Einsatz eines Modems folgende
Gefährdungen angenommen:
Höhere Gewalt:
- G 1.2
Ausfall des IT-Systems
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.5
Unbeabsichtigte Leitungsbeschädigung
Technisches Versagen:
- G 4.6
Spannungsschwankungen/Überspannung/Unterspannung
Vorsätzliche Handlungen:
- G 5.2
Manipulation an Daten oder Software
- G 5.7
Abhören von Leitungen
- G 5.8
Manipulation an Leitungen
- G 5.9
Unberechtigte IT-Nutzung
- G 5.10
Mißbrauch von Fernwartungszugängen
- G 5.12
Abhören von Telefongesprächen und Datenübertragungen
- G 5.18
Systematisches Ausprobieren von Paßwörtern
- G 5.23
Computer-Viren
- G 5.25
Maskerade
- G 5.39
Eindringen in Rechnersysteme über Kommunikationskarten
- G 5.43
Makro-Viren

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Juli 1999

7.2
Modem
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Modem" vorgestellt.
Infrastruktur:
- M 1.25 (3)
- M 1.38 (1)

Überspannungsschutz (optional)
Geeignete Aufstellung eines Modems

Organisation:
- M 2.25 (2)
- M 2.42 (2)
- M 2.46 (2)
- M 2.59 (1)
- M 2.60 (1)
- M 2.61 (2)

Dokumentation der Systemkonfiguration
Festlegung der möglichen Kommunikationspartner
Geeignetes Schlüsselmanagement (optional)
Auswahl eines geeigneten Modems in der Beschaffung
Sichere Administration eines Modems
Regelung des Modem-Einsatzes

Personal:
- M 3.17 (1)

Einweisung des Personals in die Modem-Benutzung

Hardware/Software:
- M 4.7 (1) Änderung voreingestellter Paßwörter
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und
Datenübertragung
(bei üblicherweise von Computer-Viren betroffenen IT-Systemen)
- M 4.34 (2) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
Kommunikation:
- M 5.30 (1)
- M 5.31 (1)
- M 5.32 (1)
- M 5.33 (1)
- M 5.44 (2)

Aktivierung einer vorhandenen Callback-Option
Geeignete Modem-Konfiguration
Sicherer Einsatz von Kommunikationssoftware
Absicherung der per Modem durchgeführten Fernwartung
Einseitiger Verbindungsaufbau (optional)

ˆ

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Juli 1999

7.3
Firewall
__________________________________________________________________________________________

7.3

Firewall

Beschreibung
Eine Firewall dient zur Kontrolle der Kommunikation
zwischen zwei Netzen. Im Regelfall wird sie zum Schutz
eines Netzes gegen Angriffe aus einem Netz mit einem
geringeren Schutzbedarf eingesetzt, z. B. bei der Anbindung eines zu schützenden Teilnetzes an ein organisationsumspannendes Netz oder der Anbindung eines
Firmennetzes an das Internet.

LAN

WAN

In diesem Kapitel wird mit Firewall eine Kombination
von Hard- und Software bezeichnet, die als alleiniger
Übergang zwischen zwei zu trennenden TCP/IP-Netzen dient, von denen das eine einen höheren
Schutzbedarf hat. Da eine solche Firewall häufig zum Schutz eines internen Netzes bei der Kopplung
mit dem Internet eingesetzt wird, wird sie auch als Internet-Firewall bezeichnet.
In diesem Kapitel werden ausschließlich die für eine Firewall spezifischen Gefährdungen und
Maßnahmen beschrieben. Zusätzlich sind noch die für das IT-System, mit dem die Firewall realisiert
wird, spezifischen Gefährdungen und Maßnahmen zu betrachten. Es wird davon ausgegangen, daß
eine Firewall auf einem Unix-System implementiert wird, daher sind zusätzlich zu den im folgenden
beschriebenen Gefährdungen und Maßnahmen die in Kapitel 6.2 beschriebenen zu beachten.
Gefährdungslage
Für den IT-Grundschutz einer Firewall werden die folgenden typischen Gefährdungen angenommen:
Organisatorische Mängel:
- G 2.24
Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes
Menschliche Fehlhandlungen:
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.9
Fehlerhafte Administration des IT-Systems
- G 3.38
Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.8
Bekanntwerden von Softwareschwachstellen
- G 4.10
Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.11
Fehlende Authentisierungsmöglichkeit zwischen NIS-Server und NIS-Client
- G 4.12
Fehlende Authentisierungsmöglichkeit zwischen X-Server und X-Client
- G 4.20
Datenverlust bei erschöpftem Speichermedium
- G 4.22
Schwachstellen oder Fehler in Standardsoftware
- G 4.39
Software-Konzeptionsfehler
Vorsätzliche Handlungen:
- G 5.2
Manipulation an Daten oder Software
- G 5.9
Unberechtigte IT-Nutzung
- G 5.18
Systematisches Ausprobieren von Paßwörtern
- G 5.24
Wiedereinspielen von Nachrichten
- G 5.25
Maskerade
- G 5.28
Verhinderung von Diensten
- G 5.39
Eindringen in Rechnersysteme über Kommunikationskarten
- G 5.48
IP-Spoofing

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Juli 1999

7.3
Firewall
__________________________________________________________________________________________

-

G 5.49
G 5.50
G 5.51
G 5.78

Mißbrauch des Source-Routing
Mißbrauch des ICMP-Protokolls
Mißbrauch der Routingprotokolle
DNS-Spoofing

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Eine Firewall schützt das interne Netz
Angriffe von Innentätern zu schützen,
Sicherheitsmaßnahmen umgesetzt sein.
Unix- bzw. PC-Netz handelt, sind die
maßnahmen umzusetzen.

nur gegen Angriffe von außen. Um das interne Netz gegen
müssen auch bei Einsatz einer Firewall alle erforderlichen
Wenn es sich bei dem internen Netz beispielsweise um ein
in Kapitel 6.2 bzw. Kapitel 6.1 beschriebenen Sicherheits-

Die Firewall sollte in einem separaten Serverraum aufgestellt werden. Hierbei zu realisierende
Maßnahmen sind in Kapitel 4.3.2 beschrieben. Wenn kein Serverraum zur Verfügung steht, kann die
Firewall alternativ in einem Serverschrank aufgestellt werden (vgl. Kapitel 4.4 Schutzschränke).
Für den erfolgreichen Aufbau einer Firewall sind eine Reihe von Maßnahmen umzusetzen, beginnend
mit der Konzeption über die Beschaffung bis zum Betrieb einer Firewall. Die Schritte, die dabei
durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden
sollten, sind im folgenden aufgeführt.
1. Konzept der Netzkopplung mit Hilfe einer Firewall: (siehe M 2.70 Entwicklung eines FirewallKonzeptes)
-

Festlegung der Sicherheitsziele

-

Anpassung der Netzstruktur

-

grundlegende Voraussetzungen

2. Sicherheitspolitik der Firewall: (s. M 2.71 Festlegung einer Sicherheitspolitik für eine Firewall)
-

Auswahl der Kommunikationsanforderungen

-

Diensteauswahl
(Vor der Diensteauswahl sollten die Erläuterungen und Randbedingungen aus M 5.39
Sicherer Einsatz der Protokolle und Dienste gelesen werden.)

-

Organisatorische Regelungen

3. Beschaffung der Firewall:
-

Auswahl des Firewall-Typs
(siehe M 2.72 Anforderungen an eine Firewall und M 2.73 Auswahl eines geeigneten
Firewall-Typs.

-

Beschaffungskriterien
(siehe M 2.74 Geeignete Auswahl eines Paket-Filters und M 2.75 Geeignete Auswahl eines
Application-Gateway)

4. Implementation der Firewall:
-

Filterregeln aufstellen und implementieren (siehe M 2.76 Auswahl und Implementation
geeigneter Filterregeln)

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Juli 1999

7.3
Firewall
__________________________________________________________________________________________

-

Umsetzung der IT-Grundschutz-Maßnahmen für Firewall-Rechner (siehe Kapitel 6.2)

-

Umsetzung der IT-Grundschutz-Maßnahmen die IT-Systeme des internen Netzes überprüfen
(siehe z. B. siehe Kapitel 6.1, 6.2 und 6.3)

-

Randbedingungen für sicheren Einsatz der einzelnen Protokolle und Dienste beachten (siehe
M 5.39 Sicherer Einsatz der Protokolle und Dienste)

-

Einbindung weiterer Komponenten (siehe M 2.77 Sichere Anordnung weiterer Komponenten)

5. Betrieb der Firewall: (siehe M 2.78 Sicherer Betrieb einer Firewall)
-

Regelmäßige Kontrolle

-

Anpassung an Änderungen und Tests

-

Protokollierung der Firewall-Aktivitäten (siehe M 4.47 Protokollierung der Firewall-Aktivitäten)

-

Notfallvorsorge für die Firewall (ergänzend siehe Kapitel 3.3)

-

Datensicherung (siehe Kapitel 3.4 Datensicherungskonzept)

6. Betrieb der an der Firewall angeschlossenen Clients
Auf Seite der Clients ist - neben den in Kapitel 5 beschriebenen Maßnahmen - zusätzlich die
Maßnahme M 5.45 Sicherheit von WWW-Browsern zu beachten.

Es kann verschiedene Gründe geben, sich gegen den Einsatz einer Firewall zu entscheiden. Dies
können die Anschaffungskosten oder der hohe Administrationsaufwand sein, aber auch die Tatsache,
daß die bestehenden Restrisiken nicht in Kauf genommen werden können.Falls trotzdem ein Anschluß
an das Internet gewünscht ist, kann alternativ ein Stand-alone-System eingesetzt werden (siehe M 5.46
Einsatz von Stand-alone-Systemen zur Nutzung des Internets).
Nachfolgend wird das Maßnahmenbündel für den Bereich "Firewall" vorgestellt.
Organisation:
- M 2.70 (1)
- M 2.71 (1)
- M 2.72 (1)
- M 2.73 (1)
- M 2.74 (1)
- M 2.75 (1)
- M 2.76 (1)
- M 2.77 (1)
- M 2.78 (1)

Entwicklung eines Firewall-Konzeptes
Festlegung einer Sicherheitspolitik für eine Firewall
Anforderungen an eine Firewall
Auswahl eines geeigneten Firewall-Typs
Geeignete Auswahl eines Paket-Filters (bei Beschaffungsbedarf)
Geeignete Auswahl eines Application-Gateway (bei Beschaffungsbedarf)
Auswahl und Implementation geeigneter Filterregeln
Sichere Anordnung weiterer Komponenten
Sicherer Betrieb einer Firewall

Hardware / Software:
- M 4.47 (1) Protokollierung der Firewall-Aktivitäten
- M 4.93 (1) Regelmäßige Integritätsprüfung
- M 4.100 (1) Firewalls und aktive Inhalte
- M 4.101 (1) Firewalls und Verschlüsselung

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

7.3
Firewall
__________________________________________________________________________________________

Kommunikation:
- M 5.39 (1)
- M 5.59 (1)
- M 5.45 (2)
- M 5.46 (1)
- M 5.70 (1)
- M 5.71 (1)

Sicherer Einsatz der Protokolle und Dienste
Schutz vor DNS-Spoofing
Sicherheit von WWW-Browsern (bei Clients)
Einsatz von Stand-alone-Systemen zur Nutzung des Internets (alternativ zur Firewall)
Adreßumsetzung – NAT (Network Address Translation)
Intrusion Detection und Intrusion Response Systeme

ˆ

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Juli 1999

7.4
E-Mail
__________________________________________________________________________________________

7.4

E-Mail

Beschreibung
sr ffgdf jbnnkg

dh y

d

bnkjydg

Der Dienst "Electronic Mail", kurz E-Mail, erlaubt es,
elektronische Nachrichten innerhalb kürzester Zeit
weltweit zu versenden und zu empfangen. Eine E-Mail
hat i. a. neben den Adreßangaben (From/To) ein Subject
ln
gxb
n gc nl
(Titel oder Betreff), einen Textkörper und evtl. ein oder
iu g h qho nv zi j gbv
mehrere Anhänge (Attachments). Mittels E-Mail können
nicht nur kurze Informationen schnell, bequem und informell weitergegeben werden, sondern es können auch
Geschäftsvorfälle zur Weiterbearbeitung an andere
Bearbeiter weitergeleitet werden. Abhängig davon, für welchen Einsatzzweck E-Mail eingesetzt wird,
differieren auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu
übertragenden Daten sowie des eingesetzten E-Mail-Programms.
bn
d

gn

vk

jh b

njkgb

Gefährdungslage
Für den IT-Grundschutz im Rahmen des elektronischen Dateiaustausches über E-Mail werden
folgende typische Gefährdungen angenommen:
Organisatorische Mängel:
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.19
Unzureichendes Schlüsselmanagement
- G 2.54
Vertraulichkeitsverlust durch Restinformationen
- G 2.55
Ungeordnete E-Mail-Nutzung
- G 2.56
Mangelhafte Beschreibung von Dateien
Menschliche Fehlhandlungen:
- G 3.1
Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.13
Übertragung falscher oder nicht gewünschter Datensätze
Technisches Versagen:
- G 4.20
Datenverlust bei erschöpftem Speichermedium
- G 4.32
Nichtzustellung einer Nachricht
- G 4.37
Mangelnde Zeitauthentizität von E-Mail
Vorsätzliche Handlungen:
- G 5.2
Manipulation an Daten oder Software
- G 5.7
Abhören von Leitungen
- G 5.9
Unberechtigte IT-Nutzung
- G 5.21
Trojanische Pferde
- G 5.23
Computer-Viren
- G 5.24
Wiedereinspielen von Nachrichten
- G 5.25
Maskerade
- G 5.26
Analyse des Nachrichtenflusses
- G 5.27
Nichtanerkennung einer Nachricht
- G 5.28
Verhinderung von Diensten

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Juli 1999

7.4
E-Mail
__________________________________________________________________________________________

-

G 5.43
G 5.72
G 5.73
G 5.74
G 5.75
G 5.76
G 5.77

Makro-Viren
Mißbräuchliche E-Mail-Nutzung
Vortäuschen eines falschen Absenders
Manipulation von Alias-Dateien oder Verteilerlisten
Überlastung durch eingehende E-Mails
Mailbomben
Mitlesen von E-Mails

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Bei der Betrachtung von E-Mail-Systemen sind im wesentlichen die folgenden Komponenten zu
untersuchen:
- Die Benutzer setzen für den Versand, den Empfang und die Bearbeitung von E-Mails
Mailprogramme ein.
- Die Benutzer-Mailprogramme übergeben und erhalten die E-Mail an bzw. von einem Mail-Server.
Zu diesem Zweck führt der Mail-Server für jeden Benutzer eine Mailbox. Für den weiteren
Nachrichtentransport kommuniziert der Mail-Server mit Gateways, die die Nachrichten an andere
Mail-Systeme senden.
Dies erfordert bei der Umsetzung von Sicherheitsmaßnahmen für den Informationsaustausch per
E-Mail, daß zunächst eine übergreifende Sicherheitspolitik erarbeitet wird (siehe M 2.118 Festlegung
einer Sicherheitspolitik für E-Mail-Nutzung). Der Betrieb von E-Mail-Systemen erfordert neben der
Umsetzung von Sicherheitsmaßnahmen am Mail-Server auch Sicherheitsmaßnahmen an den
eingesetzten Clients. Von besonderer Bedeutung sind jedoch die von den Benutzern einzuhaltenden
Sicherheitsvorkehrungen und Anweisungen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "E-Mail" vorgestellt.
Organisation:
- M 2.30 (2)
- M 2.42 (2)
- M 2.46 (2)
- M 2.118 (1)
- M 2.119 (1)
- M 2.120 (1)
- M 2.121 (2)
- M 2.122 (2)
- M 2.123 (2)

Regelung für die Einrichtung von Benutzern / Benutzergruppen
Festlegung der möglichen Kommunikationspartner
Geeignetes Schlüsselmanagement (optional)
Festlegung einer Sicherheitspolitik für E-Mail-Nutzung
Regelung für den Einsatz von E-Mail
Einrichtung einer Poststelle
Regelmäßiges Löschen von E-Mails
Einheitliche E-Mail-Adressen
Auswahl eines Mailproviders

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals

(1)
(1)
(1)
(1)

Hardware/Software:
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und
Datenübertragung
- M 4.34 (2) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen (optional)

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Juli 1999

7.4
E-Mail
__________________________________________________________________________________________

- M 4.44 (2)
- M 4.64 (1)
- M 4.65 (2)

Prüfung eingehender Dateien auf Makro-Viren
Verifizieren der zu übertragenden Daten vor Weitergabe/Beseitigung von
Restinformationen
Test neuer Hard- und Software

Kommunikation:
- M 5.22 (2)
- M 5.32 (1)
- M 5.53 (2)
- M 5.54 (2)
- M 5.55 (2)
- M 5.56 (1)
- M 5.57 (1)
- M 5.63 (2)
- M 5.67 (3)

Kompatibilitätsprüfung des Sender- und Empfängersystems (optional)
Sicherer Einsatz von Kommunikationssoftware
Schutz vor Mailbomben
Schutz vor Mailüberlastung und Spam
Kontrolle von Alias-Dateien und Verteilerlisten
Sicherer Betrieb eines Mail-Servers
Sichere Konfiguration der Mail-Clients
Einsatz von PGP (optional)
Verwendung eines Zeitstempel-Dienstes (optional)

Notfallvorsorge:
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.38 (2) Sicherungskopie der übermittelten Daten (optional)

ˆ

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Juli 1999

7.5
WWW-Server
__________________________________________________________________________________________

7.5

WWW-Server

Beschreibung

999

Ein WWW-Server ist ein IT-System, das über eine
Informationsdatenbank WWW-Clients Dateien zur
Verfügung stellt. Ein WWW-Client, auch Browser
genannt, zeigt die Informationen eines WWW-Servers
auf dem Benutzerrechner an. Die bekanntesten
Browser sind Mosaic, Netscape, Internet Explorer, Hot
Java und Lynx. Teilt der Benutzer dem Browser (z. B.
über einen Mausklick) mit, welches Dokument er
lesen möchte, so stellt das Programm eine
Netzverbindung mit dem entsprechenden WWWServer her. Letzterer schickt dann das gewünschte Dokument über das Netz an den Clienten, der es
dann am Bildschirm darstellt oder druckt.
Der WWW-Dienst basiert auf HTML (Hypertext Markup Language), einer einfachen Programmiersprache, die es gestattet, sowohl Text nebst Formatierungen (u. a. Festlegen von Überschriften,
Einrückungen, fetten und kursiven Textteilen) als auch Bilder, selbst Video- und Audiosequenzen, zu
verwalten. Durch sogenannte Hyperlinks werden einzelne Dokumente verknüpft. Dies kann ein
Verweis auf ein anderes Dokument, auf denselben oder einen anderen WWW-Server, auf eine andere
Stelle desselben Textes oder auf ein Bild oder ähnliches sein. Solche Links sind in der Regel im Text
optisch hervorgehoben, meist durch Unterstreichung oder andere Farbe. Bilder und andere eingebettete Elemente können ebenfalls Hyperlinks darstellen. Die Adresse eines WWW-Dokuments (Text,
Bild etc.) wird mit URL (Uniform Resource Locator) bezeichnet.
Die Sicherheit der WWW-Nutzung beruht grundsätzlich auf
- der Sicherheit des WWW-Servers,
- der Sicherheit des WWW-Clients und
- der Sicherheit der Kommunikationsverbindung zwischen beiden.
Um einen WWW-Server abzusichern, ist sicherzustellen, daß
- der WWW-Server Informationen nur an dazu berechtigte Benutzer weitergibt,
- auf dem WWW-Server nur die für die Weitergabe bestimmten Informationen angeboten werden
und keine weiteren,
- die Sicherheit des WWW-Servers weder durch berechtigte noch durch unberechtigte Benutzer
unterlaufen werden kann.

Gefährdungslage
Für den Grundschutz werden pauschal die folgenden Gefährdungen als typisch für einen WWWServer angenommen:
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.2
Unzureichende Kenntnis über Regelungen
- G 2.4
Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.7
Unerlaubte Ausübung von Rechten (hier: zur Änderung auf dem WWW-Server
gespeicherter Informationen)

__________________________________________________________________________________________
13

IT-Grundschutzhandbuch: Stand Juli 1999

7.5
WWW-Server
__________________________________________________________________________________________

- G 2.9
- G 2.28
- G 2.32
- G 2.37

Mangelhafte Anpassung an Veränderungen beim IT-Einsatz (hier: von auf dem
WWW-Server gespeicherten Informationen)
Verstöße gegen das Urheberrecht (hier: durch unberechtigte Weitergabe oder
Veröffentlichung von Dokumenten, Bildern oder Software)
Unzureichende Leitungskapazitäten (hier: schlechte Erreichbarkeit)
Unkontrollierter Aufbau von Kommunikationsverbindungen (ActiveX, Java)

Menschliche Fehlhandlungen:
- G 3.1
Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.37
Unproduktive Suchzeiten
- G 3.38
Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.10
Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.22
Software-Schwachstellen oder -Fehler
- G 4.39
Software-Konzeptionsfehler
Vorsätzliche Handlungen:
- G 5.2
Manipulation an Daten oder Software
- G 5.19
Mißbrauch von Benutzerrechten
- G 5.20
Mißbrauch von Administratorrechten
- G 5.21
Trojanische Pferde
- G 5.23
Computer-Viren
- G 5.28
Verhinderung von Diensten
- G 5.43
Makro-Viren
- G 5.48
IP-Spoofing
- G 5.78
DNS-Spoofing
- G 5.87
Web-Spoofing
- G 5.88
Mißbrauch aktiver Inhalte

Maßnahmenvorschläge
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
In diesem Kapitel werden ausschließlich die für einen WWW-Server spezifischen Gefährdungen und
Maßnahmen beschrieben. Darüber hinaus muß für die Sicherheit des organisationseigenen Netzes
Kapitel 6.1 Servergestütztes Netz umgesetzt werden.
Für die sichere Anbindung eines WWW-Servers an öffentliche Netze (z. B. das Internet) ist
Kapitel 7.3 Firewall zu betrachten, ebenso wie für den Zusammenschluß mehrerer Intranets zu einem
übergreifenden Intranet. Die kontrollierte Anbindung externer Anschlußpunkte (z. B. von Telearbeitsplätzen via ISDN) wird im Kapitel 9.3 Telearbeit behandelt.
Ein WWW-Server sollte in einem separaten Serverraum aufgestellt werden. Hierbei zu realisierende
Maßnahmen sind in Kapitel 4.3.2 beschrieben. Wenn kein Serverraum zur Verfügung steht, kann der
WWW-Server alternativ in einem Serverschrank aufgestellt werden (vgl. Kapitel 4.4 Schutzschränke).
Für den erfolgreichen und sicheren Aufbau eines WWW-Servers sind eine Reihe von Maßnahmen
umzusetzen. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den
jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.

__________________________________________________________________________________________
14

IT-Grundschutzhandbuch: Stand Juli 1999

7.5
WWW-Server
__________________________________________________________________________________________

1. Konzeptionierung des WWW-Servers (siehe M 2.172 Entwicklung eines Konzeptes für die WWWNutzung) und Festlegung einer WWW-Sicherheitsstrategie (siehe M 2.173 Festlegung einer WWWSicherheitsstrategie):
-

Festlegung der Sicherheitsziele

-

Anpassung der Netzstruktur

-

Grundlegende Voraussetzungen

-

Organisatorische Regelungen

2. Implementation des WWW-Servers (siehe M 2.175 Aufbau eines WWW-Servers):
-

Umsetzung der IT-Grundschutz-Maßnahmen für den WWW-Rechner (siehe z. B. Kapitel
6.2 für WWW-Server auf Unix-Basis)

-

Nutzung sicherer Kommunikationsverbindungen (siehe M 5.65 Einsatz von S-HTTP, M 5.66
Verwendung von SSL)

-

Java, ActiveX (siehe M 569. Schutz vor aktiven Inhalten)

3. Betrieb des WWW-Servers (siehe M 2.174 Sicherer Betrieb eines WWW-Servers):
-

regelmäßige Kontrolle

-

Anpassung an Änderungen und Tests

-

Zugriffsschutz auf WWW-Dateien (M 4.94 Schutz der WWW-Dateien)

-

Protokollierung am WWW-Server

-

Notfallvorsorge für den WWW-Server (ergänzend siehe Kapitel 3.3)

-

Datensicherung (siehe Kapitel 3.4 Datensicherungskonzept)

6. Sicherer Betrieb von WWW-Clients
Auf Client-Seite ist - neben den in Kapitel 5 beschriebenen Maßnahmen - zusätzlich die Maßnahme
M 5.45 Sicherheit von WWW-Browsern zu beachten.
-

Nutzung sicherer Kommunikationsverbindungen (siehe M 5.65 Einsatz von S-HTTP, M 5.66
Verwendung von SSL)

-

Schutz vor Viren, Makro-Viren, aktiven Inhalten (siehe M 4.33 Einsatz eines VirenSuchprogramms bei Datenträgeraustausch und Datenübertragung, M 5.69 Schutz vor
aktiven Inhalten)

Nachfolgend wird das Maßnahmenbündel für den Bereich "WWW-Server" vorgestellt. Auf eine
Wiederholung von Maßnahmen anderer Kapitel wird hier aus Redundanzgründen verzichtet.
Organisation:
- M 2.35 (1)
- M 2.172 (1)
- M 2.173 (1)
- M 2.174 (1)
- M 2.175 (2)
- M 2.176 (2)

Informationsbeschaffung über Sicherheitslücken des Systems
Entwicklung eines Konzeptes für die WWW-Nutzung
Festlegung einer WWW-Sicherheitsstrategie
Sicherer Betrieb eines WWW-Servers
Aufbau eines WWW-Servers
Geeignete Auswahl eines Internet Service Providers

Personal:
- M 3.4
- M 3.5

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen

(1)
(1)

__________________________________________________________________________________________
15

IT-Grundschutzhandbuch: Stand Juli 1999

7.5
WWW-Server
__________________________________________________________________________________________

- M 3.10 (1)
- M 3.11 (1)

Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals

Hardware/Software:
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und
Datenübertragung
- M 4.34 (2) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.44 (2) Prüfung eingehender Dateien auf Makro-Viren
- M 4.64 (1) Verifizieren der zu übertragenden Daten vor Weitergabe/Beseitigung von
Restinformationen
- M 4.65 (2) Test neuer Hard- und Software
- M 4.78 (1) Sorgfältige Durchführung von Konfigurationsänderungen
- M 4.93 (1) Regelmäßige Integritätsprüfung
- M 4.94 (1) Schutz der WWW-Dateien
- M 4.95 (1) Minimales Betriebssystem
- M 4.96 (2) Abschaltung von DNS
- M 4.97 (2) Ein Dienst pro Server
- M 4.98 (1) Kommunikation durch Paketfilter auf Minimum beschränken
- M 4.99 (2) Schutz gegen nachträgliche Veränderungen von Informationen
Kommunikation:
- M 5.45 (2)
- M 5.59 (1)
- M 5.64 (2)
- M 5.65 (2)
- M 5.66 (2)
- M 5.69 (1)

Sicherheit von WWW-Browsern
Schutz vor DNS-Spoofing
Nutzung von Secure Shell (optional)
Einsatz von S-HTTP (optional)
Verwendung von SSL (optional)
Schutz vor aktiven Inhalten

ˆ

__________________________________________________________________________________________
16

IT-Grundschutzhandbuch: Stand Juli 1999

8
Telekommunikation
__________________________________________________________________________________________

8

Telekommunikation

IT-Grundschutz wird für folgende Einsatzfelder der Telekommunikation definiert:

8.1

TK-Anlage

8.2

Faxgerät

8.3

Anrufbeantworter

8.4

LAN-Anbindung eines IT-Systems über ISDN

8.5

Faxserver

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Januar 2000

8.1
TK-Anlage
__________________________________________________________________________________________

8.1

TK-Anlage

Beschreibung
Die private, digitale ISDN-Telekommunikations-Anlage
(TK-Anlage) stellt sowohl eine Kommunikationsbasis für
den eigenen Bereich als auch die Schnittstelle zum
öffentlichen Netz dar. Sie dient der Übertragung von
Sprache und Bildern (Fax) und in zunehmendem Maß als
LAN bzw. LAN-Koppler sowie als Übertragungsmedium
für elektronische Mailsysteme. Bei der Nutzung als LAN
ist das Kapitel 6.1 Servergestütztes Netz zu beachten.

2
5

7

P

8
0

Es wird davon ausgegangen, dass ein Verantwortlicher
für die TK-Anlage benannt ist, der die grundsätzlichen Sicherheitsentscheidungen fällen und
Sicherheitsmaßnahmen initiieren kann.
Gefährdungslage
Für den IT-Grundschutz einer TK-Anlage werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- G 1.4
Feuer
- G 1.7
Unzulässige Temperatur und Luftfeuchte
Organisatorische Mängel:
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
Menschliche Fehlhandlungen:
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.7
Ausfall der TK-Anlage durch Fehlbedienung
Technisches Versagen:
- G 4.6
Spannungsschwankungen/Überspannung/Unterspannung
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.11
Vertraulichkeitsverlust in TK-Anlagen gespeicherter Daten
- G 5.12
Abhören von Telefongesprächen und Datenübertragungen
- G 5.13
Abhören von Räumen
- G 5.14
Gebührenbetrug
- G 5.15
"Neugierige" Mitarbeiter
- G 5.16
Gefährdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17
Gefährdung bei Wartungsarbeiten durch externes Personal
- G 5.44
Missbrauch von Remote-Zugängen für Managementfunktionen von TK-Anlagen

Es werden hier solche Gefährdungen betrachtet, die die Funktionsfähigkeit einer Institution
beeinträchtigen können. Datenschutzrechtliche Erwägungen stehen somit nicht im Vordergrund.
Diesen wird bereits zu großen Teilen durch bestehende Betriebs- bzw. Dienstvereinbarungen
Rechnung getragen. Gleichwohl trägt der IT-Grundschutz natürlich auch zum Schutz der personenbezogenen Daten bei.

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Juli 1999

8.1
TK-Anlage
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Die zentralen Einrichtungen einer TK-Anlage sollten in einem Raum aufgestellt werden, der den
Anforderungen an einen Serverraum (Kapitel 4.3.2) oder einen Raum für technische Infrastruktur
(Kapitel 4.3.4) genügt. Für die Verkabelung der TK-Anlage wird auf Kapitel 4.2 hingewiesen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "TK-Anlage" vorgestellt:
Infrastruktur:
- M 1.2 (2)
- M 1.9 (2)
- M 1.12 (2)
- M 1.13 (3)
- M 1.22 (2)
- M 1.23 (1)
- M 1.25 (2)
- M 1.27 (2)
- M 1.28 (1)
- M 1.30 (2)

Regelungen für Zutritt zu Verteilern
Brandabschottung von Trassen
Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile
Anordnung schützenswerter Gebäudeteile
Materielle Sicherung von Leitungen und Verteilern (optional)
Abgeschlossene Türen
Überspannungsschutz (optional)
Klimatisierung (optional)
Lokale unterbrechungsfreie Stromversorgung (optional)
Absicherung der Datenträger mit TK-Gebührendaten

Organisation:
- M 2.4 (2)
- M 2.16 (2)
- M 2.17 (2)
- M 2.26 (1)
- M 2.27 (1)
- M 2.28 (3)
- M 2.29 (2)
- M 2.40 (2)
- M 2.105 (1)

Regelungen für Wartungs- und Reparaturarbeiten
Beaufsichtigung oder Begleitung von Fremdpersonen
Zutrittsregelung und -kontrolle
Ernennung eines Administrators und eines Vertreters
Verzicht auf Fernwartung der TK-Anlage (optional)
Bereitstellung externer TK-Beratungskapazität (optional)
Bedienungsanleitung der TK-Anlage für die Benutzer
Rechtzeitige Beteiligung des Personal-/Betriebsrates
Beschaffung von TK-Anlagen

Personal:
- M 3.10 (1)
- M 3.11 (1)
- M 3.12 (2)
- M 3.13 (2)

Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals
Information aller Mitarbeiter über mögliche TK-Warnanzeigen,
-symbole und -töne
Sensibilisierung der Mitarbeiter für mögliche TK-Gefährdungen

Hardware/Software:
- M 4.5 (2) Protokollierung der TK-Administrationsarbeiten
- M 4.6 (2) Revision der TK-Anlagenkonfiguration (Soll-Ist-Abgleich)
- M 4.7 (1) Änderung voreingestellter TK-Paßwörter
- M 4.8 (1) Schutz des TK-Bedienplatzes
- M 4.10 (2) Paßwortschutz für TK-Endgeräte
- M 4.11 (2) Absicherung der TK-Anlagen-Schnittstellen
- M 4.12 (1) Sperren nicht benötigter TK-Leistungsmerkmale
- M 4.62 (2) Einsatz eines D-Kanal-Filters (optional)
Kommunikation:
- M 5.14 (1) Absicherung interner Remote-Zugänge
- M 5.15 (1) Absicherung externer Remote-Zugänge

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Juli 1999

8.1
TK-Anlage
__________________________________________________________________________________________

Notfallvorsorge:
- M 6.10 (2)
- M 6.26 (2)
- M 6.28 (3)
- M 6.29 (2)
- M 6.30 (3)

Notfall-Plan für DFÜ-Ausfall
Regelmäßige Datensicherung der TK-Anlagen-Konfigurationsdaten
Vereinbarung über Lieferzeiten "lebensnotwendiger" TK-Baugruppen (optional)
TK-Basisanschluß für Notrufe (optional)
Katastrophenschaltung (optional)

ˆ

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Juli 1999

8.2
Faxgerät
__________________________________________________________________________________________

8.2

Faxgerät

Beschreibung
Betrachtet wird die Informationsübermittlung in Form
eines Faksimile (Fax). Für die Maßnahmenauswahl im
Bereich IT-Grundschutz wurde nicht nach dem
verwendeten Übertragungsstandard (z. B. CCITT Gruppe
3) unterschieden. In diesem Baustein werden als
technische Basis des Faxversands ausschließlich
marktübliche Stand-Alone-Faxgeräte betrachtet, nicht
jedoch Fax-Einschubkarten oder Faxserver (siehe Kapitel
8.5 Faxserver).

Gefährdungslage
Für den IT-Grundschutz werden bei der Informationsübermittlung per Fax folgende typische
Gefährdungen angenommen:
Organisatorische Mängel
- G 2.20
Unzureichende Versorgung mit Druck-Verbrauchsgütern für Faxgeräte
Menschliche Fehlhandlungen:
- G 3.14
Fehleinschätzung der Rechtsverbindlichkeit eines Fax
Technisches Versagen:
- G 4.14
Verblassen spezieller Faxpapiere
- G 4.15
Fehlerhafte Faxübertragung
Vorsätzliche Handlungen:
- G 5.7
Abhören von Leitungen
- G 5.30
Unbefugte Nutzung eines Faxgerätes oder eines Faxservers
- G 5.31
Unbefugtes Lesen von Faxsendungen
- G 5.32
Auswertung von Restinformationen in Faxgeräten und Faxservern
- G 5.33
Vortäuschen eines falschen Absenders bei Faxsendungen
- G 5.34
Absichtliches Umprogrammieren der Zieltasten eines Faxgerätes
- G 5.35
Absichtliche Überlastung durch Faxsendungen

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen. Nachfolgend wird das
Maßnahmenbündel für den Bereich "Faxgerät" vorgestellt:
Infrastruktur:
- M 1.37 (1)

Geeignete Aufstellung eines Faxgerätes

Organisation:
- M 2.47 (2)
- M 2.48 (2)
- M 2.49 (2)
- M 2.50 (2)
- M 2.51 (3)

Ernennung eines Fax-Verantwortlichen
Festlegung berechtigter Faxbediener (optional)
Beschaffung geeigneter Faxgeräte (bei Beschaffungsbedarf)
Geeignete Entsorgung von Fax-Verbrauchsgütern und -Ersatzteilen
Fertigung von Kopien eingehender Faxsendungen (optional)

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Januar 2000

8.2
Faxgerät
__________________________________________________________________________________________

- M 2.52 (3)
- M 2.53 (3)

Versorgung und Kontrolle der Fax-Verbrauchsgüter
Abschalten des Faxgerätes außerhalb der Bürozeiten (optional)

Personal:
- M 3.15 (1)

Informationen für alle Mitarbeiter über die Faxnutzung

Hardware/Software:
- M 4.36 (2) Sperren bestimmter Faxempfänger-Rufnummern (optional)
- M 4.37 (3) Sperren bestimmter Absender-Faxnummern (optional)
- M 4.43 (2) Faxgerät mit automatischer Eingangskuvertierung (optional)
Kommunikation:
- M 5.24 (1)
- M 5.25 (2)
- M 5.26 (2)
- M 5.27 (2)
- M 5.28 (2)
- M 5.29 (2)

Nutzung eines geeigneten Faxvorblattes
Nutzung von Sende- und Empfangsprotokollen
Telefonische Ankündigung einer Faxsendung (optional)
Telefonischer Rückversicherung über korrekten Faxempfang (optional)
Telefonische Rückversicherung über korrekten Faxabsender (optional)
Gelegentliche Kontrolle programmierter Zieladressen und Protokolle

Notfallvorsorge:
- M 6.39 (3) Auflistung von Händleradressen zur Fax-Wiederbeschaffung (optional)

ˆ

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Januar 2000

8.3
Anrufbeantworter
__________________________________________________________________________________________

8.3

Anrufbeantworter

Beschreibung

.... Bitte sprechen Sie
nach dem Piepston. Danke!

Betrachtet werden Anrufbeantworter, die zusätzlich zum
.....piiiiep.....
Telefon an das lokale Haus-Telefonnetz angeschlossen
werden können. Sie dienen üblicherweise der Aufzeichnung eingehender Gespräche oder Nachrichten in
gesprochener Form, wenn der Angerufene nicht erreichbar ist. Technisch unterscheiden sich diese Geräte durch
unterschiedliche
Aufzeichnungsweisen:
vollständig
analog aufzeichnende Geräte, vollständig digital
aufzeichnende Geräte und Kombinationsformen. Insbesondere das heute verbreitete Leistungsmerkmal der Fernabfrage legt es nahe, Anrufbeantworter als
IT-System aufzufassen, wobei gerade die Fernabfrage ein erhebliches Gefährdungspotential darstellen
kann.

Gefährdungslage
Für den IT-Grundschutz eines Anrufbeantworters werden folgende typische Gefährdungen
angenommen:
Höhere Gewalt:
- G 1.8
Staub, Verschmutzung
Organisatorische Mängel
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.5
Fehlende oder unzureichende Wartung
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
Menschliche Fehlhandlungen:
- G 3.15
Fehlbedienung eines Anrufbeantworters
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.18
Entladene oder überalterte Notstromversorgung im Anrufbeantworter
- G 4.19
Informationsverlust bei erschöpftem Speichermedium
Vorsätzliche Handlungen:
- G 5.36
Absichtliche Überlastung des Anrufbeantworters
- G 5.37
Ermitteln des Sicherungscodes
- G 5.38
Mißbrauch der Fernabfrage

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Anrufbeantworter" vorgestellt.

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Juli 1999

8.3
Anrufbeantworter
__________________________________________________________________________________________

Infrastruktur:
- M 1.23 (3)
- M 1.29 (3)

Abgeschlossene Türen (optional)
Geeignete Aufstellung eines IT-Systems (optional)

Organisation:
- M 2.4 (3)
- M 2.11 (2)
- M 2.54 (1)
- M 2.55 (1)
- M 2.56 (1)
- M 2.57 (2)
- M 2.58 (3)

Regelungen für Wartungs- und Reparaturarbeiten (optional)
Regelung des Paßwortgebrauchs (hier für Sicherungscodes)
Beschaffung/Auswahl geeigneter Anrufbeantworter
Einsatz eines Sicherungscodes (optional)
Vermeidung schutzbedürftiger Informationen auf dem Anrufbeantworter
Regelmäßiges Abhören und Löschen aufgezeichneter Gespräche
Begrenzung der Sprechdauer (optional)

Personal:
- M 3.16 (2)

Einweisung in die Bedienung des Anrufbeantworters

Hardware/Software:
- M 4.38 (1) Abschalten nicht benötigter Leistungsmerkmale
- M 4.39 (3) Abschalten des Anrufbeantworters bei Anwesenheit (optional)
Notfallvorsorge:
- M 6.40 (3) Regelmäßige Batterieprüfung/-wechsel (optional)

ˆ

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Juli 1999

8.4
LAN-Anbindung eines IT Systems über ISDN
__________________________________________________________________________________________

8.4

LAN-Anbindung eines IT-Systems
über ISDN

Beschreibung
ISDN (Integrated Services Digital Network) ist ein digitales Telekommunikationsnetz, über das verschiedene
Dienste, wie Telefon und Telefax, genutzt sowie Daten
und Bilder übertragen werden können.

ISDN

In diesem Kapitel wird die Anbindung eines abgesetzten
IT-Systems an ein lokales Netz über ein öffentliches
ISDN-Netz betrachtet. Hierbei erfolgt die Anbindung auf
Seiten des abgesetzten IT-Systems mittels einer ISDNAdapterkarte mit S0-Schnittstelle. Die Anbindung des LAN wird über einen Router hergestellt, der
über eine S2M-Schnittstelle mit einem öffentlichen ISDN-Netz verbunden ist.
Diese Form der Anbindung eines entfernt stehenden IT-Systems kommt typischerweise für die
Anbindung von Telearbeitsplätzen in Betracht.
Gefährdungslage
Für den Grundschutz werden die folgenden Gefährdungen als typisch für die LAN-Anbindung eines
IT-Systems über ISDN angenommen:
Höhere Gewalt:
- G 1.2
Ausfall des IT-Systems
- G 1.10
Ausfall eines Weitverkehrsnetzes
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.6
Unbefugter Zutritt zu schutzbedürftigen Räumen
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.19
Unzureichendes Schlüsselmanagement bei Verschlüsselung
- G 2.22
Fehlende Auswertung von Protokolldaten
- G 2.24
Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes
- G 2.32
Unzureichende Leitungskapazitäten
- G 2.37
Unkontrollierter Aufbau von Kommunikationsverbindungen
Menschliche Fehlhandlungen:
- G 3.1
Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.9
Fehlerhafte Administration des IT-Systems
- G 3.13
Übertragung falscher oder nicht gewünschter Datensätze
- G 3.16
Fehlerhafte Administration von Zugangs- und Zugriffsrechten
Technisches Versagen:
- G 4.8
Bekanntwerden von Softwareschwachstellen
- G 4.25
Nicht getrennte Verbindung
Vorsätzliche Handlungen:
- G 5.2
Manipulation an Daten oder Software
- G 5.7
Abhören von Leitungen

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Juli 1999

8.4
LAN-Anbindung eines IT Systems über ISDN
__________________________________________________________________________________________

-

G 5.8
G 5.9
G 5.10
G 5.14
G 5.16
G 5.17
G 5.18
G 5.25
G 5.26
G 5.39
G 5.48
G 5.61
G 5.62
G 5.63

Manipulation an Leitungen
Unberechtigte IT-Nutzung
Mißbrauch von Fernwartungszugängen
Gebührenbetrug
Gefährdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
Gefährdung bei Wartungsarbeiten durch externes Personal
Systematisches Ausprobieren von Paßwörtern
Maskerade
Analyse des Nachrichtenflusses
Eindringen in Rechnersysteme über Kommunikationskarten
IP-Spoofing
Mißbrauch von Remote-Zugängen für Managementfunktionen von Routern
Mißbrauch von Ressourcen über abgesetzte IT-Systeme
Manipulationen über den ISDN-D-Kanal

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
In diesem Kapitel steht die Gewährleistung einer sicheren Kommunikation im Vordergrund. Die für
die kommunizierenden IT-Systeme weiterhin erforderlichen Maßnahmen sind den jeweiligen Kapiteln
(für das LAN siehe Kapitel 6, für das entfernt stehende IT-System siehe Kapitel 5) zu entnehmen.
Nachfolgend wird das Maßnahmenbündel für den Bereich LAN-Anbindung eines IT-Systems über
ISDN vorgestellt.
Infrastruktur:
- M 1.43 (2)

Geeignete Aufstellung von ISDN-Routern

Organisation:
- M 2.4 (2)
- M 2.9 (2)
- M 2.35 (2)
- M 2.42 (1)
- M 2.46 (2)
- M 2.64 (2)
- M 2.106 (2)
- M 2.107 (2)
- M 2.108 (2)
- M 2.109 (1)

Regelungen für Wartungs- und Reparaturarbeiten
Nutzungsverbot nicht freigegebener Software
Informationsbeschaffung über Sicherheitslücken des Systems
Festlegung der möglichen Kommunikationspartner
Geeignetes Schlüsselmanagement
Kontrolle der Protokolldateien
Auswahl geeigneter ISDN-Karten in der Beschaffung
Dokumentation der ISDN-Karten-Konfiguration
Verzicht auf Fernwartung der ISDN-Netzkoppelelemente (optional)
Rechtevergabe für den Fernzugriff

Personal:
- M 3.4
- M 3.5

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen

(1)
(1)

Hardware/Software:
- M 4.7 (1) Änderung voreingestellter Paßwörter
- M 4.34 (1) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.59 (1) Deaktivieren nicht benötigter ISDN-Karten-Funktionalitäten
- M 4.60 (1) Deaktivieren nicht benötigter ISDN-Router-Funktionalitäten
- M 4.61 (1) Nutzung vorhandener Sicherheitsmechanismen der ISDN-Komponenten

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Juli 1999

8.4
LAN-Anbindung eines IT Systems über ISDN
__________________________________________________________________________________________

- M 4.62 (2)

Einsatz eines D-Kanal-Filters (optional)

Kommunikation:
- M 5.29 (2)
- M 5.32 (1)
- M 5.47 (1)
- M 5.48 (1)
- M 5.49 (1)
- M 5.50 (1)

Gelegentliche Kontrolle programmierter Zieladressen und Protokolle
Sicherer Einsatz von Kommunikationssoftware
Einrichten einer Closed User Group (optional)
Authentisierung mittels CLIP/COLP
Callback basierend auf CLIP/COLP
Authentisierung mittels PAP/CHAP

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Juli 1999

‰

8.5
Faxserver
__________________________________________________________________________________________

8.5

Faxserver

Beschreibung

Faxserver

Betrachtet wird die Informationsübermittlung in Form
eines Faksimile (Fax). Für die Maßnahmenauswahl im
Bereich IT-Grundschutz wird nicht nach dem
verwendeten Übertragungsstandard (z. B. CCITT
Gruppe 3) unterschieden. In diesem Baustein werden als
technische Basis des Fax-Verkehrs ausschließlich
Faxserver betrachtet. Ein Faxserver in diesem Sinne ist
eine Applikation, die auf einem IT-System installiert ist
und in einem Netz für andere IT-Systeme die Dienste
Faxversand und/oder Faxempfang zur Verfügung stellt.
Faxserver werden in der Regel in bereits bestehende E-Mailsysteme integriert. So ist es u. a. möglich,
dass eingehende Fax-Dokumente durch den Faxserver per E-Mail an den Benutzer zugestellt werden.
Abzusendende Dokumente werden entweder über eine Druckerwarteschlange oder per E-Mail an den
Faxserver übergeben. Durch die Integration des Faxservers in ein E-Mail-System ist es auch möglich,
"Serienbriefe" wahlweise per Fax und per E-Mail zu versenden. Sofern ein Adressat über einen EMail-Zugang verfügt, erhält er die Nachricht kostengünstig per E-Mail, ansonsten per Fax. Das von
einem Faxserver gesendete oder empfangene Dokument ist eine Grafik-Datei, die nicht unmittelbar in
Textverarbeitungssystemen weiterverarbeitet werden kann. Möglich ist aber auf jeden Fall die
Archivierung. Dies kann durch die Faxserver-Software oder auch in Dokumentenmanagementsystemen erfolgen.
Faxserver gibt es für eine Reihe von Betriebssystemen wie z. B. für verschiedene Unix-Derivate,
Microsoft Windows NT und Novell Netware. Überlegungen zu Gefährdungen und Maßnahmen, die
durch das jeweils verwendete Betriebssystem bedingt werden, sind nicht Gegenstand dieses Bausteins.
Vielmehr sind hierzu das Kapitel 6.1 und das jeweils betriebssystemspezifische Kapitel
durchzuarbeiten.
Faxserver verfügen häufig zusätzlich über den Binary-Transfer-Mode. Hiermit werden beliebige
Daten, die nicht im Fax-Format vorliegen, übertragen. Es handelt sich dabei nicht um
Faxübertragungen. Daher werden spezielle Gefährdungen und Maßnahmen, die diesen Dienst
betreffen, nicht in diesem Kapitel betrachtet. Wird der Binary-Transfer-Mode zugelassen, so ist
zusätzlich Kapitel 7.2 Modem zu bearbeiten.

Gefährdungslage
Für den IT-Grundschutz werden bei der Informationsübermittlung per Fax mittels eines Faxservers
folgende typische Gefährdungen angenommen:
Organisatorische Mängel
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.22
Fehlende Auswertung von Protokolldaten
- G 2.63
Ungeordnete Faxnutzung
Menschliche Fehlhandlungen:
- G 3.3
Nichtbeachten von IT-Sicherheitsmaßnahmen
- G 3.14
Fehleinschätzung der Rechtsverbindlichkeit eines Fax

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Januar 2000

8.5
Faxserver
__________________________________________________________________________________________

Technisches Versagen:
- G 4.15
Fehlerhafte Faxübertragung
- G 4.20
Datenverlust bei erschöpften Speichermedium
Vorsätzliche Handlungen:
- G 5.2
Manipulation an Daten oder Software
- G 5.7
Abhören von Leitungen
- G 5.9
Unberechtigte IT-Nutzung
- G 5.24
Wiedereinspielen von Nachrichten
- G 5.25
Maskerade
- G 5.27
Nichtanerkennen einer Nachricht
- G 5.30
Unbefugte Nutzung eines Faxgerätes oder eines Faxservers
- G 5.31
Unbefugtes Lesen von Faxsendungen
- G 5.32
Auswertung von Restinformationen in Faxgeräten und Faxservern
- G 5.33
Vortäuschen eines falschen Absenders bei Faxsendungen
- G 5.35
Absichtliche Überlastung durch Faxsendungen
- G 5.39
Eindringen in Rechnersystem über Kommunikationskarten
- G 5.90
Manipulation von Adressbüchern und Verteillisten
Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Zunächst sollte eine übergreifende Sicherheitsleitlinie für den Faxserver erarbeitet werden (siehe
M 2.178) und ein geeigneter Faxserver beschafft werden (siehe M 2.181 Auswahl eines geeigneten
Faxservers). Hieraus müssen Regelungen abgeleitet werden. Schließlich sind Verantwortliche für den
Einsatz des Faxservers zu benennen (siehe M 3.10 Auswahl eines vertrauenswürdigen Administrators
oder Vertreters und M 2.180 Einrichten einer Fax-Poststelle). Sowohl die Sicherheitsleitlinie als auch
die daraus folgenden Regelungen und die Benennung von Verantwortlichen sollte schriftlich erfolgen.
Die dort erarbeiteten Festlegungen sollten sodann in konkrete Sicherheitsmaßnahmen umgesetzt
werden. Neben dem sicheren Betrieb des Faxservers ist von besonderer Bedeutung, dass von den
Benutzern die entsprechenden Sicherheitsvorkehrungen und Anweisungen eingehalten werden.
Nachfolgend wird das Maßnahmenbündel für die Applikation "Faxserver" vorgestellt:
Organisation:
- M 2.30 (2)
- M 2.64 (1)
- M 2.178 (1)
- M 2.179 (1)
- M 2.180 (1)
- M 2.181 (1)

Regelung für die Einrichtung von Benutzern / Benutzergruppen
Kontrolle der Protokolldateien
Erstellung einer Sicherheitsleitlinie für die Faxnutzung
Regelungen für den Faxserver-Einsatz
Einrichten einer Fax-Poststelle
Auswahl eines geeigneten Faxservers

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11
- M 3.15

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators oder Vertreters
Schulung des Wartungs- und Administrationspersonals
Informationen für alle Mitarbeiter über die Faxnutzung

(1)
(1)
(1)
(1)
(1)

__________________________________________________________________________________________
13

IT-Grundschutzhandbuch: Stand Januar 2000

8.5
Faxserver
__________________________________________________________________________________________

Hardware/Software:
- M 4.36 (2) Sperren bestimmter Faxempfänger-Rufnummern (optional)
- M 4.37 (2) Sperren bestimmter Absender-Faxnummern (optional)
Kommunikation:
- M 5.24 (1)
- M 5.25 (2)
- M 5.26 (2)
- M 5.27 (2)
- M 5.28 (2)
- M 5.73 (1)
- M 5.74 (1)
- M 5.75 (1)

Nutzung eines geeigneten Faxvorblattes
Nutzung von Sende- und Empfangsprotokollen
Telefonische Ankündigung einer Faxsendung (optional)
Telefonische Rückversicherung über korrekten Faxempfang (optional)
Telefonische Rückversicherung über korrekten Faxabsender (optional)
Sicherer Betrieb eines Faxservers
Pflege der Faxserver-Adressbücher und der Verteillisten
Schutz vor Überlastung des Faxservers

Notfallvorsorge:
- M 6.69 (1) Notfallvorsorge und Ausfallsicherheit beim Einsatz von Faxservern

ˆ

__________________________________________________________________________________________
14

IT-Grundschutzhandbuch: Stand Januar 2000

9
Sonstige IT-Komponenten
__________________________________________________________________________________________

9

Sonstige IT-Komponenten

In diesem Kapitel werden IT-Grundschutzmaßnahmen in den nachfolgend aufgezählten Bausteinen
vorgestellt.

9.1

Standardsoftware

9.2

Datenbanken

9.3

Telearbeit

__________________________________________________________________________________________
1

IT-Grundschutzhandbuch: Stand Juli 1999

9.1
Standardsoftware
__________________________________________________________________________________________

9.1

Standardsoftware

Beschreibung
Unter Standardsoftware wird Software verstanden, die
auf dem Markt angeboten wird und im allgemeinen über
den Fachhandel, z. B. über Kataloge, erworben werden
kann. Sie zeichnet sich dadurch aus, daß sie vom
Anwender selbst installiert werden soll und daß nur
geringer Aufwand für die anwenderspezifische
Anpassung notwendig ist.
In diesem Kapitel wird eine Vorgehensweise für den
Umgang mit Standardsoftware unter Sicherheitsgesichtspunkten dargestellt. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet:
Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe,
Installation, Lizenzverwaltung und Deinstallation.
Das Qualitätsmanagementsystem des Entwicklers der Standardsoftware fällt nicht in den
Anwendungsbereich dieses Kapitels. Es wird vorausgesetzt, daß die Entwicklung der Software unter
Beachtung gängiger Qualitätsstandards erfolgte.
Die beschriebene Vorgehensweise dient der Orientierung, um einen Sicherheitsprozeß bezüglich
Standardsoftware zu etablieren. Gegebenenfalls kann die hier aufgezeigte Vorgehensweise auch zum
Vergleich mit einem bereits eingeführten Verfahren herangezogen werden.

Gefährdungslage
Für den IT-Grundschutz von "Standardsoftware" werden die folgenden typischen Gefährdungen
betrachtet:
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.3
Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.26
Fehlendes oder unzureichendes Test- und Freigabeverfahren
- G 2.27
Fehlende oder unzureichende Dokumentation
- G 2.28
Verstöße gegen das Urheberrecht
- G 2.29
Softwaretest mit Produktionsdaten
Menschliche Fehlhandlungen:
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.38
Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.8
Bekanntwerden von Softwareschwachstellen
- G 4.22
Software-Schwachstellen oder -Fehler
Vorsätzliche Handlungen:
- G 5.21
Trojanische Pferde
- G 5.23
Computer-Viren
- G 5.43
Makro-Viren

__________________________________________________________________________________________
2

IT-Grundschutzhandbuch: Stand Juli 1999

9.1
Standardsoftware
__________________________________________________________________________________________

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Nachfolgend wird das Maßnahmenbündel für den Baustein "Standardsoftware" vorgestellt. Je nach
Art und Umfang der jeweiligen Standardsoftware muß erwogen werden, ob einzelne Maßnahmen nur
reduziert umgesetzt werden. Die Maßnahmen M 2.79 bis M 2.89 stellen in der angegebenen
Reihenfolge eine umfassende Beschreibung dar, wie der Lebenszyklus von Standardsoftware gestaltet
werden kann. Sie werden durch die anderen genannten Maßnahmen ergänzt.
Organisation:
- M 2.9 (2)
- M 2.10 (2)
- M 2.35 (1)
- M 2.40 (2)
- M 2.66 (2)
- M 2.79 (1)
- M 2.80 (1)
- M 2.81 (1)
- M 2.82 (1)
- M 2.83 (1)
- M 2.84 (1)
- M 2.85 (1)
- M 2.86 (2)
- M 2.87 (2)
- M 2.88 (2)
- M 2.89 (3)
- M 2.90 (2)

Nutzungsverbot nicht freigegebener Software
Überprüfung des Software-Bestandes
Informationsbeschaffung über Sicherheitslücken des Systems
Rechtzeitige Beteiligung des Personal-/Betriebsrates
Beachtung des Beitrags der Zertifizierung für die Beschaffung
Festlegung der Verantwortlichkeiten im Bereich Standardsoftware
Erstellung eines Anforderungskataloges für Standardsoftware
Vorauswahl eines geeigneten Standardsoftwareproduktes
Entwicklung eines Testplans für Standardsoftware
Testen von Standardsoftware
Entscheidung und Entwicklung der Installationsanweisung für Standardsoftware
Freigabe von Standardsoftware
Sicherstellen der Integrität von Standardsoftware
Installation und Konfiguration von Standardsoftware
Lizenzverwaltung und Versionskontrolle von Standardsoftware
Deinstallation von Standardsoftware
Überprüfung der Lieferung

Personal:
- M 3.4

Schulung vor Programmnutzung

(1)

Hardware/Software:
- M 4.34 (2) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.78 (2) Sorgfältige Durchführung von Konfigurationsänderungen
Notfallvorsorge:
- M 6.21 (3) Sicherungskopie der eingesetzten Software (optional)

ˆ

__________________________________________________________________________________________
3

IT-Grundschutzhandbuch: Stand Juli 1999

9.2
Datenbanken
__________________________________________________________________________________________

9.2

Datenbanken

Beschreibung
Datenbanksysteme (DBS) sind ein weithin akzeptiertes
Hilfsmittel zur rechnergestützten Organisation, Erzeugung, Manipulation und Verwaltung großer Datensammlungen. Ein DBS besteht aus dem sogenannten Datenbankmanagement-System (DBMS) und einer gewissen
Anzahl von Datenbanken. Eine Datenbank ist eine
Sammlung von Daten, welche Fakten über eine spezielle
Anwendung der realen Welt repräsentiert. Das DBMS
fungiert dabei als Schnittstelle zwischen den Benutzern
und einer Datenbank. Es stellt sicher, daß die Benutzer auf ihre Daten effizient und unter
zentralisierter Kontrolle zugreifen können, und daß die Daten dauerhaft vorhanden sind.
Der Einsatz von Datenbankmanagement-Systemen in der IT ist inzwischen nicht mehr wegzudenken.
Die Flut von Daten, die erfaßt, verarbeitet und ausgewertet werden müssen, kann ohne ein DBMS
nicht mehr bewältigt werden. Die Konzeption einer Datenbank und eines DBMS basiert auf einem
sogenannten Datenbankmodell. Nachfolgend werden die wichtigsten Datenbankmodelle kurz
beschrieben:
Hierarchisches Datenbankmodell
Es ist die älteste existierende Variante und wird auch als Datenbankmodell der ersten Generation
bezeichnet. Die Organisation der Datenbank erfolgt in Form einer Baumstruktur. Die Knoten bzw.
Blätter einer solchen Struktur sind Dateien. Ein Knoten/Blatt hat genau einen Vorgänger. Der Zugriff
auf die Daten erfolgt immer sequentiell. Die Zugriffspfade sind durch die Baumstruktur (bzw. Dateistruktur) festgelegt.
Relationales Datenbankmodell
Das relationale Datenbankmodell basiert auf einer strikten Trennung von Daten und Zugriffsmöglichkeiten. Die Daten werden in Form von Tabellen abgelegt, wobei eine Zeile einem Datensatz entspricht
(dieser wird Tupel genannt) und eine Spalte einem Attribut des Datensatzes. Tupel können nun mit
anderen Tupeln aus anderen Tabellen in einer Beziehung stehen, was durch entsprechende Relationen
gekennzeichnet wird. Im Gegensatz zum hierarchischen sind dem relationalen Datenbankmodell keine
Grenzen hinsichtlich der Zugriffsmöglichkeiten auf Daten gesetzt.
Die in allen relationalen Datenbanksystemen zur Verfügung stehende Datenbanksprache ist SQL
(Standard Query Language), die durch die ISO standardisiert ist.
Objektorientiertes Datenbankmodell
Objektorientierte Datenbankmodelle stellen eine Erweiterung klassischer Datenbankmodelle dar und
verwenden einen objektorientierten (OO) Ansatz. Dieser zeichnet sich dadurch aus, daß Objekte mit
ähnlichen Eigenschaften zu Klassen zusammengefaßt und diese wiederum zu Klassenhierarchien
gruppiert werden können. Nur definierte Methoden können die Objekte verändern, und der Mechanismus der Vererbung von Methoden und Attributen ist dabei ein zentraler Punkt des OO-Ansatzes.
Weiterhin sind neben den Standarddatentypen wie z. B. "Integer" oder "Character" auch Typkonstruktore möglich, so daß komplexe Werte definiert werden können.
Dieses Kapitel berücksichtigt ausschließlich Datenbanken, die auf dem relationalen Datenbankmodell
basieren, da dies das derzeit am meisten verbreitete Datenbankmodell ist.

__________________________________________________________________________________________
4

IT-Grundschutzhandbuch: Stand Juli 1999

9.2
Datenbanken
__________________________________________________________________________________________

Ein Datenbanksystem steht im allgemeinen nicht nur einem Benutzer exklusiv zur Verfügung, sondern
es muß die parallele Verarbeitung verschiedener Benutzeraufträge (sogenannte Transaktionen)
ermöglichen und dabei einen gewissen Grad an Fehlertoleranz gewährleisten. Wesentlich dafür ist die
Einhaltung der folgenden vier Eigenschaften, die unter dem ACID-Prinzip bekannt sind:
- Atomarität (Atomicity)
Eine Transaktion wird aus der Sicht des Benutzers nur vollständig oder gar nicht ausgeführt. Sollte
es bei der Ausführung zu einem Fehler bzw. Abbruch kommen, werden alle bereits getätigten
Änderungen an der Datenbank wieder zurückgenommen. Dies wird durch geeignete RecoveryMechanismen des Datenbanksystems sichergestellt.
- Konsistenz (Consistency)
Alle Integritätsbedingungen der Datenbank werden eingehalten, d. h. eine Transaktion überführt
eine Datenbank immer von einem konsistenten Zustand in einen anderen konsistenten Zustand.
Dies kann u. a. durch eine geeignete Synchronisationskontrolle des Datenbanksystems gewährleistet werden.
- Isolation (Isolation)
Jede Transaktion läuft isoliert von anderen Transaktionen ab und ist in jeder Hinsicht unabhängig
von anderen. Dazu gehört auch, daß jeder Transaktion nur diejenigen Daten aus der Datenbank zur
Verfügung gestellt werden, die Teil eines konsistenten Zustands sind.
- Persistenz (Durability)
Falls eine Transaktion erfolgreich beendet und dies dem Benutzer auch gemeldet wurde, überleben
die in der Datenbank erzeugten Effekte (falls es solche gibt) jeden danach auftretenden Hard- oder
Softwarefehler (es sei denn, die Festplatte mit der Datenbank wird zerstört).
Diese Eigenschaften muß das Transaktionssystem des DBMS gewährleisten, was mittlerweile bis auf
wenige Ausnahmen von allen kommerziellen DBMSen erfüllt wird.
Datenbanksysteme stellen Standardsoftware dar, d. h. sie werden von den unterschiedlichsten Herstellern auf dem Markt angeboten. Soll eine Datenbank zur Verarbeitung von Daten eingesetzt werden, so
ist im ersten Schritt eine geeignete Standardsoftware auszuwählen. Die zugehörigen Gefährdungen
und Maßnahmen aus dem Kapitel 9.1 Standardsoftware sind deshalb zusätzlich zu beachten.
Datenbanken können nicht losgelöst von der Umgebung betrachtet werden, in der sie eingesetzt
werden. Ein Stand-alone PC ist ebenso denkbar, wie ein Großrechnerumfeld oder vernetzte UnixSysteme. Dementsprechend sind in Abhängigkeit des Einsatzumfeldes die Gefährdungen und
Maßnahmen der Kapitel 5 Nicht Vernetzte Systeme, Kapitel 6 Vernetzte Systeme und Kapitel 7
Datenübertragungseinrichtungen zu berücksichtigen. Auf eine Wiederholung von Gefährdungen und
Maßnahmen dieser Kapitel wird hier aus Redundanzgründen verzichtet, es sei denn, sie sind von
besonderer Wichtigkeit.

__________________________________________________________________________________________
5

IT-Grundschutzhandbuch: Stand Juli 1999

9.2
Datenbanken
__________________________________________________________________________________________

Gefährdungslage
Für den IT- Grundschutz von Datenbanken werden die folgenden Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
Personalausfall
Organisatorische Mängel:
- G 2.3
Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.22
Fehlende Auswertung von Protokolldaten
- G 2.26
Fehlendes oder unzureichendes Test- und Freigabeverfahren
- G 2.38
Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen
- G 2.39
Komplexität eines DBMS
- G 2.40
Komplexität des Datenbankzugangs/-zugriffs
- G 2.41
Mangelhafte Organisation des Wechsels von Datenbank-Benutzern
- G 2.57
Nicht ausreichende Speichermedien für den Notfall
Menschliche Fehlhandlungen:
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.16
Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.23
Fehlerhafte Administration eines DBMS
- G 3.24
Unbeabsichtigte Datenmanipulation
Technisches Versagen:
- G 4.26
Ausfall einer Datenbank
- G 4.27
Unterlaufen von Zugriffskontrollen über ODBC
- G 4.28
Verlust von Daten einer Datenbank
- G 4.29
Datenverlust einer Datenbank bei erschöpftem Speichermedium
- G 4.30
Verlust der Datenbankintegrität/-konsistenz
Vorsätzliche Handlungen:
- G 5.9
Unberechtigte IT-Nutzung
- G 5.10
Mißbrauch von Fernwartungszugängen
- G 5.18
Systematisches Ausprobieren von Paßwörtern
- G 5.64
Manipulation an Daten oder Software bei Datenbanksystemen
- G 5.65
Verhinderung der Dienste eines Datenbanksystems

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben umzusetzen.
Es ist sinnvoll, den Datenbank-Server in einem separaten Serverraum aufzustellen. Zu realisierende
Maßnahmen sind in Kapitel 4.3.2 beschrieben. Sollte ein als Büro genutzter Raum gleichzeitig als
Serverraum dienen müssen, so sind zusätzlich die in Kapitel 4.3.1 beschriebenen Maßnahmen zu
realisieren.
Wird der Datenbank-Server in einem Schutzschrank aufgestellt, ist auch das Kapitel 4.4 Schutzschränke zu beachten.

__________________________________________________________________________________________
6

IT-Grundschutzhandbuch: Stand Juli 1999

9.2
Datenbanken
__________________________________________________________________________________________

Darüber hinaus sind im Bereich Datenbanken im wesentlichen die folgenden Schritte durchzuführen:
1. Anforderungen an die Datenbanksoftware ermitteln
Zu Beginn muss ein Anforderungskatalog für Standardsoftware erstellt werden, so dass eine geeignete Datenbanksoftware ausgewählt werden kann (M 2.80 und M 2.124).
2. Schulung der Administratoren
Bevor die Datenbanksoftware produktiv eingesetzt werden kann, sollten die zuständigen
Administratoren zum Betrieb des Datenbanksystems geschult werden (M 3.11). Dies sollte nach
Möglichkeit bereits vor deren Beschaffung geschehen.
3. Erstellung eines Datenbankkonzeptes
Vor dem Einsatz der Datenbanksoftware sollte ein Datenbankkonzept erstellt werden, welches
sowohl die Installation und Konfiguration der Datenbanksoftware selbst, ein ausreichendes
Benutzerkonzept, als auch die anwendungsspezifische Datenbank beinhalten sollte. Je nach Volumen und Einsatzbereich der Datenbank, sowie der gewählten Datenbank-Standardsoftware kann
ein solches Konzept sehr umfangreich sein (M 2.125, M 2.129, M 2.128 und M 2.126).
4. Betrieb der Datenbank
Die Inbetriebnahme und der eigentliche Betrieb des Datenbanksystems bedeuten neben der
Umsetzung des Konzeptes eine permanente Kontrolle des DBMS, um die Verfügbarkeit, die
Datenintegrität sowie den Schutz vertraulicher Daten sicherstellen zu können. Die hierfür
wichtigsten Maßnahmen betreffen die Punkte Dokumentation (M 2.25, M 2.31, M 2.34),
Administration (M 2.130, M 2.133 und die aufgeführten Maßnahmen für Hard- und Software)
sowie Nutzung der Datenbank (M 2.65, M 3.18).
5. Notfallvorsorge
Neben den allgemein zu diesem Komplex gehörenden Maßnahmen gilt es insbesondere, die datenbankspezifischen Gegebenheiten zu berücksichtigen, um bei einem System- respektive Datenbankcrash den Anforderungen hinsichtlich des verkraftbaren Datenverlustes sowie der Wiederanlaufzeit der Datenbank zu genügen (M 6.32, M 6.49, M 6.50).
Nachfolgend wird das Maßnahmenbündel für den Bereich Datenbanken vorgestellt.
Organisation:
- M 2.22 (2)
- M 2.25 (1)
- M 2.31 (1)
- M 2.34 (1)
- M 2.65 (2)
- M 2.80 (1)
- M 2.111 (2)
- M 2.124 (1)
- M 2.125 (1)
- M 2.126 (1)
- M 2.127 (2)
- M 2.128 (1)
- M 2.129 (1)
- M 2.130 (1)
- M 2.131 (1)
- M 2.132 (1)

Hinterlegen des Passwortes
Dokumentation der Systemkonfiguration
Dokumentation der zugelassenen Benutzer und Rechteprofile
Dokumentation der Veränderungen an einem bestehenden System
Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
Erstellung eines Anforderungskataloges für Standardsoftware
Bereithalten von Handbüchern
Geeignete Auswahl einer Datenbanksoftware
Installation und Konfiguration einer Datenbank
Erstellung eines Datenbanksicherheitskonzeptes
Inferenzprävention
Zugangskontrolle einer Datenbank
Zugriffskontrolle einer Datenbank
Gewährleistung der Datenintegrität
Aufteilung von Administrationstätigkeiten bei Datenbanksystemen
Regelung für Einrichtung von Datenbankbenutzern/-benutzergruppen

__________________________________________________________________________________________
7

IT-Grundschutzhandbuch: Stand Januar 2000

9.2
Datenbanken
__________________________________________________________________________________________

- M 2.133 (2)
- M 2.134 (2)
- M 2.135 (3)

Kontrolle der Protokolldateien eines Datenbanksystems
Richtlinien für Datenbank-Anfragen
Gesicherte Datenübernahme in eine Datenbank

Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11
- M 3.18

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals
Verpflichtung der PC-Benutzer zum Abmelden nach Aufgabenerfüllung

(1)
(1)
(1)
(1)
(2)

Hardware/Software:
- M 4.1 (1) Passwortschutz für IT-Systeme
- M 4.7 (1) Änderung voreingestellter Passwörter
- M 4.67 (3) Sperren und Löschen nicht benötigter Datenbank-Accounts
- M 4.68 (1) Sicherstellung einer konsistenten Datenbankverwaltung
- M 4.69 (2) Regelmäßiger Sicherheitscheck der Datenbank
- M 4.70 (3) Durchführung einer Datenbanküberwachung
- M 4.71 (2) Restriktive Handhabung von Datenbank-Links
- M 4.72 (2) Datenbank-Verschlüsselung (optional)
- M 4.73 (2) Festlegung von Obergrenzen für selektierbare Datensätze
Kommunikation:
- M 5.58 (1) Installation von ODBC-Treibern
Notfallvorsorge:
- M 6.32 (1)
- M 6.48 (2)
- M 6.49 (1)
- M 6.50 (1)
- M 6.51 (3)

Regelmäßige Datensicherung
Verhaltensmaßregeln nach Verlust der Datenbankintegrität
Datensicherung einer Datenbank
Archivierung von Datenbeständen
Wiederherstellung einer Datenbank

ˆ

__________________________________________________________________________________________
8

IT-Grundschutzhandbuch: Stand Januar 2000

9.3
Telearbeit
__________________________________________________________________________________________

9.3

Telearbeit

Beschreibung
Unter Telearbeit versteht man im allgemeinen
Tätigkeiten, die räumlich entfernt vom Standort des
Arbeit- bzw. Auftraggebers durchgeführt werden, deren
Erledigung durch eine kommunikationstechnische
Anbindung an die IT des Arbeit- bzw. Auftraggebers
unterstützt wird.
Es gibt unterschiedliche Formen von Telearbeit wie z. B.
Telearbeit in Satellitenbüros, Nachbarschaftsbüros,
mobile Telearbeit sowie Telearbeit in der Wohnung des
Arbeitnehmers. Bei der letzteren unterscheidet man zwischen ausschließlicher Teleheimarbeit und
alternierender Telearbeit, d. h. der Arbeitnehmer arbeitet teilweise im Büro und teilweise zu Hause.
Dieses Kapitel konzentriert sich auf die Formen der Telearbeit, die teilweise oder ganz im häuslichen
Umfeld durchgeführt werden. Es wird davon ausgegangen, daß zwischen dem Arbeitsplatz zu Hause
und der Institution eine Telekommunikationsverbindung besteht, die den Austausch von Daten oder
ggf. auch den Zugriff auf Daten in der Institution ermöglicht.
Die Maßnahmenempfehlungen dieses Kapitels umfassen vier verschiedene Bereiche:
- die Organisation der Telearbeit,
- den Telearbeitsrechner des Telearbeiters,
- die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und
- der Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners.
Die in diesem Kapitel aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche
Sicherheitsanforderungen für ein IT-System, das für die Telearbeit eingesetzt wird. Insbesondere für
die technischen Anteile der Telearbeit (Telearbeitsrechner, Kommunikationsverbindung und
Kommunikationsrechner) werden sicherheitstechnische Anforderungen formuliert, die bei der
konkreten Ausgestaltung durch geeignete IT-Systeme realisiert werden müssen. Für das eingesetzte
IT-System muß weiterhin der entsprechende Baustein aus Kapitel 5 betrachtet werden sowie die in
Kapitel 4.5 für den häuslichen Arbeitsplatzes erforderlichen Maßnahmen.

Gefährdungslage
Für den IT-Grundschutz der Telearbeit werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- G 1.1
Personalausfall
Organisatorische Mängel:
- G 2.1
Fehlende oder unzureichende Regelungen
- G 2.2
Unzureichende Kenntnis über Regelungen
- G 2.4
Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.5
Fehlende oder unzureichende Wartung
- G 2.7
Unerlaubte Ausübung von Rechten (am häuslichen Arbeitsplatz und am
Kommunikationsrechner der Institution)
- G 2.8
Unkontrollierter Einsatz von Betriebsmitteln
- G 2.22
Fehlende Auswertung von Protokolldaten

__________________________________________________________________________________________
9

IT-Grundschutzhandbuch: Stand Juli 1999

9.3
Telearbeit
__________________________________________________________________________________________

-

G 2.24
G 2.49
G 2.50
G 2.51
G 2.52
G 2.53

Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes
Fehlende oder unzureichende Schulung der Telearbeiter
Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter
Mangelhafte Einbindung des Telearbeiters in den Informationsfluß
Erhöhte Reaktionszeiten bei IT-Systemausfall
Unzureichende Vertretungsregelungen für Telearbeit

Menschliche Fehlhandlungen:
- G 3.1
Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.9
Fehlerhafte Administration des IT-Systems
- G 3.13
Übertragung falscher oder nicht gewünschter Datensätze
- G 3.16
Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.30
Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners
Technisches Versagen:
- G 4.13
Verlust gespeicherter Daten
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.7
Abhören von Leitungen
- G 5.8
Manipulation an Leitungen
- G 5.9
Unberechtigte IT-Nutzung
- G 5.10
Mißbrauch von Fernwartungszugängen
- G 5.18
Systematisches Ausprobieren von Paßwörtern (am häuslichen Arbeitsplatz und am
Kommunikationsrechner)
- G 5.19
Mißbrauch von Benutzerrechten
- G 5.20
Mißbrauch von Administratorrechten
- G 5.21
Trojanische Pferde
- G 5.23
Computer-Viren
- G 5.24
Wiedereinspielen von Nachrichten
- G 5.25
Maskerade
- G 5.43
Makro-Viren
- G 5.71
Vertraulichkeitsverlust schützenswerter Informationen

Maßnahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Eine ausreichend sichere Form der Telearbeit wird nur erreicht, wenn IT-Sicherheitsmaßnahmen aus
mehreren Bereichen ineinandergreifen und sich ergänzen. Wird einer dieser Bereiche vernachlässigt,
ist eine sichere Telearbeit nicht mehr möglich. Die einzelnen Bereiche und wesentlichen Maßnahmen
sind:
- Infrastrukturelle Sicherheit des Telearbeitsplatzes: Maßnahmen, die am Telearbeitsplatz zu
beachten sind, werden im Kapitel 4.5 Häuslicher Arbeitsplatz beschrieben.
- Organisation der Telearbeit: sichere Telearbeit setzt organisatorische Regelungen und personelle
Maßnahmen voraus. Diese werden nachfolgend unter den Oberbegriffen "Organisation" und
"Personal" beschrieben. Besonders zu beachten sind die Verpflichtungen des Telearbeiters, seine

__________________________________________________________________________________________
10

IT-Grundschutzhandbuch: Stand Juli 1999

9.3
Telearbeit
__________________________________________________________________________________________

Einweisung und die Nutzungsregelungen der Kommunikation. Sie sind in den folgenden
Maßnahmen beschrieben
-

M 2.113 Regelungen für Telearbeit

-

M 2.116 Geregelte Nutzung der Kommunikationsmöglichkeiten

-

M 2.117 Regelung der Zugriffsmöglichkeiten des Telearbeiters

-

M 3.21 Sicherheitstechnische Einweisung und Fortbildung des Telearbeiters

- Sicherheit des Telearbeitsrechners: der Telearbeitsrechner muß so gestaltet sein, daß im unsicheren
Einsatzumfeld eine sichere Nutzung möglich ist. Insbesondere darf nur eine autorisierte Person den
Telearbeitsrechner offline und online nutzen können. Die notwendigen Maßnahmen sind unter dem
Oberbegriff "Hardware/Software" und "Notfallvorsorge" zusammengefaßt. Dabei sind
insbesondere die Sicherheitsanforderungen aus M 4.63 Sicherheitstechnische Anforderungen an
den Telearbeitsrechner zu beachten.
- Sichere Kommunikation zwischen Telearbeitsrechner und Institution: da die Kommunikation über
öffentliche Netze ausgeführt wird, sind besondere Sicherheitsanforderungen für die
Kommunikation zwischen Telearbeitsrechner und Institution zu erfüllen. Sie sind in M 5.51
Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner Institution beschrieben. Für die Anbindung des Telearbeitsrechners über das öffentliche Netz ist
Kapitel 8.4 LAN-Anbindung eines IT-Systems über ISDN zu beachten.
- Sicherheit des Kommunikationsrechners der Institution: dieser Rechner stellt eine quasi öffentlich
zugängliche Schnittstelle dar, über die der Telearbeiter die IT und die Daten der Institution nutzen
kann. Da hier ein Mißbrauch durch Dritte verhindert werden muß, sind besondere
Sicherheitsanforderungen zu erfüllen, die in M 5.52 Sicherheitstechnische Anforderungen an den
Kommunikationsrechner beschrieben sind.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Telearbeit" vorgestellt.
Organisation:
- M 2.9 (2)
- M 2.22 (2)
- M 2.23 (3)
- M 2.64 (2)
-

M 2.113
M 2.114
M 2.115
M 2.116
M 2.117

Personal:
- M 3.4
- M 3.5
- M 3.21
- M 3.22

(2)
(2)
(2)
(1)
(1)

Nutzungsverbot nicht freigegebener Software
Hinterlegen des Paßwortes
Herausgabe einer PC-Richtlinie (optional)
Kontrolle der Protokolldateien (am Telearbeitsrechner und am Kommunikationsrechner)
Regelungen für Telearbeit
Informationsfluß zwischen Telearbeiter und Institution
Betreuungs- und Wartungskonzept für Telearbeitsplätze
Geregelte Nutzung der Kommunikationsmöglichkeiten
Regelung der Zugriffsmöglichkeiten des Telearbeiters

(1)
(1)
(1)
(2)

Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Sicherheitstechnische Einweisung und Fortbildung des Telearbeiters
Vertretungsregelung für Telearbeit

Hardware/Software:
- M 4.3 (2) Regelmäßiger Einsatz eines Viren-Suchprogramms
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und
Datenübertragung

__________________________________________________________________________________________
11

IT-Grundschutzhandbuch: Stand Juli 1999

9.3
Telearbeit
__________________________________________________________________________________________

- M 4.44 (2)
- M 4.63 (1)

Prüfung eingehender Dateien auf Makro-Viren
Sicherheitstechnische Anforderungen an den Telearbeitsrechner

Kommunikation:
- M 5.51 (1) Sicherheitstechnische Anforderungen an die Kommunikationsverbindung
Telearbeitsrechner - Institution
- M 5.52 (1) Sicherheitstechnische Anforderungen an den Kommunikationsrechner
Notfallvorsorge:
- M 6.13 (2)
- M 6.22 (2)
- M 6.23 (2)
- M 6.32 (1)
- M 6.38 (2)
- M 6.47 (2)

Erstellung eines Datensicherungsplans
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verhaltensregeln bei Auftreten eines Computer-Virus
Regelmäßige Datensicherung
Sicherungskopie der übermittelten Daten
Aufbewahrung der Backup-Datenträger für Telearbeit

ˆ

__________________________________________________________________________________________
12

IT-Grundschutzhandbuch: Stand Juli 1999

G1
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G1

Gefährdungskatalog Höhere Gewalt

G 1.1

Personalausfall ...........................................................................1

G 1.2

Ausfall des IT-Systems ..............................................................2

G 1.3

Blitz............................................................................................3

G 1.4

Feuer ..........................................................................................4

G 1.5

Wasser........................................................................................5

G 1.6

Kabelbrand.................................................................................6

G 1.7

Unzulässige Temperatur und Luftfeuchte ..................................7

G 1.8

Staub, Verschmutzung ...............................................................8

G 1.9

Datenverlust durch starke Magnetfelder ....................................9

G 1.10

Ausfall eines Weitverkehrsnetzes ............................................10

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

G 1.1
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.1

Personalausfall

Durch Krankheit, Unfall, Tod oder Streik kann ein nicht vorhersehbarer
Personalausfall entstehen. Desweiteren ist auch der Personalausfall bei einer
regulären Beendigung des Arbeitsverhältnisses zu berücksichtigen,
insbesondere wenn die Restarbeitszeit z. B. durch einen Urlaubsanspruch
verkürzt wird.
In allen Fällen kann die Konsequenz sein, dass entscheidende Aufgaben aufgrund des Personalausfalls im IT-Einsatz nicht mehr wahrgenommen werden.
Dies ist besonders dann kritisch, wenn die betroffene Person im IT-Bereich
eine Schlüsselstellung einnimmt und aufgrund fehlenden Fachwissens anderer
nicht ersetzt werden kann. Störungen des IT-Betriebs können die Folge sein.
Ein Personalausfall kann zusätzlich einen empfindlichen Verlust von Wissen
und Geheimnissen nach sich ziehen, der die nachträgliche Übertragung der
Tätigkeiten auf andere Personen unmöglich macht.

Schlüsselstellung im
IT-Bereich

Verlust von Wissen und
Geheimnissen

Beispiele:
- Aufgrund längerer Krankheit blieb der Netzadministrator vom Dienst fern.
In der betroffenen Firma lief das Netz zunächst fehlerfrei weiter. Nach
zwei Wochen jedoch war nach einem Systemabsturz niemand in der Lage,
den Fehler zu beheben. Dies führte zu einem Ausfall des Netzes über
mehrere Tage.
- Während des Urlaubs des Administrators muss für Datensicherungszwecke
auf die Backupbänder im Datensicherungstresor zurückgegriffen werden.
Der Zugangscode zum Tresor wurde erst kürzlich geändert und ist nur dem
Administrator bekannt. Erst nach mehreren Tagen konnte die
Datenrestaurierung durchgeführt werden, da der Aufenthaltsort des
Administrators zuerst ermittelt werden musste.

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Januar 2000

G 1.2
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.2

Ausfall des IT-Systems

Der Ausfall einer Komponente eines IT-Systems kann zu einem Ausfall des
gesamten IT-Betriebs führen. Insbesondere zentrale Komponenten eines ITSystems sind geeignet, solche Ausfälle herbeizuführen, z. B. Klima- und
Stromversorgung, LAN-Server, Datenfernübertragungseinrichtung.

Ausfall zentraler
Komponenten

Technisches Versagen (z. B. G 4.1 Ausfall der Stromversorgung) muss nicht
zwingend als Ursache für den Ausfall eines IT-Systems angenommen werden.
Ausfälle lassen sich auch oft auf menschliches Fehlverhalten (z. B. G 3.2
Fahrlässige Zerstörung von Gerät oder Daten) oder vorsätzliche Handlungen
(z. B. G 5.4 Diebstahl) zurückführen. Es treten auch Schäden aufgrund
höherer Gewalt (z. B. Feuer, Blitzschlag, Chemieunfall) ein, allerdings sind
diese Schäden meist um ein Vielfaches höher.

Technisches Versagen/
menschliche
Fehlhandlungen

Werden auf einem IT-System zeitkritische IT-Anwendungen betrieben, sind
die Folgeschäden nach Systemausfall entsprechend hoch, wenn es keine
Ausweichmöglichkeiten gibt.
Beispiele:
- Durch Spannungsspitzen in der Stromversorgung wird das Netzteil eines
wichtigen IT-Systems zerstört. Da es sich um ein älteres Modell handelt,
steht nicht unmittelbar Ersatz bereit. Die Reparatur nimmt einen Tag in
Anspruch, in dieser Zeit ist der gesamte IT-Betrieb nicht verfügbar.
- Es wird eine Firmware in ein IT-System eingespielt, die nicht für diesen
Systemtyp vorgesehen ist. Das IT-System startet daraufhin nicht mehr
fehlerfrei und muss vom Hersteller wieder betriebsbereit gemacht werden.

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Januar 2000

G 1.3
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.3

Blitz

Der Blitz ist die wesentliche während eines Gewitters bestehende Gefährdung
für ein Gebäude und die darin befindliche Informationstechnik. Blitze erreichen bei Spannungen von mehreren 100.000 Volt Ströme bis zu 200.000
Ampere. Diese enorme elektrische Energie wird innerhalb von 50-100 µs
freigesetzt und abgebaut. Ein Blitz mit diesen Werten, der in einem Abstand
von ca. 2 km einschlägt, verursacht auf elektrischen Leitungen im Gebäude
immer noch Spannungsspitzen, die zur Zerstörung empfindlicher elektronischer Geräte führen können. Diese indirekten Schäden nehmen mit abnehmender Entfernung zu.
Schlägt der Blitz direkt in ein Gebäude ein, werden durch die dynamische
Energie des Blitzes Schäden hervorgerufen. Dies können Beschädigungen des
Baukörpers (Dach und Fassade), Schäden durch auftretende Brände oder
Überspannungsschäden an elektrischen Geräten sein.
Über das regional unterschiedliche Blitzschlagrisiko erteilt der Deutsche
Wetterdienst entsprechende Auskünfte.

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

G 1.4
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.4

Feuer

Neben direkten durch das Feuer verursachten Schäden an einem Gebäude oder
dessen Einrichtung lassen sich Folgeschäden aufzeigen, die insbesondere für
die Informationstechnik in ihrer Schadenswirkung ein katastrophales Ausmaß
erreichen können. Löschwasserschäden treten beispielsweise nicht nur an der
Brandstelle auf. Sie können auch in tiefer liegenden Gebäudeteilen entstehen.
Bei der Verbrennung von PVC entstehen Chlorgase, die zusammen mit der
Luftfeuchtigkeit und dem Löschwasser Salzsäure bilden. Werden die Salzsäuredämpfe über die Klimaanlage verteilt, können auf diese Weise Schäden an
empfindlichen elektronischen Geräten entstehen, die in einem vom Brandort
weit entfernten Teil des Gebäudes stehen.
Ein Brand entsteht nicht nur durch den fahrlässigen Umgang mit Feuer (z. B.
Adventskranz, Schweiß- und Lötarbeiten), sondern auch durch unsachgemäße
Benutzung elektrischer Einrichtungen (z. B. unbeaufsichtigte Kaffeemaschine,
Überlastung von Mehrfachsteckdosen).
Die Ausbreitung eines Brandes kann unter anderem begünstigt werden durch:
- Aufhalten von Brandabschnittstüren durch Keile,
- Unsachgemäße Lagerung brennbarer Materialien,
- Fehlen von Brandmeldeeinrichtungen,
- mangelhaft vorbeugenden Brandschutz (z. B. Fehlen von Brandabschottungen auf Kabeltrassen).
Beispiel:
Anfang der 90er Jahre erlitt im Frankfurter Raum ein Großrechenzentrum
einen katastrophalen Brandschaden, der zu einem kompletten Ausfall führte.

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

G 1.5
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.5

Wasser

Der unkontrollierte Eintritt von Wasser in Gebäuden oder Räumen kann bspw.
bedingt sein durch:
- Regen, Hochwasser, Überschwemmung,
- Störungen in der Wasser-Versorgung oder Abwasser-Entsorgung,
- Defekte der Heizungsanlage,
- Defekte an Klimaanlagen mit Wasseranschluß,
- Defekte in Sprinkleranlagen und
- Löschwasser bei der Brandbekämpfung.
Unabhängig davon, auf welche Weise Wasser in Gebäude oder Räume
gelangt, besteht die Gefahr, daß Versorgungseinrichtungen oder ITKomponenten beschädigt oder außer Betrieb gesetzt werden (Kurzschluß,
mechanische Beschädigung, Rost etc.). Durch die Unterbringung zentraler
Einrichtungen der Gebäudeversorgung (Hauptverteiler für Strom, Telefon,
Daten) in Kellerräumen ohne selbsttätige Entwässerung, kann eindringendes
Wasser sehr hohe Schäden verursachen.

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

G 1.6
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.6

Kabelbrand

Wenn ein Kabel in Brand gerät, sei es durch Selbstentzündung oder durch
Beflammung, hat dies verschiedene Folgen:
- Die Verbindung kann unterbrochen werden.
- Es können sich aggressive Gase entwickeln.
- An Kabeln, deren Isolationsmaterial nicht flammwidrig bzw. selbstverlöschend ist, kann sich ein Feuer ausbreiten. Selbst Brandabschottungen
verhindern dies nicht vollständig, sie verzögern die Ausbreitung.
- Bei dicht gepackten Trassen kann es zu Schwelbränden kommen, die über
längere Zeit unentdeckt bleiben und so zur Ausbreitung des Feuers führen,
lange bevor es offen ausbricht.

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

G 1.7
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.7

Unzulässige Temperatur und Luftfeuchte

Jedes Gerät hat einen Temperaturbereich, innerhalb dessen seine ordnungsgemäße Funktion gewährleistet ist. Überschreitet die Raumtemperatur die
Grenzen dieses Bereiches nach oben oder unten, kann es zu Betriebsstörungen
und zu Geräteausfällen kommen.
So wird z. B. in einem Serverraum durch die darin befindlichen Geräte elektrische Energie in Wärme umgesetzt und daher der Raum aufgeheizt. Bei
unzureichender Lüftung kann die zulässige Betriebstemperatur der Geräte
überschritten werden. Bei Sonneneinstrahlung in den Raum sind Temperaturen über 50°C nicht unwahrscheinlich.
Zu Lüftungszwecken werden oft die Fenster des Serverraumes geöffnet. In der
Übergangszeit (Frühjahr, Herbst) kann das bei großen Temperaturschwankungen dazu führen, dass durch starke Abkühlung die zulässige Luftfeuchte überschritten wird.
Beispiel:
In einer Bonner Behörde wurde die gesamte Steuerungs- und Auswerteelektronik einer Sicherungseinrichtung in einem Raum untergebracht, der
gerade genug Platz ließ, um die Türen der Geräteschränke zu öffnen. Aus
Sicherheitsgründen waren sowohl die Schränke als auch der Raum mit festen
Türen verschlossen.
Nach der Fertigstellung der Anlage im Herbst lief die Anlage störungsfrei. Im
folgenden Sommer zeigten sich zuerst unerklärliche Funktionsfehler und bald
Totalabstürze des Systems, alles ohne erkennbare Systematik. Tagelanges
Suchen mit hohem technischen und personellem Aufwand bei geöffneten
Türen erbrachte keine Ergebnisse. Nur durch Zufall wurde schließlich die
Überhitzung der Anlage bei Außentemperaturen über 30oC als Ursache der
Störungen erkannt und durch ein Kühlgerät erfolgreich abgestellt.

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Januar 2000

G 1.8
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.8

Staub, Verschmutzung

Trotz zunehmender Elektronik in der IT kommt sie noch nicht ohne mechanisch arbeitende Komponenten aus. Zu nennen sind Disketten, Fest- und
Wechselplatten, Diskettenlaufwerke, Drucker, Scanner etc, aber auch Lüfter
von Prozessoren und Netzteile. Mit steigenden Anforderungen an die Qualität
und die Schnelligkeit müssen diese Geräte immer präziser arbeiten. Bereits
geringfügige Verunreinigungen können zu einer Störung eines Gerätes führen.
Vorhandene Sicherheitsschaltungen in den Geräten führen meist zu einem
rechtzeitigen Abschalten. Das hält zwar den Schaden, die Instandsetzungskosten und die Ausfallzeiten klein, führt aber dazu, dass das betroffene Gerät nicht verfügbar ist.
Beispiel:
Bei der Aufstellung eines Servers in einem Medienraum, zusammen mit einem
Kopierer und einem Normalpapier-Faxgerät, traten nacheinander die Lähmung
des Prozessor-Lüfters und des Netzteil-Lüfters aufgrund der hohen
Staubbelastung des Raumes auf. Der Ausfall des Prozessor-Lüfters führte zu
sporadischen Server-Abstürzen. Der Ausfall des Netzteil-Lüfters führte
schließlich zu einer Überhitzung des Netzteils mit der Folge eines Kurzschlusses, was schließlich einen Totalausfall des Servers nach sich zog.

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Januar 2000

G 1.9
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.9

Datenverlust durch starke Magnetfelder

Typische Datenträger mit magnetisierbaren Speichermedien sind Disketten,
Wechselplatten, Kassetten und Bänder. Informationen werden über Schreib/Leseköpfe aufgebracht. Die derart magnetisierten Datenträger sind empfindlich gegenüber magnetischer Störstrahlung, so daß die Nähe zu solchen
Strahlungsquellen vermieden werden sollte.
Je nach Stärke der Strahlung führt diese zu mehr oder weniger großen Datenverlusten. Besonders kritisch ist dies bei Dateien, die aufgrund ihrer internen
Formatierung bereits durch geringfügige Veränderungen gänzlich unbrauchbar
werden (z. B. Postscript-Dateien, Datenbanken).
Beispiele für Quellen magnetischer Störstrahlung sind:
- Elektromotoren,
- Transformatoren,
- Ausweiselesegeräte auf Magnetfeldbasis.

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

G 1.10
Gefährdungskatalog Höhere Gewalt
Bemerkungen
_____________________________________________________________________ ..........................................

G 1.10

Ausfall eines Weitverkehrsnetzes

Werden auf IT-Systemen, die über Weitverkehrsnetze verbunden sind, zeitkritische IT-Anwendungen betrieben, sind die durch einen Netzausfall möglichen Schäden und Folgeschäden entsprechend hoch, wenn keine Ausweichmöglichkeiten (z. B. Anbindung an ein zweites Kommunikationsnetz) vorgesehen sind.
Im Rahmen der Liberalisierung des Telekommunikationsmarktes bietet nicht
nur die Deutsche Telekom AG ihre Dienste für die Bereitstellung von
Kommunikationsverbindungen zum Daten- und Sprachtransfer an. Viele,
teilweise sehr kleine Netzbetreiber, konkurrieren mit günstigen Kommunikationsentgelten untereinander und mit der Deutschen Telekom AG. Daher
sollte ein Kunde sich informieren, mit welcher Güte dieser Dienst tatsächlich
erbracht werden kann, indem er den Netzbetreiber um detaillierte Auskünfte
über Backup-Strategien oder Notfallplanungen bittet.

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Juli 1999

G2
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G2

Gefährdungskatalog Organisatorische Mängel

G 2.1

Fehlende oder unzureichende Regelungen.................................1

G 2.2

Unzureichende Kenntnis über Regelungen ................................2

G 2.3

Fehlende, ungeeignete, inkompatible Betriebsmittel .................3

G 2.4

Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen ..........4

G 2.5

Fehlende oder unzureichende Wartung......................................5

G 2.6

Unbefugter Zutritt zu schutzbedürftigen Räumen......................6

G 2.7

Unerlaubte Ausübung von Rechten............................................7

G 2.8

Unkontrollierter Einsatz von Betriebsmitteln.............................8

G 2.9

Mangelhafte Anpassung an Veränderungen beim ITEinsatz........................................................................................9

G 2.10

Nicht fristgerecht verfügbare Datenträger................................10

G 2.11

Unzureichende Trassendimensionierung .................................11

G 2.12

Unzureichende Dokumentation der Verkabelung ....................12

G 2.13

Unzureichend geschützte Verteiler ..........................................13

G 2.14

Beeinträchtigung der IT-Nutzung durch ungünstige
Arbeitsbedingungen .................................................................14

G 2.15

Vertraulichkeitsverlust schutzbedürftiger Daten im
Unix-System ............................................................................15

G 2.16

Ungeordneter Benutzerwechsel bei tragbaren PCs ..................16

G 2.17

Mangelhafte Kennzeichnung der Datenträger..........................17

G 2.18

Ungeordnete Zustellung der Datenträger .................................18

G 2.19

Unzureichendes Schlüsselmanagement bei
Verschlüsselung .......................................................................19

G 2.20

Unzureichende Versorgung mit DruckVerbrauchsgütern für Fax-Geräte ............................................20

G 2.21

Mangelhafte Organisation des Wechsels zwischen den
Benutzern .................................................................................21

G 2.22

Fehlende Auswertung von Protokolldaten ...............................22

G 2.23

Schwachstellen bei der Einbindung von DOS-PCs in
ein servergestütztes Netz..........................................................23

G 2.24

Vertraulichkeitsverlust schutzbedürftiger Daten des zu
schützenden Netzes ..................................................................24

G 2.25

Einschränkung der Übertragungs- oder
Bearbeitungsgeschwindigkeit durch Peer-to-PeerFunktionalitäten .......................................................................25

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

G2
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.26

Fehlendes oder unzureichendes Test- und
Freigabeverfahren ....................................................................26

G 2.27

Fehlende oder unzureichende Dokumentation .........................27

G 2.28

Verstöße gegen das Urheberrecht ............................................28

G 2.29

Softwaretest mit Produktionsdaten...........................................29

G 2.30

Unzureichende Domänenplanung ............................................30

G 2.31

Unzureichender Schutz des Windows NT Systems .................31

G 2.32

Unzureichende Leitungskapazitäten ........................................32

G 2.33

Nicht gesicherter Aufstellungsort von Novell Netware
Servern .....................................................................................33

G 2.34

Fehlende oder unzureichende Aktivierung von Novell
Netware Sicherheitsmechanismen............................................34

G 2.35

Fehlende Protokollierung unter Windows 95
(gestrichen!) .............................................................................35

G 2.36

Ungeeignete Einschränkung der Benutzerumgebung ..............36

G 2.37

Unkontrollierter Aufbau von
Kommunikationsverbindungen ................................................37

G 2.38

Fehlende oder unzureichende Aktivierung von
Datenbank-Sicherheitsmechanismen........................................38

G 2.39

Komplexität eines DBMS ........................................................39

G 2.40

Komplexität des Datenbankzugangs/-zugriffs .........................41

G 2.41

Mangelhafte Organisation des Wechsels von
Datenbank-Benutzern...............................................................43

G 2.42

Komplexität der NDS...............................................................44

G 2.43

Migration von Novell Netware 3.x nach Novell
Netware Version 4 ...................................................................45

G 2.44

Inkompatible aktive und passive Netzkomponenten ................46

G 2.45

Konzeptionelle Schwächen des Netzes ....................................47

G 2.46

Überschreiten der zulässigen Kabel- bzw. Buslänge
oder der Ringgröße ..................................................................49

G 2.47

Ungesicherter Akten- und Datenträgertransport ......................51

G 2.48

Ungeeignete Entsorgung der Datenträger und
Dokumente am häuslichen Arbeitsplatz...................................52

G 2.49

Fehlende oder unzureichende Schulung der Telearbeiter ........53

G 2.50

Verzögerungen durch temporär eingeschränkte
Erreichbarkeit der Telearbeiter ................................................54

G 2.51

Mangelhafte Einbindung des Telearbeiters in den
Informationsfluß ......................................................................55

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Juli 1999

G2
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.52

Erhöhte Reaktionszeiten bei IT-Systemausfall ........................56

G 2.53

Unzureichende Vertretungsregelungen für Telearbeit .............57

G 2.54

Vertraulichkeitsverlust durch Restinformationen.....................58

G 2.55

Ungeordnete E-Mail-Nutzung..................................................59

G 2.56

Mangelhafte Beschreibung von Dateien ..................................60

G 2.57

Nicht ausreichende Speichermedien für den Notfall................61

G 2.58

Novell Netware und die Datumsumstellung im Jahr
2000 .........................................................................................62

G 2.59

Betreiben von nicht angemeldeten Komponenten....................63

G 2.60

Fehlende oder unzureichende Strategie für das Netzund Systemmanagement ..........................................................64

G 2.61

Unberechtigte Sammlung personenbezogener Daten...............66

G 2.62

Ungeeigneter Umgang mit Sicherheitsvorfällen ......................67

G 2.63

Ungeordnete

68

_____________________________________________________________________ ..........................................
iii

IT-Grundschutzhandbuch: Stand Januar 2000

G 2.1
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.1

Fehlende oder unzureichende Regelungen

Die Bedeutung übergreifender organisatorischer Regelungen und Vorgaben
für das Ziel IT-Sicherheit nimmt mit dem Umfang der Informationsverarbeitung, aber auch mit dem Schutzbedarf der zu verarbeitenden Informationen
zu.
Von der Frage der Zuständigkeiten angefangen bis hin zur Verteilung von
Kontrollaufgaben kann das Spektrum der Regelungen sehr umfangreich sein.
Auswirkungen von fehlenden oder unzureichenden Regelungen werden
beispielhaft in den Gefährdungen G 2.2 ff. beschrieben.
Daß Regelungsdefizite schadensfördernde Auswirkungen haben können,
machen folgende Beispiele deutlich:
- Durch eine mangelhafte Betriebsmittelverwaltung kann der termingerechte
Arbeitsablauf in einem Rechenzentrum schon durch eine unterbliebene
Druckerpapierbestellung stark beeinträchtigt werden.
- Neben einer Beschaffung von Handfeuerlöschern muß auch deren Wartung
geregelt sein, um sicherzustellen, daß diese im Brandfall auch funktionstüchtig sind.

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.2
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.2

Unzureichende Kenntnis über Regelungen

Die Festlegung von Regelungen allein sichert den störungsfreien IT-Einsatz
noch nicht. Die für einen Funktionsträger geltenden Regelungen müssen
diesem auch bekannt sein. Der Schaden, der sich aus einer unzureichenden
Kenntnis über bestehende Regelungen ergeben kann, darf sich nicht mit den
Aussagen entschuldigen lassen: "Ich habe nicht gewußt, daß ich dafür
zuständig bin." oder "Ich habe nicht gewußt, wie ich zu verfahren hatte."
Beispiele:
- Werden Mitarbeiter nicht über die Verfahrensweise des Umgangs mit übersandten Disketten unterrichtet, besteht die Gefahr, daß ein Computer-Virus
im Unternehmen bzw. in der Behörde verbreitet wird.
- In einer Bundesbehörde wurden farblich unterschiedliche Papierkörbe aufgestellt, von denen eine Farbe für die Entsorgung zu vernichtender Unterlagen bestimmt war. Die meisten Mitarbeiter waren von dieser Regelung
nicht unterrichtet.

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.3
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.3

Fehlende, ungeeignete, inkompatible
Betriebsmittel

Eine nicht ausreichende Bereitstellung von Betriebsmitteln kann einen ITBetrieb erheblich beeinträchtigen. Störungen können sich aus einer nicht ausreichenden Menge benötigter Betriebsmittel oder deren nicht termingerechter
Bereitstellung ergeben.
Ebenso kann es vorkommen, daß ungeeignete oder sogar inkompatible
Betriebsmittel beschafft werden, die infolgedessen nicht eingesetzt werden
können.
Beispiele:
- Durch das Jahr-2000-Problem können durch den bevorstehenden Jahreswechsel Kompatibelitätsproblemen bei der eingesetzten Hard- und Software auftreten.
- Für den neu angemieteten Datex-P-Anschluß wird vergessen, das Entgelt
für die Einrichtung an den Betreiber zu überweisen mit der Folge, daß der
Anschluß nicht freigeschaltet wird. Das IT-Verfahren, das diesen Anschluß
nutzen soll, kann daher nur mit Verspätung in Betrieb genommen werden.
- Ein ungeeignetes Betriebsmittel ist zum Beispiel eine graphische
Benutzeroberfläche, die auf einem nicht ausreichend leistungsfähigen
Rechner installiert werden soll.
- Ein Beispiel für inkompatible Betriebsmittel sind Verbindungskabel unterschiedlicher Pin-Belegung zum Anschluß von Druckern.
- Für den Betrieb einer Datenbank unter der neu beschafften DatenbankenStandardsoftware ist im zugehörigen Rechner nicht genügend Hauptspeicher vorhanden oder der Plattenplatz reicht nicht aus.

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.4
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.4

Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen

Nach der Einführung von IT-Sicherheitsmaßnahmen (z. B. Datensicherung)
obliegt es vielfach den Benutzern, sie konsequent umzusetzen. Finden keine
oder nur unzureichende Kontrollen der IT-Sicherheitsmaßnahmen statt, wird
weder deren Mißachtung noch ihre effektive Wirksamkeit festgestellt. Eine
rechtzeitige Reaktion wird dadurch verhindert.
Darüber hinaus gibt es IT-Sicherheitsmaßnahmen, die nur mit der Durchführung entsprechender Kontrollen ihre Wirkung entfalten. Hierzu zählen beispielsweise Protokollierungsfunktionen, deren Sicherheitseigenschaften erst
mit der Auswertung der Protokolldaten zum Tragen kommen.
Beispiel:
Der Administrationsplatz einer Datenverarbeitungsanlage ist mit einem
Konsoldrucker ausgestattet. Dieser Drucker soll sämtliche Eingaben protokollieren, die über die Bedienungskonsole erfolgen. Ob durch die Administration
mißbräuchlich Handlungen vorgenommen werden, läßt sich erst durch eine
Auswertung der Ausdrucke feststellen. Fehlt diese Auswertung durch eine
unabhängige Person, so ist die Protokollierung wirkungslos.

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.5
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.5

Fehlende oder unzureichende Wartung

Die Funktionsfähigkeit der eingesetzten Technik muß gewährleistet bleiben.
Durch regelmäßige Wartung kann die Funktionsfähigkeit der eingesetzten
Technik gefördert werden. Werden Wartungsarbeiten nicht oder nur unzureichend durchgeführt, können daraus unabsehbar hohe Schäden oder Folgeschäden entstehen.
Beispiele:
- Die Batterien einer unterbrechungsfreien Stromversorgung (USV) verfügen
infolge fehlender Wartung über eine unzureichende Kapazität (zu geringer
Säuregehalt). Die USV kann einen Stromausfall nicht mehr ausreichend
lange überbrücken.
- Die Feuerlöscher verfügen aufgrund fehlender Wartung nicht mehr über
einen ausreichenden Druck, so daß ihre brandbekämpfende Wirkung nicht
mehr vorhanden ist.
- Der Laserdrucker fällt aufgrund Überhitzung aus, weil ein Lüftungsgitter
nicht vorschriftsmäßig gereinigt wurde.

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.6
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.6

Unbefugter Zutritt zu schutzbedürftigen
Räumen

Gelangen Unbefugte in schutzbedürftige Räume, können sich Gefährdungen
nicht nur durch vorsätzliche Handlungen, sondern auch durch
unbeabsichtigtes Fehlverhalten ergeben. Eine Störung des Betriebsablaufs tritt
allein schon dadurch ein, daß aufgrund des unbefugten Zutritts eine
Feststellung möglicher Schäden erforderlich wird. Dabei ist zu beachten, daß
auch dienstlich genutzte Räume im häuslichen Umfeld zu diesen
schutzbedürftigen Räumen zu zählen sind.
Beispiel:
Beim Reinigungspersonal wird eine Urlaubsvertretung eingesetzt. Die
Urlaubsvertretung übernimmt eigenmächtig - obwohl sie nicht eingewiesen
wurde - die Reinigung des Rechenzentrums. Dort öffnet sie den
alarmüberwachten Notausgang und löst hierdurch einen Fehlalarm aus.

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.7
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.7

Unerlaubte Ausübung von Rechten

Rechte wie Zutritts-, Zugangs- und Zugriffsberechtigungen werden als organisatorische Maßnahmen eingesetzt, um eine sichere und ordnungsgemäße ITNutzung zu gewährleisten. Werden solche Rechte an die falsche Person
vergeben oder wird ein Recht unautorisiert ausgeübt, können sich eine Vielzahl von Gefährdungen ergeben, die die Vertraulichkeit und Integrität von
Daten oder die Verfügbarkeit von Rechnerleistung beeinträchtigen.
Beispiel:
Der Arbeitsvorbereiter, der keine Zutrittsberechtigung zum Datenträgerarchiv
besitzt, entnimmt in Abwesenheit des Archivverwalters Magnetbänder, um
Sicherungskopien einspielen zu können. Durch die unkontrollierte Entnahme
wird das Bestandsverzeichnis des Datenträgerarchivs nicht aktualisiert, die
Bänder sind für diesen Zeitraum nicht auffindbar.

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.8
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.8

Unkontrollierter Einsatz von Betriebsmitteln

Betriebsmittel - gleich welcher Art - dürfen nur entsprechend dem Verwendungszweck eingesetzt werden. Die für die Beschaffung und den Einsatz der
Betriebsmittel verantwortlichen Personen müssen sowohl den unkontrollierten
Einsatz verhindern als auch den korrekten Einsatz überwachen. Wird jedoch
der Einsatz von Betriebsmitteln nicht ausreichend kontrolliert, können als
Folge vielfältige Gefährdungen auftreten.
Beispiele:
- Der Einsatz privater Datenträger durch Mitarbeiter kann zu einer Infektion
des dienstlichen PC durch Computer-Viren führen.
- Falsche Reinigungsmittel können zu einer Beschädigung von Monitoren
führen.
- Ungeeignete Tinte für Tintenstrahldrucker kann zu einer Verunreinigung
oder Fehlfunktion des Druckers führen.

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.9
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.9

Mangelhafte Anpassung an Veränderungen
beim IT-Einsatz

Die speziell für den Einsatz von Informationstechnik geschaffenen organisatorischen Regelungen, aber auch das gesamte Umfeld einer Behörde bzw. eines
Unternehmens unterliegen ständigen Veränderungen. Sei es nur, daß
Mitarbeiter ausscheiden oder hinzukommen, Mitarbeiter das Büro wechseln,
neue Hardware oder Software beschafft wird, der Zulieferbetrieb für die
Betriebsmittel Konkurs anmeldet. Daß sich bei einer ungenügenden Berücksichtigung der vorzunehmenden organisatorischen Anpassungen Gefährdungen ergeben, zeigen folgende Beispiele:
- Vor Urlaubsantritt vergißt ein Mitarbeiter, der Urlaubsvertretung Zugriffsrechte auf alle von dieser benötigten Dateien und Verzeichnisse zu übertragen. Hierdurch können sich Verzögerungen im IT-Betrieb ergeben.
- Durch bauliche Änderungen im Gebäude werden bestehende Fluchtwege
verändert. Durch mangelhafte Unterrichtung der Mitarbeiter ist die Räumung des Gebäudes nicht in der erforderlichen Zeit möglich.
- Durch eine Umstellung eines IT-Verfahrens werden größere Mengen an
Druckerpapier benötigt. Durch fehlende Unterrichtung der Beschaffungsstelle kommt es zu Engpässen im IT-Betrieb.
- Beim Empfang elektronischer Dokumente werden diese nicht automatisch
auf Makroviren überprüft, da dieses Problem noch nicht bekannt ist oder
kein Virenprüfprogramm vorhanden ist.
- Bei der Übermittlung elektronischer Dokumente wird nicht darauf geachtet, diese in einem für die Empfängerseite lesbaren Format abzuspeichern.

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.10
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.10

Nicht fristgerecht verfügbare Datenträger

Die korrekte Verwendung von Datenträgern ist für ein IT-Verfahren von
besonderer Bedeutung. Bereits geringfügige Fehler - z. B. mangelhafte Kennzeichnung, falscher Aufbewahrungsort, fehlende Ein- oder Ausgabebestätigungen im Datenträgerarchiv - können dazu führen, daß ein Datenträger nicht
in der erforderlichen Zeit aufgefunden werden kann. Die resultierenden
Verzögerungen können zu erheblichen Schäden führen.
Beispiele:
- Datensicherungsbänder werden versehentlich in ein externes Datensicherungsarchiv ausgelagert. Eine erforderliche Datenrekonstruktion wird
erheblich verzögert, weil die Wiederbeschaffung der Bänder nicht unverzüglich möglich ist.
- Datensicherungsbänder unterschiedlichen Inhalts werden versehentlich
gleich gekennzeichnet. Der Archivverwalter gibt unabsichtlich das aktuellere Magnetband zum Löschen frei. Folglich steht nur noch eine überalterte Datensicherung zur Verfügung.

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.11
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.11

Unzureichende Trassendimensionierung

Bei der Planung von Netzen wird oft der Fehler begangen, die Kapazitätsauslegung ausschließlich am aktuellen Stand zu orientieren. Dabei wird
übersehen
- Erweiterungen eines Netzes nicht auszuschließen sind,
- die Kapazität eines Netzes aufgrund steigenden Datenvolumens erweitert
werden muß,
- neue Forderungen an das Netz die Verlegung anderer Kabel erforderlich
machen.
Eine Erweiterung des Netzes ist nur in dem Umfang möglich, wie es die vorhandenen, verlegten Kabel zulassen oder der zur Verfügung stehende Platz für
zusätzliche Kabel erlaubt. Gerade in geschlossenen Trassen (Rohre, estrichüberdeckte Fußbodenkanäle etc.) ist es trotz noch vorhandenen Platzes oft
nicht möglich, zusätzliche Kabel einzuziehen, ohne neue und alte Kabel zu
beschädigen. Als Ausweg bleibt dann nur, die vorhandenen Kabel aus der
Trasse herauszuziehen und alle Kabel, die alten und die neuen, gleichzeitig
neu einzuziehen. Die dadurch entstehenden Betriebsbeeinträchtigungen und
Kosten sind beträchtlich.

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.12
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.12

Unzureichende Dokumentation der Verkabelung

Ist aufgrund unzureichender Dokumention die genaue Lage von Leitungen
nicht bekannt, so kann es bei Bauarbeiten außerhalb oder innerhalb eines
Gebäudes zu Beschädigungen von Leitungen kommen. Dabei kann es zu
längeren Ausfallzeiten oder unter Umständen sogar zu lebensbedrohenden
Gefahren, z. B. durch Stromschlag, kommen.
Eine unzureichende Dokumentation erschwert zudem Prüfung, Wartung und
Reparatur von Leitungen sowie Rangierungen, wie sie z. B. bei Änderungen
im Endgeräte-Bereich (Umzug, Neuzugang) erforderlich werden.
Beispiel:
In einer größeren Behörde wurde die Verkabelung der IT durch eine externe
Firma vorgenommen. Die Anfertigung einer Dokumentation war im
Leistungsumfang nicht enthalten. Da nach Fertigstellung der Verkabelung mit
der Firma kein Wartungsvertrag abgeschlossen wurde, verfügte die Behörde
nicht über die notwendige Dokumentation. Erweiterungen des Netzes konnten
nur mit erheblichen Verzögerungen vorgenommen werden.

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.13
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.13

Unzureichend geschützte Verteiler

Verteiler des Stromversorgungsnetzes sind vielfach frei zugänglich und unverschlossen in Fluren oder Treppenhäusern untergebracht. Somit ist es
jedermann möglich, diese Verteiler zu öffnen, Manipulationen vorzunehmen
und ggf. einen Stromausfall herbeizuführen.

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.14
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.14

Beeinträchtigung der IT-Nutzung durch
ungünstige Arbeitsbedingungen

Ein nicht nach ergonomischen Gesichtspunkten eingerichteter Arbeitsplatz
oder das Arbeitsumfeld (z. B. Störungen durch Lärm oder Staub) können dazu
führen, daß die zur Verfügung stehende IT nicht oder nicht optimal genutzt
werden kann.
Die meisten der denkbaren Störungen wirken sich nicht direkt auf die IT aus.
Vielmehr wird der Mitarbeiter in der Form beeinflußt, daß er seiner Aufgabe
nicht mit entsprechender Konzentration nachgehen kann. Die Störungen
reichen von Lärm oder starkem, unorganisiertem Kundenverkehr bis zu
ungünstiger Beleuchtung, schlechter Belüftung u.ä.. Erste Anzeichen solcher
Störungen sind die Verlangsamung der Aufgabenerledigung und die Zunahme
kleiner Fehler (Zeichendreher, Schreibfehler). Dadurch wird nicht nur das
direkte Arbeitsergebnis beeinträchtigt. Auch die gespeicherten Daten enthalten
evtl. Fehler, die Integrität der Daten wird vermindert.

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.15
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.15

Vertraulichkeitsverlust schutzbedürftiger Daten
im Unix-System

Durch verschiedene Unix-Programme ist es möglich, Daten abzufragen, die
das IT-System über die Benutzer speichert. Hiervon sind auch solche Daten
betroffen, die Auskunft über das Leistungsprofil eines Benutzers geben
können. Datenschutzrechtliche Gesichtspunkte müssen deshalb genauso
beachtet werden wie die Gefahr, daß solche Informationen
Mißbrauchsmöglichkeiten erleichtern.
Beispiel:
Mit einem einfachen Programm, das in einem bestimmten Zeitintervall die
Informationen, die der Befehl who liefert, auswertet, kann jeder Benutzer ein
genaues Nutzungsprofil für einen Account erstellen. Z. B. lassen sich auf diese
Weise die Abwesenheitszeiten des oder der Systemadministratoren feststellen,
um diese Zeiten für unberechtigte Handlungen zu nutzen. Desweiteren läßt
sich feststellen, welche Terminals für einen privilegierten Zugang zugelassen
sind.
Weitere Programme mit ähnlichen Mißbrauchsmöglichkeiten sind finger oder
ruser.

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.16
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.16

Ungeordneter Benutzerwechsel bei tragbaren
PCs

Der Benutzerwechsel bei tragbaren PCs wie Laptops oder Notebooks wird
oftmals durch die einfache Übergabe des Gerätes vorgenommen. Dies hat zur
Folge, daß meist nicht sichergestellt wird, daß auf dem Gerät keine schutzbedürftigen Daten mehr gespeichert sind und daß das Gerät nicht mit einem
Computer-Virus verseucht ist. Zudem ist nach einiger Zeit nicht mehr nachvollziehbar, wer den tragbaren PC wann genutzt hat oder wer ihn zur Zeit
benutzt. Der ungeordnete Benutzerwechsel ohne Speicherkontrollen und ohne
entsprechende Dokumentation kann damit zur Einschränkung der
Verfügbarkeit des Geräts und zum Vertraulichkeitsverlust von Restdaten der
Festplatte führen.

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.17
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.17

Mangelhafte Kennzeichnung der Datenträger

Unterbleibt eine ordnungsgemäße Kennzeichnung der ausgetauschten Datenträger, so ist für den Empfänger oft nicht nachvollziehbar, wer den
Datenträger übersandt hat, welche Informationen darauf gespeichert sind oder
welchem Zweck sie dienen. Wenn mehrere Datenträger ein- und desselben
Absenders eingehen, kann bei fehlender Kennzeichnung die Reihenfolge
verwechselt werden.
Beispiel:
Absender A verschickt an den Empfänger E eine Diskette mit Informationen,
bei denen großes Gewicht auf deren Integrität gelegt wird. Am nächsten Tag
stellt A fest, daß die Daten fehlerhaft waren, verschickt eine korrigierte
Version und kündigt diese beim Empfänger telefonisch an. Auf dem Postweg
überholt nun die zweite Diskette die erste, so daß der Empfänger aufgrund
mangelhafter Kennzeichnung glaubt, die zuerst erhaltene Diskette enthielte
die falschen Daten.

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.18
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.18

Ungeordnete Zustellung der Datenträger

Bei ungeordneter Zustellung von Datenträgern besteht die Gefahr, daß
vertrauliche, auf dem Datenträger gespeicherte Daten in unbefugte Hände
gelangen oder das gewünschte Ziel nicht rechtzeitig erreichen.
Beispiele:
- eine fehlerhafte Adressierung kann dazu führen, daß der Datenträger einem
unautorisierten Empfänger übergeben wird,
- eine unzureichende Verpackung kann zu einer Beschädigung des Datenträgers führen, aber auch einen unbefugten Zugriff ermöglichen, der nicht
festgestellt werden kann,
- eine fehlende Festlegung der Verantwortung beim Empfänger kann zur
Folge haben, daß ein eingegangener Datenträger erst verspätet bearbeitet
wird,
- eine nicht festgelegte Versandart kann bewirken, daß der Datenträger zu
spät zugestellt wird, da die falsche Versandart ausgewählt wurde,
- eine fehlende Festlegung der Verantwortung beim Absender kann zur
Folge haben, daß eine terminlich zugesicherte Zustellung der Datenträger
nicht eingehalten werden kann.

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.19
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.19

Unzureichendes Schlüsselmanagement bei
Verschlüsselung

Werden zum Schutz der Vertraulichkeit zu übermittelnder Daten Verschlüsselungssysteme eingesetzt, so kann aufgrund eines unzureichenden Schlüsselmanagements der gewünschte Schutz unterlaufen werden, wenn
- die Schlüssel in einer ungesicherten Umgebung erzeugt oder aufbewahrt
werden,
- ungeeignete oder leicht erratbare Schlüssel eingesetzt werden,
- die zur Verschlüsselung bzw. Entschlüsselung eingesetzten Schlüssel nicht
auf einem sicheren Weg den Kommunikationspartner erreichen.
Beispiele:
- Einfachstes Negativ-Beispiel ist der Versand der verschlüsselten Informationen und des benutzten Schlüssels auf ein- und derselben Diskette,
vorausgesetzt, daß das bei der Verschlüsselung eingesetzte Verfahren
bekannt ist.
- Kryptographische Schlüssel werden im allgemeinen durch Zufallsprozesse
erzeugt und evtl. nachbearbeitet. Wenn die verwendete Zufallsquelle
ungeeignet ist, können Schlüssel erzeugt werden, die unsicher sind.
- Bei der Erzeugung von kryptographischen Schlüsseln, insbesondere von
Masterkeys, ist es für die Sicherheit entscheidend, daß keine schwachen
kryptographischen Schlüssel erzeugt werden. Dies können Schlüssel sein,
die leicht zu erraten sind, oder Schlüssel, die für die Verschlüsselung
ungeeignet sind (Beispiel: schwache und semischwache DES-Schlüssel).
Wenn bei der Ableitung von Schlüsseln aus Masterkeys nicht überprüft
wird, ob dabei ein schwacher Schlüssel erzeugt wurde, kann dadurch ein
schwacher Schlüssel im Wirkbetrieb zum Einsatz kommen.
- Werden beim Triple-DES identische Teilschlüssel verwendet, bewirkt die
Triple-DES-Verschlüsselung nur eine einfache DES-Verschlüsselung. Der
Sicherheitsgewinn geht verloren.
Aber nicht nur die Offenlegung, sondern auch der Verlust von kryptographischen Schlüsseln kann zu großen Problemen führen. Kryptographische
Schlüssel können
- verloren oder vergessen werden,
- nicht mehr zugreifbar sein, z. B. wenn der Schlüsselinhaber die Firma
verlassen hat, oder
- zerstört werden, indem sie versehentlich gelöscht werden oder indem sie
verändert werden, z. B. durch Datenträgerversagen oder Bitfehler.
Wenn die Schlüssel nicht mehr verfügbar sind, können damit geschützte
Daten nicht mehr entschlüsselt oder auf ihre Authentizität überprüft werden.

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.20
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.20

Unzureichende Versorgung mit Druck-Verbrauchsgütern für Fax-Geräte

Fax-Geräte benötigen für ihren Betrieb einige Verbrauchsgüter. In der Regel
sind dies Papier und Druckermaterial (Toner oder Tinte, Druck-Zwischenträgerfolie). Fehlt eines dieser Verbrauchsgüter, können eingehende Faksimiles
nicht mehr ausgedruckt werden, obwohl sie ordnungsgemäß empfangen wurden. Ein Puffer-Speicher kann aufgrund seiner begrenzten Speicherkapazität
die Abweisung oder den Verlust von Fax-Sendungen nur herauszögern, aber
nicht langfristig verhindern.

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.21
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.21

Mangelhafte Organisation des Wechsels
zwischen den Benutzern

Arbeiten mehrere Benutzer zeitlich versetzt an einem Einzelplatz-IT-System,
so findet zwangsläufig ein Wechsel zwischen den Benutzern statt. Ist dieser
nicht ausreichend organisiert und geregelt, wird er unter Umständen nicht
sicherheitsgerecht durchgeführt. Hierdurch können Mißbrauchsmöglichkeiten
entstehen, wenn z. B.
- laufende Anwendungen nicht korrekt abgeschlossen werden,
- aktuelle Daten nicht gespeichert werden,
- Restdaten im Hauptspeicher oder in temporären Dateien verbleiben,
- der vorhergehende Benutzer sich nicht am IT-System abmeldet und
- der neue Benutzer sich nicht ordnungsgemäß am IT-System anmeldet.

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.22
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.22

Fehlende Auswertung von Protokolldaten

Protokolldaten dienen dem Zweck, nachträglich feststellen zu können, ob
Sicherheitsverletzungen im IT-System stattgefunden haben oder ob ein solcher
Versuch unternommen wurde. Daher können Protokolldaten für die
Täterermittlung im Schadensfall genutzt werden. Eine weitere wichtige
Funktion der Protokolldaten ist die Abschreckung. Werden Protokolldaten
regelmäßig ausgewertet, können vorsätzliche Angriffe auf ein IT-System
frühzeitig erkannt werden. Findet die Auswertung der Protokolldaten jedoch
nicht oder nur unzureichend statt und wird dies bekannt, verliert sich die
Abschreckungswirkung vollständig.
Bei vielen IT-Systemen oder Anwendungen fehlen ausreichende Protokollierungsmöglichkeiten. Teilweise ist überhaupt keine Protokollierung vorgesehen, häufig ist es nicht möglich, die Protokollierung nach Ereignissen zu
differenzieren.
Beispiel:
Auf einem nicht vernetzten Windows 95-Rechner gibt es keine Möglichkeit,
die Aktivitäten eines oder mehrerer Benutzer benutzerspezifisch zu protokollieren. Es ist daher nicht festzustellen, ob Sicherheitsverletzungen im ITSystem stattgefunden haben oder ob ein solcher Versuch unternommen wurde.

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.23
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.23

Schwachstellen bei der Einbindung von DOSPCs in ein servergestütztes Netz

Durch die Einbindung von DOS-PCs in ein servergestütztes Netz können in
einem ansonsten sicheren Netz Schwachstellen hinzukommen.
Werden beispielsweise DOS-PCs in ein Unix-Netz eingebunden, ist den
Benutzern der Einsatz von Unix-Diensten wie telnet, ftp, NFS, RPCs, XWindows möglich. Die hierdurch entstehenden Sicherheitsprobleme sind
grundsätzlich nicht verschieden von denen in einem reinen Unix-Netz.
Jedoch werden durch die Einbindung von DOS-PCs in ein servergestütztes
Netz zusätzliche unkontrollierte Netzzugänge geschaffen. Jeder Netzanschluss
kann zum Abhören des Netzes missbraucht werden. Dies ist mit geeigneter
Software (Sniffer) auch durch einen am Netz angeschlossenen PC möglich.
Damit ist es ein Leichtes, alle Informationen, d. h. alle Passwörter und auch
Dateiinhalte, die über das Netz verschickt werden mitzulesen und zu
missbrauchen.

Abhören des Netzes

Ein PC-Benutzer kann zudem i. allg. den PC selbständig administrieren.
Indem er den PC so konfiguriert, dass hiermit eine falsche Identität vorgespiegelt wird, kann er zugelassene Dienste wie z. B. NFS oder RPCs nutzen,
um Zugriff auf Verzeichnisse und Dateien anderer Benutzer auf dem Server
zu erlangen. Er kann diese Informationen dann unbemerkt lesen, kopieren,
verfälschen oder löschen.

Vorspiegelung einer
falschen Identität

DOS-PCs, die in ein Windows NT Netz eingebunden sind, stellen ebenfalls
eine potentielle Bedrohung der Sicherheit dieses Netzes dar. So können durch
Kopieren von Dateien von einem Server auf die Festplatte eines PCs sicherheitsrelevante Informationen auf einem physisch nur unzureichend geschützten Medium abgelegt werden, oder durch Kopieren auf ein lokales Diskettenlaufwerk können solche Informationen an externe Stellen abgegeben werden,
ohne dass dies von den Protokollierungsfunktionen des Servers erfasst wird.
Umgekehrt besteht die Gefahr des Imports von Computer-Viren über ungenügend abgesicherte Diskettenlaufwerke.

unkontrollierter Import
und Export von Informationen

Unix-Rechner, die mittels des Programmes SAMBA ihre Dateisysteme für
Windows-Rechner verfügbar machen, können bei mangelhafter Konfiguration
ein hohes Sicherheitsrisiko darstellen. So ist es z. B. möglich, dass ein
Benutzer, der sich auf einem Windows-Rechner mit der Kennung "root"
anmeldet, bei einem weiteren Anmeldevorgang unter Unix-Rechner sich auch
hier Zugriff auf die "root"-Kennung verschaffen kann und somit Administrator-Rechte erhält.

SAMBA

Die Verwendung eines Primary Domänen Controller (PDC) als Passwortserver für SAMBA projiziert eventuell bestehende Sicherheitslücken von
Windows NT auf das Unix-System, da ein kompromittierter NT-Server somit
einer unberechtigten Person Zugriff auf das Unix-Filesystem ermöglichen
kann.

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Januar 2000

G 2.24
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.24

Vertraulichkeitsverlust schutzbedürftiger Daten
des zu schützenden Netzes

Bei einem nicht durch eine Firewall geschützten Netz, das mit einem externen
Netz wie dem Internet gekoppelt ist, können aus dem externen Netz verschiedene Daten des internen Netzes wie z. B. Mailadressen, IP-Nummern, Rechnernamen und Benutzernamen abgerufen werden. Dadurch lassen sich Rückschlüsse auf die interne Netzstruktur und dessen Anwender ziehen. Je mehr
Informationen ein Angreifer über potentielle Angriffsziele hat, desto mehr
Angriffsmöglichkeiten hat er. Wenn ein Angreifer z. B. Benutzernamen eines
IT-Systems kennt, kann er versuchen, die zugehörigen Passwörter zu erraten
oder über Wörterbuchattacken herauszufinden (siehe auch G 5.18 Systematisches Ausprobieren von Passwörtern).

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.25
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.25

Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-PeerFunktionalitäten

Wird eines der Betriebssysteme WfW, Windows 95 oder Windows NT in
einem servergestützten PC-Netz als Benutzeroberfläche eingesetzt, können
einzelne Peer-to-Peer-Funktionalitäten die Übertragungsbandbreite im
servergestützten Netz einschränken, da dasselbe physikalische Medium
beansprucht wird. Beispielsweise erfolgen Zugriffe auf Dateien des Servers
mit erheblichen Verzögerungen, wenn gleichzeitig über die Peer-to-PeerFunktionen große Dateien von PC zu PC kopiert werden.
Ein PC kann in einem Peer-to-Peer-Netz als "Server", d. h. als Applikationsoder Dateianbieter für andere Rechner, eingesetzt werden. Dabei wird er durch
die zu verwaltenden Peer-to-Peer-Funktionalitäten erheblich belastet, wodurch
die lokale Bearbeitungsgeschwindigkeit deutlich abnimmt.

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.26
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.26

Fehlendes oder unzureichendes Test- und
Freigabeverfahren

Wird neue Hard- oder Software nicht oder nur unzureichend getestet und ohne
Installationsvorschriften freigegeben, kann es passieren, daß Fehler in der
Hard- oder Software nicht erkannt werden oder daß die notwendigerweise
einzuhaltenden Installationsparameter nicht erkannt bzw. nicht beachtet
werden. Diese Hardware-, Software- oder Installationsfehler, die aus einem
fehlenden oder unzureichenden Software-Test- und Freigabeverfahren resultieren, stellen eine erhebliche Gefährdung für den IT-Betrieb dar.
Im Vertrauen auf eine problemlose Installation neuer Hard- bzw. Software
wird oftmals übersehen, daß mögliche Schäden in keinem Verhältnis zu dem
Aufwand stehen, den ein geordnetes Test- und Freigabeverfahren erfordert.
Programme oder IT-Systeme werden unzureichend getestet und mit Fehlern in
eine Produktionsumgebung eingebracht. Die Fehler wirken sich in der Folge
störend auf den bis zu diesem Zeitpunkt problemlosen Betrieb aus.
Beispiele für solche Schäden werden nachfolgend aufgezeigt:
- Programme oder Programm-Updates lassen sich nicht sinnvoll nutzen, da
für ein annehmbares Verarbeitungstempo mehr Ressourcen (z. B. Hauptspeicher, Prozessorkapazität) als erwartet benötigt werden. Wird dies nicht
im Test erkannt, kann dies zu erheblichen Fehl- oder Folgeinvestitionen
führen. Nicht selten führten Entscheidungen gegen weitere Investitionen
dazu, daß ein Softwareprodukt zwar gekauft und bezahlt, jedoch nie
benutzt wurde.
- Eingeübte Arbeitsabläufe werden nach Installation neuer Software
maßgeblich behindert. Der mit der Installation des Programms beabsichtigte Nutzen stellt sich erst bedeutend später ein, da die Mitarbeiter im
Vorfeld nicht geschult bzw. nicht über die neuen Funktionen des
Programms informiert wurden.
- Durch das Einspielen eines neuen Updates einer DBMS-Standardsoftware,
das mit Fehlern behaftet ist, steht die Datenbank nicht mehr zur Verfügung
und es kann zu einem Datenverlust kommen.

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.27
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.27

Fehlende oder unzureichende Dokumentation

Verschiedene Formen der Dokumentation können betrachtet werden: die
Produktbeschreibung, die Administrator- und Benutzerdokumentation zur
Anwendung des Produktes und die Systemdokumentation.
Eine fehlende oder unzureichende Dokumentation der eingesetzten ITKomponenten kann sowohl im Auswahl- und Entscheidungsprozeß für ein
Produkt, als auch bei einem Schadensfall im Wirkbetrieb erhebliche Auswirkungen haben.
Bei einer unzureichenden Dokumentation kann sich im Schadensfall,
beispielsweise durch den Ausfall von Hardware bzw. Fehlfunktionen von
Programmen, die Fehlerdiagnose und -behebung erheblich verzögern oder
völlig undurchführbar sein.
Beispiele:
- Wenn von einem Programm Arbeitsergebnisse in temporären Dateien
zwischengespeichert werden, ohne daß dies ausreichend dokumentiert ist,
kann dies dazu führen, daß die temporären Dateien nicht angemessen
geschützt und vertrauliche Informationen offengelegt werden. Durch
fehlenden Zugriffsschutz auf diese Dateien oder eine nicht korrekte physikalische Löschung der nur temporär genutzten Bereiche können Informationen Unbefugten zugänglich werden.
- Bei Installation eines neuen Softwareproduktes werden bestehende Konfigurationen abgeändert. Andere, bislang fehlerfrei laufende Programme sind
danach falsch parametrisiert und stürzen ggf. ab. Durch eine detaillierte
Dokumentation der Veränderung bei der Installation von Software ließe
sich der Fehler schnell lokalisieren und beheben.

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.28
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.28

Verstöße gegen das Urheberrecht

Der Einsatz nichtlizenzierter Software kann einen Verstoß gegen das Urheberrecht darstellen und sowohl zu zivil- als auch strafrechtlichen Konsequenzen
führen.
Behörden und Unternehmen, in denen Raubkopien zum Einsatz kommen,
können im Rahmen des Organisationsverschuldens, unabhängig von der
Schuldform (Vorsatz oder Fahrlässigkeit) vom Urheberrechtseigentümer
schadensersatzpflichtig gemacht werden.
Beispiel:
In einem Unternehmen wurde eine große Anzahl Benutzeroberflächen eingesetzt, ohne daß die hierfür erforderlichen Lizenzen erworben wurden. Die
Kosten für die erforderliche Nachlizenzierung sowie den Schadensersatz an
den Urheberrechtseigentümer beliefen sich auf ein Vielfaches der
Lizenzgebühren.

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.29
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.29

Softwaretest mit Produktionsdaten

Vielfach ist zu beobachten, daß Softwaretests mit Produktionsdaten vollzogen
werden. Als wesentliche Gründe werden hierfür angeführt, daß nur im
direkten Vergleich mit vorhandenen Arbeitsergebnissen eine abschließende
Beurteilung über die Funktion und Performance des Produktes möglich ist.
Darüber hinaus sind mangelndes Sicherheitsbewußtsein, überzogenes
Vertrauen in die zu testende Software und Unkenntnis über mögliche
schädliche Auswirkungen ursächlich für diese Vorgehensweise.
Beim Test mit Produktionsdaten kann es zu folgenden Problemen kommen:
- Software wird mit Kopien
Testumgebung getestet:

von

Produktionsdaten

in

isolierter

Wenn neue Software mit nicht anonymisierten Daten getestet wird,
erhalten evtl. nicht befugte Mitarbeiter, bzw. Dritte, die mit dem
Softwaretest beauftragt worden sind, hierbei Einblick in Dateien mit evtl.
vertraulichen Informationen.
- Software wird mit Produktionsdaten im Wirkbetrieb getestet:
Fehlfunktionen von Software während des Testens können über den oben
geschilderten Fall hinaus beispielsweise dazu führen, daß neben der Vertraulichkeit der Produktionsdaten auch deren Integrität und Verfügbarkeit
beeinträchtigt werden.
Aufgrund der Inkompatibilität unterschiedlicher Programme können
Seiteneffekte auftreten, die bei anderen Systemkomponenten zu
nachhaltigen Beeinträchtigungen führen können. Bei vernetzten Systemen
kann das von Performanceverlusten bis hin zum Systemabsturz des Netzes
reichen.
Durch fehlerhaftes Verhalten der zu testenden Software oder Bedienfehler
können Produktionsdaten ungewollt verändert werden. Möglicherweise
wird diese Veränderung nicht festgestellt. Da Datenbestände, um unnötige
Redundanz zu vermeiden, zunehmend durch unterschiedliche Programme
gemeinsam genutzt werden, können sich diese Fehler auch auf andere ITAnwendungen auswirken. Im Schadensfall ist nicht nur der Aufwand für
die Rekonstruktion der Daten notwendig, darüber hinaus müssen bereits
erstellte Arbeitsergebnisse auf ihre Integrität überprüft werden.

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.30
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.30

Unzureichende Domänenplanung

Eine unzureichende Planung der Domänen und ihrer Vertrauensbeziehungen
in einem Windows NT Netz kann dazu führen, daß Vertrauensbeziehungen zu
Domänen bestehen, die nicht als vertrauenswürdig zu betrachten sind. Damit
ist es Benutzern der betreffenden Domänen unter Umständen möglich, auf
Ressourcen der vertrauenden Domäne zuzugreifen, ohne daß dies dort beabsichtigt ist oder auch nur erkannt wird. Dies kann insbesondere dann
geschehen, wenn die Zugriffsrechte der vertrauenden Domäne in der
Annahme, daß keine andere Domäne auf die lokalen Ressourcen zugreift,
relativ weitgehend festgesetzt wurden.
Umgekehrt können fehlende Vertrauensbeziehungen zwischen Domänen dazu
führen, daß sich Benutzer unnötigerweise explizit bei fremden Domänen
authentisieren müssen, was bei mangelnder Koordination der Paßwörter zwischen diesen Domänen zu Verwirrung führt. Der Benutzer muß sich dann eine
Vielzahl von Paßwörtern merken, was zu einer Beeinträchtigung der
Sicherheit führen kann, wenn er sich die Paßwörter aufschreibt.

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.31
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.31

Unzureichender Schutz des Windows NT
Systems

Windows NT wird mit sehr weitgehenden Zugriffsrechten auf das Dateisystem und auf die Registrierung ausgeliefert. Wenn diese Zugriffsrechte nicht
nach der Installation entsprechend den lokalen Sicherheitsanforderungen
strikter eingestellt werden, besitzt effektiv jeder Benutzer Zugriff auf alle
Dateien und auf die gesamte Registrierung, d.h. der Zugriffsschutz ist de facto
ausgeschaltet.
Weiterhin ist Windows NT nicht in der Lage, den Zugriff auf Disketten- und
CD-ROM-Laufwerke sowie auf Bänder zu kontrollieren, so daß hier eine
Möglichkeit zu unzulässigem Datenimport und -export besteht, wenn nicht
durch zusätzliche Maßnahmen der Zugriff auf diese Datenträger eingeschränkt
oder zumindest auf organisatorischer Ebene kontrolliert wird.

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.32
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.32

Unzureichende Leitungskapazitäten

Bei der Planung von Netzen wird oft der Fehler begangen, die Kapazitätsauslegung ausschließlich am aktuellen Bedarf vorzunehmen. Dabei wird
übersehen, daß die Kapazitätsanforderungen an das Netz stetig steigen, z. B.
wenn neue IT-Systeme in das Netz integriert werden oder das übertragene
Datenvolumen zunimmt.
Wenn die Kapazität des Netzes nicht mehr ausreicht, wird die Übertragungsgeschwindigkeit und ggf. auch die Erreichbarkeit im Netz für alle Benutzer
stark eingeschränkt. Beispielsweise werden Dateizugriffe auf entfernten ITSystemen erheblich verzögert, wenn gleichzeitig das Netz von anderen
Benutzern stark in Anspruch genommen wird, wie durch das Verschieben von
großen Dateien von einem IT-System zum anderen.
Beispiel:
Eine verteilte Organisation baut für die Datenkommunikation ein Netz über
ISDN-So-Verbindungen auf. Nach Einführung eines graphisch orientierten,
firmeneigenen Intranet kommt die Datenkommunikation fast zum Stillstand.
Erst das Umstellen auf S2M-Übertragungswege schafft die nötige Übertragungskapazität.

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.33
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.33

Nicht gesicherter Aufstellungsort von Novell
Netware Servern

Die Aufstellung von Novell Netware Servern in einer nicht gesicherten Umgebung (z. B. Flure, nicht verschlossene Serverräume) stellt eine erhebliche
Gefährdung für die IT-Sicherheit dar.
Direkte Eingaben an der Server-Konsole bzw. das Laden von NLMs (Netware
Loadable Modules) am Server können dazu führen, daß die installierten
Sicherheitsmechanismen außer Kraft gesetzt werden, ohne daß dieser
Umstand dem Administrationspersonal bzw. dem IT-Sicherheitsmanagement
bekannt wird.
Beispiel:
Durch das Laden spezieller NLMs ist es möglich, einen Supervisor-äquivalenten Benutzer zu generieren bzw. einen existierenden Benutzer mit Supervisoräquivalenten Rechten zu versehen.

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.34
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.34

Fehlende oder unzureichende Aktivierung von
Novell Netware Sicherheitsmechanismen

Das Netzbetriebssystem Novell Netware verfügt über eine Sammlung an
Sicherheitsmechanismen, die den unerlaubten Zugriff auf Dateien des Servers
abwehren.
Diese Sicherheitsmechanismen werden jedoch nicht automatisch aktiviert,
sondern müssen durch die Systemadministration nach dem erstmaligen Start
des Servers eingerichtet werden.
Werden die Sicherheitsmechanismen eines Novell Netware Servers nicht oder
nur unzureichend installiert, so kann der unerlaubte Zugriff auf schützenswerte Dateien entscheidend erleichtert werden.

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.35
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.35

Fehlende Protokollierung unter Windows 95

Auf einem nicht vernetzten Windows 95-Rechner gibt es keine Möglichkeit,
die Aktivitäten eines oder mehrerer Benutzer benutzerspezifisch zu
protokollieren. Es ist daher nicht festzustellen, ob Sicherheitsverletzungen im
IT-System stattgefunden haben oder ob ein solcher Versuch unternommen
wurde.

Hinweis:
Der Inhalt dieser Gefährdung wurde in G 2.22 Fehlende Auswertung von
Protokolldaten integriert und wird in der Version 1999 des ITGrundschutzhandbuches in keinem Baustein mehr benutzt.

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.36
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.36

Ungeeignete Einschränkung der Benutzerumgebung

Verschiedene Betriebssysteme (z. B. Windows 95, Windows NT) und PCSicherheitsprodukte bieten die Möglichkeit, die Benutzerumgebung individuell für jeden Benutzer einzuschränken. Dabei bestehen prinzipiell zwei
Möglichkeiten:
1. Bestimmte Funktionalitäten werden erlaubt, alle anderen sind verboten.
2. Bestimmte Funktionalitäten werden verboten, alle anderen sind erlaubt.
In beiden Fällen besteht die Möglichkeit, den Benutzer derart einzuschränken,
daß dieser wesentliche Funktionen nicht mehr ausführen kann oder daß sogar
ein sinnvolles und effizientes Arbeiten mit dem PC nicht mehr möglich ist.

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.37
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.37

Unkontrollierter Aufbau von Kommunikationsverbindungen

Beim Einsatz von Kommunikationskarten innerhalb eines IT-Systems (Fax-,
Modem- oder ISDN-Karten) ist für den Benutzer nicht immer offensichtlich,
was außer seinen Nutz- und Protokollinformationen zusätzlich übertragen
wird. Nach Aktivierung einer Kommunikationskarte ist es grundsätzlich
möglich, daß diese, ohne Initiierung durch den Benutzer, Verbindungen zu
einer nicht gewünschten Gegenstelle aufbaut oder durch Dritte über dem
Benutzer nicht bekannte Remote-Funktionalitäten angesprochen wird.
Beispiele:
- Bei der erstmaligen Konfiguration einer Faxkarte wurde der Benutzer vom
Installationsprogramm nach der Landesvorwahl von Schweden gefragt. Zu
vermuten ist, daß der Kartenhersteller über den Einsatz seines Produkts,
evtl. aus Gründen des Produkt-Marketings, informiert werden wollte.
- Eine große Anzahl von Modemkarten unterstützt den ferngesteuerten
Zugriff auf IT-Systeme. Zwar lassen sich diese Zugriffe über teilweise
sogar auf den Karten integrierte Mechanismen (Callback-Option und
Rufnummernauthentisierung) absichern, voreingestellt ist dies jedoch
nicht. Ein so konfiguriertes IT-System läßt sich von außen über die
Modemkarte vollständig manipulieren.

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.38
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.38

Fehlende oder unzureichende Aktivierung von
Datenbank-Sicherheitsmechanismen

Jede Datenbank-Standardsoftware stellt in der Regel eine Reihe von Sicherheitsmechanismen bereit, mittels derer die Daten vor unberechtigtem Zugriff
o. ä. geschützt werden können. Sie sind jedoch nicht unbedingt automatisch
aktiv, sondern müssen vom Datenbank-Administrator meistens manuell eingeschaltet werden. Wird davon kein Gebrauch gemacht, so kann weder die Vertraulichkeit noch die Integrität der Daten gewährleistet werden. In diesem Fall
ist es dann meistens nicht möglich, solche Schutzverletzungen zu erkennen
und zu protokollieren. Der Verlust bzw. die Manipulation von Daten bis hin
zur Zerstörung der Datenbank selbst kann die Folge sein.
Beispiel:
Bei der Datenbank MS Access ist die Aktivierung des Paßwortschutzes optional. Hierdurch kann es auf einfache Weise zu einem unberechtigten Zugang
zum Datenbanksystem und damit auch zu einem unberechtigten Zugriff auf
die dort gespeicherten Daten kommen. Eine Kontrolle der Datenbanknutzung
ist in diesem Fall nicht möglich.

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.39
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.39

Komplexität eines DBMS

Die Auswahl und der Einsatz einer Datenbank-Standardsoftware erfordert
sorgfältige Planung, Installation und Konfiguration des Datenbank-Managementsystems (DBMS), um einen störungsfreien Einsatz zu gewährleisten. Die
Vielzahl möglicher Gefährdungen sollen durch die nachfolgenden Beispiele
verdeutlicht werden.
Auswahl einer ungeeigneten Datenbank-Standardsoftware
- Es wird ein DBMS ausgewählt, welches in der geplanten Einsatzumgebung
nicht lauffähig ist. Dies kann daraus resultieren, daß das DBMS an ein
bestimmtes Betriebssystem gebunden ist oder die Mindestanforderungen
an die Hardware nicht erfüllt werden.
- Das ausgewählte DBMS stellt ein Sicherheitsrisiko dar, weil die vom Hersteller zur Verfügung gestellten Sicherheitsmechanismen nicht ausreichen,
um die geforderte Verfügbarkeit, Integrität und Vertraulichkeit der Daten
zu gewährleisten.
Fehlerhafte Installation
Standardsoftware

bzw.

Konfiguration

der

Datenbank-

- Es können sich weitere Gefährdungen ergeben, wenn die vom Hersteller
empfohlenen Sicherheitsmaßnahmen falsch oder gar nicht durchgeführt
werden.
Beispiel: Die Kontrolldateien eines Datenbanksystems werden nicht
gespiegelt bzw. die gespiegelte Kontrolldatei wird nicht auf einer anderen
Festplatte abgelegt. Ein Plattencrash führt dabei unweigerlich zur
Zerstörung der Datenbank.
- Die physischeVerteilung der Daten ist unzureichend (falls das DBMS eine
physikalische Verteilung vorsieht).
Beispiel: In einer Oracle-Datenbank gibt es eine maximal zulässige Anzahl
Dateien pro Tablespace. Werden nun alle Daten im System-Tablespace
verwaltet, so können keine Dateien mehr hinzugefügt werden, wenn diese
maximale Anzahl erreicht ist. Da im System-Tablespace auch das Data
Dictionary abgelegt ist, kann dieses Problem nur über eine komplette NeuInstallation der Datenbank behoben werden.
- Durch falsche Parametereinstellungen kann der Zugriff auf bestimmte
Daten verhindert werden.
Beispiel: Durch eine falsche Ländereinstellung in einer DatenbankSoftware kann die Darstellung von Umlauten unmöglich gemacht werden.
Fehlerhafte Konzeption der Datenbank
- Fehlende Relationen zwischen einzelnen Tabellen können zu einem
Verlust der Datenkonsistenz bzw. der Datenbankintegrität führen.
- Werden anwendungsspezifische Daten nicht physikalisch voneinander
getrennt gespeichert, kann ein Ausfall einer einzigen Festplatte zu einem
Komplettausfall aller Anwendungen führen.

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.39
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

- Werden keine Datenbanktrigger oder Stored Procedures eingesetzt, kann
es zu Inkonsistenzen der Daten kommen, wenn die Anwendung dies nicht
selbst berücksichtigt.
- Durch eine mangelhafte Konzeption des Einsatzes von Datenbanktriggern
und Stored Procedures kann es zu einem Verlust der Datenintegrität oder
unkontrollierten Datenmanipulationen kommen.

_____________________________________________________________________ ..........................................
40

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.40
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.40

Komplexität des Datenbankzugangs/-zugriffs

Die Benutzer greifen über ein Datenbankmanagementsystem (DBMS) auf eine
oder mehrere Datenbanken zu. Dabei können sie dies direkt tun oder aber von
einer Anwendung aus. Um die Integrität einer Datenbank zu gewährleisten,
müssen alle Datenbankzugriffe von einer zentralen Stelle aus kontrolliert werden. Aufgrund der Komplexität solcher Zugriffe können die folgenden
Probleme entstehen.
Fehlerhafte Konzeption der Benutzerumgebung
- Ist der Berechtigungsumfang für die Benutzer zu restriktiv definiert, kann
dies dazu führen, daß sie bestimmte Arbeiten nicht durchführen können.
- Ist der Berechtigungsumfang für die Benutzer dagegen zu umfangreich,
kann dies dazu führen, daß Daten unberechtigt manipuliert bzw. eingesehen werden können. Dadurch werden die Integrität und Vertraulichkeit
der Datenbank verletzt.
- Wird es den Benutzern erlaubt, direkt auf die Datenbank zuzugreifen (im
Gegensatz zum Zugriff aus einer Anwendung heraus), so besteht das
Risiko des Integritätsverlustes der Datenbank durch Datenmanipulationen,
deren Auswirkungen die Benutzer nicht abschätzen können.
- Werden Datenbankobjekte von den darauf zugreifenden Anwendungen
nicht explizit durch ein entsprechendes Berechtigungs- und Zugriffskonzept geschützt, so besteht das Risiko, daß die Datenbankobjekte selbst
manipuliert werden (Manipulation von Feldern einer Tabelle, Manipulation
von Tabellen-Indizes etc.). Dies kann zur Zerstörung der Datenbank
führen.
Remote-Zugriff auf Datenbanken
- Wird die Datenbank in einem Netz zur Verfügung gestellt, so können
durch mangelnde Sicherheitsvorkehrungen im Bereich des RemoteZugriffs auf die Datenbank sowohl Daten manipuliert als auch unberechtigt
eingesehen werden. Auch dies verletzt die Integrität und Vertraulichkeit
der Datenbank.
Datenbankabfragen
- Die Menge aller möglichen Datenbankabfragen muß für jeden Benutzer
eingeschränkt sein bzw. bestimmte Abfragen müssen explizit verboten
werden. Ist dies nicht der Fall, kann dies (insbesondere bei statistischen
Datenbanken) zum Verlust der Vertraulichkeit schutzbedürftiger Daten
führen.
- Werden Datenbankabfragen innerhalb einer Anwendung nicht gemäß des
SQL-Standards formuliert, so kann dies dazu führen, daß sie vom DBMS
nicht bearbeitet werden können und zurückgewiesen werden (insbesondere
beim Einsatz von DBMS'en verschiedener Hersteller).
- Bei der Verwendung von nicht exakt formulierten Datenbankabfragen kann
dies dazu führen, daß durch eine Änderung der Datenbankobjekte die
Datenbankabfrage plötzlich falsche oder unerwartete Ergebnisse liefert.

_____________________________________________________________________ ..........................................
41

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.40
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

Beispiel: Die Abfrage "SELECT * FROM Tabelle" liefert alle Attribute
bzw. Felder eines Tupels bzw. Datensatzes. Wird nun ein Feld in der
Tabelle hinzugefügt oder gelöscht, so hat dies u. U. fatale Auswirkungen
auf eine Anwendung, in der eine solche Datenbankabfrage benutzt wird.

_____________________________________________________________________ ..........................................
42

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.41
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.41

Mangelhafte Organisation des Wechsels von
Datenbank-Benutzern

Teilen sich mehrere Benutzer einer Datenbank den gleichen Arbeitsplatz, so
besteht die Gefahr von ungewollten oder gezielten Datenmanipulationen,
wenn der Wechsel zwischen den Benutzern nicht organisiert ist bzw. der
Wechsel nicht ordnungsgemäß durchgeführt wird. Auch ist dann die
Vertraulichkeit der Daten nicht mehr gewährleistet.
Beispiel:
Wird eine Anwendung, die auf eine Datenbank zugreift, vor einem Benutzerwechsel nicht ordnungsgemäß verlassen, so führen die unterschiedlichen
Berechtigungsprofile der betroffenen Benutzer zu den o. g. Gefährdungen.
Auch wird dabei der Protokollmechanismus der Datenbank unterlaufen, da
dieser die Datenmodifikationen und Aktivitäten der aktiven Benutzerkennung
festhält. Diese Kennung stimmt aber in einem solchen Fall nicht mit dem tatsächlichen Benutzer überein.

_____________________________________________________________________ ..........................................
43

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.42
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.42

Komplexität der NDS

Die Netware Verzeichnisdienste NDS (Netware Directory Services) ermöglichen das Einrichten einer gemeinsamen, dezentralen Verzeichnisdatenbank
aller logischen und physischen Ressourcen in einem Netz. Jede Netzressource
wird durch einen eindeutigen Eintrag in dieser Datenbank repräsentiert, wobei
es keine Rolle spielt, wo sich die Ressourcen tatsächlich befinden. Der
Zugang zum Netz bzw. der Zugriff auf eine Netzressource erfolgt dabei,
anders als bei Novell Netware 3.x, nicht über einen bestimmten Netware 4.x
Server, sondern über den Verzeichnisdienst des Novell Netzes (siehe M 2.151
Entwurf eines NDS-Konzeptes).
Die NDS ist die zentrale Komponente der Ressourcenverwaltung von Novell
Netware 4.x und die Anforderungen an deren korrekte Funktionsweise sind
entsprechend hoch. Aufgrund der komplexen Administrationsmöglichkeiten
kann es zum Verlust der Verfügbarkeit, Vertraulichkeit sowie Integrität und
dabei beispielswiese zu folgenden konkreten Gefährdungen kommen:
- Der Zugang eines Benutzers zum Netz erfolgt über die Authentisierung
gegenüber der NDS. Diese Anmeldung findet am nächstgelegenen Netware 4-Server statt, der die Master-Partition des Verzeichnisbaums oder
eine Kopie davon gespeichert hat. Existieren zu wenige Kopien im Netz,
müssen sich alle Benutzer an den gleichen Servern beglaubigen. Jeder
Anmeldevorgang bedeutet zusätzliche Serverbelastung und zusätzliche
Netzlast. Dies kann zu längeren Wartezeiten bei der Anmeldung führen
sowie die Verfügbarkeit beeinträchtigen.
Werden keine Kopien der Master-Partition auf weiteren Netware 4-Servern
angelegt, ist eine Anmeldung am Netz bei einem Fehler in der NDS-Datenbank nicht mehr möglich.
- Werden beim Entwurf des Verzeichnisbaumes zu viele Organisationen und
Unterorganisationen ineinander verschachtelt, erhöht sich der
Administrationsaufwand erheblich. Außerdem wird dann das Auffinden
von Netzressourcen für die Administratoren und die Benutzer
unübersichtlich.
- Wenn in einem WAN-Verbund nicht an jedem Standort eine Reproduktion
der zugehörigen Partitions des Standortes gespeichert wird, ist eine Anmeldung am Netz bei einem Ausfall des WANs für die betroffenen Standorte
nicht mehr möglich.
- Werden zuviele Reproduktionen einer Partition in einem WAN-Verbund
eingerichtet, entsteht sehr hoher Netzverkehr im WAN, da bei jeder
Anmeldung das Anmeldedatum des Benutzers in allen Reproduktionen
geändert werden muß.
- In den verschiedenen Versionen und Patchleveln von Novell Netware Version 4 kann auch das Modul DS.NLM verschiedene Versionen
aufweisen. Diese Information wird jedoch von den Netware 4-Servern
genutzt, um Änderungswünsche an der NDS-Datenbank zu filtern. Dies
kann u. U. dazu führen, daß sich die Netware 4-Server untereinander nicht
über die Änderungen an der NDS informieren können, so daß es dort zu
Inkonsistenzen kommt.

_____________________________________________________________________ ..........................................
44

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.43
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.43

Migration von Novell Netware 3.x nach Novell
Netware Version 4

Sind in einem Netz sowohl Netware 3.x als auch Netware 4.x Server vorhanden, so können prinzipiell zwei Szenarien unterschieden werden:
- die Netware 3.x Server wurden migriert und damit in die NDS integriert
- Netware 3.x und Netware 4.x Server arbeiten im Parallelbetrieb
In diesem Zusammenhang sind die folgenden konkreten Gefährdungen zu
beachten:
- Bei einer Migration eines Netware 3.x Servers wird ein Großteil seiner
NLMs ersetzt, so daß er vom Netware-Administrator über einen Netware 4.x Server kontrolliert werden kann. Ein solcher migrierter Netware 3.x Server kann ohne aufwendige Maßnahmen nicht mehr von seinem
zuständigen Netware 4.x Server getrennt werden, um wieder als eigenständiger Netware 3.x Server im Netz fungieren zu können.
- Wird nach der Migration eines Netware 3.x Servers keine Bindery Emulation auf dem Netware 4.x Server aktiviert, können sich Benutzer mit der
alten Client-Software nicht mehr am Netware 4 Netz anmelden.
- Werden die Netware 3.x Server getrennt als eigenständiges Netz betrieben,
entsteht ein sehr hoher administrativer Aufwand, da dann die Benutzer
weiterhin an allen Netware 3.x Servern einzeln und zusätzlich in der NDS
verwaltet werden müssen.

_____________________________________________________________________ ..........................................
45

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.44
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.44

Inkompatible aktive und passive Netzkomponenten

Durch inkompatible aktive Netzkomponenten können Probleme verursacht
werden, die im Umfeld nicht oder noch nicht vollständig standardisierter
Kommunikationsverfahren auftreten, wie z. B. ATM oder Tag-Switching. Um
das betreffende Kommunikationsverfahren nutzen zu können, sind die
Hersteller aufgrund der fehlenden oder nur teilweise vorhandenen Standards
gezwungen, proprietäre Implementierungen einzusetzen.
Inkompatibilitätsprobleme dieser Art können entstehen, wenn bestehende
Netze um aktive Netzkomponenten anderer Hersteller ergänzt werden oder
wenn Netze mit Netzkomponenten unterschiedlicher Hersteller aufgebaut
werden.
Werden aktive Netzkomponenten mit unterschiedlichen Implementierungen
des gleichen Kommunikationsverfahrens gemeinsam in einem Netz betrieben,
kann es zu einem Verlust der Verfügbarkeit des gesamten Netzes, von einzelnen Teilbereichen oder bestimmter Dienste kommen. Zwei Fälle können je
nach Art der Inkompatibilität unterschieden werden:
- Durch nicht interoperable Implementierungen eines Kommunikationsverfahrens kann über die zugehörigen Komponenten hinweg keine
Kommunikation erfolgen.
Beispiel: ATM-Komponenten können unterschiedliche Signalisierungsprotokolle verwenden, z. B. gemäß UNI (User Network Interface) Version 3.0
und UNI Version 3.1, die nicht interoperabel zueinander sind.
- Auch auf aktiven Netzkomponenten, die prinzipiell interoperabel sind,
können spezifische Dienste unterschiedlich implementiert sein. Dies hat
zur Folge, daß die betreffenden Dienste nicht oder nicht netzweit zur Verfügung stehen, obwohl eine Kommunikation über diese Komponenten
hinweg möglich ist.
Beispiel: Es existieren proprietäre Implementierungen redundanter LAN
Emulation Server für ATM-Netze. Besteht ein ATM-Netz z. B. aus zwei
ATM-Switches, von denen ein Switch über eine solche proprietäre Implementierung verfügt und der andere nicht, kann zwar eine Kommunikation
via LANE (LAN Emulation) erfolgen, der proprietär implementierte Dienst
jedoch nicht genutzt werden.
Aber auch die Kombination von inkompatiblen passiven Netzkomponenten
kann die Verfügbarkeit eines Netzes gefährden. So existieren für TwistedPair-Kabel Ausführungen in 100 und 150 Ohm, die nicht ohne einen entsprechenden Umsetzer zusammen verwendet werden dürfen. Eine ungeeignete
Kombination von aktiven und passiven Netzkomponenten kann die
Verfügbarkeit ebenfalls beeinträchtigen, wenn beispielsweise ein Netzzugangsprotokoll auf einem nicht hierfür definierten Medium betrieben wird.
Beispielsweise läßt sich ATM nicht über ein 50 Ohm Koaxialkabel betreiben.

_____________________________________________________________________ ..........................................
46

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.45
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.45

Konzeptionelle Schwächen des Netzes

Die Planung des Auf- und Ausbaus eines Netzes ist ein kritischer
Erfolgsfaktor für den Netzbetrieb. Insbesondere bei den immer kürzer
werdenden Innovationszyklen in der IT können sich Netze, die auf Grund
ihrer Konzeption nicht neuen Erfordernissen angepaßt werden können, schnell
zu einem Engpaß entwickeln:
- Abhängig von einer Anforderungsermittlung von Netzteilnehmern (z. B.
Arbeitsgruppen) an die Vertraulichkeit der Daten und die Integrität des
Netzes muß das Netz entsprechend konzipiert worden sein. Ansonsten
können vertrauliche Daten einer Arbeitsgruppe von anderen, hierzu
unbefugten Netzteilnehmern mitgelesen werden. Unter diesem Aspekt
kann
die
Vertraulichkeit
auch
durch
den
Umzug
von
Arbeitsgruppenteilnehmern oder der ganzen Arbeitsgruppe verloren gehen,
wenn es nicht möglich ist, im Netz neue vertrauliche Bereiche einzurichten
bzw. zu ändern. Diese Gefährdung betrifft analog die Integrität des Netzes
bzw. die Integrität von Netzsegmenten.
Beispiel: Für eine Arbeitsgruppe mit besonderen Anforderungen an Vertraulichkeit und Integrität ihrer Daten wurde ein eigenes Teilnetz
eingerichtet, welches durch einen Router abgetrennt ist. Dieses Segment ist
durch die Kabelführung auf ein Gebäude beschränkt. Nach einem Umzug
mehrerer Mitglieder dieser Arbeitsgruppe in andere Gebäude müssen diese
über das normale Produktivnetz miteinander kommunizieren. Die
Vertraulichkeit und auch die Integrität der Daten kann nicht mehr
gewährleistet werden.
- Werden neue Anwendungen mit einem höheren als zum Planungszeitpunkt
berücksichtigten Bandbreitenbedarf auf dem Netz betrieben, kann dies
schnell zu einem Verlust der Verfügbarkeit des gesamten Netzes führen,
wenn die Netzinfrastruktur in Folge konzeptioneller Schwächen nicht mehr
ausreichend skaliert werden kann (Verlust der Verfügbarkeit durch Überlastung). Abhängig von der gewählten Segmentierung des Netzes kann der
Verlust der Verfügbarkeit auch nur einzelne Segment des Netzes betreffen.
Beispiel: In den heute noch häufig vorzufindenden, bedarfsorientiert
gewachsenen Netzen, sind aus historischen Gründen vielfach BackboneSegmente mit niedriger maximaler Bandbreite, wie z. B. Token-Ring- oder
Ethernet-Segmente, vorhanden. Durch diese Beschränkung der Geschwindigkeit im Backbone-Bereich ist bei hoher zusätzlicher Last die Verfügbarkeit des gesamten Netzes betroffen.
- Netze, die ausschließlich zum Anschluß proprietärer Systeme geeignet
sind, können ebenfalls einen Verlust der Verfügbarkeit bedingen, wenn
hierfür ungeeignete Systeme an das Netz angeschaltet werden (Verlust der
Verfügbarkeit durch nicht interoperable Netzkomponenten).
Beispiel:
Nicht
systemneutrale
Netze
sind
vorrangig
im
Großrechnerumfeld zur Vernetzung der Großrechner mit den zugehörigen
Terminals anzutreffen. Häufig sind dies Netze, die für den Terminal- oder
Druckerbetrieb installiert wurden und nicht für den Betrieb von anderen
Architekturen (z. B. Ethernet) geeignet sind. Dies betrifft sowohl die

_____________________________________________________________________ ..........................................
47

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.45
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

eingesetzte Verkabelung als auch die aktiven Netzkomponenten. Wird
dennoch versucht, wird das proprietäre Netz im allgemeinen nicht mehr
verfügbar sein. Eine Möglichkeit zur Integration zweier Architekturen
kann u. U. die Kopplung über ein Gateway darstellen.
- Beim Einsatz von aktiven Netzkomponenten, die nicht für den Einsatz
bestimmter Protokolle vorgesehen sind, können ggf. zusätzlich
erforderliche Dienste oder Protokolle nicht verwendet werden.
Beispiel: In einem Netz, welches ausschließlich mit aktiven
Netzkomponenten aufgebaut ist, die nur IP-Routing oder IP-Switching
unterstützen, kann kein Novell Netware-Netzbetriebssystem auf der Basis
von SPX/IPX betrieben werden.
- Beim Einsatz von passiven Netzkomponenten, die eine Einschränkung der
auf ihnen zu betreibenden Netzzugangsprotokollen mit sich bringen, kann
das Netz in Zukunft u. U. nicht mehr skaliert werden.
Beispiel: In einem Netz, welches ausschließlich mit 50 Ohm Koaxialkabel
aufgebaut ist, kann kein ATM benutzt werden. An Netzen, die mit 150
Ohm Twisted-Pair-Kabeln aufgebaut sind, können keine 100 Ohm
Ethernet-Komponenten betrieben werden. Die Folge der o. a., zum Teil
historisch bedingten konzeptionellen Schwächen, sind kostenintensive
Veränderungen der Netzinfrastruktur.
Netze können zwar anwendungs-, system- und dienstneutral ausgeführt sein,
aber durch eine sehr heterogene Komponentenlandschaft einen Betreuungsaufwand erfordern, der durch das Betriebspersonal nicht mehr geleistet werden
kann. Dies kann zu einem Verlust der Verfügbarkeit des Netzes führen, wenn
Störungen oder Ausfälle passiver oder aktiver Netzkomponenten aufgrund
mangelnder personeller Ressourcen nicht mehr schnell genug beseitigt werden
können.

_____________________________________________________________________ ..........................................
48

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.46
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.46

Überschreiten der zulässigen Kabel- bzw. Buslänge oder der Ringgröße

Je nach Kabeltyp, Topologie und Übertragungsverfahren sehen die
betreffenden Standards maximale Kabel- bzw. Buslängen sowie maximale
Ringgrößen vor, um die Funktionsfähigkeit des Netzes im Sinne dieses
Standards zu garantieren. Überhöhte Kabellängen wie auch überhöhte Busoder Ringlängen verlängern die Signallaufzeiten über das für das betreffende
Übertragungsverfahren vorgesehene Maß hinaus, so daß die Verfügbarkeit des
jeweiligen Netzsegments oder die Kommunikationsbandbreite herabgesetzt
wird.
Die auftretenden Phänomene sind vom Zugriffsverfahren abhängig:
- Bei Netzsegmenten, auf denen das Zugriffsverfahren CSMA/CD (Carrier
Sense Multiple Access/Collision Detection) verwendet wird, greifen alle
Endgeräte gleichberechtigt zu, obwohl das Medium jeweils nur exklusiv
durch ein Endgerät genutzt werden kann. Hierzu prüft jedes Endgerät zunächst, ob das Medium für die Benutzung zur Verfügung steht (Carrier
Sense). Ist dies der Fall, beginnt das betreffende Endgerät mit der Übertragung. Geschieht dies durch mehrere Endgeräte gleichzeitig (Multiple
Access), kommt es zu einer Kollision, die von den sendenden Endgeräten
erkannt wird (Collision Detection) und zu einer erneuten Prüfung des Mediums mit anschließender Wiederholung der Übertragung führt.
Wird die maximal definierte Signallaufzeit auf dem Medium überschritten,
können Kollisionen ggf. im vorgesehenen Zeitintervall (Collision
Detection) nicht erkannt werden. Dies bedeutet, daß ein Endgerät bereits
begonnen hat, Daten zu übertragen, während ein anderes Endgerät das
Übertragungsmedium noch als frei betrachtet. In diesem Fall kommt es zu
sogenannten späten Kollisionen, die das betreffende Datenpaket
unbrauchbar machen und in Abhängigkeit der Länge des Datenpakets das
Medium über Gebühr blockieren. Die nutzbare Übertragungsbandbreite auf
dem Medium kann dadurch stark eingeschränkt werden. Einen Verlust von
Informationen tritt in der Regel, trotz des Verlustes von einzelnen
Datenpaketen, durch die Sicherung des Netzzugangsprotokolls nicht auf.
Beispielsweise verwenden Ethernet oder Fast Ethernet das CSMA/CD
Übertragungsverfahren.
- Übertragungsverfahren, die auf dem Token-Passing-Verfahren basieren,
verwenden ein spezielles Datenpaket (das sogenannte Token), um festzulegen, welches Endgerät das Medium belegen darf. Erhält ein Endgerät das
Token, belegt es das Medium und gibt das Token in Abhängigkeit des
implementierten Token-Passing-Verfahrens an das nächste Endgerät
weiter. Hiermit ist gewährleistet, daß das Medium immer nur durch ein
einziges Endgerät belegt wird.
Wesentlich für Netzsegmente, auf denen ein Token-Passing-Verfahren
betrieben wird, ist eine synchrone Datenübertragung mit konstanter Bitrate.
Ist das Medium belegt, werden die betreffenden Zeitintervalle für die
unterschiedlichen Bits für die Übertragung der Datenpakete genutzt, ist das
Medium frei, werden die Zeitintervalle für die Weitergabe des Tokens

_____________________________________________________________________ ..........................................
49

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.46
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

genutzt. Bei einer Überschreitung der maximal vorgesehenen
Signallaufzeit kann die für das betreffende Übertragungsverfahren
vorgesehene konstante Bitrate nicht mehr eingehalten werden, so daß die
Kommunikation zum Erliegen kommt. Beispielsweise basieren Token Ring
oder FDDI auf dem Token-Passing-Verfahren.
Neben einer Verlängerung der Signallaufzeit erhöhen längere Kabel die
Dämpfung. Bei Überschreitung der Kabellängen im Hinblick auf den
betreffenden Standard kann die Dämpfung des Kabels so groß werden, daß die
verschiedenen Signalpegel nicht mehr wie im Standard festgelegt voneinander
unterschieden werden können. Die Kommunikation über die betreffenden
Adern oder Glasfasern kann in diesem Fall nicht über die gesamte Länge
sichergestellt werden.

_____________________________________________________________________ ..........................................
50

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.47
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.47

Ungesicherter Akten- und Datenträgertransport

Werden Dokumente, Datenträger oder Akten zwischen der Institution und
anderen Stellen, zum Beispiel dem häuslichen Arbeitsplatz, transportiert,
besteht die Gefahr, daß sie
- auf dem Transportweg verloren gehen,
- auf dem Transportweg entwendet werden,
- auf dem Transportweg gelesen oder manipuliert werden und
- an einen falschen Empfänger übergeben werden.
Insbesondere wenn es sich um Unikate handelt, können Zerstörung, Vertraulichkeitsverlust oder Manipulation größere Schäden verursachen.

_____________________________________________________________________ ..........................................
51

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.48
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.48

Ungeeignete Entsorgung der Datenträger und
Dokumente am häuslichen Arbeitsplatz

Sind am häuslichen Arbeitsplatz keine geeigneten Möglichkeiten vorhanden,
um Datenträger und Dokumente geeignet zu entsorgen, können bei
unsachgemäßer Entsorgung Informationen oder Restinformationen auf den
Datenträgern von Dritten ausgelesen oder aus den Dokumenten extrahiert
werden. Der entstehende Schaden richtet sich nach dem Wert der
Informationen.

_____________________________________________________________________ ..........................................
52

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.49
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.49

Fehlende oder unzureichende Schulung der
Telearbeiter

Telearbeiter sind am häuslichen Arbeitsplatz weitestgehend auf sich allein
gestellt. Das bedeutet, daß sie sich besser mit der eingesetzten IT auskennen
müssen als ihre Kollegen in der Institution, die meist kurzfristig auf ITSystemspezialisten vor Ort zurückgreifen können. Ist der Telearbeiter nicht
ausreichend im Umgang mit der IT geschult, kann dies bei Problemen zu
erhöhten Ausfallzeiten führen, da ggf. ein IT-Betreuer aus der Institution zum
häuslichen Arbeitsplatz des Telearbeiters fahren muß, um dort die Probleme
zu beseitigen.
Beispiel:
Der Telearbeiter sollte in der Lage sein, selbstständig Sicherungskopien seiner
Daten herzustellen. Wird dem Telearbeiter ein zusätzliches Speichermedium
(z. B. Bandlaufwerk) zur Verfügung gestellt, so muß er in den Gebrauch eines
solchen eingewiesen werden.

_____________________________________________________________________ ..........................................
53

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.50
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.50

Verzögerungen durch temporär eingeschränkte
Erreichbarkeit der Telearbeiter

Üblicherweise hat ein Telearbeiter keine festen Arbeitszeiten am häuslichen
Arbeitsplatz. Lediglich feste Zeiten der Erreichbarkeit werden vereinbart. Bei
alternierender Telearbeit sind seine Arbeitszeiten zwischen häuslichem
Arbeitsplatz und dem innerbetrieblichen Arbeitsplatz verteilt. Ergibt sich
kurzfristig das Problem, daß Informationen vom Telearbeiter eingeholt oder
Informationen an den Telearbeiter übergeben werden müssen, kann es aufgrund der schwierigen Erreichbarkeit zu Verzögerungen kommen. Selbst eine
Übermittlung der Informationen über E-Mail verkürzt nicht notwendigerweise
die Reaktionszeit, da nicht sichergestellt werden kann, daß der Telearbeiter die
E-Mail zeitnah liest.

_____________________________________________________________________ ..........................................
54

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.51
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.51

Mangelhafte Einbindung des Telearbeiters in
den Informationsfluß

Da Telearbeiter nicht täglich in der Institution sind, sondern überwiegend zu
Hause arbeiten, haben sie weniger Gelegenheit, am direkten Informationsaustausch mit Vorgesetzten und Arbeitskollegen teilzuhaben. Es besteht die
Gefahr, daß sie vom betrieblichen Geschehen abgeschnitten werden und sich
dadurch auch die Identifizierung mit der Institution verringert.
Darüber hinaus ist nicht auszuschließen, daß durch einen mangelhaften Informationsfluß für IT-Sicherheit notwendige Informationen nicht ausreichend
oder nicht rechtzeitig den Telearbeiter erreichen. Beispielsweise kann die
kurzfristige Weitergabe von Computer-Viren-Meldungen erschwert sein.

_____________________________________________________________________ ..........................................
55

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.52
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.52

Erhöhte Reaktionszeiten bei IT-Systemausfall

Findet beim Telearbeiter zu Hause ein IT-Systemausfall statt, den er nicht
selbständig beheben kann oder darf, so muß entweder ein IT-Systemverantwortlicher zu ihm nach Hause kommen oder das IT-System muß zu seiner
Institution gebracht werden, damit es dort repariert werden kann. Dies nimmt
einige Zeit in Anspruch, so daß der Telearbeiter mit erhöhten Ausfallzeiten
rechnen muß. Gleiche Probleme entstehen bei Wartungsarbeiten oder bei der
Neuinstallation von Komponenten oder Software.

_____________________________________________________________________ ..........................................
56

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.53
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.53

Unzureichende Vertretungsregelungen für Telearbeit

Die Aufgaben des Telearbeiters sind in der Regel so konzipiert, daß er
weitestgehend selbständig arbeiten kann. Dies birgt die Gefahr in sich, daß es
im Krankheitsfall schwierig ist, eine entsprechende Vertretung für den
Telearbeiter bereitzustellen. Insbesondere kann es zu Problemen führen, die
erforderlichen Unterlagen oder die Daten aus dem Telearbeitsrechner für den
Vertreter bereitzustellen, wenn keine Zutrittsmöglichkeiten zum häuslichen
Arbeitsplatz des Telearbeiters bestehen.

_____________________________________________________________________ ..........................................
57

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.54
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.54

Vertraulichkeitsverlust durch Restinformationen

Bei elektronischer Datenübermittlung oder Datenträgerweitergabe passiert es
immer wieder, daß dabei auch Informationen weitergegeben werden, die die
Institution nicht verlassen sollten. Als mögliche Ursachen für die unbeabsichtigte Weitergabe von Informationen lassen sich folgende Beispiele anführen:
- Eine Datei enthält Textpassagen, die als "versteckt" oder "verborgen" formatiert sind. Solche Textpassagen können Bemerkungen enthalten, die
nicht für den Empfänger bestimmt sind.
- Dateien, die mit Standardsoftware wie Textverarbeitungsprogrammen oder
Tabellenkalkulationen erstellt worden sind, können Zusatzinformationen
über Verzeichnisstrukturen, Versionsstände, Bearbeiter, Kommentare,
Bearbeitungszeit, letztes Druckdatum, Dokumentnamen und -beschreibungen enthalten.
- Wird eine Datei auf eine Diskette kopiert, so wird der erforderliche
physikalische Speicherbereich (Block) vollständig aufgefüllt. Benötigt das
Original einen Block nicht vollständig, so wird dieser (nach dem End-OfFile Kennzeichen) mit beliebigen "Restinformationen" des IT-Systems
aufgefüllt.
- Sämtliche aktuelleren Winword-Versionen besitzen die Möglichkeit der
Schnellspeicherung von erstellten Texten. Dies führt dazu, daß nur die
Änderungen an einem Dokument gespeichert werden. Dieser Vorgang
nimmt vergleichsweise weniger Zeit in Anspruch als ein vollständiger
Speichervorgang, bei dem Winword das vollständige überarbeitete
Dokument speichert. Ein vollständiger Speichervorgang erfordert jedoch
weniger Festplattenspeicher als eine Schnellspeicherung. Der
entscheidende Nachteil ist jedoch, daß bei einer Schnellspeicherung die
Datei unter Umständen Textfragmente enthalten kann, die der Verfasser
nicht weitergeben möchte.
Beispiele:
- Ein Benutzer entdeckte durch Benutzung eines anderen Editors per Zufall,
daß die kurz vor der Versendung stehende Datei diverse URLs enthielt,
inklusive Benutzername und Paßwort für einen WWW-Server. Mit URL
(Uniform Resource Locator) wird die Adresse eines WWW-Dokuments
bezeichnet. Der Zugriff auf die WWW-Seite kann paßwortgeschützt sein.
- Eine Behörde hatte mit dem Programm Microsoft Powerpoint erstellte
Präsentationen in Dateiform an Externe weitergegeben. Später stellte sich
heraus, daß neben den Präsentationen auch Informationen über die Rechnerumgebung des Benutzers mitgeliefert worden waren, wie etwa darüber,
welche Newsgruppen ein Benutzer abonniert hat und welche News er
schon gelesen hat. Die Powerpoint-Datei enthielt u. a. folgende Einträge:
de.alt.drogen! s21718 0
de.alt.dummschwatz! s125 0

_____________________________________________________________________ ..........................................
58

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.55
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.55

Ungeordnete E-Mail-Nutzung

Bei ungeordneter Nutzung von E-Mails besteht die Gefahr, daß sensitive
Daten Unbefugten zur Kenntnis gelangen oder das gewünschte Ziel nicht
rechtzeitig erreichen.
Beispiele:
- Eine fehlerhafte Adressierung kann dazu führen, daß die E-Mail an einen
unautorisierten Empfänger übersandt wird.
Werden Verteilerlisten nicht gepflegt, können E-Mails Empfängern zugestellt werden, die von der Versendung hätten ausgeschlossen sein müssen.
- Eine falsche Versandmethode kann zu Übertragungs- oder Empfangsproblemen führen. Wenn beispielsweise die Datei nicht mit uuencode in eine
7-Bit ASCII-Darstellung umgewandelt wurde, kann sie nach dem Empfang
fehlerhaft konvertiert und damit nicht lesbar sein. Wenn die Datenmenge
zu groß ist, kann eines der an der Übertragung beteiligten IT-Systeme die
Weitergabe verweigern.
- Fehlende oder mangelhafte organisatorische Regelungen beim Empfänger
können zur Folge haben, daß eine empfangene E-Mail erst verspätet
bearbeitet wird.
- Fehlende oder mangelhafte organisatorische Regelungen beim Absender
können zur Folge haben, daß ein terminlich zugesichertes Absenden der
Daten nicht eingehalten werden kann.

_____________________________________________________________________ ..........................................
59

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.56
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.56

Mangelhafte Beschreibung von Dateien

Werden beim elektronischen Dateiaustausch die übertragenen Dateien nicht
gut genug beschrieben, so ist für den Empfänger oft nicht nachvollziehbar,
wer diese übersandt hat, welche Informationen sie enthalten oder welchem
Zweck sie dienen.
Wenn mehrere E-Mails ein- und desselben Absenders eingehen, kann bei
fehlender oder schlechter Kennzeichnung die Reihenfolge verwechselt
werden.
Beispiel:
Absender A verschickt an die Empfängerin E eine E-Mail mit mehreren Dateien. Am nächsten Tag stellt A fest, daß eine Datei noch Fehler enthielt und
verschickt eine korrigierte Version mit der Bitte, die vorhergehende E-Mail zu
löschen. Nachdem E die alte E-Mail gelöscht hat, stellt sie fest, daß die
aktuelle E-Mail nur die korrigierte Datei enthält.

_____________________________________________________________________ ..........................................
60

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.57
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.57

Nicht ausreichende Speichermedien für den
Notfall

Wenn Daten nach ihrer Zerstörung wiederhergestellt werden müssen, ist es
vielen Fällen notwendig, die gesicherten Daten zunächst auf getrennten Speichermedien wiedereinzuspielen. Dies ist insbesondere bei komplexeren Datenstrukturen wie z. B. bei Datenbanken notwendig, da die Wiederherstellung
nicht immer reibungslos und fehlerfrei funktioniert. Wird die hierfür benötigte
Speicherkapazität nicht für den Notfall vorgehalten, kann es durch übereiltes
Handeln während des Notfalls zu weiteren Datenverlusten kommen.
Beispiel:
In einem Unternehmen mit einer großer Datenbank-Applikation wurde die
Datenbank als inkonsistent vom Datenbankmanagementsystem (DBMS)
gemeldet. Daraufhin nahm das Systemmanagement die Datenbank außer
Betrieb und restaurierte den letzten gesicherten Datenbestand im
Produktionssystem. Von der scheinbar korrupten Datenbank wurden nur Logund Konfigurationsdateien vorher gesichert. Durch diese Aktion gingen alle
Datenänderungen seit der letzten Sicherung verloren, da aufgrund eines bis
dahin unbekannten Fehlers im DBMS das Nachfahren der Änderungen nicht
möglich war. Die Analyse der Log- und Konfigurationsdateien ergab dann,
daß die Datenbank in Wirklichkeit gar nicht inkonsistent gewesen war. Hätte
ausreichend Plattenplatz zur Verfügung gestanden, um die Rekonstruktion
parallel durchzuführen, wäre das alte produktive System ohne Datenverlust
nach Erkennung und Behebung der nur scheinbaren Inkonsistenz wieder
einsatzbereit gewesen.

_____________________________________________________________________ ..........................................
61

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.58
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.58

Novell Netware und die Datumsumstellung im
Jahr 2000

Datumsangaben werden unter Novell Netware derzeit zweistellig gespeichert
und zur optischen Darstellung der Zahl 19.. angehängt.
Dies bedeutet, daß mit dem Datumswechsel 1999/2000 die
Zahlenkombination von 00 dazu führt, daß ein laufender Netware-Server das
neue Datum als das Jahr 1900 interpretiert. Im Falle eines Neustarts des
Servers wird sich dessen Datum, nach Angaben von Novell, dann auf das Jahr
1980 umschalten.
Diese Umstellung wird dadurch hervorgerufen, daß bei einem Neustart der
Wert (19)00 als ungültiges Datum interpretiert wird und daher stattdessen der
Standard-Wert (19)80 ("Geburtsstunde des IBM-PCs") als gültiges Datum
gewählt wird.
Zwar werden durch dieses Verhalten die gespeicherten Daten nicht zerstört,
jedoch werden Fehler in allen zeitgesteuerten Programmen, bei BenutzerAccounts mit zeitlichem Ablaufdatum, sowie den zeitgesteuerten Prozessen,
wie z. B. Datensicherungen auftreten, die dann u. U. zu Datenverlusten führen
können. Vor allem würden erhebliche Probleme in der NDS auftreten, wenn
das Datum plötzlich zurückgestellt werden würde. Wichtig ist aber auch, daß
auch das BIOS für den Rechner Jahr-2000-fähig ist und ein automatischer
Übergang vom 31.12.1999 auf den 1.1.2000 erfolgen kann.
Von diesen Fehlern sind derzeit (Berichtsstand: Juni 1999) die Versionen
NW 2.x, NW 3.x vor Version 3.2, NW 4.x von Novell Netware betroffen.
Weitere Information zum Verhalten von Novell Produkten bei der
Datumsumstellung zum Jahr 2000 sind im Internet u. a. unter den URLs
http://www.novell.de/jahr2000/
und
http://www.novell.com/year2000/
erhältlich. Hier sind auch Programme zu finden, um die im Einsatz befindliche
Netware Software auf Jahr-2000-Fähigkeit zu prüfen. Ebenso wird eine
Übersicht gegeben, welche Programme von Novell auf ihre Jahr-2000Fähigkeit getestet sind und mit welchem Ergebnis diese bestanden haben.

_____________________________________________________________________ ..........................................
62

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.59
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.59

Betreiben von nicht angemeldeten Komponenten

In der Regel sollten alle Komponenten eines Netzes der Systemadministration
bekannt sein. Es muß auf organisatorischer Ebene gewährleistet sein, daß neue
Komponenten bei der Systemadministration angemeldet und freigegebenen
werden, z. B. durch eine automatische Meldung der Beschaffungsstelle oder
einen entsprechenden Antrag der die Komponenten betreibenden
Organisationseinheit.
Nicht angemeldete Komponenten stellen ein Sicherheitsrisiko dar, da sie nicht
in organisatorische innerbetriebliche Abläufe und Kontrollen eingebunden
sind. Dies kann einerseits zu Gefahren für die Benutzer der nicht
angemeldeten Komponenten führen (z. B. Datenverlust, da das System nicht
in die Datensicherung eingebunden ist), aber auch zur Gefährdung anderer
Netzkomponenten, z. B. können durch nicht erfaßte Zugangspunkte zum Netz
Schwachstellen entstehen, wenn diese schlecht oder gar nicht gegen
unbefugten Zugriff abgesichert sind. Da eine solche Komponente nicht der
Kontrolle des Netzmanagements und/oder des Systemmanagements unterliegt,
können insbesondere Fehlkonfigurationen des lokalen Systems zu einem
Sicherheitsloch führen.
Beispiel:
Der Administrator wartet über das Systemmanagementsystem die Paßwörter
(Community Names) für das verwendete Netzmanagementsystem, welches
auf SNMP basiert. Eine Arbeitsgruppe beschließt den Kauf eines neuen NetzPCs, vergißt diesen jedoch der zentralen Administration zu melden. Die
Installationseinstellung für das Paßwort (Community Name) des lokalen
SNMP-Dämons lautet "public". Dieses Paßwort ist wohlbekannt. Angreifer
können nun einen SNMP-basierten Angriff starten, da sie vollen Zugriff auf
die SNMP-Daten besitzen. Der so kompromittierte PC kann als
Ausgangspunkt für weitere Angriffe auf das interne Netz dienen. So könnten
dort z. B. Paßwortsniffer installiert werden.

_____________________________________________________________________ ..........................................
63

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.60
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.60

Fehlende oder unzureichende Strategie für das
Netz- und Systemmanagement

Werden für die Bereiche Netzmanagement und/oder Systemmanagement
keine organisationsübergreifenden Managementstrategien festgelegt, kann es
insbesondere in mittleren und großen Netzen mit mehreren Managementdomänen durch Fehlkoordination der einzelnen Subdomänen zu schwerwiegenden Problemen durch Fehlkonfiguration kommen, die bis hin zu völligem
Systemzusammenbruch auf Netzebene führen können.
Aus diesem Grund ist die Festlegung und Durchsetzung einer Managementstrategie zwingend erforderlich. Im folgenden werden einige Beispiele für
Probleme durch eine fehlende oder unzureichende Strategie für das Netz- und
Systemmanagement gegeben.
Fehlende Bedarfsanalyse vor Festlegung der Managementstrategie
Um eine Netz- und/oder Systemmanagementstrategie festlegen zu können, ist
eine vorangehende Bedarfsanalyse durchzuführen. Ohne die Feststellung des
Managementbedarfs (etwa: Welche verwaltbaren Netzkoppelelemente
existieren? Wie dynamisch ist der zu verwaltende Softwarebestand?) können
Anforderungen an die Managementstrategie nicht formuliert werden. Da die
Managementstrategie zudem Einfluß auf das zu beschaffende Softwareprodukt
hat, kann dies zu Fehlentscheidungen führen.
Wird dann z. B. ein Managementprodukt eingeführt, das einen zu geringen
Funktionsumfang besitzt, so kann diese Funktionslücke zusätzlich zu einem
Sicherheitsproblem werden, da die nötige Funktion ”von Hand” bereitgestellt
werden muß. In größeren Systemen kann dies dann leicht zu Fehlkonfigurationen führen.
Beschaffung von nicht managebaren Komponenten
Wird ein Rechnerverbund mit Hilfe eines Netz- und/oder eines
Systemmanagementsystems verwaltet, so ist bei der Beschaffung neuer
Komponenten darauf zu achten, daß sie in das jeweilige Managementsystem
integrierbar sind, damit sie in das Management einbezogen werden können. Ist
dies nicht der Fall, so fällt mindestens zusätzlicher Verwaltungsaufwand an,
da auch auf den nicht mit dem Managementsystem verwalteten Komponenten
die festgelegte Managementstrategie durchgesetzt werden muß. Da jedoch
diese Komponenten insbesondere nicht in die automatisierten Verwaltungsabläufe des Managementsystems integriert sind, kann es hier zu Fehlkonfigurationen kommen. Dies birgt durch nicht abgestimmte Konfigurationen
ein Sicherheitsrisiko.
Nicht
koordiniertes
Managen
(Communities, Domänen)

von

benachbarten

Bereichen

Existieren in einem durch ein Managementsystem verwalteten Rechnernetz
mehrere Verwaltungsbereiche, die jeweils von einem eigenen Systemmanager
betreut werden, so sind deren Kompetenzen durch die Managementstrategie
eindeutig festzulegen. Ist dies nicht der Fall, kann es durch unkoordiniertes
Management einzelner Komponenten zu Sicherheitsproblemen kommen.

_____________________________________________________________________ ..........................................
64

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.60
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

Werden z. B. einerseits einzelne Komponenten wie Netzkoppelelemente
fälschlicherweise von zwei Verwaltungsbereichen verwaltet (dies kann etwa
geschehen, wenn keine unterschiedlichen SNMP-"Paßwörter" (Community
Strings) verwendet werden), so führt das unkoordinierte Einstellen von Konfigurationsparametern unter Umständen zu Sicherheitslücken.
Werden andererseits Komponenten (etwa Drucker) gemeinsam von zwei Verwaltungsbereichen genutzt und wurde z. B. die Vertrauensstellung des jeweils
anderen Verwaltungsbereiches (z. B. Windows NT Netzwerkfreigaben) nicht
korrekt eingerichtet, so kann dies unbeabsichtigt zu Sicherheitsproblemen
führen, wenn nun auch unberechtigten Dritten der Zugriff gestattet wird.
Nicht integrierte Verwaltungssoftware
Beim Verwalten von mittleren und großen Systemen kann es vorkommen, daß
nach Einführung des Managementsystems neue Komponenten in das System
integriert werden sollen, deren Verwaltung Funktionen erfordern, die das
eingesetzte Managementsystem nicht unterstützt. Dies gilt insbesondere für
den Bereich Applikationsmanagement. Wird zur Verwaltung der neuen
Komponente nun eine Verwaltungssoftware eingesetzt, die nicht in das eingesetzte Managementsystem integriert werden kann (z. B. über eine Programmierschnittstelle, oder durch den Einsatz von sogenannten Gateways), so ist
ein koordiniertes Einbinden in das Managementsystem nicht möglich.
Dadurch unterliegt die neue Komponente jedoch nicht dem ”automatisierten”
Management, was ein Verwalten ”von Hand” nötig macht. Die festgelegte
Managementstrategie muß nun für zwei Systeme umgesetzt werden, dies kann
jedoch zu Fehlkonfigurationen führen, die Sicherheitslücken bedingen
können.

_____________________________________________________________________ ..........................................
65

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.61
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.61

Unberechtigte Sammlung personenbezogener
Daten

Beim Einsatz von Managementsystemen fallen im Rahmen des normalen
Ablaufes auch viele Protokolldaten an, die in der Regel automatisch erzeugt
und ausgewertet werden. Dies trifft im besonderen Maße auf die Bereiche der
Netz- und Systemüberwachung zu. Ohne ausführliche Protokollierung der
Systemaktivitäten ist es z. B. auch nicht möglich, Sicherheitsverletzungen
aufzudecken. Eine Anforderung im Rahmen der Überwachung ist jedoch auch
die eindeutige Zuordnung bestimmter Zugriffe zu Benutzern. Damit müssen
die überwachten Benutzeraktivitäten aber personenbezogen protokolliert
werden. In der Regel wird durch die Managementstrategie organisationsübergreifend und im Einvernehmen mit dem Datenschutzbeauftragten festgelegt,
welche Benutzeraktivitäten aus Sicherheitsgründen überwacht werden sollen.
Hierüber sind die betroffenen Benutzer entsprechend zu informieren. Die
Einhaltung der durch die Managementstrategie festgelegten Vorgaben ist
jedoch im Rahmen der Systemrevision zu überprüfen. Es ist zudem möglich,
daß das Managementsystem im Rahmen einer regulären Funktion temporäre
Protokolldateien erstellt, die z. B. im wenig geschützten Bereich für temporäre
Dateien abgelegt werden. Die Protokolldateien sind dann potentiell zumindest
für die Zeit ihrer Existenz zugreifbar und können zudem Benutzerinformationen enthalten.

_____________________________________________________________________ ..........................................
66

IT-Grundschutzhandbuch: Stand Juli 1999

G 2.62
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.62

Ungeeigneter Umgang mit Sicherheitsvorfällen

Sicherheitsvorfälle mit dem Potential großer Schäden werden in der Praxis nie
ausgeschlossen werden können. Die gilt auch dann, wenn eine Reihe von
Sicherheitsmaßnahmen umgesetzt sind. Wird auf akute Sicherheitsvorfälle
nicht angemessen reagiert, so können sich daraus unter Umständen große
Schäden bis hin zu Katastrophen entwickeln.
Beispiele dafür sind:
- Es treten zunächst sporadisch, dann massenhaft neue Computer-Viren mit
Schadfunktionen auf. Erfolgt keine rechtzeitige Reaktion, können unter
Umständen ganze Organisationseinheiten arbeitsunfähig werden. Konkret
ist dies bei Auftreten des Computer-Virus "Melissa" beobachtet worden.

Arbeitsausfälle

- Auf einem Webserver finden sich unerklärlich veränderte Inhalte. Wird
dies nicht als Hinweis auf eventuelle Hacker-Attacken weiterverfolgt,
können weitere Angriffe auf den Server unter Umständen auch zu großem
Imageverlust führen.

Imageverlust

- In der Protokollierung einer Firewall finden sich Ungereimtheiten. Wird
dies nicht als Hacking-Versuch untersucht, können ggf. tatsächlich externe
Angreifer die Firewall überwinden.
- Es werden Sicherheitslücken in den verwendeten IT-Systemen bekannt.
Werden diese Informationen nicht rechtzeitig beschafft und notwendige
Gegenmaßnahmen nicht zügig umgesetzt, so besteht die Gefahr, dass die
Sicherheitslücken von Innen- oder Außentätern missbraucht werden.
- Es ergeben sich Hinweise auf manipulierte Unternehmensdaten. Wird dies
nicht zum Anlass genommen, den Manipulationen nachzugehen, so können
auch unerkannte Manipulationen schwere Folgeschäden nach sich ziehen,
wie zum Beispiel fehlerhafte Lagerbestände, falsche Buchhaltung oder
unkontrolliert abgeflossene Finanzmittel.

Folgeschäden

- Wird Hinweisen auf Kompromittierung von vertraulichen Unternehmensdaten nicht nachgegangen, können in Folge weitere vertrauliche Daten
abfließen.
Diese Beispiele verdeutlichen, dass bei Sicherheitsvorfällen eine schnelle
Benachrichtigung zuständiger Stellen, eine zügige Reaktion und eine Unterrichtung der potentiell Betroffenen zur Schadensminimierung oder -prävention
notwendig ist.
Wenn für die Behandlung von Sicherheitsvorfällen keine geeignete
Vorgehensweise definiert ist, können außerdem falsche Entscheidungen
getroffen werden, die z. B. dazu führen

Fehlentscheidungen

- dass Pressevertreter falsche Auskünfte erhalten,
- dass die betroffenen Systeme bzw. Komponenten trotz schwerer Sicherheitslücken nicht abgeschaltet werden,
- dass Systeme bzw. einzelne Komponenten bei relativ unbedeutenden
Sicherheitslücken völlig abgeschaltet werden,
- dass keinerlei Ausweichmaßnahmen vorgesehen sind, wie z. B. der Austausch kompromittierter Komponenten, kryptographischer Verfahren oder
Schlüssel.
_____________________________________________________________________ ..........................................
67

IT-Grundschutzhandbuch: Stand Januar 2000

G 2.63
Gefährdungskatalog Organisatorische Mängel
Bemerkungen
_____________________________________________________________________ ..........................................

G 2.63

Ungeordnete Faxnutzung

Bei ungeordneter Nutzung von Faxgeräten oder Faxservern besteht die
Gefahr, dass sensitive Daten Unbefugten zur Kenntnis gelangen oder das
gewünschte Ziel nicht rechtzeitig erreichen.
Beispiele:
- Eine fehlerhafte Adressierung kann dazu führen, dass ein Fax an einen
unautorisierten Empfänger übersandt wird.

falsche Adressierung

Werden Adressbücher und Verteillisten nicht gepflegt, können Faxe
Empfängern zugestellt werden, die von der Versendung hätten ausgeschlossen sein müssen.
- Eine fehlerhafte Administration eines Faxservers kann dazu führen, dass
eingehende Faxe an Mitarbeiter zugestellt werden, die von dem Inhalt
keine Kenntnis erlangen sollen.
- Fehlende oder mangelhafte organisatorische Regelungen beim Empfänger
können zur Folge haben, dass ein empfangenes Fax erst verspätet bearbeitet wird.

unzuverlässige
Bearbeitung

- Fehlende oder mangelhafte organisatorische Regelungen beim Absender
können zur Folge haben, dass ein terminlich zugesichertes Absenden einer
Nachricht per Fax nicht eingehalten werden kann.
- Fehlende Sensibilisierung der Benutzer bei der Verwendung von
Faxservern kann dazu führen, dass versehentlich ein Entwurf versandt
wird, der so die Organisation nicht verlassen sollte.

_____________________________________________________________________ ..........................................
68

IT-Grundschutzhandbuch: Stand Januar 2000

G3
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G3

Gefährdungskatalog Menschliche Fehlhandlungen

G 3.1

Vertraulichkeits-/Integritätsverlust von Daten durch
Fehlverhalten der IT-Benutzer ...................................................1

G 3.2

Fahrlässige Zerstörung von Gerät oder Daten............................2

G 3.3

Nichtbeachtung von IT-Sicherheitsmaßnahmen ........................3

G 3.4

Unzulässige Kabelverbindungen................................................4

G 3.5

Unbeabsichtigte Leitungsbeschädigung .....................................5

G 3.6

Gefährdung durch Reinigungs- oder Fremdpersonal .................6

G 3.7

Ausfall der TK-Anlage durch Fehlbedienung ............................7

G 3.8

Fehlerhafte Nutzung des IT-Systems .........................................8

G 3.9

Fehlerhafte Administration des IT-Systems...............................9

G 3.10

Falsches Exportieren von Dateisystemen unter Unix...............10

G 3.11

Fehlerhafte Konfiguration von sendmail..................................11

G 3.12

Verlust der Datenträger beim Versand.....................................12

G 3.13

Übertragung falscher oder nicht gewünschter
Datensätze ................................................................................13

G 3.14

Fehleinschätzung der Rechtsverbindlichkeit eines Fax............14

G 3.15

Fehlbedienung eines Anrufbeantworters..................................15

G 3.16

Fehlerhafte Administration von Zugangs- und
Zugriffsrechten.........................................................................16

G 3.17

Kein ordnungsgemäßer PC-Benutzerwechsel ..........................17

G 3.18

Freigabe von Verzeichnissen, Druckern oder der
Ablagemappe ...........................................................................18

G 3.19

Speichern von Paßwörtern unter WfW und Windows 95 ........19

G 3.20

Ungewollte Freigabe des Leserechtes bei Schedule+ ..............20

G 3.21

Fehlbedienung von Codeschlössern .........................................21

G 3.22

Fehlerhafte Änderung der Registrierung..................................22

G 3.23

Fehlerhafte Administration eines DBMS .................................23

G 3.24

Unbeabsichtigte Datenmanipulation ........................................24

G 3.25

Fahrlässiges Löschen von Objekten.........................................25

G 3.26

Ungewollte Freigabe des Dateisystems....................................26

G 3.27

Fehlerhafte Zeitsynchronisation...............................................27

G 3.28

Ungeeignete Konfiguration der aktiven
Netzkomponenten ....................................................................28

G 3.29

Fehlende oder ungeeignete Segmentierung..............................30

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

G3
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.30

Unerlaubte private Nutzung des dienstlichen
Telearbeitsrechners ..................................................................31

G 3.31

Unstrukturierte Datenhaltung...................................................32

G 3.32

Verstoß gegen rechtliche Rahmenbedingungen beim
Einsatz von kryptographischen Verfahren ...............................33

G 3.33

Fehlbedienung von Kryptomodulen.........................................34

G 3.34

Ungeeignete Konfiguration des Managementsystems .............35

G 3.35

Server im laufenden Betrieb ausschalten .................................36

G 3.36

Fehlinterpretation von Ereignissen ..........................................37

G 3.37

Unproduktive Suchzeiten .........................................................38

G 3.38

Konfigurations- und Bedienungsfehler ....................................39

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.1
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.1

Vertraulichkeits-/Integritätsverlust von Daten
durch Fehlverhalten der IT-Benutzer

Durch Fehlverhalten können IT-Benutzer den Vertraulichkeits- bzw.
Integritätsverlust von Daten herbeiführen bzw. ermöglichen. Die
Folgeschäden ergeben sich aus der Schutzbedürftigkeit der Daten. Beispiele
für ein solches Fehlverhalten sind:
- Mitarbeiter holen versehentlich Ausdrucke mit personenbezogenen Daten
nicht am Netzdrucker ab.
- Es werden Disketten versandt, ohne dass die vorher darauf gespeicherten
Daten physikalisch gelöscht wurden.
- Aufgrund von fehlerhaft administrierten Zugriffsrechten vermag ein
Mitarbeiter Daten zu ändern, ohne die Brisanz dieser Integritätsverletzung
einschätzen zu können.
- Neue Software wird mit nicht anonymisierten Daten getestet. Nicht befugte
Mitarbeiter erhalten somit Einblick in geschützte Dateien bzw. vertrauliche
Informationen. Möglicherweise erlangen überdies auch Dritte Kenntnis
von diesen Informationen, weil die Entsorgung von "Testausdrucken" nicht
entsprechend geregelt ist.
- Beim Ausbau, Verleih, Einsendung zur Reparatur oder Ausmusterung von
Festplatten können Daten auf zum Teil intakten Dateisystemen in unbefugte Hände gelangen.

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Januar 2000

G 3.2
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.2

Fahrlässige Zerstörung von Gerät oder Daten

Durch Fahrlässigkeit, aber auch durch ungeschulten Umgang kann es zu
Zerstörungen an Geräten und Daten kommen, die den Betrieb des IT-Systems
empfindlich stören können. Dies ist auch durch die unsachgemäße Verwendung von IT-Anwendungen möglich, wodurch fehlerhafte Ergebnisse entstehen oder Daten unabsichtlich verändert oder zerstört werden. Durch
unachtsames Benutzen eines einzigen Löschbefehls können ganze Dateistrukturen gelöscht werden.
Beispiele:
- Benutzer, die aufgrund von Fehlermeldungen den Rechner ausschalten,
statt ordnungsgemäß alle laufenden Anwendungen zu beenden bzw. einen
Sachkundigen zu Rate zu ziehen, können hierdurch schwerwiegende
Integritätsfehler in Datenbeständen hervorrufen.
- Durch umgestoßene Kaffeetassen oder beim Blumengießen eindringende
Feuchtigkeit können in einem IT-System Kurzschlüsse hervorrufen
werden.
- Ein Benutzer, der es sich zur Gewohnheit gemacht hat, unter Unix den
Löschbefehl rm grundsätzlich ohne den Parameter für die Sicherheitsabfragen (-i) durchzuführen oder gar mit -f die Sicherheitsabfragen grundsätzlich ausschaltet, riskiert in hohem Maße das versehentliche Löschen
von Dateien. Ähnliches gilt auch für den Befehl del *.* unter MS-DOS.

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Januar 2000

G 3.3
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.3

Nichtbeachtung von IT-Sicherheitsmaßnahmen

Aufgrund von Nachlässigkeit und fehlenden Kontrollen kommt es immer
wieder vor, daß Personen die ihnen empfohlenen oder angeordneten ITSicherheitsmaßnahmen nicht oder nicht im vollen Umfang durchführen. Es
können Schäden entstehen, die sonst verhindert oder zumindest vermindert
worden wären. Je nach der Funktion der Person und der Bedeutung der
mißachteten Maßnahme können sogar gravierende Schäden eintreten.
Vielfach werden IT-Sicherheitsmaßnahmen aus einem mangelnden Sicherheitsbewußtsein heraus nicht beachtet. Ein typisches Indiz dafür ist, daß
wiederkehrende Fehlermeldungen nach einer gewissen Gewöhnungszeit
ignoriert werden.
Beispiele:
- Der verschlossene Schreibtisch zur Aufbewahrung von Disketten bietet
keinen hinreichenden Schutz gegen einen unbefugten Zugriff, wenn der
Schlüssel im Büro aufbewahrt wird, z. B. auf dem Schrank oder im Zettelkasten.
- Geheimzuhaltende Paßwörter werden schriftlich fixiert in der Nähe eines
Terminals oder PCs aufbewahrt.
- Obwohl die schadensmindernde Eigenschaft von Datensicherungen hinreichend bekannt ist, treten immer wieder Schäden auf, wenn Daten unvorhergesehen gelöscht werden und aufgrund fehlender Datensicherung die
Wiederherstellung unmöglich ist. Dies zeigen insbesondere die dem BSI
gemeldeten Schäden, die z. B. aufgrund von Computer-Viren entstehen.
- Der Zutritt zu einem Rechenzentrum sollte ausschließlich durch die mit
einem Zutrittskontrollsystem (z. B. Magnetstreifenleser) gesicherte Tür
erfolgen. Die Fluchttür wird jedoch, obwohl sie nur im Notfall geöffnet
werden darf, als zusätzlicher Ein- und Ausgang genutzt.

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.4
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.4

Unzulässige Kabelverbindungen

Hauptursache unzulässiger Verbindungen ist neben technischen Defekten die
fehlerhafte Verkabelung, z. B. bei der Belegung von Rangier- und Spleißverteilern. Ungenaue Dokumentation und unzureichende Kabelkennzeichnung
führen häufig zu versehentlichen Fehlbelegungen und erschweren das
Erkennen von absichtlichen Fehlbelegungen.
Durch unzulässige Verbindungen können Informationen zusätzlich oder ausschließlich zu falschen Empfängern übertragen werden. Die normale Verbindung kann gestört werden.

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.5
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.5

Unbeabsichtigte Leitungsbeschädigung

Je ungeschützter ein Kabel verlegt ist, desto größer ist die Gefahr einer unbeabsichtigten Beschädigung. Die Beschädigung führt nicht unbedingt sofort zu
einem Ausfall von Verbindungen. Auch die zufällige Entstehung unzulässiger
Verbindungen ist möglich. Typische Beispiele für solche Beschädigungen
sind:
Im Innenbereich:
- Herausreißen der Geräteanschlußleitung mit dem Fuß bei "fliegender" Verlegung,
- Beschädigung unter Putz verlegter Leitungen durch Bohren oder Nageln,
- Eindringen von Wasser in Fensterbank-Kanäle,
- Eindringen von Wasser in Fußbodenkanäle bei der Gebäudereinigung,
- Beschädigung auf Putz oder Estrich verlegter Leitungen beim Transport
sperriger und schwerer Gegenstände.
Im Außenbereich:
- Beschädigung bei Tiefbauarbeiten, sowohl durch Handschachtung als auch
durch Bagger,
- Eindringen von Wasser in Erdtrassen/Erdkabel,
Beispiel:
In einer Fußgängerzone hatte es sich die Putzfrau eines kleinen Geschäftes zu
Angewohnheit gemacht, das gebrauchte Putzwasser in den direkt vor der
Ladentür befindlichen Revisionsschacht einer Post-Kabeltrasse zu schütten.
Das Wasser verdunstete zwar mit der Zeit immer wieder, der Schmutz- und
Seifenanteil jedoch lagerte sich auf den Kabeln ab und mußte für Arbeiten
daran erst mühsam und zeitaufwendig entfernt werden.
- Beschädigung von Kabeln durch Nagetiere,
- Beschädigung von Trassen und Kabeln durch Wurzeln (Baumwurzeln
besitzen genug Kraft, um Kabel abzuquetschen),
- Beschädigung durch Überschreitung zulässiger Verkehrslasten (Rohre
können brechen, Kabel können abscheren).

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.6
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.6

Gefährdung durch Reinigungs- oder Fremdpersonal

Die Gefährdung durch Reinigungs- und Fremdpersonal erstreckt sich von der
unsachgemäßen Behandlung der technischen Einrichtungen, über den Versuch
des "Spielens" am IT-System ggf. bis zum Diebstahl von IT-Komponenten.
Beispiele:
Durch Reinigungspersonal kann versehentlich eine Steckverbindung gelöst
werden, Wasser kann in Geräte gelangen, Unterlagen können verlegt oder
sogar mit dem Abfall entfernt werden.

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.7
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.7

Ausfall der TK-Anlage durch Fehlbedienung

Neben dem technischen Versagen durch Defekt von Bauteilen, Stromausfall
oder Sabotage gibt es eine Reihe weiterer Umstände, die zum Ausfall einer
TK-Anlage führen können. So können z. B. durch unzureichend ausgebildetes
Wartungspersonal Änderungen an der Anlagenkonfiguration vorgenommen
werden, die solche Ausfälle zur Folge haben. Das nicht rechtzeitige Erkennen
von Alarmsignalen oder abnormem Betriebsverhalten kann dieselbe Folge
haben, ferner unsachgemäßes oder unüberlegtes Handeln bei eigentlich einfachen Routinereparaturen.

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.8
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.8

Fehlerhafte Nutzung des IT-Systems

Eine fehlerhafte Nutzung des IT-Systems beeinträchtigt die Sicherheit eines
IT-Systems, wenn dadurch IT-Sicherheitsmaßnahmen mißachtet oder umgangen werden. Dies kann vermieden werden, wenn der Benutzer über die
ordnungsgemäße Funktion und den Betrieb eines IT-Systems ausreichend
informiert ist.
Beispiele:
Zu großzügig vergebene Rechte, leicht zu erratende Paßwörter, versehentliches Löschen, Datenträger mit den Sicherheitskopien sind für Unbefugte
zugänglich, das Terminal wird bei vorübergehender Abwesenheit nicht verschlossen u.v.a.

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.9
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.9

Fehlerhafte Administration des IT-Systems

Eine fehlerhafte Administration beeinträchtigt die Sicherheit eines ITSystems, wenn dadurch IT-Sicherheitsmaßnahmen missachtet oder umgangen
werden.
Eine fehlerhafte Administration liegt z. B. vor, wenn Netzzugangsmöglichkeiten (Daemon-Prozesse) geschaffen oder nicht verhindert werden, die für
den ordnungsgemäßen Betrieb des IT-Systems nicht notwendig sind oder auf
Grund ihrer Fehleranfälligkeit eine besonders große Bedrohung darstellen.

unsichere Netzzugänge

Unter keinen Umständen sollten bei Arbeiten am System Zugangskonten
verwendet werden, die mehr Zugriffsrechte besitzen, als für die Tätigkeit
unbedingt nötig sind, da sich hierdurch die Gefahr von Schäden durch Viren
und Trojanischen Pferden unnötig erhöht.

unnötige Zugriffsrechte

Standard-Installationen von Betriebssystemen oder Systemprogrammen
weisen in den seltensten Fällen alle Merkmale einer sicheren Installation auf.
Mangelnde Anpassungen an die konkreten Sicherheitsbedürfnisse können hier
ein erhebliches Risiko darstellen.

mangelhafte Anpassungen

Besondere Beachtung müssen Systeme finden, deren fehlerhafte Administration Einfluss auf den Schutz anderer Systeme haben (Firewalls).
Jede Modifikation von Sicherheitseinstellungen und die Erweiterung von
Zugriffsrechten stellt eine potentielle Gefährdung der Gesamtsicherheit dar.
Beispiele:
Über das bei G 3.8 Fehlerhafte Nutzung des IT-Systems gesagte hinaus kann
der Systemadministrator durch eine fehlerhafte Installation neuer oder
vorhandener Software Gefährdungen schaffen. Eine fehlerhafte Administration liegt auch vor, wenn Protokollierungsmöglichkeiten nicht genutzt oder
vorhandene Protokolldateien nicht ausgewertet werden, wenn zu großzügig
Zugangsberechtigungen vergeben und diese dann nicht in gewissen Abständen
kontrolliert werden, wenn Login-Namen oder UIDs mehr als einmal vergeben
werden oder wenn vorhandene Sicherheitstools, wie z. B. unter Unix die
Benutzung einer shadow-Datei für die Passwörter, nicht genutzt werden.

unzureichende Protokollierung

Mit dem Lebensalter von Passwörtern sinkt deren Wirksamkeit. Grund dafür
ist die sich stetig erhöhende Wahrscheinlichkeit eines erfolgreichen Angriffes.

Alterung von
Passwörtern

Der Administration eines Firewall-Systems gilt es besondere Aufmerksamkeit
zu schenken, da dieses Voraussetzung für den Schutz einer Vielzahl anderer
Systeme ist.

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Januar 2000

G 3.10
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.10

Falsches Exportieren von Dateisystemen unter
Unix

Exportierte Platten können von jedem Rechner, der sich mit dem in der Datei
/etc/exports bzw. /etc/dfs/dfstab angegebenen Namen meldet, gemountet
werden. Der Benutzer dieses Rechners kann jede UID und GID annehmen.
Solange Verzeichnisse nicht mit der Option root= exportiert wurden, stellt die
UID 0 (root) eine Ausnahme dar, die beim Zugriff auf einen NFS-Server
üblicherweise auf eine andere UID (z. B. die des Benutzers nobody oder
anonymous) abgebildet wird. Es lassen sich daher nur Dateien schützen, die
root gehören.
Für die Verwendung der Protokolle NFS für den Export von Dateisystemen
und die Verteilung von Systemdateien mittels NIS sind keine ausreichenden
Schutzmaßnahmen in geschützten Umgebungen verfügbar. Der Einsatz stellt
somit eine Gefährdung der Integrität der Systeme dar.

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Januar 2000

G 3.11
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.11

Fehlerhafte Konfiguration von sendmail

Fehler in der Konfiguration oder Software von sendmail haben in der Vergangenheit schon mehrmals zu Sicherheitslücken auf den betroffenen ITSystemen geführt (Stichwort Internet-Wurm).
Beispiel:
Es ist durch verschiedene Veröffentlichungen bekannt, daß es möglich ist, die
Benutzer- und Gruppenkennung, die mit den Optionen u und g eingestellt sind
(normalerweise daemon) zu erlangen. Dazu muß im Absenderfeld (From:)
eine Pipe angegeben werden, durch die eine fehlerhafte Mail zurückgeschickt
wird, und in der Mail selber muß ein Fehler erzeugt werden. Schickt man also
z. B. eine Mail mit dem Inhalt
cp /bin/sh /tmp/sh
chmod oug+rsx /tmp/sh
an einen unbekannten Empfänger und benutzt als Absender ´/bin/sh´, so wird
die Mail als unzustellbar zurückgeschickt, was in diesem Falle einer Ausführung des kurzen Shellskripts gleichkommt. Durch dieses Skript wird dann
eine Shell mit gesetztem suid-Bit erzeugt, die die im sendmail.cf gesetzte
Benutzer- und Gruppenkennung hat.

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.12
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.12

Verlust der Datenträger beim Versand

Werden Datenträger in nicht sonderlich stabilen Behältnissen (Briefumschlägen oder sonstigen Verpackungen) versandt, besteht die Gefahr, daß
der Datenträger (insbesondere Disketten) bei Beschädigung der Verpackung
verloren geht. Auch besteht die Gefahr des Verlustes auf dem Postweg oder
durch Unachtsamkeit eines Boten. Falls beispielsweise eine Diskette
zusammen mit einem Anschreiben in einem Umschlag verschickt wird, der
wesentlich größer als die Diskette ist, so kann beim Empfang des Umschlages
die innenliegende Diskette übersehen und zusammen mit dem scheinbar leeren
Umschlag entsorgt werden.

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.13
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.13

Übertragung falscher oder nicht gewünschter
Datensätze

Es ist denkbar, daß der für den Versand vorgesehene Datenträger bereits
Daten früherer Arbeitsgänge enthält, die dem Empfänger nicht zur Kenntnis
gelangen sollen. Werden diese Daten nicht gezielt physikalisch gelöscht,
können diese vom Empfänger gelesen werden.
Befinden sich darüber hinaus die zu übertragenden Daten in einem Verzeichnis mit weiteren Daten, die ebenfalls schutzbedürftig sind, besteht die Gefahr,
daß diese versehentlich mit auf den Datenträger übertragen werden (z. B.
durch copy *.*) und dem Empfänger unnötig (unberechtigt) zur Kenntnis
gelangen.
Sollen Datensätze nicht über das Medium "Datenträger", sondern über Datennetze direkt versandt werden (E-Mail im Internet, Modemverbindungen,
interne Firmennetze, X.400-Dienst), bieten Kommunikationsprogramme die
Möglichkeit der Verwendung von Kurzbezeichnungen für komplexe
Adreßstrukturen und Verteilerlisten für die Mehrfachversendung. Werden
solche Verteilerlisten nicht zentral geführt oder nicht in regelmäßigen
Abständen aktualisiert, können Datensätze an Adressen versendet werden, die
zu nicht mehr autorisierten Personen gehören.

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.14
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.14

Fehleinschätzung der Rechtsverbindlichkeit
eines Fax

Häufig wird versucht, bei eiligen Entscheidungen den Postweg einzusparen,
indem wichtige Unterlagen oder Informationen an den Geschäftspartner per
Fax übermittelt werden. Dabei wird oft außer acht gelassen, daß so
übermittelte Unterlagen in einem Streitfall nicht immer als rechtsverbindlich
angesehen werden. Bestellungen müssen dann nicht vom Kunden angenommen, Zusagen nicht eingehalten werden. Eine Rechtsmittelfrist kann trotz
rechtzeitigen Absendens eines Fax ablaufen.

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.15
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.15

Fehlbedienung eines Anrufbeantworters

Grundsätzlich besteht die Gefahr der Fehlbedienung eines Anrufbeantworters.
Bei einigen Geräten ist die Gefahr eines Bedienungsfehlers recht hoch, da sie
beispielsweise mit Funktionstasten versehen sind, die doppelt oder zum Teil
sogar dreifach belegt sind. Erschwerend kann hinzukommen, daß die Bedientasten so klein sind und so nahe nebeneinander liegen, daß Fehlgriffe kaum
vermeidbar sind.
So ist es durchaus möglich, daß der Anrufbeantworter aufgrund von Fehlbedienungen einen Anruf erst gar nicht entgegennimmt. Dies geschieht zum
Beispiel, wenn man versehentlich das Gerät deaktiviert oder den Ansagetext
mittels Tastendruck gelöscht hat.

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.16
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.16

Fehlerhafte Administration von Zugangs- und
Zugriffsrechten

Zugangsrechte zu einem IT-System und Zugriffsrechte auf gespeicherte Daten
und IT-Anwendungen dürfen nur in dem Umfang eingeräumt werden, wie sie
für die Wahrnehmung der Aufgaben erforderlich sind. Werden diese Rechte
fehlerhaft administriert, so kommt es zu Betriebsstörungen, falls erforderliche
Rechte nicht zugewiesen wurden, bzw. zu Sicherheitslücken, falls über die
notwendigen Rechte hinaus weitere vergeben werden.
Beispiel:
Durch eine fehlerhafte Administration der Zugriffsrechte hat ein Sachbearbeiter die Möglichkeit, auf die Protokolldaten zuzugreifen. Durch gezieltes
Löschen einzelner Einträge ist es ihm daher möglich, seine Manipulationsversuche am Rechner zu verschleiern, da sie in der Protokolldatei nicht mehr
erscheinen.

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.17
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.17

Kein ordnungsgemäßer PC-Benutzerwechsel

Arbeiten mehrere Benutzer an einem PC, so kann es aufgrund von Nachlässigkeit oder Bequemlichkeit dazu kommen, daß sich bei einem Wechsel der
vorhergehende Benutzer nicht abmeldet und der neue sich nicht
ordnungsgemäß anmeldet. Dies wird von den Betroffenen meist damit
begründet, daß die Zeit, die das IT-System zum Neustarten benötigt, sehr lang
ist und als nicht akzeptabel empfunden wird.
Dieses Fehlverhalten führt jedoch dazu, daß die Protokollierung von An- und
Abmeldevorgängen und damit ein Teil der Beweissicherung unwirksam wird.
Es läßt sich anhand der Protokolle nicht mehr zuverlässig feststellen, wer den
Rechner zu einem bestimmten Zeitpunkt genutzt hat.
Beispiel:
Ein PC wird abwechselnd von drei Benutzern eingesetzt, um Reisekostenabrechnungen durchzuführen. Nachdem der erste Benutzer den Anmeldevorgang durchgeführt hat, erfolgt kein ordnungsgemäßer PC-Benutzerwechsel
mehr, weil die damit verbundenen Ab- und Anmeldevorgänge aus Bequemlichkeit nicht durchgeführt werden.
Aufgrund von Unregelmäßigkeiten wird geprüft, wer welchen Vorgang am
Rechner bearbeitet hat. Da nach Protokollierung nur ein Benutzer am PC
gearbeitet hat, kann der Verursacher im nachhinein nicht mehr festgestellt
werden bzw. der einzige angemeldete Benutzer muß die Konsequenzen
tragen.

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.18
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.18

Freigabe von Verzeichnissen, Druckern oder
der Ablagemappe

Unter Windows für Workgroups sind bei der Benutzung des Datei- oder
Druckmanagers bzw. der Zwischenablage bei der Freigabe von Verzeichnissen, Druckern oder Seiten der Ablagemappe Bedienungsfehler möglich.
Dies kann zur Folge haben, daß ungewollt Ressourcen freigegeben werden.
Der notwendige Paßwortschutz wird eventuell nicht oder nur unzureichend
eingesetzt, wenn die Benutzer nicht ausreichend über die Peer-to-Peer-Funktionalität in Windows für Workgroups unterrichtet worden sind.
Unter Windows 95 müssen bei der Freigabe explizit Zugriffsberechtigungen
vergeben werden, so daß sich jeder Benutzer bewußt machen muß, daß und
wem der Zugriff ermöglicht werden soll. Unter Windows NT kann nur ein
Administrator Dateien und Verzeichnisse freigeben.
Da freigegebene Ressourcen (ausgenommen sind die Seiten der Ablagemappe) i. allg. für alle Teilnehmer angezeigt werden, können andere Teilnehmer solche erkennen und ggf. mißbrauchen. Unter Umständen werden
vertrauliche Daten gelesen, Daten unautorisiert verändert oder gelöscht.
Wurde beispielsweise ein Verzeichnis ohne Paßwortschutz zum Beschreiben
freigegeben, ist es möglich, in dieses solange Dateien zu speichern, bis die
Kapazität der Festplatte erschöpft ist.
Zu beachten ist weiterhin, daß ein freigegebenes Verzeichnis automatisch
beim nächsten Startwieder freigegeben wird, ohne daß der Benutzer es
bemerkt, falls die Freigabeoption "Beim nächsten Start wieder freigeben"
aktiviert ist. Bei Windows 95 und Windows NT darf die Rücknahme der
Freigabe nicht vergessen werden. Die Freigabe muß hier explizit zurückgenommen werden, sonst bleibt sie auch nach einem Neustart aktiv.
Beispiel:
Nach der Einführung der WfW-Benutzeroberfläche in einem servergestützten
LAN, die nicht durch eine Schulung begleitet war, hatten rund 10% der
Benutzer ungewollt die komplette Festplatte (Stammverzeichnis C:\) freigegeben.

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.19
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.19

Speichern von Paßwörtern unter WfW und
Windows 95

Der Zugriff auf Verzeichnisse, Drucker oder Seiten der Ablagemappen, die
von anderen freigegeben wurden, wird unter WfW und Windows 95 dadurch
erleichtert, daß die dazu benötigten Paßwörter in der Datei
[anmeldename].pwl gespeichert werden können. Dazu kann die Option
"Kennwort in der Kennwortliste speichern" gewählt werden. Ist diese Option
durch Voreinstellung aktiviert, kann es auch ungewollt dazu kommen, daß
Paßwörter gespeichert werden. Unter Windows 95 in Netware-Netzen werden
die Anmeldepaßwörter automatisch in der Datei [anmeldename].pwl gespeichert, die Zugriffsrechte aber grundsätzlich auf Benutzerebene erteilt.

Ein Dritter, der sich Zugang zu einem WfW- oder Windows 95-Rechner verschafft, hat unmittelbaren Zugriff auf die Kennwortliste ([anmeldename].pwl).
Die dort gespeicherten Paßwörter für den Zugriff auf Ressourcen anderer
werden durch das WfW- bzw. Windows 95-Anmeldepaßwort geschützt. Ist
dieses deaktiviert oder bekannt bzw. ist WfW oder Windows 95 bereits ohne
Bildschirmsperre aktiv, können Unberechtigte Verbindungen zu anderen
Rechnern herstellen.
Hinweis:
Mittlerweile werden im Internet Programme angeboten, die eine Entschlüsselung der PWL-Dateien unter WfW ohne Kenntnis des Anmeldepaßwortes
ermöglichen. Die in diesen Dateien gespeicherten Paßwörter sind in vielen
Fällen auch über die windows-spezifische, temporäre Auslagerungsdatei
386spart.par im Klartext zu gewinnen. Daher muß ein entsprechender
Zugangsschutz zum PC oder ein Zugriffsschutz auf Dateiebene installiert sein.

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.20
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.20

Ungewollte Freigabe des Leserechtes bei
Schedule+

Im Lieferumfang von WfW ist das Programm mail und der Terminplaner
Schedule+ enthalten. Wird von mehreren Benutzern ein gemeinsames PostOffice unter mail genutzt, kann auch eine gemeinsame Terminplanung mit
Schedule+ erfolgen. Dort können dann Zugriffsprivilegien für den eigenen
Terminkalender vergeben werden. Standardmäßig ist für jeden Teilnehmer
desselben Post-Office das Zugriffsrecht "Offene/Besetzte Zeitblöcke
anzeigen" für den privaten Kalender aktiviert, so daß, falls dieses Recht nicht
explizit entzogen wird, das zeitliche Arrangement - nicht jedoch der Inhalt des privaten Kalenders von anderen eingesehen werden kann. Der private
Nutzer könnte jedoch in dem Glauben sein, daß seine offenen/besetzten
Zeitblöcke nicht eingesehen werden können, da er keine Zugriffsrechte verteilt
hat.

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.21
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.21

Fehlbedienung von Codeschlössern

Erfahrungsgemäß führen Fehler in der Bedienung von mechanischen Codeschlössern verhältnismäßig oft dazu, daß der Schrank nicht mehr ordnungsgemäß geöffnet werden kann. Die Fehlbedienungen treten bei der Eingabe und
besonders häufig bei der Änderung des Codes auf. Um die aufbewahrten
Datenträger oder informationstechnischen Geräte wieder zugänglich zu
machen, muß dann ein spezialisierter Schlüsseldienst beauftragt werden, so
daß neben dem Schaden, der aus der fehlenden Verfügbarkeit der Datenträger
oder Geräte entsteht, auch erhebliche Reparaturkosten anfallen können. Im
ungünstigsten Falle muß ein neuer Schutzschrank beschafft werden.

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.22
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.22

Fehlerhafte Änderung der Registrierung

Windows 95 bietet die Möglichkeit, die Benutzerumgebung eines PC fest
bzw. benutzerindividuell einzuschränken. Dies geschieht in der Regel unter
Verwendung des Systemrichtlinieneditors (POLEDIT.EXE) oder des
Registrierungseditors (REGEDIT.EXE). Die Benutzung dieser Programme
sollte mit Bedacht und jede Änderung der Registrierung mit äußerster Sorgfalt
ausschließlich durch geschultes Personal erfolgen, weil sehr schnell ein
Systemzustand eingestellt werden kann, der ein Arbeiten mit dem PC nicht
mehr erlaubt. Im ungünstigsten Fall ist dann das Betriebssystem neu zu
installieren oder bestimmte Hardware-Komponenten erneut zu initialisieren
(durch Laden der entsprechenden Treiber).

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.23
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.23

Fehlerhafte Administration eines DBMS

Wird ein Datenbankmanagementsystem (DBMS) nachlässig oder fehlerhaft
administriert, kann dies folgende Gefährdungen nach sich ziehen:
- Verlust von Daten,
- (gezielte oder unbeabsichtigte) Datenmanipulation,
- unberechtigter Zugang zu vertraulichen Daten,
- Verlust der Datenbankintegrität,
- Crash der Datenbank und
- Zerstörung der Datenbank.
Die oben aufgeführten Gefährdungen können durch zu großzügig vergebene
Rechte für die Benutzer, durch eine unregelmäßige oder gar keine Datenbanküberwachung, durch mangelhafte Datensicherungen, durch ungültige,
aber noch nicht gesperrte Kennungen usw. hervorgerufen werden.

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.24
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.24

Unbeabsichtigte Datenmanipulation

Je umfangreichere Zugriffsberechtigungen auf eine Datenbank für die
Anwender bestehen, um so größer ist auch das Risiko einer unbeabsichtigten
Datenmanipulation. Dies kann prinzipiell von keiner Anwendung verhindert
werden. Die grundsätzlichen Ursachen für unbeabsichtigte Datenmanipulationen können z. B. sein:
- mangelhafte oder fehlende Fachkenntnisse,
- mangelhafte oder fehlende Kenntnisse der Anwendung,
- zu umfangreiche Zugriffsberechtigungen und
- Fahrlässigkeit (z. B. das Verlassen des Arbeitsplatzes ohne korrekte
Beendigung der Anwendung).

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.25
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.25

Fahrlässiges Löschen von Objekten

Bei Novell Netware Version 4 ist es erstmalig möglich, das Objekt Admin,
welches bei der Installation automatisch angelegt wurde zu löschen. Das
Objekt Admin, welches den von Netware 3.x bekannten Supervisor ersetzt,
wird bei der Neuinstallation eines Netware 4-Netzes angelegt und besitzt zu
diesem Zeitpunk noch alle Administrationsrechte. Aus der Möglichkeit dieses
Objekt zu löschen entstehen folgende Gefährdungen:
- Wird kein Ersatzadministrator ("Ersatz-Admin") als Objekt in der NDS zu
erzeugt, besteht die Gefährdung das die NDS oder einzelne Container nicht
mehr administriert werden können. Daraus resultiert dann die Notwendigkeit, die NDS neu zu installieren und alle enthaltenen Objekte neu
zu erzeugen, was zu einem vollständigen Ausfall des Netware 4-Netzes
führen kann.
- Bei einer dezentralen Administration eines Netware 4-Netzes werden
üblicherweise Administratoren auf Organisationsebene (Containerebene)
eingerichtet. Durch den IRF (Inherited Rights Filter) kann von diesen das
Vererben von Rechten anderer Administratoren auf untergeordnete Organisationen eingeschränkt bzw. verhindert werden, so daß nur noch der
dezentrale Administrator alle Rechte hat. Wird dieser nun in der NDS
gelöscht, kann eine komplette organisatorische Einheit nicht mehr
administriert werden, da die anderen Administratoren auf diesen Container
keinen Zugriff mehr haben. besser: Durch die dezentrale (Verteilung der
Administrationsaufgaben) Administration ist es nicht mehr möglich, den
Container durch andere Administratoren zu verwalten.

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.26
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.26

Ungewollte Freigabe des Dateisystems

Novell Netware- Ungewollte Freigabe des DateisystemsNovell Netware
Version 4 unterscheidet zwischen Objekt- und Dateirechten. Objektrechte
beinhalten die Berechtigungen zum Anlegen, Ändern, Betrachten oder
Löschen von Objekten der NDS. Unter Dateirechten versteht man die
Berechtigungen zum Lesen, Schreiben, Löschen etc. von Dateien oder
Verzeichnissen. Das NDS Objekt "Server" stellt hierbei die einzige Schnittstelle zwischen dem Objekt- und dem Dateisystem dar.
Aus diesem Grund erhält jeder Benutzer, der als Supervisor für ein Serverobjekt eingetragen ist, somit auch Supervisor-Rechte für das komplette zugehörige Dateisystem, da das Supervisor-Attribut nicht durch einen IRF
(Inherited Rights Filter) gefiltert werden kann. Dadurch bekommt er möglicherweise unbeabsichtigten Zugriff auf vertrauliche Daten, ohne daß dies
bemerkt wird, bzw. beabsichtigt war.

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.27
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.27

Fehlerhafte Zeitsynchronisation

In Novell Netware 4.x können mehrere Server in einem Netz zusammenarbeiten. Um einen reibungslosen Ablauf der Netzdienste, wie z. B. Datumsund Zeitangaben der Dateien, Revision und Protokollierung und die zeitlichen
Beschränkungen bei der Anmeldung zu gewährleisten, ist eine gleiche Uhrzeit
auf allen Servern von großer Bedeutung. Auch Änderungen in einem
Verzeichnisbaum werden in Novell Netware Version 4.x mit einem Zeitstempel versehen, der die Reihenfolge der Abarbeitung bei der Aktualisierung
der NDS festlegt. Aus diesem Grund ist es wichtig, daß für alle Netware 4.x
Server im Netz eine gemeinsame Zeit verwaltet wird.
Dabei können die folgenden Gefährdungen auftreten:
- Wird vor der Installation eines Netware 4.x Servers die interne Hardwareuhr des zugehörigen Rechners nicht überprüft und ggf. angepaßt, so kann
sich der neue Server u. U. nicht mit dem restlichen Netware 4.x Netz
abgleichen, und es besteht die Gefahr einer Fehlfunktion der NDS.
- Kommt es in einem Netz, welches das Einzelreferenz-Verfahren zur
Zeitsynchronisation nutzt, zum Ausfall der Zeitquelle, so ist keine Ersatzzeit mehr verfügbar. Dadurch können Datei- und Objektrechte unkontrolliert verändert werden.
- Veränderungen an der NDS, die aufgrund einer falschen Systemzeit einen
sehr weit in der Zukunft liegenden Zeitstempel haben, werden auch erst zu
diesem Zeitpunkt ausgeführt. Dies kann zu Fehlern oder Problemen führen,
die nur sehr schlecht oder gar nicht nachzuvollziehen sind, da eine sehr
große Zeitspanne zwischen dem Absetzen und dem Ausführen der
entsprechenden Änderungen liegt.
- Wird an einem Netware 4.x Server nachträglich eine Funkuhr angeschlossen, aber die Sommer- bzw. Winterzeit-Umstellung nicht deaktiviert, so
wird eine zusätzliche Stunde korrigiert.

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.28
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.28

Ungeeignete Konfiguration der aktiven Netzkomponenten

Durch eine ungeeignete Konfiguration der Netzkomponenten kann es zu
einem Verlust der Verfügbarkeit des Netzes oder Teilen davon, zu einem
Verlust der Vertraulichkeit von Informationen oder zu einem Verlust der
Datenintegrität kommen. Dabei können insbesondere die folgenden Fehlkonfigurationen unterschieden werden:
- Aktive Netzkomponenten, die zur Bildung von VLANs (Virtual LANs)
eingesetzt werden, segmentieren das Netz logisch. Im Fall einer Fehlkonfiguration kann ggf. die Kommunikation innerhalb eines VLANs, zwischen
einzelnen oder zwischen allen VLANs zum Erliegen kommen. In
Abhängigkeit der VLAN-Strategie des betreffenden Herstellers betrifft dies
zum einen die Zuordnung von miteinander kommunizierenden Systemen
zu den gleichen VLANs, zum anderen auch das VLAN-Routing, insofern
ein solches durch die aktiven Netzkomponenten unterstützt wird.
Beispiel: Bei VLANs, die nur über Router miteinander kommunizieren
können, werden die zentralen Infrastrukturserver, die beispielsweise Dateiund Druckdienste bereitstellen, nicht gleichzeitig auch den VLANs der
Arbeitsplatzsysteme zugeordnet, Router sind ebenfalls nicht vorhanden. In
diesem Fall können einige Arbeitsplatzsysteme die Dienste der zentralen
Infrastrukturserver nicht nutzen, da diese in einem nicht erreichbaren Teilnetz sind.
- Ein Netz kann durch den Einsatz von Routern mittels Teilnetzbildung
strukturiert werden. Für eine Kommunikation zwischen den Teilnetzen ist
eine entsprechende Konfiguration der Router erforderlich, die hierzu die
Leitwege zwischen den verschiedenen Teilnetzen in Routing-Tabellen
vorhalten müssen. Routing-Tabellen können statisch oder dynamisch verwaltet werden. In beiden Fällen ist eine Kommunikation zwischen unterschiedlichen Teilnetzen nicht möglich, wenn die Routing-Tabellen keinen
Leitweg zwischen den betreffenden Teilnetzen enthalten. Zu einer Fehlkonfiguration kann es dementsprechend durch eine fehlerhafte Definition
statischer Routing-Tabellen oder durch eine fehlerhafte Konfiguration der
Routing-Protokolle (wie z. B. RIP oder OSPF) kommen, die zum automatischen Abgleich dynamischer Routing-Tabellen verwendet werden.
Beispiel: Eine Router-zu-Router-Verbindung ist durch einen statischen
Eintrag der entsprechenden IP-Adressen konfiguriert. Bei einer Änderung
der IP-Adresse einer der Router oder durch das Zwischenschalten eines
weiteren Routers ist diese Kommunikationsstrecke nicht mehr verfügbar.
- Aktive Netzkomponenten, die in der Lage sind, Protokolle oder Netzadressen zu filtern, können mit dieser Technik eine Kommunikation
bestimmter Protokolle unterbinden oder eine Kommunikation zwischen
Systemen mit bestimmten Netzadressen verhindern. Eine Fehlkonfiguration der betreffenden Filter kann entsprechend zu einer unerwünschten
Unterbindung der Kommunikation in Abhängigkeit des fehlkonfigurierten
Filters und der Art der Fehlkonfiguration führen.

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.28
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

Ebenso können fehlkonfigurierte Filter dazu führen, daß Verbindungen
aufgebaut werden, die Eindringlingen die Möglichkeit bieten, Angriffe
gegen IT-Systeme im geschützten Netz durchzuführen. Je nach Art des
Angriffs kann daraus ein Verlust der Verfügbarkeit einzelner Netzkomponenten oder auch des ganzen Netzes resultieren. Weiterhin können z. B.
durch die mögliche Manipulation der Verbindungswege Datenpakete
umgeleitet werden oder Datenpakete verändert oder mitgelesen werden.
Beispiele:
Ein Multiport-Repeater ist so konfiguriert, daß nur Systeme mit
bestimmten MAC-Adressen an bestimmte Ports angeschlossen werden
können. Nach einem Austausch der Netzkarte in einem der Endgeräte und
der damit verbundenen Änderung der MAC-Adresse, wird dieses System
keine Verbindung mehr zum Netz bekommen (Verlust der Verfügbarkeit).
Durch eine ungeeignete Konfiguration von aktiven Netzkomponenten
(insbesondere von VLANs oder Filterregeln) können Broadcast-Domänen
unnötig groß werden oder es können unnötige Kommunikationsverbindungen entstehen. Dadurch kann es Unbefugten möglich sein, vertrauliche
Daten zu lesen.

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.29
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.29

Fehlende oder ungeeignete Segmentierung

Lokale Netze können physikalisch durch aktive Netzkomponenten oder
logisch durch eine entsprechende VLAN-Konfiguration segmentiert werden.
Dabei werden die angeschlossenen IT-Systeme eines Netzes auf verschiedene
Segmente verteilt. Dies verbessert die Lastverteilung innerhalb des Netzes und
erhöht dessen Administrierbarkeit.
Dabei kann es zu folgenden konkreten Gefährdungen kommen:
- Verlust der Verfügbarkeit
Durch eine hohe Anzahl von IT-Systemen innerhalb eines Schicht-2Segments erhöht sich in diesem die Netzlast. Dies kann die Verfügbarkeit
dieses Netzsegmentes stark beeinträchtigen oder sogar zu dessen Überlastung und Ausfall führen. Bei CSMA/CD-basierten Netzzugangsprotokollen (z. B. Ethernet) kommt es daneben häufiger zu Kollisionen,
wodurch sich die verfügbare Bandbreite reduziert. Eine ungeeignete
Segementierung kann auch dann vorliegen, wenn Systeme durch aktive
Netzkomponenten der Schicht 2 oder 3 getrennt werden, die sehr viel
miteinander kommunizieren.
- Kein ausreichender Schutz der Vertraulichkeit
Um einen Schutz vertraulicher Daten gewährleisten zu können, sollten
auch nur die unbedingt notwendigen Benutzer darauf Zugriff haben.
Broadcast-Domänen sind daher auf das unbedingt notwendige Maß zu
beschränken. Wurden die einzelnen Segmente jedoch ungeeignet konfiguriert, können nun auch andere Benutzer die übertragenen Nachrichten
mit vertraulichen Daten mitlesen und ggf. auswerten.
Beispiele:
- Zwei IT-Systeme, die große Datenmengen austauschen, sind durch einen
Router getrennt. Dies kann eine ungeeignete Segmentierung darstellen, da
der Datenverkehr durch einen relativ langsamen Router geführt werden
muß.
- Zwei IT-Systeme, die häufig Paßwörter oder andere sensitive Informationen austauschen, sind durch eine Brücke getrennt. Dies bedingt, daß
dieser Datenverkehr in beiden Segmenten abgehört werden kann. Die
Begrenzung des Datenverkehrs zwischen diesen beiden IT-Systemen auf
ein Segment würde einen höheren Schutz der Vertraulichkeit mit sich
bringen.

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.30
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.30

Unerlaubte private Nutzung des dienstlichen
Telearbeitsrechners

Im häuslichen Bereich ist es einfacher, den dienstlichen Telearbeitsrechner
privat zu nutzen, weil Kontrollen durch den Arbeitgeber nur bedingt möglich
sind. Dadurch besteht die Gefahr, daß nicht geprüfte Software eingesetzt wird
oder virenverseuchte Daten auf den Telearbeitsrechner gelangen. Diese unerlaubte Nutzung des Telearbeitsrechners kann nicht nur durch den Telearbeiter
selbst, sondern auch durch Angehörige oder Besucher erfolgen. Insbesondere
Kinder und Jugendliche können versucht sein, den Telearbeitsrechner für
Spielzwecke zu verwenden, teilweise sogar, ohne daß der Telearbeiter dies
merkt. Mögliche Schäden sind beispielsweise: gelöschte Festplatten mit
Totalverlust der Daten, Reinstallationskosten oder Nacherfassungsarbeiten.

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.31
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.31

Unstrukturierte Datenhaltung

Durch unzureichende Vorgaben und/oder fehlende Schulung der Mitarbeiter
kann es zu einer unübersichtlichen Speicherung der Daten auf den benutzten
Datenträgern kommen. Dadurch kann es zu verschiedenen Probleme kommen
wie:
- Speicherplatzverschwendung durch mehrfache Speicherung von Dateien,
- vorschnelle Löschung oder nicht erfolgte Löschung von Daten, da keiner
mehr weiß, was in welchen Dateien gespeichert ist,
- unbefugte Zugriffe, wenn sich Dateien in Verzeichnisse oder auf
Datenträgern befinden, die Dritten zugänglich gemacht werden, oder
- nicht konsistente Versionsstände in verschiedenen Verzeichnen und ITSystemen.
Beispiel:
Es wurde unterlassen, einen neuen Mitarbeiter mit wenig IT-Erfahrung in die
strukturierte Datenhaltung einzuweisen. Bereits nach kurzer Zeit traten
Probleme auf, weil der Benutzer alle Dateien im Hauptverzeichnis gespeichert
hatte, ohne auch nur ein Unterverzeichnis anzulegen.

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.32
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.32

Verstoß gegen rechtliche Rahmenbedingungen
beim Einsatz von kryptographischen Verfahren

Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Dies kann
dazu führen, daß bei der Übermittlung verschlüsselter Datensätze in solche
Länder die Empfänger diese nicht lesen können, da sie die benötigten
Kryptomodule nicht einsetzen können, oder sich vielleicht sogar strafbar
machen.
Außerdem ist in sehr vielen Ländern auch der Export von Produkten mit
starker Kryptographie erheblich eingeschränkt. Hier sind insbesondere die
USA zu nennen. Bei Exportrestriktionen wird häufig die Stärke von an sich
starken Verschlüsselungsprodukten künstlich (durch Reduzierung der Schlüsselmannigfaltigkeit) herabgesetzt. Solche künstlich geschwächten Verfahren
bieten teilweise nicht einmal für mittleren Schutzbedarf ausreichenden Schutz.
Dies gilt z. B. für aus den USA stammende PC-Standardsoftware wie InternetBrowser (SSL), in denen nur eine reduzierte Schlüssellänge von 40 Bit
eingesetzt wird. Teilweise erfordern die Exportregelungen aber auch, daß
Teile der Schlüssel hinterlegt werden, so daß die Kryptomodule zwar im
Prinzip uneingeschränkt nutzbar sind, aber für die ausländischen Nachrichtendienste eine Zugriffsmöglichkeit im Bedarfsfall bleibt.
Auf der anderen Seite können solche Einschränkungen, die beim Einsatz
innerhalb mancher Länder bzw. beim Export gelten, dazu verleiten,
schützenswerte Daten unverschlüsselt zu lassen oder mit minderwertigen
Kryptoprodukten zu schützen. Dies kann zum einen Angreifern Tür und Tor
öffnen und zum anderen auch zum Verstoß gegen nationales Recht führen. So
kann durch Datenschutzgesetze der Einsatz adäquater kryptographischer
Verfahren zum Schutz personenbezogener Daten vorgeschrieben sein.

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.33
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.33

Fehlbedienung von Kryptomodulen

Die Fehlbedienung von Kryptomodulen hat in der Praxis schon öfter zu
Schäden geführt. Diese Fehlbedienung kann verschiedene Auswirkungen
haben:
- Daten werden unverschlüsselt übertragen, weil versehentlich der KlartextModus im Kryptomodul aktiviert wurde.
- Bei der Eingabe von kryptographischen Schlüsseln werden Schlüsselteile
falsch eingegeben. Die Folge ist, daß weder der Sender (dem die Falscheingabe nicht aufgefallen ist) noch der Empfänger (der den wirklich verwendeten Schlüssel nicht kennen kann) die mit dem falsch eingegebenen
Schlüssel chiffrierten Daten korrekt entschlüsseln können.
- Während des Verschlüsselungsvorgangs wird die Stromzufuhr des
Kryptomoduls versehentlich ausgeschaltet. Dies hat zur Folge, daß nur
Teile der Daten verschlüsselt vorliegen, andere Teile unverschlüsselt. In
einem solchen Fall ist es möglich, daß eine Entschlüsselung nicht mehr
möglich ist, weil der Vorgang unkontrolliert abgebrochen wurde.
- Bei Eingabe von Verschlüsselungsparametern werden falsche Parameter
eingegeben. Dies kann zur Folge haben, daß nicht ausreichend sichere
Kryptoalgorithmen oder unsichere kryptographische Schlüssel verwendet
werden.
- Wird der Anwender bei der Schlüsselerzeugung beteiligt, in dem er bei der
Generierung des Schlüssels zur Eingabe von zufälligen Zeichen aufgefordert wird, besteht eine Fehlbedienung auch darin, an dieser Stelle keine
zufälligen Zeichen, sondern bekannte oder leicht erratbare Zeichenketten
(Worte) zu verwenden.
Derlei Fehlbedienungen eines Kryptomoduls können dazu führen, daß die
Vertraulichkeit, die Integrität und die Verfügbarkeit von Daten beeinträchtigt
wird. Als Beispiele seien genannt:
- Daten werden nicht oder nicht mehr verschlüsselt, obwohl die Verschlüsselung zur Wahrung der Vertraulichkeit erforderlich wäre.
- Verschlüsselte Daten können nicht mehr entschlüsselt werden, weil durch
die Fehlbedienung eine ordnungsgemäße Nutzung des Kryptomoduls nicht
mehr möglich ist.
- Daten werden ungewollt oder absichtlich in einer Weise verschlüsselt, die
nicht mehr rekonstruierbar ist, weil der notwendige kryptographische
Schlüssel unbekannt ist.
- Korrekt verschlüsselte Daten werden verändert, so daß die Daten dann
nicht mehr entschlüsselbar sind.

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.34
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.34

Ungeeignete Konfiguration des Managementsystems

Für den sicheren Einsatz eines Netz- und/oder Systemmanagementsystems ist
eine konsistente Konfiguration aller beteiligten Komponenten nötig. Zwar
werden die einzelnen Komponenten in der Regel von einer zentralen Instanz
aus verwaltet (Managementkonsole), das Managementsystem besteht jedoch
aus vielen Einzelkomponenten, die auf die zu verwaltenden Netzkomponenten
verteilt sind. Eine konsistente Konfiguration eines solchen Systems läßt sich
in zwei Bereiche unterteilen:
- Einerseits müssen die mit Hilfe des Managementsystems eingestellten
Konfigurationen der Systemkomponenten (z. B. Rechner, Router) insgesamt konsistent sein. Ein Server sollte also so konfiguriert sein, daß alle
berechtigten Client-Maschinen zugreifen können, aber auch nur diese.
- Andererseits muß auch die Managementsoftware selbst konsistent konfiguriert werden.
Wird beabsichtigt oder unbeabsichtigt die Konsistenz der Konfigurationen
verletzt, so arbeiten die Komponenten nicht mehr reibungslos zusammen, was
zu Sicherheitsproblemen führen kann. Beispielsweise könnte ein Server nicht
mehr zugreifbar oder Zugriffsrechte zu offen gesetzt sein.

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.35
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.35

Server im laufenden Betrieb ausschalten

Wird ein Netz durch ein Managementsystem verwaltet, so existieren
(insbesondere im Bereich Systemmanagement) Server mit Sonderaufgaben.
Auf den sogenannten Managementservern werden in der Regel Datenbanken
mit Managementinformationen gehalten. Werden solche Server im laufenden
Betrieb einfach ausgeschaltet, so werden z. B. die im Speicher des Rechners
gehaltenen Daten nicht mehr auf das Dateisystem geschrieben. Dies hat zur
Folge, daß beim nächsten Start der Maschine Inkonsistenzen auch in den
Managementdaten existieren können. Große Managementsysteme benutzen
deshalb in der Regel Datenbanken, die durch den Einsatz sogenannter Transaktionsmechanismen dafür sorgen, daß die Informationen in einen (alten)
konsistenten Zustand zurückversetzt werden können. Dies verringert die
Gefahr, kann sie jedoch nicht vollständig beseitigen und kann sogar zum
Angriff genutzt werden (Ausnutzen einer alten Konfiguration mit weniger
restriktiven Zugriffsrechten).

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.36
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.36

Fehlinterpretation von Ereignissen

Beim Einsatz eines Managementsystems ist es eine Aufgabe des jeweils verantwortlichen Systemadministrators, die Meldungen des Managementsystems
zu analysieren und zu interpretieren, um dann geeignete Maßnahmen einzuleiten. In der Regel basieren die Meldungen des Managementsystems auf
Überwachungsmechanismen, die Systemprotokolle unterschiedlichster Art
automatisch nach gewissen Regeln durchsuchen. Es ist dabei nicht einfach,
aus der Fülle der anfallenden Protokolldaten automatisiert Anomalien, die auf
Systemfehler hindeuten, zu erkennen und entsprechende Meldungen an den
Systemadministrator zu erzeugen. Darüber hinaus kann ein Fehler hier sogar
unentdeckt bleiben. Die eingehenden Meldungen müssen daher immer vom
Systemadministrator gesichtet und interpretiert werden, da die Meldungen (im
Fehlerfall) auf Fehlersymptome und deren (automatischer) Interpretation
beruhen. Ein Systemadministrator muß hier auch Fehlalarme und Falschmeldungen erkennen können. Werden Systemmeldungen vom Administrator
falsch interpretiert, so führen vermeintlich korrigierende Gegenmaßnahmen
u. U. zu einer Verschlimmerung der Situation.

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.37
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.37

Unproduktive Suchzeiten

Im Internet werden Millionen von Informationsseiten, Dokumente und
Dateien angeboten. Zum Navigieren in diesem riesigen Informationsangebot
wird eine durch einfachen Mausklick zu bedienende Querverweistechnik verwendet. Sie erlaubt den schnellen Wechsel auf weiterführende Informationsseiten, die ihrerseits wieder neue Querverweise auf weitere Seiten beinhalten.
Das Springen über Querverweise von einer Informationsseite zu weiteren wird
als "Surfen" bezeichnet und kann zu sehr langen Suchzeiten führen.
In vielen Organisationen wurden Internetdienste eingeführt, ohne die damit
verbundenen Ziele und erwarteten Auswirkungen vorher konkret zu untersuchen. Die Schulungen und Hilfen für die Benutzer sind häufig nicht ausreichend, so daß es zu unproduktiven Suchzeiten im vielfältigen Angebot des
Internets kommt. Die Kosten für diese Abfragen sind oft weder den Benutzern
noch den IT-Verantwortlichen bekannt. Nach Schätzung einer
Unternehmensberatung entstehen durch Surfen sowie unnötige und langatmige Recherchen im Internet vermeidbare Personal- und Kommunikationskosten in mehrstelliger Millionenhöhe je Jahr.

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

G 3.38
Gefährdungskatalog Menschliche Fehlhandlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 3.38

Konfigurations- und Bedienungsfehler

Konfigurationsfehler entstehen durch eine falsche oder nicht vollständige Einstellung der Parameter und Optionen, mit denen ein Programm gestartet wird.
In diese Gruppe fallen z. B. falsch gesetzte Zugriffsrechte für Dateien. Bei
Bedienungsfehlern sind nicht nur einzelne Einstellungen falsch, sondern es
werden IT-Systeme oder IT-Anwendungen falsch behandelt. Ein Beispiel
hierfür ist das Starten von Programmen, die für den Einsatzzweck des Rechners nicht notwendig sind, aber evtl. von einem Angreifer mißbraucht werden
können.
Beispiele für aktuelle Konfigurations- bzw. Bedienungsfehler sind das Speichern von Paßwörtern auf einem PC, auf dem ungeprüfte Software aus dem
Internet ausgeführt wird (solche Software wurde z. B. im Frühjahr 1998 für
das Ausspähen von T-Online-Paßwörtern eingesetzt), oder das Laden und
Ausführen von schadhaften ActiveX-Controls. Diese Programme, die u. a. die
Aufgabe haben, WWW-Seiten durch dynamische Inhalte attraktiver zu
machen, werden mit den gleichen Rechten ausgeführt, die auch der Benutzer
hat - sie können also beliebig Daten löschen, verändern oder versenden.
Viele Programme, die für die ungehinderte Weitergabe von Informationen in
einem offenen Umfeld gedacht waren, können bei falscher Konfiguration
potentiellen Angreifern Daten liefern, die diese mißbrauchen können. So kann
bspw. der finger-Dienst darüber informieren, wie lange ein Benutzer bereits
am Rechner sitzt. Hierzu gehören auch WWW-Browser, die bei jeder Abfrage
einer Datei eine Reihe von Informationen an den WWW-Server übermitteln
(z. B. die Version des Browsers und des verwendeten Betriebssystems, den
Namen und die Internet-Adresse des PCs). In diesem Zusammenhang sind
auch die Cookies zu nennen. Hierbei handelt es sich um Dateien, in denen
WWW-Server-Betreiber Daten über den WWW-Nutzer auf dem Rechner des
Nutzers speichern. Diese Daten können beim nächsten Besuch des Servers
abgerufen und vom Server-Betreiber für eine Analyse der vom Benutzer
vorher auf dem Server besuchten WWW-Seiten verwendet werden.
Der Einsatz eines Domain Name Systems (DNS), das für die Umsetzung eines
Internet-Namens wie rechner1.universitaet.de in die zugehörige numerische
Adresse zuständig ist, stellt eine weitere Gefahrenquelle dar. Zum einen
ermöglicht ein falsch konfigurierter DNS-Server die Abfrage von vielen
Informationen über ein lokales Netz. Zum anderen hat ein Angreifer durch die
Übernahme dieses Servers die Möglichkeit, gefälschte IP-Nummern zu verschicken, so daß jeglicher Verkehr von ihm kontrolliert werden kann.
Eine große Bedrohung geht auch von den automatisch ausführbaren Inhalten
(Executable Content) in E-Mails oder HTML-Seiten aus. Dies ist unter dem
Stichwort Content-Security-Problem bekannt. Dateien, die aus dem Internet
geholt werden, können Code enthalten, der nur beim "Betrachten" und ohne
Rückfrage beim Benutzer ausgeführt wird. Dies ist z. B. bei Makros in
Winword-Dateien der Fall und wurde zum Erstellen von sogenannten MakroViren ausgenutzt. Auch neue Programmiersprachen und -schnittstellen wie
ActiveX, Javascript oder Java, die für Anwendungen im Internet entwickelt
worden sind, besitzen bei falscher Implementierung der Kontrollfunktionen
ein Schadpotential.

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Juli 1999

G4
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G4

Gefährdungskatalog Technisches Versagen

G 4.1

Ausfall der Stromversorgung .....................................................1

G 4.2

Ausfall interner Versorgungsnetze.............................................2

G 4.3

Ausfall vorhandener Sicherungseinrichtungen ..........................3

G 4.4

Leitungsbeeinträchtigung durch Umfeldfaktoren.......................4

G 4.5

Übersprechen .............................................................................5

G 4.6

Spannungsschwankungen/Überspannung/
Unterspannung ...........................................................................6

G 4.7

Defekte Datenträger ...................................................................7

G 4.8

Bekanntwerden von Softwareschwachstellen ............................8

G 4.9

Ausfall der internen Stromversorgung .......................................9

G 4.10

Komplexität der Zugangsmöglichkeiten zu vernetzten
IT-Systemen.............................................................................10

G 4.11

Fehlende Authentisierungsmöglichkeit zwischen NISServer und NIS-Client..............................................................11

G 4.12

Fehlende Authentisierungsmöglichkeit zwischen XServer und X-Client .................................................................12

G 4.13

Verlust gespeicherter Daten .....................................................13

G 4.14

Verblassen spezieller Fax-Papiere ...........................................14

G 4.15

Fehlerhafte Faxübertragung .....................................................15

G 4.16

Übertragungsfehler bei Fax-Versand .......................................16

entfallen

G 4.17

Technischer Defekt des Fax-Gerätes........................................17

entfallen

G 4.18

Entladene oder überalterte Notstromversorgung im
Anrufbeantworter .....................................................................18

G 4.19

Informationsverlust bei erschöpftem Speichermedium ............19

G 4.20

Datenverlust bei erschöpftem Speichermedium.......................20

G 4.21

Ausgleichsströme auf Schirmungen.........................................21

G 4.22

Software-Schwachstellen oder -Fehler ....................................22

G 4.23

Automatische CD-ROM-Erkennung........................................23

G 4.24

Dateinamenkonvertierung bei Datensicherungen unter
Windows 95 .............................................................................24

G 4.25

Nicht getrennte Verbindungen .................................................25

G 4.26

Ausfall einer Datenbank...........................................................26

G 4.27

Unterlaufen von Zugriffskontrollen über ODBC .....................27

G 4.28

Verlust von Daten einer Datenbank .........................................28

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Januar 2000

G4
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.29

Datenverlust einer Datenbank bei erschöpftem
Speichermedium ......................................................................29

G 4.30

Verlust der Datenbankintegrität/-konsistenz ............................30

G 4.31

Ausfall oder Störung von Netzkomponenten ...........................31

G 4.32

Nichtzustellung einer Nachricht...............................................35

G 4.33

Schlechte oder fehlende Authentikation ..................................36

G 4.34

Ausfall eines Kryptomoduls.....................................................37

G 4.35

Unsichere kryptographische Algorithmen ...............................38

G 4.36

Fehler in verschlüsselten Daten ...............................................40

G 4.37

Mangelnde Zeitauthentizität von E-Mail .................................41

G 4.38

Ausfall von Komponenten eines Netz- und
Systemmanagementsystems.....................................................42

G 4.39

Software-Konzeptionsfehler ....................................................44

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Januar 2000

G 4.1
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.1

Ausfall der Stromversorgung

Trotz hoher Versorgungssicherheit kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Energieversorgungsunternehmen
(EVU). Die größte Zahl dieser Störungen ist mit Zeiten unter einer Sekunde so
kurz, daß der Mensch sie nicht bemerkt. Aber schon Unterbrechungen von
mehr als 10 ms sind geeignet, den IT-Betrieb zu stören. Bei einer bundesweiten Messung mit ca. 60 Meßstellen wurden 1983 rund 100 solcher Netzeinbrüche registriert. Davon dauerten fünf Ausfälle bis zu 1 Stunde und einer
länger als eine Stunde. Diese Unterbrechungen beruhten einzig auf Störungen
im Versorgungsnetz. Dazu kommen Unterbrechungen durch Abschaltungen
bei nicht angekündigten Arbeiten oder durch Kabelbeschädigungen bei Tiefbauarbeiten.
Von der Stromversorgung sind nicht nur die offensichtlichen, direkten Stromverbraucher (PC, Beleuchtung usw.) abhängig. Alle Infrastruktureinrichtungen
sind heute direkt oder indirekt vom Strom abhängig, z. B. Aufzüge,
Rohrpostanlagen, Klimatechnik, Gefahrenmeldeanlagen, Telefonnebenstellenanlagen. Selbst die Wasserversorgung in Hochhäusern ist wegen der zur
Druckerzeugung in den oberen Etagen erforderlichen Pumpen stromabhängig.
Beispiel:
In einem großen süddeutschen Industriebetrieb war die gesamte Stromversorgung für mehrere Stunden unterbrochen, da technische Probleme beim
Stromversorgungsunternehmen aufgetreten waren. Infolgedessen fielen
sowohl die Produktion als auch sämtliche Rechner der Entwicklungsabteilungen aus, die über keine Ersatz-Stromversorgung verfügten.

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.2
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.2

Ausfall interner Versorgungsnetze

Es gibt in einem Gebäude eine Vielzahl von Netzen, die der Ver- und Entsorgung und somit als Basis für die IT dienen. Der Ausfall von Versorgungsnetzen wie:
- Strom,
- Telefon und
- Klima/Lüftung
kann zu einer sofortigen Störung des IT-Betriebs führen. Demgegenüber kann
es bei Ausfall in den Bereichen:
- Heizung,
- Wasser,
- Löschwasserspeisungen,
- Abwasser,
- Rohrpost,
- Gas,
- Melde- und Steueranlagen (Einbruch, Brand, Hausleittechnik) und
- Sprechanlagen
unter Umständen zu zeitverzögerten Störungen kommen.
Die Netze sind in unterschiedlich starker Weise voneinander abhängig, so daß
sich Betriebsstörungen in jedem einzelnen Netz auch auf andere auswirken
können.
Beispiele:
- Der Ausfall der Stromversorgung wirkt nicht nur auf die IT direkt, sondern
auch auf alle anderen Netze, die mit elektrisch betriebener Steuer- und
Regeltechnik ausgestattet sind. Selbst in Abwasserleitungen sind u. U.
elektrische Hebepumpen vorhanden.
- Mit modernen TK-Anlagen (ISDN-Technik) ist es möglich, LANs aufzubauen. Störungen im TK-Netz wirken sich automatisch auf das dort realisierte LAN aus.
- Der Ausfall der Wasserversorgung beeinträchtigt evtl. die Funktion von
Klimaanlagen.
- Der Ausfall der Klimaanlage kann die Nutzung des Gebäudes durch zu
starke Erwärmung bzw. Abkühlung oder wegen mangelhaftem Luftaustausch beeinträchtigen.

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.3
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.3

Ausfall vorhandener Sicherungseinrichtungen

Durch technische Defekte oder äußere Einflüsse (z. B. aufgrund von Alterung,
Fehlbedienung, mangelhafter Wartung, Manipulation, Stromausfall) kann es
zum Ausfall von Sicherungseinrichtungen kommen, so daß ihre
Schutzwirkung stark herabgesetzt ist oder gänzlich ausfällt. Beispiele dafür
sind:
- defekte Türschlösser,
- unzureichend funktionierende Feuerlöscher,
- verschmutzte Brandmelder,
- beschädigte Schlüssel oder Ausweiskarten,
- festgeklemmte Riegelkontakte in Türen,
- Einbrennen von Standbildern in Überwachungsmonitoren und
- mit Holzkeilen aufgehaltene Brandabschnittstüren.

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.4
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.4

Leitungsbeeinträchtigung durch Umfeldfaktoren

Die Übertragungseigenschaften von Kabeln mit elektrischer Signalübertragung können durch elektrische und magnetische Felder negativ beeinflußt
werden. Ob dies zu einer tatsächlichen Störung der Signalübertragung führt,
hängt im wesentlichen von drei Faktoren ab:
- Frequenzbereich, Stärke und Dauer der Einwirkung,
- Abschirmung des Kabels und
- Schutzmaßnahmen bei der Datenübertragung (Redundanz, Fehlerkorrektur).
Viele Beeinträchtigungen lassen sich im Vorfeld erkennen:
- Entlang von Starkstromtrassen und im Bereich großer Motoren entstehen
starke induktive Felder (Eisenbahn, Produktionsbetrieb, Aufzug),
- Im Bereich von Sendeeinrichtungen existieren elektromagnetische Felder
(Rundfunk, Polizei/Feuerwehr, Betriebsfunk, Personensuchanlagen, Funknetze),
- Mobiltelefone ("Handys") überschreiten durch ihre Sendeleistung (2 bis 4
Watt) die Störempfindlichkeit vieler IT-Systeme,
- Kabel beeinflussen sich gegenseitig durch wechselseitige Induktion.
Unabhängig von den rein elektrischen oder magnetischen Einflüssen können
weitere Umfeldfaktoren auf ein Kabel wirken:
- hohe Temperaturen (in der Prozesssteuerung),
- aggressive Gase und
- hohe mechanische Belastungen (z. B. bei provisorischer Verlegung auf
dem Fußboden oder Leitungen zu beweglichen Geräten).

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.5
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.5

Übersprechen

Übersprechen ist eine spezielle Form der Leitungsbeeinträchtigung. Dabei
wird die Störung nicht allgemein im Umfeld, sondern durch Ströme und
Spannungen von Signalen erzeugt, die auf eine benachbarte Leitung übertragen werden. Die Stärke dieses Effektes ist vom Kabelaufbau
(Abschirmung, Kabelkapazität, Isolationsgüte) und von den elektrischen
Parametern bei der Informationsübertragung (Strom, Spannung, Frequenz)
abhängig.
Nicht jede Leitung, die durch Übersprechen beeinflußt wird, muß ihrerseits
auch andere beeinflussen. Bekannt ist dies aus dem Telefonnetz. Dort sind
Gespräche anderer Netzteilnehmer zu hören. Diese reagieren aber auf die
Aufforderung "aus der Leitung zu gehen" oft deswegen nicht, weil das Übersprechen nur in eine Richtung geschieht. Das Prüfen eigener Leitungen auf
eingekoppelte Fremdsignale gibt keine Auskunft darüber, ob die eigenen
Signale auf andere Leitungen übersprechen und somit dort abhörbar sind.
Der wesentliche Unterschied zu anderen Leitungsstörungen ist der, daß neben
der Störung der Signalübertragung auf benachbarten Leitungen durch Übersprechen auswertbare Informationen auf fremden Leitungen zur Verfügung
stehen können.

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.6
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.6

Spannungsschwankungen/Überspannung/
Unterspannung

Durch Schwankungen der Versorgungsspannung kann es zu Funktionsstörungen und Beschädigungen der IT kommen. Die Schwankungen reichen von
extrem kurzen und kleinen Ereignissen, die sich kaum oder gar nicht auf die
IT auswirken, bis zu Totalausfällen oder zerstörerischen Überspannungen. Die
Ursache dafür kann in allen Bereichen des Stromversorgungsnetzes entstehen,
vom Netz des Energieversorgungsunternehmens bis zum Stromkreis, an dem
die jeweiligen Geräte angeschlossen sind.

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.7
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.7

Defekte Datenträger

Der Ausfall bzw. der Defekt einzelner Datenträger durch technische Mängel
oder Beschädigung ist kein Einzelfall. Betroffen sind Massenspeicher wie
Festplatten, Bänder oder Kassettensysteme. Festplatten können durch den
"Headcrash" des Schreib-/Lesekopfes, Bänder oder Kassetten durch direkte
mechanische Einwirkung zerstört werden. Auch CD-ROMs können durch
Verkratzen der Oberfläche unbrauchbar werden. Vor allem aber Disketten
sind von Ausfällen betroffen. Häufig stellt man fest, dass diese nicht mehr
beschreibbar oder lesbar sind.
Beispiele:
- In einem mittelständischen Unternehmen kam es aufgrund von Bauarbeiten
zur Staubentwicklung. Die Staubpartikel gelangten auf die Magnetplatte
des im Unternehmen eingesetzten Rechners und führten zu einem
"Headcrash", in dessen Folge Daten zerstört wurden.
- Beim Laptop eines Außendienstmitarbeiters kam es zu unerklärlichen
Ausfallerscheinungen, obwohl der Laptop immer sorgfältig verpackt
transportiert wurde. Es stellte sich heraus, dass die Festplatte des Laptops
durch einen Magneten beschädigt worden war, der zur Befestigung eines
Klapptisches im Zug diente.
- Während der Datensicherung eines Multimedia-PCs wurden ZIP-Disketten
auf dessen Lautsprecher zwischengestapelt. Durch die Magnete in den
Lautsprechern wurden Teile der Datenträger gelöscht.

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Januar 2000

G 4.8
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.8

Bekanntwerden von Softwareschwachstellen

Unter Softwareschwachstellen sollen unbeabsichtigte Programmfehler
verstanden werden, die dem Anwender nicht oder noch nicht bekannt sind und
ein Sicherheitsrisiko für das IT-System darstellen. Es werden ständig neue
Sicherheitslücken in vorhandener, auch in weit verbreiteter oder ganz neuer
Software gefunden.
Beispiele:
Bekannte Beispiele für Softwareschwachstellen waren:
- Ein Sendmail Bug unter Unix, durch den es für jeden Benutzer möglich
war, unter der UID und GID von sendmail Programme auszuführen und
Dateien zu verändern.
- Die Routine gets unter Unix. Diese wurde vom Programm fingerd zum
Einlesen einer Zeile benutzt, ohne dass eine Überprüfung der Variablengrenzen vorgenommen wurde. So konnte durch einen Überlauf der Stack
so verändert werden, dass eine neue Shell gestartet werden konnte.
- cgi-scripte, die mit WWW-Servern mitgeliefert wurden. Entfernte
Anwender konnten sensible Informationen über den WWW-Server
erlangen.
- Ein Bug in der DNS-Software ermöglichte das Fälschen zwischengespeicherter DNS-Daten.
- Fehlerhafte Implementationen des TCP/IP-Stacks. Diese ermöglichten das
Lahmlegen ganzer Netze mittels übergroßer oder anders manipulierter
Pakete.

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Januar 2000

G 4.9
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.9

Ausfall der internen Stromversorgung

Der Einsatz eines mobilen IT-Systems, z. B. eines Laptop, setzt voraus, daß
das System über eine vom Versorgungsnetz unabhängige Stromversorgung
verfügt. Diese meist mit wiederaufladbaren Batterien konzipierte Stromversorgung reicht üblicherweise für eine mehrstündige Betriebsdauer. Nach
dieser Zeit ist die ausreichende Stromversorgung nicht mehr gesichert, so daß
das IT-System außer Betrieb genommen bzw. an das Stromnetz angeschlossen
werden muß. Die überwiegende Zahl der mobilen Systeme überprüft
kontinuierlich die Versorgungsspannung und zeigt einen kritischen
Spannungsabfall an. Wird diese Anzeige ignoriert, kann es passieren, daß das
System plötzlich seinen Dienst versagt und die letzten Arbeitsergebnisse im
Hauptspeicher verloren gehen.

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.10
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.10

Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen

Im Gegensatz zu Stand-alone-Systemen, bei denen im wesentlichen der
Login-Prozeß für die Zugangskontrolle verantwortlich ist und die somit nur
durch schlechte oder fehlende Paßwörter korrumpiert werden können, gibt es
auf Netzrechnern sehr viele komplexe Prozesse, die die verschiedensten Arten
von Zugängen erlauben. So ermöglicht z. B. unter Unix der sendmail-Daemon
das Einbringen von Texten (Mails) in den Netzrechner, der FTP-Daemon
einen, wenn auch etwas eingeschränkten, Login, der u. U. (anonymous FTP)
nicht einmal durch ein Paßwort geschützt ist, der telnet-Daemon einen
kompletten Login.
Server-Systeme wie Windows NT oder Novell Netware vermeiden aus
Sicherheitsgründen die Übertragung von Klartext-Paßwörtern. Dieser
Schutzmechanismus wird jedoch durch den Einsatz von Diensten wie FTP
oder Telnet unterlaufen, da hier wieder Klartext-Paßwörter Verwendung
finden.
Abgesehen davon, daß alle diese Prozesse durch eine falsche oder fehlerhafte
Konfiguration eine Sicherheitslücke darstellen können, ist auf Grund ihres
Umfanges natürlich auch die Wahrscheinlichkeit, daß in einem dieser Prozesse ein sicherheitsrelevanten Programmierfehler ist, wesentlich größer.

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.11
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.11

Fehlende Authentisierungsmöglichkeit
zwischen NIS-Server und NIS-Client

Kennt man den NIS-Domain-Namen, lässt sich jeder Rechner als Client
anmelden, und es lassen sich alle NIS-Maps, insbesondere also auch die
passwd-Map, abrufen.
Ist es möglich, Administrationsrechte auf einem Rechner zu bekommen, lässt
sich auf diesem ein NIS-Server-Prozess (ypserv) an einem privilegierten Port
starten. Startet man nun den Client-Prozess ypbind auf dem zu infiltrierenden
Rechner neu und sorgt dafür, dass der eigene Server-Prozess vor dem
korrekten NIS-Server antwortet, lässt sich jede beliebige Information an den
Client überspielen.

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Januar 2000

G 4.12
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.12

Fehlende Authentisierungsmöglichkeit
zwischen X-Server und X-Client

Für das X-Window-System gilt im besonderen Maße, daß es ohne geeignete
Sicherheitsmechanismen, wie z. B. "Magic Cookies" oder Verwendung von
Secure Shell, nur in einer vertrauenswürdigen Umgebung eingesetzt werden
sollte. Ohne Sicherheitsfunktionen besteht für alle beteiligten Benutzer die
Möglichkeit, sowohl den X-Client als auch den X-Server zu korrumpieren.
Der X-Server-Prozeß, der auf einem Rechner für die Ein- und Ausgabe
zuständig ist, kann nicht erkennen, wem der X-Client-Prozeß gehört, der mit
ihm kommuniziert. Alle X-Clients können also auf alle Daten, die auf einem
X-Server eingegeben werden, zugreifen, und der X-Server hat keine
Möglichkeit festzustellen, von welchem X-Client er Daten erhält. So simuliert
z. B. das Programm meltdown das optische "Schmelzen" des Bildschirms
eines beliebigen X-Servers. Genauso ist es möglich, Daten von einem xtermClient zu lesen oder ihm eigene Daten zu schicken, also z. B. Bildschirmabzüge von einem anderen, mit X-Windows arbeitenden Rechner zu
machen.
Beispiele:
- Mit dem Tool xspy lassen sich automatisiert Tastatureingaben auf einem
Xterm remote protokollieren.
- Fenster, die von einem Angreifer auf einem X-Server dargestellt werden,
sind optisch nicht von denen des eigentlich gewünschten X-Clients zu
unterscheiden. Ein Angreifer kann auf diese Weise falsche Informationen
einschleusen oder mit Hilfe von gefälschten Fenstern die Eingabe von
sensitiven Informationen provozieren.

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Januar 2000

G 4.13
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.13

Verlust gespeicherter Daten

Der Verlust gespeicherter Daten kann erhebliche Auswirkungen auf den ITEinsatz haben. Sind die Anwendungsdaten oder die Kundenstammdaten verloren oder verfälscht, so können privatwirtschaftliche Betriebe in ihrer
Existenz bedroht sein. Der Verlust oder die Verfälschung wichtiger Dateien
kann in Behörden Verwaltungs- und Fachaufgaben verzögern oder sogar ausschließen.
Dabei können die Gründe für den Verlust gespeicherter Daten vielfältiger Art
sein:
- Entmagnetisierung von magnetischen Datenträgern durch Alterung oder
durch ungeeignete Umfeldbedingungen (Temperatur, Luftfeuchte),
- Störung magnetischer Datenträger durch äußere Magnetfelder,
- Zerstörung von Datenträgern durch höhere Gewalt wie Feuer oder Wasser,
- versehentliches Löschen oder Überschreiben von Dateien,
- technisches Versagen von Peripheriespeichern (Headcrash),
- fehlerhafte Datenträger,
- unkontrollierte Veränderungen gespeicherter Daten (Integritätsverlust) und
- vorsätzliche Datenzerstörung durch Computer-Viren usw.

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.14
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.14

Verblassen spezieller Fax-Papiere

Bei Fax-Geräten, die im Thermodruckverfahren arbeiten, muß Spezialpapier
eingesetzt werden, auf dem oft bereits nach relativ kurzer Zeit die Schrift bis
zur Unlesbarkeit verblaßt oder durch Schwärzung des Papieres unlesbar wird.
Außerdem können sich diese Papiere bei Kontakt mit Textmarkern oder Klebstoffen so verfärben, daß der Text nicht mehr lesbar ist.

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.15
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.15

Fehlerhafte Faxübertragung

Beim Faxversand können Störungen auf dem Übertragungsweg oder an den
beteiligten Geräten auftreten. Dadurch können Faxsendungen unvollständig,
unlesbar oder gar nicht beim Empfänger ankommen. Entscheidungen, die von
diesen Informationen abhängig sind, können fehlerhaft sein und somit
Schäden verursachen.

Störungen auf dem
Übertragungsweg

Weiterhin besteht die Gefahr, dass ein Fax an einen falschen Empfänger
übermittelt wird. Ursache kann eine Fehlschaltung im öffentlichen Telekommunikationsnetz sein. Ebenso ist denkbar, dass bei herkömmlichen
Faxgeräten Rufnummern falsch gewählt oder Zielwahltasten falsch
programmiert werden. Bei der Verwendung von Faxservern kann eine
Empfänger-Rufnummer falsch eingegeben oder im Adressbuch falsch abgespeichert werden. Dadurch können unter Umständen vertrauliche Informationen unbefugten Personen bekannt werden. Der mögliche Schaden ist von
der Vertraulichkeit der Informationen abhängig. Darüber hinaus wird der
Absender im Glauben bleiben, dass das Fax ordnungsgemäß an den
gewünschten Adressaten übermittelt wurde. Hierdurch auftretende Zeitverzögerungen können zu Schäden führen.

Zustellung an einen
falschen Empfänger

Beispiel:
Eine bekannte deutsche Firma verlor einen Großauftrag, weil das Angebot
versehentlich an einen falschen Empfänger versandt wurde.

Hinweis:
Die Maßnahmen G 4.16 Übertragungsfehler bei Fax-Versand und
G 4.17 Technischer Defekt des Fax-Gerätes wurden in der Gefährdung
G 4.15 Fehlerhafte Faxübertragung integriert.

_____________________________________________________________________ ..........................................
15-17

IT-Grundschutzhandbuch: Stand Januar 2000

G 4.18
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.18

Entladene oder überalterte Notstromversorgung
im Anrufbeantworter

Bei Anrufbeantwortern mit einem digitalen Speicher wird der Ausfall der
Netzenergieversorgung durch Batterie oder Akkumulator überbrückt, um so
den Speicherinhalt zu erhalten. Ist die Kapazität von Batterie oder Akkumulator vor Ende der Netzunterbrechung erschöpft, werden in der Regel der
Ansagetext und zusätzlich bei digitaler Anrufaufzeichnung auch die bereits
aufgesprochenen Nachrichten gelöscht.

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.19
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.19

Informationsverlust bei erschöpftem Speichermedium

Ist das Speichermedium (digitaler Speicher oder Audiokassette) des Anrufbeantworters mit aufgezeichneten Anrufen erschöpft, so ist eine weitere Aufzeichnung entweder nicht mehr möglich oder vorher aufgesprochene Nachrichten werden durch neue Anrufe überschrieben. In beiden Fällen entsteht ein
Informationsverlust.

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.20
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.20

Datenverlust bei erschöpftem Speichermedium

Jedes Speichermedium kann nur begrenzt viele Daten aufnehmen. Wenn diese
Grenze erreicht ist, kann das zu Datenverlusten führen, aber auch dazu, dass
Dienste nicht mehr verfügbar sind, wie z. B. dass
- Benutzer keine Daten mehr abspeichern können,
- eingehende E-Mail abgewiesen wird,
- eingehende und ggf. ausgehende Faxsendungen abgewiesen werden, oder
- keine Protokollierung mehr möglich ist bzw. dass noch nicht ausgewertete
Protokolldaten überschrieben werden.
Die Kapazität des Speichermediums kann aus verschiedenen Gründen plötzlich erschöpft sein, z. B. durch Fehler in Anwendungsprogrammen, erhöhten
Speicherbedarf der Benutzer oder auch durch einen gezielten Angriff, bei dem
vorsätzlich der vorhandene Speicherplatz reduziert wird, um eine Protokollierung zu verhindern.

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Januar 2000

G 4.21
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.21

Ausgleichsströme auf Schirmungen

Werden IT-Geräte, die über ein TN-C-Netz elektrisch versorgt werden, durch
Datenleitungen mit beidseitig aufgelegtem Schirm miteinander verbunden,
kann es zu Ausgleichsströmen auf dem Schirm kommen (eine erläuternde
Zeichnung findet man in M 1.39 Verhinderung von Ausgleichsströmen auf
Schirmungen).
Ursache dafür ist die Eigenart des TN-C-Netzes, daß bei ihm Schutz- (PE-)
und Neutral- (N-) Leiter bis zu den einzelnen Verteilungen gemeinsam als
PEN-Leiter geführt werden. Erst in der Verteilung erfolgt die Aufteilung in NLeiter und PE-Leiter. Diese Installation ist gemäß VDE 0100 zulässig!
Werden die mit PE verbundenen Schnittstellen-Schirmungen von Geräten, die
an verschiedenen Verteilungen angeschlossen sind, durch geschirmte Datenleitungen miteinander verbunden, kommt es zu einer Parallelschaltung des
PEN-Leiters zwischen den Verteilungen und der Schirmung zwischen den
Schnittstellen. Der dadurch über die Schirmung fließende Ausgleichsstrom
kann zu Schäden an den Schnittstellen und zu Personengefährdungen bei
Arbeiten an den Datenleitungen führen.
Zwischen Geräten, die in einem TN-C-Netz an der gleichen Verteilung oder
zwischen Geräten, die in einem TN-S-Netz - auch an verschiedenen Verteilungen - angeschlossen sind, fließen keine Ausgleichsströme über die Schirmung von Datenleitungen.
Bei TN-CS-Netzen sind einige Teilbereiche als TN-C-Netz, andere als TN-SNetz ausgeführt. Solange Datenleitungen mit beidseitig aufgelegtem Schirm
nur jeweils innerhalb gleichartiger Teilbereiche geführt werden, gelten dort
die gleichen Verhältnisse wie in den jeweiligen Netzen. Werden jedoch ITGeräte aus unterschiedlichen Bereichen über Datenleitungen mit beidseitig
aufgelegter Schirmung verbunden, können auch im TN-S-Bereich Ausgleichsströme fließen!

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.22
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.22

Software-Schwachstellen oder -Fehler

Wie für jede Software gilt auch für Standardsoftware: je komplexer sie ist,
desto häufiger treten Programmierfehler auf. Es ist zu beobachten, daß hohe
Erwartungen der Anwender und zeitlich zu knapp bemessene Erscheinungstermine bei Standardsoftwareprodukten auch dazu führen, daß die Hersteller
ihre Produkte teilweise unausgereift oder nicht fehlerfrei anbieten. Werden
diese Softwarefehler nicht erkannt, können die bei der Anwendung entstehenden Fehler zu weitreichenden Folgen führen.
Beispiele:
- Die Stärke der in Standardsoftware implementierten Sicherheitsfunktionalitäten (wie Paßwörter oder Verschlüsselungsalgorithmen) wird vom
Anwender häufig zu hoch eingeschätzt. Häufig können diese Sicherheitsfunktionalitäten einem sachkundigen Angriff nicht dauerhaft standhalten.
Dies gilt z. B. für die Verschlüsselungsfunktionen, die in vielen Textverarbeitungsprogrammen integriert sind. Für fast alle davon gibt es im Internet zahlreiche Tools, um diese Verschlüsselung zu überwinden.
- Nachweislich führte das Auftreten eines bestimmten Wortes in der Rechtschreibprüfung eines Textverarbeitungsprogrammes immer zu dessen
Absturz.
- Vielfach enthält Standardsoftware nicht dokumentierte Funktionen, wie
sog. "Ostereier" oder "Gagscreens”, mit denen sich die Entwickler des
Produktes verewigt haben. Zum einen werden hierdurch zusätzliche ITRessourcen verbraucht, zum anderen wird dadurch auch deutlich, daß im
Softwaretest die gesamte Funktionalität des Produktes nicht bis ins letzte
geklärt werden kann.
- Die meisten Warnmeldungen der Computer Emergency Response Teams
in den letzten Jahren bezogen sich auf sicherheitsrelevante Programmierfehler. Dies sind Fehler, die bei der Erstellung von Software entstehen und
dazu führen, daß diese Software von Angreifern mißbraucht werden kann.
Der größte Teil dieser Fehler wurde durch Speicherüberläufe (Buffer
Overflow) hervorgerufen. Hierbei handelt es um Fehler, bei denen eine
Routine zum Einlesen von Zeichen nicht prüft, ob die Länge der eingegebenen Zeichenkette mit der Länge des dafür vorgesehenen Speicherbereiches übereinstimmt. Dadurch ist es Angreifern möglich, eine überlange Zeichenfolge zu übertragen, so daß hinter dem für die Eingabe
reservierten Speicherbereich zusätzliche Befehle gespeichert werden
können, die zur Ausführung gebracht werden. Diese Befehle können z. B.
beliebige Programme sein.
- Eine weitere große Anzahl von Warnmeldungen wurde durch Verfügbarkeitsangriffe (Denial of Service, DoS) verursacht, bei denen durch Fehler
in einzelnen Routinen, die für die Netzdatenverarbeitung eingesetzt
werden, der gesamte Rechner zum Absturz gebracht werden kann (siehe
z. B. CERT Advisory 97.28 zu IP Denial-of-Service Attacks: Teardrop and
Land-Attack).

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.23
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.23

Automatische CD-ROM-Erkennung

Bei eingeschalteter CD-ROM-Erkennung unter Windows 95 oder
Windows NT werden CD-ROMs automatisch erkannt und die Datei
AUTORUN.INF automatisch ausgeführt, wenn diese sich im Wurzelverzeichnis der CD-ROM befindet. Diese Datei kann beliebige auf der CDROM gespeicherte Programme (z. B. mit Schadfunktion) automatisch ausführen.
Ob diese Option eingeschaltet ist, erkennt man zum Beispiel unter
Windows 95 daran, daß der Explorer vor dem CD-ROM-Laufwerksbuchstaben den Namen der CD-ROM automatisch einblendet. Ein Nebeneffekt
hierbei ist, daß Energiespar-Funktionen in der Regel nicht mehr aktiviert
werden.

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.24
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.24

Dateinamenkonvertierung bei
Datensicherungen unter Windows 95

Werden zur Datensicherung unter Windows 95 Programme benutzt, die lange
Dateinamen nicht unterstützen, so sind alle langen Dateinamen vor der Datensicherung mit dem zum Lieferumfang von Windows 95 gehörenden
Programm LFNBK.EXE und der Option /B in die 8.3er-Konvention zu
konvertieren. Anschließend ist das Datensicherungsprogramm aufzurufen.
Schließlich sind die ursprünglichen Dateinamen mit LFNBK.EXE /R wieder
herzustellen.
Dieses Verfahren ist jedoch mit Vorsicht anzuwenden, da zum einen bei der
Namenskonvertierung Informationen verloren gehen können, zum anderen
sich Dateien nicht mehr herstellen lassen, sobald sich die Verzeichnisstruktur
nach der Datensicherung auf diesem PC geändert hat. Dies kann dann einen
Datenverlust zur Folge haben.

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.25
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.25

Nicht getrennte Verbindungen

Bei der Verwendung von ISDN-Kommunikationskarten kann es vorkommen,
daß eine über die Kommunikations-Software ausgelöste Verbindung nicht
tatsächlich durch die ISDN-Karte getrennt wird. Besteht der Verdacht eines
solchen Defekts, läßt sich dieser durch einen Anrufversuch bei der betreffenden ISDN-Rufnummer leicht verifizieren.
Beispiel:
Ein Netzadministrator hat vor seinem 14-tägigen Urlaub eine ISDN-Datenverbindung zu seinem Internet-Provider aufgebaut. Bei Beendigung der
Sitzung wurde die ISDN-Verbindung nicht korrekt ausgelöst. Nach Beendigung des Urlaubs wunderte sich der Administrator über die recht hohe Rechnung für Verbindungsentgelte von Seiten des ISDN-Carriers.

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.26
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.26

Ausfall einer Datenbank

Steht eine Datenbank, z. B. aufgrund von Hardware- oder Software-Problemen bzw. durch Sabotage, nicht mehr zur Verfügung, so kann dies je nach
Einsatzzweck und Bedeutung der Datenbank weitreichende Folgen haben.
Sämtliche Anwendungen, die auf die Daten der Datenbank angewiesen sind,
können nicht mehr benutzt werden und fallen ebenfalls aus. Die Benutzer
solcher Anwendungen können ihre Aufgaben nur noch teilweise oder gar nicht
mehr wahrnehmen, falls sie diese nicht mit manuellen Mitteln erfüllen
können. Je nach Art der Aufgaben, die nur mittels IT-Unterstützung unter
Benutzung der Datenbank ausgeführt werden können, sind folgende Konsequenzen möglich:
- wirtschaftlicher Schaden,
- Sicherheitsrisiken, die bis hin zu Beeinträchtigungen im persönlichen
Bereich führen können (z. B. bei medizinischen Datenbanken),
- bedingte oder komplette Handlungsunfähigkeit.

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.27
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.27

Unterlaufen von Zugriffskontrollen über ODBC

Existierende Zugangs- oder Zugriffskontrollen einer Datenbank können unterlaufen werden, wenn auf die Datenbank außerhalb einer Anwendung über
ODBC (Open Database Connectivity) zugegriffen wird und bei der Installation der ODBC-Treiber Fehler gemacht wurden. In diesem Fall kann ein
Schutz vertraulicher Daten nicht mehr gewährleistet werden, ebenso ist auch
die Manipulation von Daten ohne weiteres möglich.

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.28
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.28

Verlust von Daten einer Datenbank

Ein Verlust von Daten einer Datenbank kann auf vielfältige Art und Weise
verursacht werden. Dies kann sich von ungewollten Datenmanipulationen
(z. B. durch das unbeabsichtigte Löschen von Daten) über einen Verlust durch
einen Crash der Datenbank bis hin zu gezielten Angriffen erstrecken.
Dadurch ist die Verfügbarkeit und die Vollständigkeit der Daten nicht mehr
gewährleistet, und es kann zu folgenden Konsequenzen kommen:
- Bestimmte Anwendungen, die auf die Daten der Datenbank angewiesen
sind, können ggf. nicht mehr oder nicht mehr in vollem Umfang ausgeführt
werden.
- Der Informationsgehalt der Daten in ihrer Gesamtheit geht verloren.
- Es entsteht ein hoher Aufwand, um die zerstörten Daten wiederzubeschaffen.
Je nach Ursache des Datenverlustes kann es schwer bis unmöglich sein festzustellen, welche Daten nicht mehr vorhanden sind. Dies kann weitere wirtschaftliche Schäden oder Sicherheitsrisiken nach sich ziehen.
Beispiel:
Bei Änderungen des Datenmodells müssen zunächst die alten Tabellen und
Strukturen gesichert und dann gelöscht werden. Anschließend werden die
neuen Tabellen angelegt. Danach müssen die alten Datenbestände konvertiert
und in die geänderten Tabellen eingespielt werden. Durch Fehler bei diesen
Abläufen kann es schnell passieren, daß Daten verloren gehen oder sich nicht
mehr einspielen lassen.

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.29
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.29

Datenverlust einer Datenbank bei erschöpftem
Speichermedium

Jedes Speichermedium kann nur begrenzt viele Daten aufnehmen. Dies gilt
auch für eine Datenbank, die für die dauerhafte Speicherung ihrer Daten auf
ein physikalisches Speichermedium zurückgreifen muß. Ist dieses erschöpft,
kann es zu einem Crash der Datenbank und einem Verlust von Daten
kommen. Die sich daraus ergebenden Konsequenzen werden in G 4.28 Verlust
von Daten einer Datenbank beschrieben.
Die Kapazität des Speichermediums kann aus verschiedenen Gründen plötzlich erschöpft sein, z. B. durch Fehler in Anwendungsprogrammen, erhöhtem
Speicherbedarf der Benutzer oder auch durch einen gezielten Angriff, bei dem
vorsätzlich der vorhandene Speicherplatz reduziert wird, um z. B. eine Protokollierung zu verhindern.

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.30
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.30

Verlust der Datenbankintegrität/-konsistenz

Ein Verlust der Datenbankintegrität/-konsistenz bedeutet, daß die Daten in der
Datenbank zwar noch vorhanden sind, aber einen fehlerhaften oder sinnlosen
Wert angenommen haben. Dadurch können die Daten nicht mehr korrekt
verarbeitet werden. Dies kann auf vielfältige Art und Weise verursacht
werden, von ungewollten Datenmanipulationen (z. B. durch das unbeabsichtigte Ändern von Daten) über eine fehlerhafte Synchronisationskontrolle der
Transaktionen bis hin zu gezielten Angriffen.
Dadurch kann es zu folgenden Konsequenzen kommen:
- Bestimmte Aufgaben, die auf die korrekten Daten der Datenbank angewiesen sind, können ggf. nicht mehr oder nicht mehr in vollem Umfang
durchgeführt werden.
- Der Informationsgehalt der Daten in ihrer Gesamtheit wird verfälscht.
- Es entsteht ein hoher Aufwand, um die Datenintegrität und Datenkonsistenz der Datenbank wiederherzustellen.
Je nach Ursache der Verletzung der Datenbankintegrität/-konsistenz kann es
schwer bis unmöglich sein festzustellen, welche Daten verändert wurden. Dies
kann weitere wirtschaftliche Schäden oder Sicherheitsrisiken nach sich ziehen.
Beispiel:
Aus Platzmangel und Zeitdruck wurde auf einem Unix-Server eine Datei einer
Datenbank im /tmp-Dateisystem angelegt. Dieses wurde durch einen cron-Job
über Nacht gelöscht, so daß daraufhin die gesamte Datenbank nicht mehr
nutzbar war.

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.31
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.31

Ausfall oder Störung von Netzkomponenten

Durch einen Ausfall oder eine Störung von aktiven Netzkomponenten kommt
es zu einem Verlust der Verfügbarkeit des Netzes oder von Teilbereichen
davon. Hier können 3 Varianten unterschieden werden:
- Bei Ausfall oder Störung der kompletten Netzkomponente ist das gesamte
Netz für alle angeschlossenen Endgeräte nicht mehr verfügbar. Beim Ausfall oder Störung nur eines Ports ist nur für das dort angeschlossene Endgerät das Netz nicht mehr verfügbar.
Beispiel: Fällt, wie in der folgenden Abbildung dargestellt, der zentrale
Switch 1 völlig aus, ist keinerlei Kommunikation zwischen den angeschlossenen Endgeräten mehr möglich.
Switch 1

Arbeitsplatz 1

Arbeitsplatz 2

Server 1

Server 2

Arbeitsplatz 3

Arbeitsplatz 4

- Es handelt sich um aktive Netzkomponenten, die zwar nicht direkt an den
Netzsegmenten von miteinander kommunizierenden Arbeitsplatz- und
Serversystemen angeschlossen sind, jedoch im Signalpfad zwischen
Arbeitsplatz- und Serversystemen liegen. Falls keine redundanten Signalpfade zwischen den betreffenden Arbeitsplatz- und Serversystemen zur
Verfügung stehen, kann bei Ausfall oder Störung einer oder mehrerer
dieser Komponenten keine oder nur eingeschränkte Kommunikation
zwischen Arbeitsplatz- und Serversystemen mehr stattfinden.
Beispiel: Fällt, wie in der folgenden Abbildung dargestellt, Switch 1 völlig
aus, ist von den Arbeitsplätzen 3 und 4 weder eine Kommunikation mit den
beiden Servern noch mit den anderen Arbeitplätzen möglich.

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.31
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................
Switch 1

Switch 2

Switch 3

Server 1

Arbeitsplatz 1

Arbeitsplatz 2

Server 2

Arbeitsplatz 3

Arbeitsplatz 4

- Es handelt sich um aktive Netzkomponenten, die nicht notwendigerweise
im Signalpfad zwischen Arbeitsplatz- und Serversystemen liegen, da ein
zweiter, redundanter Signalpfad existiert. Dies können z. B. aktive Netzkomponenten sein, die aus Redundanzgründen oder zum Load-Balancing
installiert sind. Bei Ausfall oder Störung einer oder mehrerer dieser
Komponenten ist eine Kommunikation zwischen Arbeitsplatz- und Serversystemen weiter möglich, es tritt jedoch dennoch ein Bandbreitenverlust im
Netz ein, da redundante Signalpfade ggf. nicht mehr vorhanden sind oder
eine Lastverteilung im Netz nicht mehr im vollen Umfang möglich ist.
Beispiel: Fällt, wie in der folgenden Abbildung dargestellt, einer der
redundanten Switches 1-1 oder 1-2 aus, kann dies einen Bandbreitenverlust
in der Kommunikation zwischen den Arbeitsplätzen und dem Server zur
Folge haben.

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.31
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................
Switch 1-1

Switch 1-2

Switch 2

Switch 3

Server 1

Arbeitsplatz 1

Arbeitsplatz 2

Arbeitsplatz 3

Arbeitsplatz 4

Zur Beurteilung des Ausfallrisikos können die herstellerseitig angegebenen
MTBFs (Mean Time Between Failure) der Komponenten herangezogen
werden.
Bei Hubs können prinzipiell zwei Techniken unterschieden werden, wie die
Verbindung zwischen den einzelnen Modulen und damit den angeschlossenen
Segmenten erfolgt. Bei Produkten mit passiver Backplane, dem Element,
welches die Verbindung zwischen Modulen herstellt, stellt diese lediglich die
elektrische Verbindung zwischen den Modulen her. Die eigentliche Steuerungselektronik ist auf den einzelnen Modulen untergebracht. Bei Produkten
mit aktiver Backplane stellt diese zusätzliche Funktionalität bereit, wie konfigurierbare Kommunikation zwischen den Modulen, Signalverstärkung usw.
Generell sollte berücksichtigt werden, daß aktive Netzkomponenten mit
aktiver Backplane störanfälliger sind, als aktive Netzkomponenten mit passiver Backplane. Durch den Ausfall einer aktiven Backplane fällt die gesamte
Kommunikation innerhalb der entsprechenden Netzkomponente aus. Eine
passive Backplane kann aufgrund ihrer Bauweise dagegen nur durch mechanische Gewalteinwirkung oder durch höhere Gewalt (z. B. Blitzschlag) zerstört werden. Weiterhin stellt das Netzteil der Komponenten eine häufige
Störungsursache dar, da alle aktiven Netzkomponenten auf eine stabile
Stromversorgung angewiesen sind. Viele Komponenten lassen sich deshalb
mit redundanten Netzteilen ausrüsten oder sind hiermit bereits ausgestattet. Im
gleichen Maße kann der Ausfall einer passiven Netzkomponente den Verlust
der Verfügbarkeit eines Netzes bedingen. Dies trifft beispielsweise für Kabel
und Steckverbinder zu, die Segmente miteinander verbinden. Diese
Gefährdung kann z. B. bei nicht sachgemäßer Installation der Kabel (z. B.
Nichtbeachtung des maximalen Biegeradiuses), fehlerhafter Konfektion der

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.31
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

Kabel mit Steckverbindern (insbesondere bei LWL) oder Störungen durch
elektromagnetische Unverträglichkeit eintreten.
Beispiel: Fällt, wie in der folgenden Abbildung dargestellt, die Verbindung
zwischen Switch 3 und Switch 1 durch ein defektes Kabel oder einen defekten
Steckverbinder aus, können die Arbeitsplätze 3 und 4 weder mit den Servern,
noch mit den Arbeitsplätzen 1 und 2 kommunizieren. Eine Kommunikation
zwischen den Arbeitsplätzen 3 und 4 ist jedoch weiterhin möglich.
Switch 1

Switch 2

Switch 3

Server 1

Arbeitsplatz 1

Arbeitsplatz 2

Server 2

Arbeitsplatz 3

Arbeitsplatz 4

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.32
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.32

Nichtzustellung einer Nachricht

Der Datenaustausch über E-Mail ist schnell und komfortabel, aber nicht
immer sehr zuverlässig. Aufgrund von Hardware- oder Softwarefehlern bei
den beteiligten IT-Systemen oder durch Störungen auf dem Übertragungsweg
kommt es immer wieder zum Nachrichtenverlust. Die technischen Probleme
können vielfältige Ursachen haben, z. B. können Leitungen beschädigt sein,
Netzkopplungselemente ausfallen oder die Kommunikationssoftware falsch
konfiguriert sein. E-Mails können auch verloren gehen, weil die Empfängeradresse nicht korrekt angegeben war. Dabei ist das größte Problem, daß die
Benutzer häufig nicht über die unterbliebene Zustellung der E-Mail informiert
werden. Auf eine automatisierte Unterrichtung bei einer unterbliebenen
Zustellung kann nicht vertraut werden.
Viele E-Mail-Programme bieten Optionen wie "Zustellung bestätigen" oder
"Empfang bestätigen". Entsprechende Rückmeldungen sollten aber nicht
überbewertet werden. Zum einen werden die Zustellbestätigungen häufig nicht
durch die Ankunft einer E-Mail am Bildschirmarbeitsplatz des Empfängers
ausgelöst wird, sondern durch die Ankunft bei einem Mail-Server. Ob der
Mail-Server die E-Mail erfolgreich an den Adressaten weitergeleitet hat, wird
dann nicht mehr mitgeteilt. Zum anderen erfolgt auch häufig keine
tellbestätigung, obwohl die E-Mail korrekt übertragen wurde, wenn diese
Option durch die Empfängerseite nicht unterstützt wird.

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.33
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.33

Schlechte oder fehlende Authentikation

Authentikationsmechanismen können zur Authentikation von Benutzern oder
Komponenten oder zur Bestimmung des Datenursprungs eingesetzt werden.
Wenn Authentikationsmechanismen fehlen oder zu schlecht sind, besteht die
Gefahr, daß
- Unbefugte auf IT-Systeme oder Daten Zugriff nehmen können,
- die Verursacher von Problemen nicht identifiziert werden können oder
- die Herkunft von Daten nicht bestimmt werden kann.
Sicherheitslücken entstehen
- bei der Benutzerauthentikation, wenn z. B. Benutzer Paßwörter wählen, die
einfach zu erraten sind, oder wenn sie die Paßwörter nie wechseln,
- bei der Komponentenauthentikation, wenn z. B. nach Inbetriebnahme eines
IT-Systems Default-Paßwörter nicht durch individuell gewählte ersetzt
werden, wenn die Paßwörter, die bei vielen IT-Systemen fest eingegeben
werden, nie wieder geändert werden oder wenn die Paßwörter nicht sicher
hinterlegt werden und sich nach einem Systemabsturz herausstellt, daß das
jetzt dringend benötigte Paßwort vergessen wurde,
- bei der Wahl der Verfahren, wenn diese z. B. völlig untauglich sind oder
Sicherheitslücken bekannt werden, auf die im laufenden Betrieb aber nicht
reagiert wird.

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.34
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.34

Ausfall eines Kryptomoduls

Wird ein Kryptomodul zur Sicherung der Vertraulichkeit schützenswerter
Daten eingesetzt, kommt dem fehlerfreien Funktionieren des Kryptomoduls
eine besondere Bedeutung zu. Der Ausfall eines solchen im Einsatz befindlichen Kryptomoduls kann auf verschiedene Ursachen zurückzuführen sein:
- technischer Defekt, der die Funktionsfähigkeit beeinträchtigt,
- Stromausfall, in dessen Folge die flüchtig gespeicherten kryptographischen
Schlüssel gelöscht werden, so daß das Kryptomodul infolgedessen nicht
mehr ordnungsgemäß verschlüsseln kann,
- unabsichtliche oder absichtliche Zerstörung durch mechanische Einwirkung, Fehlbedienung oder ähnliches.
Die Folgeschäden aufgrund des Ausfalls eines Kryptomoduls können ebenfalls vielseitig sein. Hier sind insbesondere zu nennen:
- Die kryptographische Absicherung einer Datenübertragungsstrecke ist
nicht mehr möglich, so daß die Vertraulichkeit temporär nicht mehr
gewahrt werden kann. Dies ist insbesondere dann kritisch, wenn der Ausfall nicht bemerkt wird und durch die Fehlfunktion keine Verschlüsselung
mehr stattfindet, obwohl die Anwender auf die Sicherstellung der Vertraulichkeit der Daten durch das Kryptomodul bauen.
- Verschlüsselte Daten können nicht mehr entschlüsselt werden, solange das
erforderliche Kryptomodul nicht mehr verfügbar ist. Daraus können sich
Verfügbarkeitsprobleme für IT-Anwendungen ergeben, die die entschlüsselten Daten weiterverarbeiten.
- Arbeitet das Kryptomodul fehlerhaft, ohne daß ein vollständiger Ausfall
eintritt, werden Daten unvollständig oder inkorrekt verschlüsselt. In beiden
Fällen kann es bedeuten, daß im Falle der Datenübertragung der Empfänger der Daten bzw. bei lokaler Speicherung der Daten der Anwender die
Daten nicht mehr korrekt entschlüsseln kann. Ohne entsprechende Datensicherungen bedeutet dies ggf. einen Totalverlust der Daten.

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.35
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.35

Unsichere kryptographische Algorithmen

Der Sicherheitszugewinn durch Einsatz kryptographischer Verfahren ist
grundsätzlich von zwei Parametern abhängig: es müssen sichere kryptographische Algorithmen eingesetzt werden und die geheimen Schlüssel
müssen vertraulich gehandhabt werden (zur Kompromittierung kryptographischer Schlüssel siehe G 5.83).
Unsichere kryptographische Algorithmen sind dadurch gekennzeichnet, daß es
einem potentiellen Angreifer mit vertretbaren Ressourcen gelingt, das
eingesetzte kryptographische Verfahren zu brechen. Bei Verschlüsselungsalgorithmen bedeutet dies, daß es gelingt, aus dem verschlüsselten Text den
ursprünglichen Klartext zu ermitteln, ohne daß zusätzliche Informationen
bekannt sind. Dabei sind als relevante Ressourcen auf Angreiferseite z. B. die
verfügbare Rechenleistung, Hilfsmittel wie Analysetools, vorhandene
Kenntnisse, verfügbare Arbeitszeit, Kenntnisse über Schwachstellen etc. zu
berücksichtigen. Werden also unsichere kryptographische Algorithmen eingesetzt, besteht für Angreifer die Möglichkeit, den kryptographischen Schutz zu
unterlaufen.
Ob jedoch ein kryptographischer Algorithmus unsicher ist, muß jeweils im
Einzelfall untersucht werden. Es gibt jedoch einige Kriterien, die auf
Unsicherheiten schließen lassen:
- Werden bei symmetrischen Verschlüsselungsverfahren geheime Schlüssel
benutzt, deren effektive Länge geringer als 60 Bit ist, so können sie heute
mit massivem Rechnereinsatz durch Ausprobieren aller potentiell möglichen Schlüssel gebrochen werden. Mit steigender Rechnerleistung ist
anzunehmen, daß diese Grenze in Zukunft auf 80 Bit steigen wird.
- Werden bei asymmetrischer Verschlüsselungs- und Signaturverfahren
Algorithmen eingesetzt, deren Sicherheit auf dem Problem des Faktorisierens großer Zahlen basiert, so wird heute angenommen, daß Schlüssellängen von weniger als 768 Bit als unsicher zu betrachten sind. Dies
begründet sich in den Fortschritten bei der Entwicklung effizienter Faktorisierungsalgorithmen, die heute unter massivem Rechnereinsatz Faktorisierungen von Zahlen mit rund 500 Bit erlauben. Daneben ist die mögliche
Entwicklung von opto-elektronischen Beschleunigern für einen
wesentlichen Teil-Rechenschritt bei diesen Verfahren in Betracht zu
ziehen, was diese wesentlich beschleunigen würde.
- Hashfunktionen, die eine beliebig lange Zeichenkette auf einen Hashwert
mit konstanter Bitlänge abbilden, können als unsicher betrachtet werden,
wenn die konstante Länge des Hashwertes geringer ist als 128 Bit, da sonst
zwei Zeichenketten ermittelt werden können, die den gleichen Hashwert
ergeben.
- Kryptographische Algorithmen, die von unerfahrenen Entwicklern entworfen wurden und nicht in der wissenschaftlichen Szene untersucht wurden,
sollten als potentiell unsicher betrachtet werden, da die Entwicklung
sicherer kryptographischer Algorithmen langjährige Erfahrung voraussetzt.
- Nicht veröffentlichte kryptographische Algorithmen, die auffällig schnell
in Software ablaufen, sollten ebenfalls als potentiell unsicher betrachtet

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.35
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

werden. Die Erfahrung zeigt, daß sichere Algorithmen meist auf komplexen mathematischen Funktionen beruhen müssen.
- Bei der Anwendung kryptographischer Verfahren werden häufig Zufallszahlen benötigt. Schlechte Zufallszahlengeneratoren können dazu führen,
daß die damit erzeugten Werte vorhersagbar sind. Dadurch können z. B.
kryptographische Checksummen, die die Nachrichtenintegrität sicherstellen sollen, wertlos werden.
Von diesen Kriterien betroffen ist beispielsweise der weltweit sehr häufig
eingesetzte DES-Algorithmus zur symmetrischen Verschlüsselung. Dieser
benutzt eine effektive Schlüssellänge von 56 Bit. Der sogenannte Tripel-DESAlgorithmus als dreifache Hintereinanderausführung mit zwei Schlüsseln hat
eine effektive Schlüssellänge von 112 Bit und kann zur Zeit als ausreichend
sicher betrachtet werden. Auch betroffen ist der RSA-Algorithmus, der als
asymmetrisches Verfahren auf dem Faktorisierungsproblem basiert. Wird
dieser mit einer Schlüssellänge unter 512 Bit betrieben, kann von potentiellen
Unsicherheiten ausgegangen werden. Für die nächsten Jahre wird eine
Schlüssellänge von mehr als 1024 Bit als ausreichend sicher angesehen.
Ein häufiges Beispiel unsicherer, aber sehr schneller Algorithmen ist die
sogenannte XOR-Funktion, bei der konstante Werte mit dem ursprünglichen
Klartext auf einfache Weise verknüpft werden. Dies ist ein hochperformanter
Algorithmus, der jedoch sehr schnell gebrochen werden kann. Die XORFunktion kann andererseits aber der sicherste Verschlüsselungsalgorithmus
überhaupt sein, wenn die zu verschlüsselnden Daten mit nicht vorhersagbaren
Zufallswerten XOR-iert werden (One-Time-Pad).
Für den Laien ist es praktisch unmöglich, festzustellen, ob ein kryptographischer Algorithmus ausreichend sicher ist. Daher sollten nur solche
Algorithmen eingesetzt werden, die bekanntermaßen von Experten entwickelt
wurden oder die einer langjährigen Untersuchung durch die wissenschaftliche
Szene unterzogen wurden.

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.36
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.36

Fehler in verschlüsselten Daten

Liegen Daten in verschlüsselter Form vor und werden diese verändert, kann es
bei der Entschlüsselung der Daten dazu kommen, daß die Daten nicht mehr
korrekt entschlüsselt werden können. Je nach Betriebsart der Verschlüsselungsroutinen kann dies bedeuten, daß nur wenige Bytes falsch entschlüsselt
werden oder daß sämtliche Daten ab dem Fehler falsch entschlüsselt werden.
Gibt es keine Datensicherung, kann dies einen Totalverlust der Daten bedeuten.
Die genannten Fehler in den verschlüsselten Daten können auf verschiedene
Weise entstehen:
- Bei der Datenübertragung der verschlüsselten Daten kommt es zu einem
Übertragungsfehler, der nicht behoben werden kann.
- Auf dem Speichermedium (Diskette, Festplatte) kommt es zu einem irreparablen Fehler.
- Ein Computer-Virus führt an den Daten Manipulationen durch.
- Ein Dritter führt absichtlich Manipulationen an den Daten durch,
beispielsweise indem die verschlüsselten Daten mit einem Editor-Programm an wenigen Stellen manipuliert werden.
In ungünstigen Fällen, wenn z. B. ein Bitverlust auftritt oder zu große
Datenmengen verändert werden und eine Fehlerfortpflanzung stattfindet,
können die Daten selbst bei Kenntnis des kryptographischen Verfahrens und
der zur Verschlüsselung benutzten Schlüssel nicht mehr rekonstruiert werden.
Noch kritischer kann sich ein Fehler in den verwendeten kryptographischen
Schlüsseln auswirken. Schon die Änderung eines einzigen Bits eines kryptographischen Schlüssels führt dazu, daß sämtliche damit verschlüsselten Daten
nicht mehr entschlüsselt werden können. Ohne eine Datensicherung des
kryptographischen Schlüssels sind diese Daten verloren.

_____________________________________________________________________ ..........................................
40

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.37
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.37

Mangelnde Zeitauthentizität von E-Mail

In einer E-Mail können verschiedene Zeitinformationen wie über Absendezeit,
Weiterleitungszeiten oder Empfangszeit enthalten sein. Diese sind allerdings
nicht manipulationssicher. Die Absendezeit kann beispielsweise durch
Verstellen der Systemzeit auf dem Ursprungsrechner gefälscht werden. Im
Verlauf des Weges, den eine E-Mail vom Absender zum Empfänger nimmt,
kann der Mail-Header, insbesondere Einträge von Uhrzeit, Datum und
Adresse des Mail-Servers, beliebig gefälscht werden. Als weitere Attacke ist
das systematische und gezielte Verfälschen und Umleiten von SMTP-Paketen
zu nennen.

_____________________________________________________________________ ..........................................
41

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.38
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.38

Ausfall von Komponenten eines Netz- und
Systemmanagementsystems

Bei einem Netz- und Systemmanagementsystem kann es zu einem Ausfall
verschiedener Komponenten kommen. Einige der dadurch entstehenden
Probleme und Gefährdungen sind im folgenden beschrieben.
Ausfall von verwalteten Komponenten
Fallen beim Einsatz eines Netz- und Systemmanagementsystems damit verwaltete Komponenten aus, so kann es je nach Managementsystem vorkommen, daß die Managementinformationen nicht automatisch aufgrund dieses
Ereignisses aktualisiert werden. In der Regel wird dem Systemadministrator
z. B. bei Netzmanagementsystemen nur das Ausfallen der Komponente angezeigt. Wird z. B. der Ausfall der Komponente von einem Angreifer beobachtet
oder bewußt herbeigeführt, so kann dieser u. U. außerhalb des LANs einen
eigenen Rechner in das System einbringen und als die ausgefallene Komponente ausgeben (IP-Spoofing). Dieser Rechner kann dann zu weiteren Angriffen genutzt werden, bei denen er dann mit den Rechten eines internen Rechners ausgestattet ist (z. B. Einbringen falscher Managementinformationen).
Ausfall von Überwachungskomponenten
Fallen beim Einsatz eines Managementsystems Teile des Systems (auch
unbemerkt) aus, so sind die durch die Komponente überwachten oder verwalteten Systemkomponenten nicht mehr an das Managementsystem angeschlossen. Neue eingehende Managementanweisungen werden dadurch nicht
mehr auf diesen Rechnern umgesetzt. Dies hat zur Folge, daß inkonsistente
Systemkonfigurationen entstehen, die wiederum zu Sicherheitsproblemen
führen können.
Nichtverfügbarkeit der zentralen Managementstation
Fällt in einem durch ein Managementsystem verwalteten Netz die zentrale
Managementstation aus, so kann das System nicht mehr zentral verwaltet
werden. Dauert die Nichtverfügbarkeit länger an, weil z. B. die Hardware
aufgrund fehlender Wartungsverträge nicht kurzfristig ersetzt werden kann, so
werden unter Umständen Routinefunktionen wie etwa Datensicherungen nicht
mehr angestoßen. Werden nun "von Hand" Änderungen an den einzelnen
verwalteten Systemen unkoordiniert durchgeführt, so entstehen Inkonsistenzen und möglicherweise Sicherheitsprobleme.
Ausfall von Netzkoppelelementen während der Übertragung von
Managementinformationen
Beim Einsatz eines Managementsystems zur Verwaltung eines Rechnernetzes
ist der Austausch von sogenannter Managementinformation zwischen den
einzelnen Komponenten des Managementsystems nötig. Die Information wird
über das lokale Netz übertragen. Lokale Netze bestehen in der Regel (je nach
verwendeter Netztechnik) aus mehreren Teilnetzen, die über Netzkoppelelemente wie Router miteinander verbunden sind. Die Netzkoppelelemente
reichen dabei Daten aus einem Teilnetz in ein anderes Teilnetz weiter. Fallen
die Koppelelemente aus, so ist dies gleichbedeutend mit der physikalischen
Trennung der betroffenen Teilnetze. Managementinformationen können dann

_____________________________________________________________________ ..........................................
42

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.38
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

nicht mehr ausgetauscht werden. Dabei existiert in der Regel ein Teilnetz, das
noch von der jeweiligen Managementstation verwaltet werden kann, und ein
Teilnetz, das nicht mehr verwaltet werden kann. Je nach Dauer der Nichterreichbarkeit führt dies zu Inkonsistenzen und Sicherheitsproblemen.

_____________________________________________________________________ ..........................................
43

IT-Grundschutzhandbuch: Stand Juli 1999

G 4.39
Gefährdungskatalog Technisches Versagen
Bemerkungen
_____________________________________________________________________ ..........................................

G 4.39

Software-Konzeptionsfehler

Bei der Planung von Programmen und Protokollen können
sicherheitsrelevante Konzeptionsfehler entstehen. Häufig sind diese Fehler
historisch gesehen durchaus verständlich. So ist sicherlich keiner der
Entwickler der im Internet verwendeten Protokolle Ende der 60er Jahre davon
ausgegangen, daß diese Protokolle einmal die Grundlage für ein
weltumspannendes und kommerziell höchst bedeutendes Computer-Netz
werden würden.
Beispiele für Konzeptionsfehler sind die offene Übertragung der Daten im
Internet, so daß Daten (z. B. Paßwörter) mitgelesen oder verändert werden
können, oder die Möglichkeit, Pakete mit Internet-Adressen zu versenden, die
einem anderen Rechner zugeteilt worden sind. Ein Spezialfall hiervon ist die
sogenannte FTP-Bounce-Attacke, bei der ausgenutzt wird, daß die
Verbindung, die beim FTP-Protokoll für die Datenübertragung eingesetzt
wird, zu einem beliebigen Rechner aufgebaut werden kann. Im ungünstigen
Fall können auf diese Weise sogar Firewalls mit dynamischen Paketfiltern
überwunden werden (siehe CERT Advisory 97-27). Weitere Fehler in den
Internet-Protokollen sind sicherlich vorhanden und werden zukünftig
publiziert werden.
Ein weiteres Beispiel für einen Konzeptionsfehler ist das sogenannte DNSSpoofing (siehe auch G 5.78 DNS-Spoofing). Das Domain Name System ist
der zentrale Auskunftsdienst im Internet, der die Übersetzung der leicht
merkbaren Rechnernamen wie www.preiswert.de in die zugehörige InternetAdresse ermöglicht. Bei DNS-Spoofing versucht ein Angreifer, einem
Rechnernamen einen falschen Rechner zuzuweisen, so daß Auskunftsuchende
fehlgeleitet werden.
Eine weiteres Beispiel für einen Konzeptionsfehler ist die Möglichkeit,
anonym sehr viele Werbe-E-Mails zu versenden (Mail-Spamming). Hierbei
werden häufig fremde Mail-Server als sogenannte Remailer eingesetzt, so daß
Gegenaktionen durch den Empfänger ins Leere laufen. Die Ursache für diese
Angriffe liegt eindeutig in den mangelhaften Authentisierungsmöglichkeiten,
die das Internet zur Zeit bietet.

_____________________________________________________________________ ..........................................
44

IT-Grundschutzhandbuch: Stand Juli 1999

G5
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G5

Gefährdungskatalog Vorsätzliche Handlungen

G 5.1

Manipulation/Zerstörung von IT-Geräten oder Zubehör ...........1

G 5.2

Manipulation an Daten oder Software .......................................2

G 5.3

Unbefugtes Eindringen in ein Gebäude .....................................3

G 5.4

Diebstahl ....................................................................................4

G 5.5

Vandalismus...............................................................................5

G 5.6

Anschlag ....................................................................................6

G 5.7

Abhören von Leitungen .............................................................7

G 5.8

Manipulation an Leitungen ........................................................8

G 5.9

Unberechtigte IT-Nutzung .........................................................9

G 5.10

Mißbrauch von Fernwartungszugängen ...................................10

G 5.11

Vertraulichkeitsverlust in TK-Anlagen gespeicherter
Daten........................................................................................11

G 5.12

Abhören von Telefongesprächen und
Datenübertragungen .................................................................12

G 5.13

Abhören von Räumen ..............................................................13

G 5.14

Gebührenbetrug........................................................................14

G 5.15

"Neugierige" Mitarbeiter..........................................................15

G 5.16

Gefährdung bei Wartungs-/Administrierungsarbeiten
durch internes Personal ............................................................16

G 5.17

Gefährdung bei Wartungsarbeiten durch externes
Personal....................................................................................17

G 5.18

Systematisches Ausprobieren von Paßwörtern ........................18

G 5.19

Mißbrauch von Benutzerrechten ..............................................19

G 5.20

Mißbrauch von Administratorrechten ......................................20

G 5.21

Trojanische Pferde ...................................................................21

G 5.22

Diebstahl bei mobiler Nutzung des IT-Systems.......................22

G 5.23

Computer-Viren .......................................................................23

G 5.24

Wiedereinspielen von Nachrichten ..........................................26

G 5.25

Maskerade ................................................................................27

G 5.26

Analyse des Nachrichtenflusses ...............................................28

G 5.27

Nichtanerkennung einer Nachricht...........................................29

G 5.28

Verhinderung von Diensten .....................................................30

G 5.29

Unberechtigtes Kopieren der Datenträger................................31

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

G5
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.30

Unbefugte Nutzung eines Fax-Gerätes ....................................32

G 5.31

Unbefugtes Lesen eingegangener Fax-Sendungen...................33

G 5.32

Auswertung von Restinformationen in Fax-Geräten................34

G 5.33

Vortäuschen eines falschen Absenders bei Fax-Geräten..........35

G 5.34

Absichtliches Umprogrammieren der Zieltasten eines
Fax-Gerätes ..............................................................................36

G 5.35

Überlastung durch eingehende Fax-Sendungen .......................37

G 5.36

Absichtliche Überlastung des Anrufbeantworters....................38

G 5.37

Ermitteln des Sicherungscodes ................................................39

G 5.38

Mißbrauch der Fernabfrage......................................................40

G 5.39

Eindringen in Rechnersysteme über
Kommunikationskarten ............................................................42

G 5.40

Abhören von Räumen mittels Rechner mit Mikrofon ..............43

G 5.41

Mißbräuchliche Nutzung eines Unix-Systems mit Hilfe
von uucp...................................................................................44

G 5.42

Social Engineering ...................................................................45

G 5.43

Makro-Viren ............................................................................46

G 5.44

Mißbrauch von Remote-Zugängen für
Managementfunktionen von TK-Anlagen................................47

G 5.45

Ausprobieren von Paßwörtern unter WfW und
Windows 95 .............................................................................48

G 5.46

Maskerade unter WfW .............................................................49

G 5.47

Löschen des Post-Office ..........................................................50

G 5.48

IP-Spoofing ..............................................................................51

G 5.49

Mißbrauch des Source-Routing................................................52

G 5.50

Mißbrauch des ICMP-Protokolls .............................................53

G 5.51

Mißbrauch der Routingprotokolle............................................54

G 5.52

Mißbrauch von Administratorrechten im Windows NT
System......................................................................................55

G 5.53

Bewußte Fehlbedienung von Schutzschränken aus
Bequemlichkeit ........................................................................56

G 5.54

Vorsätzliches Herbeiführen eines Abnormal End ....................57

G 5.55

Login Bypass ...........................................................................58

G 5.56

Temporär frei zugängliche Accounts .......................................59

G 5.57

Netzanalyse-Tools....................................................................60

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Juli 1999

G5
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.58

"Hacking Novell Netware" ......................................................61

G 5.59

Mißbrauch von Administratorrechten unter Novell
Netware 3.x ..............................................................................62

G 5.60

Umgehen der Systemrichtlinien...............................................63

G 5.61

Mißbrauch von Remote-Zugängen für
Managementfunktionen von Routern.......................................64

G 5.62

Mißbrauch von Ressourcen über abgesetzte IT-Systeme.........65

G 5.63

Manipulationen über den ISDN-D-Kanal ................................66

G 5.64

Manipulation an Daten oder Software bei
Datenbanksystemen .................................................................67

G 5.65

Verhinderung der Dienste eines Datenbanksystems ................68

G 5.66

Unberechtigter Anschluß von IT-Systemen an ein Netz..........69

G 5.67

Unberechtigte Ausführung von
Netzmanagementfunktionen ....................................................70

G 5.68

Unberechtigter Zugang zu den aktiven
Netzkomponenten ....................................................................71

G 5.69

Erhöhte Diebstahlgefahr am häuslichen Arbeitsplatz ..............72

G 5.70

Manipulation durch Familienangehörige und Besucher...........73

G 5.71

Vertraulichkeitsverlust schützenswerter Informationen...........74

G 5.72

Mißbräuchliche E-Mail-Nutzung .............................................75

G 5.73

Vortäuschen eines falschen Absenders ....................................76

G 5.74

Manipulation von Alias-Dateien oder Verteilerlisten ..............77

G 5.75

Überlastung durch eingehende E-Mails ...................................78

G 5.76

Mailbomben .............................................................................79

G 5.77

Mitlesen von E-Mails...............................................................80

G 5.78

DNS-Spoofing..........................................................................81

G 5.79

Unberechtigtes Erlangen von Administratorrechten
unter Windows NT...................................................................83

G 5.80

Hoax.........................................................................................84

G 5.81

Unautorisierte Benutzung eines Kryptomoduls .......................85

G 5.82

Manipulation eines Kryptomoduls ...........................................86

G 5.83

Kompromittierung kryptographischer Schlüssel......................87

G 5.84

Gefälschte Zertifikate...............................................................88

G 5.85

Integritätsverlust schützenswerter Informationen ....................89

G 5.86

Manipulation von Managementparametern..............................90

_____________________________________________________________________ ..........................................
iii

IT-Grundschutzhandbuch: Stand Januar 2000

G5
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.87

Web-Spoofing ..........................................................................91

G 5.88

Mißbrauch aktiver Inhalte ........................................................92

G 5.89

Hijacking von Netz-Verbindungen ..........................................93

G 5.90

Manipulation von Adressbüchern und Verteillisten.................94

_____________________________________________________________________ ..........................................
iv

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.1
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.1

Manipulation/Zerstörung von IT-Geräten oder
Zubehör

Außentäter, aber auch Innentäter, können aus unterschiedlichen Beweggründen (Rache, Böswilligkeit, Frust) heraus versuchen, IT-Geräte, Zubehör,
Schriftstücke oder Ähnliches zu manipulieren oder zu zerstören. Die Manipulationen können dabei umso wirkungsvoller sein, je später sie entdeckt
werden, je umfassender die Kenntnisse des Täters sind und je tiefgreifender
die Auswirkungen auf einen Arbeitsvorgang sind. Die Auswirkungen reichen
von der unerlaubten Einsichtnahme in schützenswerte Daten bis hin zur Zerstörung von Datenträgern oder IT-Systemen, die erhebliche Ausfallzeiten nach
sich ziehen können.

unterschiedliche Motive

Beispiel:
In einem Unternehmen nutzte ein Innentäter seine Kenntnis darüber, dass ein
wichtiger Server empfindlich auf zu hohe Betriebstemperaturen reagiert, und
blockierte die Lüftungsschlitze für den Netzteillüfter mit einem hinter dem
Server aufgestellten Gegenstand. Zwei Tage später erlitt die Festplatte im
Server einen temperaturbedingten Defekt und der Server fiel für mehrere Tage
aus. Hinterher behauptete der Angreifer, dass es sich um ein Versehen
handelte.

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.2
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.2

Manipulation an Daten oder Software

Daten oder Software können auf vielfältige Weise manipuliert werden: durch
falsches Erfassen von Daten, Änderungen von Zugriffsrechten, inhaltliche
Änderung von Abrechnungsdaten oder von Schriftverkehr, Änderungen in der
Betriebssystemsoftware und vieles mehr. Ein Täter kann allerdings nur die
Daten und Software manipulieren, auf die er Zugriff hat. Je mehr Zugriffsrechte eine Person besitzt, desto schwerwiegendere Manipulationen kann sie
vornehmen. Falls die Manipulationen nicht frühzeitig erkannt werden, kann
der reibungslose IT-Einsatz empfindlich gestört werden.
Manipulationen an Daten oder Software können aus Rachegefühlen, um einen
Schaden mutwillig zu erzeugen, zur Verschaffung persönlicher Vorteile oder
zur Bereicherung vorgenommen werden.
Beispiel:
1993 wurde in einem Schweizer Finanzunternehmen durch einen Mitarbeiter
die Einsatzsoftware für bestimmte Finanzdienstleistungen manipuliert. Damit
war es ihm möglich, sich illegal größere Geldbeträge zu verschaffen.
Sehr häufig werden Kundendatenbanken von Mitarbeitern beim Verlassen der
Firma kopiert. Auch das mutwillige Zerstören von Datenbanken oder die
Erpressung mit der Zerstörung stellen ein Risiko dar.

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.3
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.3

Unbefugtes Eindringen in ein Gebäude

Das unbefugte Eindringen in ein Gebäude geht verschiedenen Gefährdungen
der IT wie Diebstahl oder Manipulation voraus. Maßnahmen, die dagegen
gerichtet sind, wirken dadurch auch gegen die entsprechenden Folgegefährdungen.
Schon durch das unbefugte Eindringen können Sachschäden entstehen.
Fenster und Türen werden gewaltsam geöffnet und dabei beschädigt, sie
müssen repariert oder ersetzt werden.

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.4
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.4

Diebstahl

Durch den Diebstahl von IT-Geräten, Zubehör, Software oder Daten entstehen
einerseits Kosten für die Wiederbeschaffung sowie für die Wiederherstellung
eines arbeitsfähigen Zustandes, andererseits Verluste aufgrund mangelnder
Verfügbarkeit. Darüber hinaus können Schäden durch einen Vertraulichkeitsverlust und daraus resultierenden Konsequenzen entstehen.

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.5
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.5

Vandalismus

Vandalismus ist dem Anschlag sehr verwandt, nur daß er nicht wie dieser
gezielt eingesetzt wird, sondern meist Ausdruck blinder Zerstörungswut ist.
Sowohl Außentäter (z. B. enttäuschte Einbrecher, außer Kontrolle geratene
Demonstrationen) als auch Innentäter (z. B. frustrierte oder alkoholisierte
Mitarbeiter) kommen in Betracht. Die tatsächliche Gefährdung durch Vandalismus ist schwerer abschätzbar als die eines Anschlages, da ihm in der Regel
keine zielgerichtete Motivation zugrunde liegt. Persönliche Probleme oder ein
schlechtes Betriebsklima können dabei Ursachen sein.

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.6
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.6

Anschlag

Die technischen Möglichkeiten, einen Anschlag zu verüben, sind vielfältig:
geworfene Ziegelsteine, Explosion durch Sprengstoff, Schußwaffengebrauch,
Brandstiftung. Ob und in welchem Umfang ein IT-Betreiber der Gefahr eines
Anschlages ausgesetzt ist, hängt neben der Lage und dem Umfeld des Gebäudes stark von seinen Aufgaben und vom politisch-sozialen Klima ab. ITBetreiber in politisch kontrovers diskutierten Bereichen sind stärker bedroht
als andere. IT-Betreiber in der Nähe üblicher Demonstrationsaufmarschgebiete sind stärker gefährdet als solche in abgelegenen Randbereichen. Für
die Einschätzung der Gefährdung durch politisch motivierte Anschläge
können die Landeskriminalämter oder das Bundeskriminalamt beratend hinzugezogen werden.
Beispiele:
- In den 80er Jahren wurde ein Sprengstoffanschlag auf das Rechenzentrum
einer großen Bundesbehörde in Köln verübt.
- Ein Finanzamt im rheinischen Raum wurde praktisch jährlich durch
Bombendrohungen für einige Stunden lahmgelegt.
- Ende der 80er Jahre wurde von einem versuchten Anschlag der RAF auf
das Rechenzentrum einer großen deutschen Bank berichtet.

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.7
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.7

Abhören von Leitungen

Wegen des geringen Entdeckungsrisikos ist das Abhören von Leitungen eine
nicht zu vernachlässigende Gefährdung der IT-Sicherheit. Grundsätzlich gibt
es keine abhörsicheren Kabel. Lediglich der erforderliche Aufwand zum
Abhören unterscheidet die Kabel. Ob eine Leitung tatsächlich abgehört wird,
ist nur mit hohem messtechnischen Aufwand feststellbar.
Der Entschluss, eine Leitung abzuhören, wird im wesentlichen durch die
Frage bestimmt, ob die Informationen den technischen (kostenmäßigen)
Aufwand und das Risiko der Entdeckung wert sind. Die Beantwortung dieser
Frage ist sehr von den individuellen Möglichkeiten und Interessen des
Angreifers abhängig. Somit ist eine sichere Festlegung, welche Informationen
und damit Leitungen ggf. abgehört werden, nicht möglich.

Möglichkeiten und Interessen des Angreifers

Besonders kritisch ist die Übertragung von Kreditkartennummern oder
Passwörtern im WWW, da sich hier die Position der vom Nutzer
eingegebenen Daten in den übertragenen Paketen durch das recht einfache
HTT-Protokoll leicht bestimmen lässt. Eine automatische Analyse von HTTPVerbindungen lässt sich somit mit geringem Aufwand realisieren.

automatische Analyse
von HTTP-Verbindungen

Mittels Password-Sniffings können in einem ersten Schritt Passwörter bei der
Übertragung zu einem System abgefangen werden. Dies erlaubt dem
Angreifer anschließend auf dieses IT-System zu gelangen, um dann weitere
Angriffe lokal auf dem Rechner durchzuführen.
Beispiele:
- So ist es z. B. falsch anzunehmen, dass per Electronic Mail versandte
Nachrichten mit klassischen Briefen vergleichbar sind. Da Mails während
ihres gesamten Weges durch das Netz gelesen werden können, ist ein
Vergleich mit Postkarten sehr viel realistischer.
- Einige Hersteller liefern Programme (Sniffer), die zum Debuggen der
Netze dienen, aber auch zum Abhören benutzt werden können, schon
zusammen mit ihren Betriebssystemen aus.

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.8
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.8

Manipulation an Leitungen

Neben dem Abhören von Leitungen (siehe G 5.7 Abhören von Leitungen)
kann eine Manipulation an Leitungen noch andere Ziele haben:
- Frustrierte Mitarbeiter manipulieren Leitungen so, dass es zu unzulässigen
Verbindungen innerhalb und außerhalb der eigenen IT kommt. Dabei geht
es oft nur darum, den IT-Betrieb zu stören.

unzulässige
Verbindungen

- Leitungen können so manipuliert werden, dass eine private Nutzung zu
Lasten des Netzbetreibers erfolgen kann. Neben den dadurch entstehenden
Kosten bei der Nutzung gebührenpflichtiger Verbindungen werden
Leitungen und Ressourcen durch die private Nutzung blockiert.

private Nutzung

- Durch die Manipulation von Leitungen kann es möglich werden, darauf
übertragene Daten zum Vorteil des Täters zu verändern. Insbesondere bei
kassenwirksamen Verfahren, in der Lohnbuchhaltung und bei allen ITAnwendungen, die sich direkt oder indirekt mit der Verwaltung von
Sachwerten befassen, können sich durch Manipulationen hohe Schäden
ergeben.

Manipulation übertragener Daten

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.9
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.9

Unberechtigte IT-Nutzung

Ohne Mechanismen zur Identifikation und Authentisierung von Benutzern ist
die Kontrolle über unberechtigte IT-Nutzung praktisch nicht möglich. Selbst
bei IT-Systemen mit einer Identifikations- und Authentisierungsfunktion in
Form von Benutzer-ID- und Paßwort-Prüfung ist eine unberechtigte Nutzung
denkbar, wenn Paßwort und zugehörige Benutzer-ID ausgespäht werden.
Um das geheimgehaltene Paßwort zu erraten, können Unbefugte innerhalb der
Login-Funktion ein mögliches Paßwort eingeben. Die Reaktion des ITSystems gibt anschließend Aufschluß darüber, ob das Paßwort korrekt war
oder nicht. Auf diese Weise können Paßwörter durch Ausprobieren erraten
werden.
Viel erfolgversprechender ist jedoch die Attacke, ein sinnvolles Wort als
Paßwort anzunehmen und alle Benutzereinträge durchzuprobieren. Bei entsprechend großer Benutzeranzahl wird damit oft eine gültige Kombination
gefunden.
Falls die Identifikations- und Authentisierungsfunktion mißbräuchlich nutzbar
ist, so können sogar automatisch Versuche gestartet werden, indem ein
Programm erstellt wird, das systematisch alle möglichen Paßwörter testet.
Beispiel:
1988 nutzte der Internet-Wurm eine Schwachstelle der betroffenen UnixBetriebssysteme aus, um gültige Paßwörter zu finden, obwohl die gültigen
Paßwörter verschlüsselt gespeichert waren. Dazu probierte ein Programm
sämtliche Eintragungen eines Wörterbuches aus, indem es sie mit der zur
Verfügung stehenden Chiffrierfunktion verschlüsselte und mit den abgespeicherten verschlüsselten Paßwörtern verglich. Sobald eine Übereinstimmung gefunden war, war auch ein gültiges Paßwort erkannt.

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.10
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.10

Mißbrauch von Fernwartungszugängen

Bei unzureichend gesicherten Fernwartungszugängen ist es denkbar, daß
Hacker Zugang zum Administrierungsport des IT-Systems erlangen. Sie
können somit nach Überwindung des Anlagenpaßwortes ggf. alle Administrationstätigkeiten ausüben. Der entstehende Schaden kann sich vom vollständigen Anlagenausfall, über schwerste Betriebsstörungen, den Verlust der
Vertraulichkeit aller auf der Anlage vorhandenen Daten bis hin zum großen
direkten finanziellen Schaden erstrecken.

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.11
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.11

Vertraulichkeitsverlust in TK-Anlagen
gespeicherter Daten

In TK-Anlagen werden personenbezogene und firmen-/behördeninterne Daten
für längere Zeit auf Festplatten gespeichert. Personenbezogene Daten sind
hierbei Gebührendaten, Konfigurationsdaten, Berechtigungen und ggf. Daten
für die elektronischen Telefonbücher, Paßwörter und Verrechnungsnummern.
Diese Daten können durch das Administrationspersonal eingesehen und verändert werden. Art und Umfang dieser Eingriffe sind vom Anlagentyp und,
falls vorgesehen, von der Rechtevergabe abhängig. Das Administrationspersonal hat diese Möglichkeit sowohl vor Ort als auch über Fernwartung. Bei
einer externen Fernwartung hat der damit Beauftragte (im Regelfall der
Hersteller) jederzeit diese Möglichkeit!
Bei einer Aktualisierung der Anlagensoftware werden die Festplatten oft zu
den TK-Anlagen-Herstellern gebracht. Personenbezogene Daten können dann
vom Hersteller ausgelesen werden.

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.12
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.12

Abhören von Telefongesprächen und Datenübertragungen

Durch mißbräuchliche Verwendung von Leistungsmerkmalen können
Gespräche unter Umständen im Kollegenkreis mitgehört werden. Als Beispiel
hierfür kann die Dreierkonferenz genannt werden. Erhält der Teilnehmer A
einen Anruf für den Teilnehmer B, so könnte er, anstatt den Anruf zu übergeben, versuchen, heimlich eine Dreierkonferenz herzustellen. Besitzt Teilnehmer B ein Telefon ohne Display, würde er diese Tatsache nicht bemerken.
Desweiteren könnten Gespräche durch das Aktivieren von gesperrten, in
Deutschland zum Teil unzulässigen Leistungsmerkmalen von Dritten mitgehört werden. Als ein Beispiel sei hier nur die Zeugenschaltung erwähnt. Eine
derartige Aktivierung erfordert genauere Systemkenntnisse.

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.13
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.13

Abhören von Räumen

Grundsätzlich müssen zwei Varianten des unbefugten Abhörens von Räumen
unterschieden werden. Bei der ersten Variante geht die Bedrohung ausschließlich vom Endgerät aus. Hier sind intelligente Endgeräte mit eingebauten Mikrofonen wie Anrufbeantworter oder ISDN-Karten bzw. MultimediaPCs zu nennen. Solche Endgeräte können, wenn entsprechende Funktionalitäten implementiert sind, aus der Ferne, d. h. aus dem öffentlichen Netz,
dazu veranlaßt werden, die eingebauten Mikrofone freizuschalten. Ein
bekanntes Beispiel hierfür ist die sogenannte "Baby-Watch-Funktion" von
Anrufbeantwortern (vgl. Kapitel 8.3 Anrufbeantworter).
Die zweite Variante ist die Ausnutzung der Funktionalität der TK-Anlage
selbst in Verbindung mit entsprechend ausgerüsteten Endgeräten. Diese
Gefährdung entsteht durch die mißbräuchliche Verwendung des Leistungsmerkmals "direktes Ansprechen" in Kombination mit der Option
"Freisprechen". Die auf diese Weise realisierbare Funktion einer Wechselsprechanlage kann unter gewissen Umständen auch zum Abhören eines
Raumes ausgenutzt werden.

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.14
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.14

Gebührenbetrug

In letzter Zeit waren vermehrt Meldungen über Gebührenbetrug an TK-Anlagen durch Hacker in der Presse zu lesen. Solche Manipulationen sind auf verschiedene Weisen durchführbar. Zum einen kann versucht werden, vorhandene Leistungsmerkmale einer TK-Anlage für diese Zwecke zu mißbrauchen.
Geeignet hierfür sind beispielsweise aus der Ferne umprogrammierbare Rufumleitungen oder Dial-In-Optionen. Zum anderen können die Berechtigungen
so vergeben werden, daß kommende "Amtsleitungen" abgehende
"Amtsleitungen" belegen können. Auf diese Weise kann bei Anwahl einer
bestimmten Rufnummer von außen der Anrufer automatisch wieder mit dem
"Amt" verbunden werden, wobei dies allerdings auf Kosten des TK-Anlagenbetreibers geschieht.
Eine weitere Art des Gebührenbetruges ist der durch den Benutzer selbst. Auf
unterschiedliche Arten, wie z. B. durch das Telefonieren von fremden
Apparaten, Auslesen fremder Berechtigungscodes (Paßwort) oder Verändern
der persönlichen Berechtigungen kann versucht werden, auf Kosten des
Arbeitgebers oder der anderen Beschäftigten zu telefonieren.

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.15
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.15

"Neugierige" Mitarbeiter

"Neugierige" Mitarbeiter könnten durch Mißbrauch von Leistungsmerkmalen
der TK-Anlage versuchen:
- Anrufe für Kollegen auf ihren eigenen Telefonapparat umzuleiten,
- die Anrufe für andere anzunehmen,
- fremde Anruf- und Wahlwiederholspeicher auszulesen und
- Telefongespräche Dritter mitzuhören.

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.16
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.16

Gefährdung bei Wartungs-/Administrierungsarbeiten durch internes Personal

Zum eigenen Vorteil oder aus Gefälligkeit für Kollegen könnte bei Wartungsoder Administrationsarbeiten durch internes Personal versucht werden,
Berechtigungen (z. B. Auslandsberechtigung) zu ändern oder Leistungsmerkmale zu aktivieren. Durch Unkenntnis können Systemabstürze verursacht
werden. Ferner können durch unsachgemäße Handhabung der Hardwarekomponenten diese u. U. zerstört werden. Zusätzlich hat das Wartungspersonal vollen oder eingeschränkten Zugriff auf die gespeicherten Daten
(lesend und schreibend).

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.17
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.17

Gefährdung bei Wartungsarbeiten durch
externes Personal

Ein IT-System kann bei Wartungsarbeiten auf jedwede Weise manipuliert
werden. Die Gefahr besteht in erster Linie darin, daß der Eigentümer oft nicht
in der Lage ist, die vorgenommenen Modifikationen nachzuvollziehen.
Darüber hinaus hat der externe Wartungstechniker genau wie der interne auch
üblicherweise Zugriff auf alle auf der Anlage gespeicherten Daten.

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.18
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.18

Systematisches Ausprobieren von Paßwörtern

Zu einfache Paßwörter lassen sich durch systematisches Ausprobieren
herausfinden.
Beispiel:
Eine Untersuchung von Klein (Klein, Daniel V. 1990, USENIX Security
Workshop Proceedings, Portland August 1990) an 15000 Accounts ergab
eine Erfolgsquote von 24,2 %, wobei folgende Möglichkeiten für ein
Paßwort ausprobiert wurden:
ca. 130 Variationen des Login Namens (Vor- und Zuname) und anderer
persönlicher Daten aus dem /etc/passwd File, häufige Namen, Namen von
bekannten Personen, Namen und Orte aus Filmen, von Sportereignissen
und aus der Bibel, gebräuchliche Schimpfwörter und Wörter aus Fremdsprachen, verschiedene Variationen dieser Wörter, wie z. B. Umwandlung
Groß-Kleinschreibung, Einfügen von Sonder- und Kontrollzeichen,
Umkehrung der Buchstabenreihenfolge, wiederholte Buchstaben (z. B.
aaabbb) oder häufige Abkürzungen (z. B. rggbv für die Farben des Regenbogens) und Paare aus zwei kurzen Wörtern.
Alle diese Kombinationen und mehr lassen sich mit Hilfe des Public Domain
Programms crack von jedem Benutzer eines Unix-Systems, auf dem die
Paßwortdatei frei zugänglich ist, ausprobieren. Darüber hinaus ist die Wahrscheinlichkeit, ein Paßwort durch systematisches Probieren aller Kombinationen zu finden, bei zu kurzen Paßwörtern groß.

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.19
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.19

Missbrauch von Benutzerrechten

Eine missbräuchliche Nutzung liegt vor, wenn man vorsätzlich recht- oder
unrechtmäßig erworbene Möglichkeiten ausnutzt, um dem System oder dessen
Benutzern zu schaden.
Beispiel:
Auf vielen Unix-Systemen ist die Datei /etc/passwd für jeden Benutzer lesbar,
so dass er sich Informationen über dort eingetragene persönliche Daten verschaffen kann. Außerdem kann er mit Wörterbuchattacken (siehe G 5.18
Systematisches Ausprobieren von Passwörtern) versuchen, die verschlüsselten
Passwörter zu erraten. Bei zu großzügiger Vergabe von Gruppenrechten,
insbesondere bei den Systemgruppen wie z. B. root, bin, adm, news oder
daemon, ist ein Missbrauch wie z. B. das Verändern oder Löschen fremder
Dateien leicht möglich.

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.20
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.20

Missbrauch von Administratorrechten

Eine missbräuchliche Administration liegt vor, wenn man vorsätzlich rechtoder unrechtmäßig erworbene Super-User- (root-) Privilegien ausnutzt, um
dem System oder dessen Benutzern zu schaden.
Beispiel:
Da root auf Unix-Anlagen keinerlei Beschränkungen unterliegt, kann der
Administrator unabhängig von Zugriffsrechten jede Datei lesen, verändern
oder löschen. Außerdem kann er die Identität jedes Benutzers seines Systems
annehmen, ohne dass dies von einem anderen Benutzer bemerkt wird, es ist
ihm also z. B. möglich unter fremden Namen Mails zu verschicken oder
fremde Mails zu lesen und zu löschen.

keine Beschränkungen
für root

Es gibt verschiedene Möglichkeiten, missbräuchlich Super-User-Privilegien
auszunutzen. Dazu gehören der Missbrauch von falsch administrierten SuperUser-Dateien (Dateien mit Eigentümer root und gesetztem s-Bit) und des
Befehls su.

Super-User-Dateien

Die Gefährdung kann auch durch automatisches Mounten von austauschbaren
Datenträgern entstehen: Sobald das Medium in das Laufwerk gelegt wird,
wird es gemountet. Dann hat jeder Zugriff auf die dortigen Dateien. Mit sich
auf dem gemounteten Laufwerk befindenden s-Bit-Programmen kann jeder
Benutzer Super-User-Rechte erlangen.

automatisches Mounten

In Abhängigkeit von der Unix-Variante und der zugrunde liegenden Hardware
kann bei Zugangsmöglichkeit zur Konsole der Monitor-Modus aktiviert oder
in den Single-User-Modus gebootet werden. Das ermöglicht die Manipulation
der Konfiguration.

Zugang zur Konsole

Durch Softwarefehler kann es möglich sein, dass eine Anwendung nur eine
begrenzt große Menge an Daten verarbeiten kann. Werden dieser Anwendung
übergroße Datenmengen oder Parameter übergeben, können Bereiche im
Hauptspeicher mit fremden Code überschrieben werden. Dadurch können
Befehle mit den Rechten der Anwendung ausgeführt werden. Dies war u. a
mit dem Befehl eject unter SunOS 5.5 möglich, der mit SetUID-Rechten
ausgestattet ist, also bei der Ausführung Super-User-Rechte besitzt.

Softwarefehler

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.21
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.21

Trojanische Pferde

Ein Trojanisches Pferd ist ein Programm mit einer verdeckten, nicht dokumentierten Funktion oder Wirkung. Der Benutzer kann daher auf die Ausführung dieser Funktion keinen Einfluss nehmen, insoweit besteht eine
gewisse Verwandtschaft mit Computer-Viren. Es ist jedoch keine Selbstreproduktion vorhanden. Als Träger für Trojanische Pferde lassen sich alle
möglichen Anwenderprogramme benutzen. Aber auch Scriptsprachen, wie
Batch-Dateien, ANSI-Steuersequenzen, Postscript u. Ä., die vom jeweiligen
Betriebssystem oder Anwenderprogramm interpretiert werden, können für
Trojanische Pferde missbraucht werden.

Anwenderprogramme
und Scriptsprachen

Die Schadwirkung eines Trojanischen Pferdes ist um so wirkungsvoller, je
mehr Rechte sein Trägerprogramm besitzt.
Beispiele:
- Ein geändertes Login-Programm kann ein Trojanisches Pferd enthalten,
das Namen und Passwort des Benutzers über das Netz an den Angreifer
übermittelt und dann an das eigentliche Login-Programm weitergibt.
Solche Trojanischen Pferde sind in jüngster Zeit z. B. bei diversen OnlineDiensten wie AOL oder T-Online aufgetreten.

geänderte Login-Programme

- Bei dem Programm Back Orifice handelt es sich um eine Client-ServerAnwendung, die es dem Client erlaubt, einen Windows-PC über das Netz
fernzuwarten. Insbesondere können Daten gelesen und geschrieben sowie
Programme ausgeführt werden. Eine Gefährdung entsteht dadurch, dass
dieses Programm in ein anderes Anwendungsprogramm integriert und
somit als Trojanisches Pferd verwendet werden kann. Wird das
Trojanische Pferd gestartet und besteht eine Netzverbindung, so kann ein
Angreifer die Fernwartungsfunktion von Back Orifice für den Benutzer
unbemerkt benutzen. In diesem Zusammenhang ist auch das Programm
NetBUS zu erwähnen, das ähnliche Funktionen bietet.

Back Orifice und NetBUS

- Mit Hilfe von Root-Kits für verschiedene Unix-Varianten, die manipulierte
Versionen der Programme ps, who, netstat etc. enthalten, ist es möglich,
längere Zeit unbemerkt so genannte Backdoors offen zu halten, die einen
unbemerkten Einbruch in das System ermöglichen und dabei die
Angriffsspuren verstecken. Häufig werden u. a. die Dateien
/sbin/in.telnetd, /bin/login, /bin/ps, /bin/who, /bin/netstat und die
C-Libraries ausgetaucht.

manipulierte Programme
und Bibliotheken

- Eine weitere Gefahrenquelle bei Unix-Systemen ist der "." in der Umgebungsvariable $PATH. Wenn das jeweils aktuelle Arbeitsverzeichnis (.) als
Pfad in der Variable PATH enthalten ist, werden zunächst die dort befindlichen Programme ausgeführt. So könnte beim Auflisten des Inhaltes eines
Verzeichnisses vom Superuser unbeabsichtigt ein darin enthaltenes modifiziertes "ls"-Programm mit root-Rechten ausgeführt werden.

aktuelles Verzeichnis im
Suchpfad

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.22
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.22

Diebstahl bei mobiler Nutzung des IT-Systems

Wird ein IT-System mobil genutzt, so ergeben sich neue Gefährdungen, die
stationäre IT-Systeme in dem Maße nicht berühren. Mobile Systeme wie
Laptops werden üblicherweise nicht in einem durch Schutzvorkehrungen
gesicherten Raum eingesetzt. Sie werden in PKW oder öffentlichen
Verkehrsmitteln transportiert, in fremden Büroräumen in Pausen hinterlassen
oder in Hotelzimmern unbewacht aufgestellt.
Aufgrund dieser Umfeldbedingungen sind solche mobil eingesetzten ITSysteme naturgemäß einem höheren Diebstahlrisiko ausgesetzt. Der im
Kofferraum eines PKW eingeschlossene Laptop kann gestohlen werden, ohne
dass dies das originäre Ziel des Diebstahl ist, denn mit dem gestohlenen
Wagen würde auch der Laptop in die falschen Hände geraten.
Beispiel:
Dem Geschäftsführer einer größeren Firma wurde auf einer Geschäftsreise der
Laptop gestohlen. Der materielle Verlust war vernachlässigbar, innerhalb
eines Tages konnte ein neuer Laptop beschaft werden. Schmerzlicher war der
Verlust von wichtigen Kundendaten, die auf dem Laptop gespeichert waren.
Von diesen Informationen gab es keine Datensicherung, da sie erst im Verlauf
der Geschäftsreise erfasst worden sind.

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.23
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.23

Computer-Viren

Computer-Viren gehören zu den Programmen mit Schadensfunktionen. Als
Schaden ist hier insbesondere der Verlust oder die Verfälschung von Daten
oder Programmen sicherlich von größter Tragweite. Solche Funktionen von
Programmen können sowohl unbeabsichtigt als auch bewußt gesteuert auftreten.
Die Definition eines Computer-Virus bezieht sich nicht unmittelbar auf eine
möglicherweise programmierte Schadensfunktion:
Ein Computer-Virus ist eine nicht selbständige Programmroutine,
die sich selbst reproduziert und dadurch vom Anwender nicht
kontrollierbare Manipulationen in Systembereichen, an anderen
Programmen oder deren Umgebung vornimmt. (Zusätzlich können
programmierte Schadensfunktionen des Virus vorhanden sein.)
Die Eigenschaft der Reproduktion führte in Analogie zum biologischen
Vorbild zu der Bezeichnung "Virus". Die Möglichkeiten der Manipulation
sind sehr vielfältig. Besonders häufig sind das Überschreiben oder das
Anlagern des Virus-Codes an andere Programme und Bereiche des Betriebssystems.
Computer-Viren können im Prinzip bei allen Betriebssystemen auftreten. Die
größte Bedrohung ist jedoch im Bereich der IBM-kompatiblen Personalcomputer (PC) vorhanden. Bei den hier am meisten verbreiteten Betriebssystemen (MS-DOS, PC-DOS, DR DOS, NOVELL DOS etc.) werden derzeit
weltweit rund 20.000 Viren (einschließlich Varianten) gezählt.
Spezielle Computer-Viren für die Betriebssysteme Windows 3.x,
Windows NT, Windows 95, OS/2 und Unix spielen in der Praxis eine untergeordnete Rolle. Bei PC-typischer Hardware können jedoch die Festplatten
dieser Rechner von DOS-Boot-Viren infiziert werden, wenn die Boot-Reihenfolge zuerst ein Booten von Diskette vorsieht.
Für Apple-Computer sind ca. 100 spezielle Computer-Viren bekannt, für die
es auch entsprechende Suchprogramme gibt.
Arten von Computer-Viren
Es werden drei Grundtypen von Computer-Viren unterschieden:
- Boot-Viren
- Datei-Viren
- Makro-Viren
Es sind auch Misch- und Sonderformen dieser drei Typen bekannt. Weitere
Unterteilungsmerkmale sind die Tarnmechanismen, mit denen die Viren oft
gegen die Erkennung durch Benutzer und Suchprogramme geschützt sind.
Boot-Viren
Als "Booten" bezeichnet man das Laden des Betriebssystems. Hierbei werden
u. a. Programmteile ausgeführt, die zwar eigenständig sind, sich aber in sonst

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.23
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

nicht zugänglichen und im Inhaltsverzeichnis der Disketten und Festplatten
nicht sichtbaren Sektoren befinden. Boot-Viren überschreiben diese mit ihrem
Programm. Der originale Inhalt wird an eine andere Stelle auf dem Datenträger verlagert und dann beim Start des Computers anschließend an den
Virus-Code ausgeführt. Dadurch startet der Computer scheinbar wie gewohnt.
Der Boot-Virus gelangt jedoch bereits vor dem Laden des Betriebssystems in
den Arbeitsspeicher des Computers und verbleibt dort während der gesamten
Betriebszeit. Er kann deshalb den Boot-Sektor jeder nicht schreibgeschützten
Diskette infizieren, die während des Rechnerbetriebs benutzt wird. Boot-Viren
können sich nur durch Booten oder einen Bootversuch mit einer infizierten
Diskette auf andere Computer übertragen.
Datei-Viren
Die meisten Datei-Viren (auch File-Viren genannt) lagern sich an Programmdateien an. Dies geschieht jedoch so, daß beim Aufruf auch hier der VirusCode zuerst ausgeführt wird und erst anschließend das originale Programm.
Dadurch läuft das Programm anschließend scheinbar wie gewohnt und der
Virus wird nicht so schnell entdeckt. Es sind jedoch auch primitivere, überschreibende Viren bekannt, die sich so an den Anfang des Wirtsprogramms
setzen, so daß dieses nicht mehr fehlerfrei läuft. Datei-Viren verbreiten sich
durch Aufruf eines infizierten Programms.
Bei den Mischformen von Boot- und Datei-Viren haben sogenannte multipartite Viren eine größere Bedeutung erlangt. Sie können sich sowohl durch
Aufruf eines infizierten Programms als auch durch Booten (oder einen BootVersuch) von einer infizierten Diskette verbreiten.
Makro-Viren
Auch Makro-Viren sind in Dateien enthalten, diese infizieren jedoch nicht die
Anwendungsprogramme, sondern die damit erzeugten Dateien. Betroffen sind
alle Anwendungsprogramme, bei denen in die erzeugten Dateien nicht nur
einzelne Steuerzeichen, sondern auch Programme und andere Objekte eingebettet werden können. Davon sind insbesondere Microsoft Word- und ExcelDateien betroffen. Bei diesen steht eine leistungsfähige Programmiersprache
für Makros zur Verfügung, die auch von weniger geschulten Benutzern leicht
zur Programmierung von Viren mißbraucht werden kann (siehe auch G 5.43
Makro-Viren).
Makros sind Programme, mit deren Hilfe das Anwenderprogramm um
zusätzliche Funktionen erweitert werden kann, die auf den Anwendungsfall
zugeschnitten sind (z. B. Erzeugen einer Reinschrift aus dem Entwurf eines
Textes). Diese Makros laufen erst mit dem jeweiligen Anwendungsprogramm
(Winword, Excel etc.) bei der Bearbeitung des Dokuments ab, indem der
Benutzer das Makro aktiviert oder das Makro automatisch gestartet wird.
Wird z. B. eine Word-Datei über einen WWW-Browser empfangen, der das
Dokument automatisch mit Microsoft Word öffnet, kann hierdurch ein enthaltenes Makro aktiviert werden. Da Datendateien auch häufiger als herkömmliche Programmdateien über Datenträger und vernetzte IT-Systeme
verteilt werden, ist die Gefährdung durch Makro-Viren inzwischen größer als
durch Boot- und Datei-Viren.

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.23
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

Beispiele für Schadensfunktionen von Computer-Viren
- Der Boot-Virus Michelangelo überschreibt an jedem 6. März die ersten
Spuren der Festplatte mit stochastischem Inhalt und macht sie dadurch
unbrauchbar.
- Der multipartite Virus Onehalf verschlüsselt maximal die Hälfte des
Inhalts der Festplatte. Wird der Virus entfernt, sind die verschlüsselten
Daten nicht mehr verfügbar.
- Der Winword-Makro-Virus WAZZU fügt bei den befallenen Dokumenten
an zufälligen Stellen das Wort "Wazzu" ein.
- Der Winword-Makro-Virus Melissa erschien am 26.3.1999 und verbreitete
sich über das Wochenende weltweit. Er ist in einer Datei von Word 97
oder Word 2000 enthalten, die von einem befallenen Computer mittels
Microsoft Outlook an bis zu 50 gespeicherte Einträge aus jedem
Adressbuch verschickt wird. Dies hat bei einigen größeren Organisationen
das Mail-System überlastet.
- W32.Mypics.Worm ist ein in Visual Basic geschriebener Computerwurm,
der sich automatisch auf Windows 95/98 und Windows NT Rechnern
verbreitet. Er enthält eine zerstörerische Schadenswirkung, die aktiv wird,
sobald die Jahreszahl 2000 ist. Dann wird u. a. das BIOS des Rechners
verändert, so daß der Rechner nicht mehr korrekt bootet.

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.24
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.24

Wiedereinspielen von Nachrichten

Angreifer zeichnen bei diesem Angriff eine Nachricht auf und spielen diese
Information zu einem späteren Zeitpunkt unverändert wieder ein.
Beispiele:
-

Ein Angreifer zeichnet die Authentisierungsdaten (z. B. Benutzer-ID
und Passwort) während des Anmeldevorgangs eines Benutzers auf und
benutzt diese Informationen, um sich unter Vortäuschen einer falschen
Identität Zugang zu einem System zu verschaffen (siehe auch G 5.21
Trojanische Pferde).

-

Um finanziellen Schaden beim Arbeitgeber (Unternehmen oder
Behörde) zu verursachen, gibt ein Mitarbeiter eine genehmigte Bestellung mehrmals auf.

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.25
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.25

Maskerade

Die Maskerade benutzt ein Angreifer um eine falsche Identität vorzutäuschen.
Eine falsche Identität erlangt er z. B. durch das Ausspähen von Benutzer-ID
und Passwort (siehe G 5.9 Unberechtigte IT-Nutzung), die Manipulation des
Absenderfeldes einer Nachricht oder durch die Manipulation einer
Kartenadresse im Netz. Weiterhin kann eine falsche Identitiät durch die
Manipulation der Rufnummernanzeige (Calling Line Identification
Presentation) im ISDN oder durch die Manipulation der Absenderkennung
eines Faxabsenders (CSID - Call Subscriber ID) erlangt werden.

Manipulation des
Absenderfeldes oder der
Kartenadresse

Ein Benutzer, der über die Identität seines Kommunikationspartners getäuscht
wurde, kann leicht dazu gebracht werden, schutzbedürftige Informationen zu
offenbaren.
Ein Angreifer kann durch eine Maskerade auch versuchen, sich in eine bereits
bestehende Verbindung einzuhängen, ohne sich selber authentisieren zu
müssen, da dieser Schritt bereits von den originären Kommunikationsteilnehmern durchlaufen wurde.

Aufschalten auf eine
bestehende Verbindung

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.26
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.26

Analyse des Nachrichtenflusses

Über eine Verkehrsflussanalyse versucht ein Angreifer Auskunft darüber zu
erhalten, wer wann welche Datenmengen an wen gesendet hat und wie oft.
Sogar wenn der Lauscher die Nachrichteninhalte nicht lesen kann, können
hierdurch Rückschlüsse auf das Benutzerverhalten gezogen werden. Die
Informationen über Datum und Uhrzeit der Erstellung einer Nachricht können
zu einem Persönlichkeitsprofil des Absenders ausgewertet werden. Daneben
forschen Adresssammler für Adressverlage nach E-Mail- und Post-Adressen,
um unaufgefordert Werbung zuzuschicken.
Innerhalb des ISDN (Integrated Services Digital Network) wäre der D-Kanal
einer Kommunikationsverbindung, welcher der Signalisierung zwischen Endgerät und Vermittlungsstelle dient, ein geeigneter Angriffspunkt. Die Analyse
der dort übertragenen Signalisierung mittels eines Protokollanalysators lässt
nicht nur die o. a. Rückschlüsse auf das Benutzerverhalten zu (z. B. wer telefoniert wann mit wem wie lange?), sondern kann auch der Vorbereitung
komplexerer Angriffe über den D-Kanal dienen.

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.27
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.27

Nichtanerkennung einer Nachricht

Bei jeder Art von Kommunikation kann ein Kommunikationsteilnehmer den
Nachrichtenempfang ableugnen (Non-Repudiation of Receipt). Dies ist insbesondere bei finanziellen Transaktionen von Bedeutung. Ein Nachrichtenempfang kann beim Postversand ebenso abgeleugnet werden wie bei Faxoder E-Mail-Nutzung.
Beispiel:
Ein dringend benötigtes Ersatzteil wurde elektronisch bestellt. Nach einer
Woche Arbeitsausfall wurde das Fehlen reklamiert. Der Lieferant leugnet, je
eine Bestellung erhalten zu haben.
Ebenso kann es passieren, daß ein Kommunikationsteilnehmer den Nachrichtenversand ableugnet, z. B. also eine getätigte Bestellung abstreitet (NonRepudiation of Origin).

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.28
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.28

Verhinderung von Diensten

Ein solcher Angriff, auch "Denial of Service" genannt, zielt darauf ab, die ITBenutzer daran zu hindern, Funktionen oder Geräte zu benutzen, die ihnen
normalerweise zur Verfügung stehen. Dieser Angriff steht häufig im
Zusammenhang mit verteilten Ressourcen, indem ein Angreifer diese
Ressourcen so stark in Anspruch nimmt, daß andere Benutzer an der Arbeit
gehindert werden. Es können z. B. die folgenden Ressourcen künstlich
verknappt werden: Prozesse, CPU-Zeit, Plattenplatz, Inodes, Verzeichnisse.
Dies kann z. B. geschehen durch
- das Starten von beliebig vielen Programmen gleichzeitig,
- das mehrfache Starten von Programmen, die viel CPU-Zeit verbrauchen,
- das Belegen aller freien Inodes in einem Unix-System, so daß keine neuen
Dateien mehr angelegt werden können,
- das Anlegen sehr vieler kleiner Dateien in einem Verzeichnis auf einem
DOS-PC, so daß in diesem Verzeichnis keine neuen Dateien mehr angelegt
werden können,
- die gezielte Überlastung des Netzes,
- das Kappen von Netzverbindungen.

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.29
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.29

Unberechtigtes Kopieren der Datenträger

Werden Datenträger ausgetauscht oder transportiert, so bedeutet dies unter
Umständen, dass die zu übermittelnden Informationen aus einer gesicherten
Umgebung heraus über einen unsicheren Transportweg in eine ggf. unsichere
Umgebung beim Empfänger übertragen werden. Unbefugte können sich in
solchen Fällen diese Informationen dort durch Kopieren einfacher beschaffen,
als es in der ursprünglichen Umgebung der Fall war.
Beispiel:
Vertrauliche Entwicklungsergebnisse sollen vom Entwicklungslabor in XStadt zur Produktion nach Y-Stadt transportiert werden. Werden die entsprechenden Datenträger unkontrolliert über den Postweg versandt, kann nicht
ausgeschlossen werden, dass diese unberechtigterweise kopiert und ggf. an die
Konkurrenz verkauft werden, ohne dass die Bloßstellung der Informationen
bemerkt wird.

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.30
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.30

Unbefugte Nutzung eines Faxgerätes oder eines
Faxservers

Der unberechtigte Zugang zu einem Faxgerät oder unberechtigte Zugriff auf
einen Faxserver kann für manipulative Zwecke ausgenutzt werden. Dabei
können neben den Kosten für die Faxübertragung (Gebühren und Material)
auch Schäden dadurch entstehen, dass ein Unbefugter vorgibt, das Gerät als
Berechtigter zu nutzen (Schreiben mit Firmenkopf vom entsprechenden FaxAnschluss).
Es muss zudem vermieden werden, dass Unbefugte Zugriff auf eingehende
Faxsendungen haben.
Beispiele:
- Ein Faxgerät ist im Flur aufgestellt, so dass jeder im Vorbeigehen unkontrolliert Faxe lesen oder an sich nehmen kann.
- Bei einem Faxserver sind die Berechtigungen auf die gespeicherten
Faxdaten falsch gesetzt, so dass Unbefugte fremde Faxe lesen können.

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.31
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.31

Unbefugtes Lesen von Faxsendungen

Beim Einsatz von Faxgeräten besteht dann die Gefahr des unbefugten Lesens
eingegangener Faxsendungen, wenn die Geräte in frei zugänglichen Bereichen
aufgestellt werden. Zudem können Unbefugte Kenntnis vom Inhalt vertraulicher Faxsendungen erlangen, wenn die Verteilung innerhalb der Organisation fehlerhaft ist.
Beim Einsatz von Faxservern ist eine unbefugte Kenntnisnahme ein- und ausgehender Faxsendungen u. U. möglich, sofern die Zugriffsrechte auf dem
Faxserver nicht sorgfältig vergeben werden.

zu weitgehende Zugriffsrechte

Faxserver verfügen zudem über so genannte Adressbücher. Die Adressbücher
erleichtern die Versendung von Faxen, da die Benutzer nur den jeweiligen
Empfänger auswählen und nicht bei jedem Fax die Empfängerrufnummer
erneut eingeben müssen. Sofern in einem Adressbuch eine falsche Empfängerrufnummer eingetragen ist, wird bei Benutzung dieses Eintrages das Fax an
den falschen Empfänger gesendet. Häufig bieten Adressbücher auch die Möglichkeit, mehrere Adressaten zu einer Gruppe zusammenzufassen. Der
Benutzer, der ein Fax an die Mitglieder einer solchen Gruppe senden will,
braucht als Empfänger nur die Gruppe und nicht jedes Gruppenmitglied anzugeben. Sofern sich in solch einer Gruppe unbefugte Adressaten befinden,
können diese Kenntnis von allen Faxsendungen erhalten, die über diese
Gruppendefinition versandt werden. Die falsche Zuordnung kann durch
Unachtsamkeit oder aufgrund einer gezielten Manipulation erfolgen.

manipulierte Adressbücher

Auf einem Faxserver eingegangene Faxsendungen müssen an die Empfänger
verteilt werden. Dies kann entweder dadurch erfolgen, dass Eingangs-Faxsendungen ausgedruckt und manuell an die Empfänger weitergeleitet werden
oder dass der Faxserver die Verteilung automatisch über das Netz vornimmt.
Eine unbefugte Kenntnisnahme von eingegangenen Faxsendungen ist u. U. bei
der manuellen Verteilung möglich, wenn der Drucker, auf dem der Ausdruck
erfolgt, in einem allgemein zugänglichen Bereich aufgestellt wurde oder die
Verteilung innerhalb der Organisation fehlerhaft ist.

unbefugte Kenntnisnahme am Drucker

Bei der automatischen Weiterleitung von Faxsendungen benötigt der Faxserver eine Zuordnungstabelle, in der festgelegt wird, an welchen Benutzer
bzw. an welche Benutzergruppe Eingangs-Faxsendungen, die z. B. von einem
bestimmten Absender stammen oder über eine bestimmte Rufnummer gesendet wurden, weitergeleitet werden sollen. Sofern ein Unbefugter in einer
solchen Zuordnungstabelle - sei es durch Unachtsamkeit oder aufgrund einer
gezielten Manipulation - aufgenommen wird, erhält er Faxsendungen, die
nicht für ihn bestimmt sind.

manipulierte Zuordnungstabellen

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.32
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.32

Auswertung von Restinformationen in
Faxgeräten und Faxservern

Faxgeräte
Abhängig vom technischen Verfahren, mit denen Faxgeräte Informationen
speichern, weiterverarbeiten oder drucken, können sich nach dem Faxempfang
Restinformationen unterschiedlichen Umfanges im Faxgerät befinden. Sie
können wiederhergestellt werden, wenn man in den Besitz des Gerätes oder
der entsprechenden Bauteile kommt.
Bei Faxgeräten, die mittels des Thermotransferverfahrens drucken, werden
eingehende Faxsendungen zunächst auf eine Zwischenträgerfolie geschrieben,
mit deren Hilfe sie dann ausgedruckt werden. Diese Folie ist
Verbrauchsmaterial und muss regelmäßig ausgetauscht werden, das Entfernen
der Folie ist daher leicht möglich. Gelangt ein Unbefugter in den Besitz dieser
Folie (durch Diebstahl oder bei der Entsorgung), kann er den Inhalt mit einfachen technischen Mitteln reproduzieren. Dabei können ihm die Informationen von mehreren hundert Faxseiten bekannt werden.

Thermotransferdruck

Die meisten Faxgeräte verfügen über einen Zwischenspeicher
(Dokumentenspeicher, Puffer), in den ausgehende Faxe bis zur erfolgreichen
Übertragung eingelesen bzw. eingehende Faxe vor dem Ausdrucken
zwischengespeichert werden können. Dieser Speicher kann je nach Faxgerät
eine größere Anzahl Faxseiten enthalten und kann im Allgemeinen von jedem,
der Zugang zum Faxgerät hat, ausgedruckt werden.

Zwischenspeicher im
Faxgerät

Faxserver
Faxserver sind Applikationen, die auf IT-Systemen installiert sind, die in aller
Regel mit mindestens einer Festplatte ausgestattet sind oder über das Netz auf
ein Laufwerk zugreifen können. Hierauf werden Faxsendungen solange
gespeichert, bis sie an einen Empfänger zugestellt werden können. Weiterhin
arbeiten moderne Betriebssysteme mit Auslagerungsdateien, die auch
Restinformationen enthalten können. Hier besteht die Gefahr, dass diese
Informationen bei Zugriff auf diesen Faxserver unerlaubt ausgewertet werden.
Fällt z. B. eine Festplatte während der Garantiezeit aus, muss diese zur
Geltendmachung von Garantieansprüchen an den Händler oder an den
Hersteller eingesandt werden. Problematisch ist dabei, dass sich noch Daten
auf der Festplatte befinden können, von denen Unbefugte auf diesem Weg
Kenntnis erlangen können. Bei defekten Festplatten ist eine Löschung der
Daten mit Softwaretools häufig nicht möglich.

Restinformationen auf
Festplatten

Ein unbefugter Zugriff auf Faxdaten im Faxclient ist dann möglich, wenn ein
Arbeitsplatzrechner bzw. die dort installierte Fax-Software nicht ausreichend
gesichert ist. Auch beim Zugriff auf die Festplatte des Arbeitsplatzrechners
können Informationen von Unbefugten ausgelesen werden.

unzureichender Schutz
des Arbeitsspeichers

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.33
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.33

Vortäuschen eines falschen Absenders bei
Faxsendungen

So wie man einen Brief unter falschem Namen und mit falschem Briefkopf
schreiben kann, kann man auch ein entsprechend gefälschtes Fax versenden.
Dadurch können Schäden entstehen, wenn der Empfänger die darin enthaltenen Informationen als authentisch und ggf. als rechtsverbindlich ansieht
(vgl. G 3.14 Fehleinschätzung der Rechtsverbindlichkeit eines Fax).
Beispiele:
- Unterschriften können von anderen Schriftstücken eingescannt und auf die
Faxvorlage ausgedruckt bzw. beim Einsatz eines Faxservers als Grafikdatei
in das Schriftstück einkopiert werden. Auf dem empfangenen Fax ist kein
Unterschied zwischen einer so reproduzierten und einer authentischen
handschriftlichen Unterschrift erkennbar.
- Bei der Übertragung wird in der Regel die Rufnummer des sendenden
Faxanschlusses übermittelt. Es ist jedoch möglich, eine andere Rufnummer
vorzutäuschen. Daher ist auch die Auswertung des Empfangsprotokolls
keine verlässliche Bestätigung des Absenders.

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.34
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.34

Absichtliches Umprogrammieren der Zieltasten
eines Faxgerätes

Um häufig wiederkehrende Empfänger-Faxnummern nicht ständig neu eingeben zu müssen, bieten einige Faxgeräte programmierbare Zielnummerntasten an. Häufig werden die Empfängernummern beim Versenden des Fax
nicht einmal mehr kontrolliert. Kann ein Unbefugter die Programmierung der
Zieltasten ändern und veranlasst er dann noch, dass die bei der neuen Zieladresse eingehenden Faxsendungen möglichst unverzüglich zum berechtigten
Empfänger weitergeleitet werden, kann er bequem den Fax-Verkehr zu diesem
Empfänger mitverfolgen, ggf. ohne jemals entdeckt zu werden.

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.35
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.35

Überlastung durch Faxsendungen

Eine Überlastung durch eingehende Faxsendungen kann entstehen, wenn nicht
genügend Faxanschlüsse oder nicht genügend Telekommunikations-Leitungen
bzw. Kanäle vorhanden sind. Darüber hinaus kann ein Faxanschluss
absichtlich blockiert werden, indem
- andauernd umfangreiche Faxe (ggf. mit sinnlosem Inhalt) zugesandt
werden oder
- absichtlich solange Faxe zugesandt werden, bis der Papiervorrat eines
Faxgerätes und der Pufferspeicher aufgebraucht sind.
Ein Faxserver kann ebenfalls überlastet werden, wenn solange Faxe
zugesendet werden, bis der zur Verfügung stehende Platz auf der Festplatte
ausgeschöpft ist. Zu beachten ist aber, dass eine gefaxte Seite DIN A 4 etwa
70 kb groß ist. Bei heute üblichen Festplattengrößen müssen dazu sehr viele
Faxsendungen dieser Art eingehen. Zudem muss berücksichtigt werden, dass
nur eine begrenzte Zahl an Leitungen bzw. Kanälen zur Verfügung steht und
jede Faxsendung auch für die Abwicklung des Faxprotokolls Zeit benötigt.
Eine Überlastung des Faxservers in diesem Sinne kann nur dann auftreten,
wenn eine zu klein dimensionierte Festplatte gewählt wurde oder
Faxsendungen auf dem Faxserver archiviert werden.

Überlastung durch
eingehende
Faxsendungen

Im Gegensatz zu herkömmlichen Faxgeräten ist die Überlastung eines
Faxservers durch ausgehende Faxsendungen durchaus möglich. So kann durch
eine sehr große Anzahl von Serien-Faxsendungen ein Faxserver völlig
ausgelastet werden und damit auch keine eingehenden Faxsendungen mehr
empfangen.

Überlastung durch
ausgehende
Faxsendungen

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.36
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.36

Absichtliche Überlastung des Anrufbeantworters

Es besteht die Möglichkeit für einen Angreifer, das begrenzte Speichermedium (digitaler Speicher oder Audiokassette) während eines Anrufs (z. B.
mit unsinnigen Informationen) zu füllen, so dass weitere Aufzeichnungen
entweder nicht mehr möglich sind oder schon aufgezeichnete Nachrichten
verloren gehen (siehe dazu auch G 4.19 Informationsverlust bei erschöpftem
Speichermedium).

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.37
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.37

Ermitteln des Sicherungscodes

Nahezu alle modernen Anrufbeantworter verfügen über die Anrufaufzeichnung hinaus noch über eine Reihe zusätzlicher Funktionen. Typische Beispiele
sind Fernabfrage, Umleitung eines Anrufes, Raumüberwachung oder
Fernwirkung auf angeschlossene elektrische Geräte. Diese Funktionen lassen
sich über Telefon während eines Anrufes am Anrufbeantworter fernsteuern
(bei Impulswahlverfahren über einen zusätzlichen Fernabfragesender, bei
Tonwahlverfahren direkt über die Telefontastatur). Die Nutzung dieser
Fernabfrage- und Fernsteuerungsmöglichkeit wird i. allg. durch einen Sicherungscode (Geheimzahl, PIN) geschützt. Dieser Sicherungscode wird ebenfalls mittels des Fernabfragesenders durch Töne unterschiedlicher Frequenz an
den Anrufbeantworter übermittelt.
Wenn ein Dritter diesen Sicherungscode in Erfahrung gebracht hat, ist es ihm
möglich, über die Fernsteuerung auf den Anfrufbeantworter Einfluß zu
nehmen, genauso als wäre der Anrufbeantworter in seinem Besitz. Der entstehende Schaden hängt davon ab, ob der Dritte schutzbedürftige Nachrichten
abhört oder andere Leistungsmerkmale mißbraucht.
Beispiel:
Es wurde berichtet, daß in letzter Zeit vermehrt die Sicherungscodes einiger
Anrufbeantworter ermittelt wurden, indem ein normaler Personalcomputer mit
Modem eingesetzt wurde, um innerhalb von kurzer Zeit sämtliche nur
möglichen Zahlenkombinationen durchzuprobieren.

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.38
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.38

Mißbrauch der Fernabfrage

Ist einem Dritten der Sicherungscode eines Anrufbeantworters bekannt
geworden, kann er über die Fernabfrage einen Großteil der im Anrufbeantworter implementierten Funktionen mißbrauchen. Nachfolgend werden die
kritischsten Funktionen, die über die Fernabfrage angesprochen und damit
mißbraucht werden können, dargestellt:
- Raumüberwachung
Die Funktion Raumüberwachung aktiviert das Mikrofon des Anrufbeantworters und erlaubt so das Abhören des Raumes. Bemerkenswert
hierbei ist, daß die wenigsten Geräte dieses Abhören durch einen
Aufmerksamkeitston kenntlich machen - lediglich eine Anzeige mittels
Leuchtdiode ist Standard.
Wird diese Funktion mißbräuchlich bei Abwesenheit des Angerufenen
aktiviert, fällt die eingeschaltete Raumüberwachung nach Rückkehr dem
Angerufenen nicht auf. Seine Gespräche innerhalb des Raumes können
dann unbemerkt abgehört werden.
- Abhören oder Löschen gespeicherter Gespräche
Es können eingegangene Anrufe abgehört und auch gelöscht werden. Der
Schaden ist abhängig vom Schutzbedarf der aufgezeichneten Informationen.
- Ändern oder Löschen des gespeicherten Ansagetextes
Bei einigen Geräten kann durch Fernabfrage eine Löschung des Ansagetextes vorgenommen und damit Anrufbeantworter außer Betrieb gesetzt
werden. Durch gezielte Falschinformationen können Anrufer eventuell
verwirrt werden.
- Änderung gespeicherter Rufnummern der Anrufmeldung oder
Anrufweiterschaltung
Das Leistungsmerkmal Anrufmeldung bewirkt, daß der Anrufbeantworter
nach Eingang eines Anrufes selbständig eine vorher eingespeicherte Telefonnummer anwählt. Meldet sich der angerufene Teilnehmer, wird ein
bestimmtes Tonsignal bzw. ein Erinnerungstext durch den Anrufbeantworter gesendet und damit signalisiert, daß ein Anruf aufgezeichnet wurde.
Bei einzelnen Geräten werden die gespeicherten Nachrichten ohne weitere
Mitwirkung abgespielt. In der Regel jedoch muß die Wiedergabe der
aufgenommenen Anrufe durch Eingabe des Sicherungscodes aktiviert
werden. Das Leistungsmerkmal der Anrufweiterschaltung bewirkt, daß ein
Anrufer zu einer vorher eingespeicherten Telefonnummer weiterverbunden
wird.
Durch Abschaltung der Anrufmeldung oder Anrufweiterschaltung werden
die Funktionen nicht mehr ausgeführt und der Benutzer wird von wichtigen
Anrufen nicht mehr in Kenntnis gesetzt bzw. ist nicht mehr erreichbar. Ein
Umprogrammieren dieser Funktionen gestattet es, Anrufe gezielt
umzuleiten, beispielsweise zu einem kostenpflichtigen Telefonansagedienst.

_____________________________________________________________________ ..........................................
40

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.38
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

- Vor- und Rückspulen eines Aufzeichnungsbandes
Einige analog aufzeichnende Anrufbeantworter erlauben das ferngesteuerte
Vor- und Rückspulen des Aufzeichnungsbandes. Durch Vorspulen bis ans
Bandende sind weitere Aufzeichnungen ausgeschlossen. Nach dem
Zurückspulen des Bandes werden bereits aufgesprochene Texte durch den
nächsten Anruf überspielt.
- Fernwirkmöglichkeiten
Einige Geräte gestatten es, aus der Ferne über den Anrufbeantworter elektrische Geräte zu steuern (Ein- und Ausschalten). Je nach Funktion und
Bedeutung der angeschlossenen Geräte kann dies beliebig hohen Schaden
nach sich ziehen.
- Abschalten des Gerätes
Einige Geräte können ferngesteuert abgeschaltet werden, so daß die
Funktion des Anrufbeantworters nicht mehr zur Verfügung steht.

_____________________________________________________________________ ..........................................
41

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.39
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.39

Eindringen in Rechnersysteme über
Kommunikationskarten

Eine Kommunikationskarte (z. B. eine ISDN-Karte oder ein internes Modem,
aber auch ein externes Modem) kann eingehende Anrufe automatisch entgegennehmen. Abhängig von der eingesetzten Kommunikationssoftware und
deren Konfiguration besteht dann die Möglichkeit, daß ein Anrufer unbemerkt
Zugriff auf das angeschlossene IT-System nehmen kann.
Über eine Kommunikationskarte kann ein externer Rechner als Terminal an
einen Server angeschlossen werden. Falls der Benutzer sich nach einer
Terminalsitzung abmeldet, aber die Leitung ansonsten bestehen bleibt, ist vom
externen Rechner ein Zugang wie über ein lokales Terminal möglich. Damit
haben Dritte, die Zugang zu diesem Rechner haben, die Möglichkeit,
Benutzerkennungen und Paßwörter zu testen. Wesentlich gefährlicher ist der
Fall, daß die Verbindung unterbrochen wird, aber der Benutzer nicht automatisch am entfernten System ausgeloggt wird. Dann kann der nächste
Anrufer unter dieser Benutzerkennung weiterarbeiten, ohne sich anmelden zu
müssen. Er hat somit vollen Zugriff auf das IT-System, ohne sich identifiziert
und authentisiert zu haben.

_____________________________________________________________________ ..........................................
42

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.40
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.40

Abhören von Räumen mittels Rechner mit
Mikrofon

Viele IT-Systeme werden mittlerweile mit Mikrofon ausgeliefert. Das Mikrofon eines vernetzten Rechners kann von denjenigen benutzt werden, die über
Zugriffsrechte auf die entsprechende Gerätedateien verfügen (unter Unix ist
das zum Beispiel /dev/audio, unter Windows NT ist es ein Eintrag in der
Registrierung). Wenn diese Rechte nicht sorgfältig vergeben sind und dadurch
auch andere als die vorgesehenen Benutzer Zugriff haben, kann das Mikrofon
zum Abhören mißbraucht werden.

_____________________________________________________________________ ..........................................
43

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.41
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.41

Mißbräuchliche Nutzung eines Unix-Systems
mit Hilfe von uucp

Das Programmpaket UUCP (Unix-to-Unix Copy) erlaubt den Austausch von
ASCII- und Binärdateien zwischen IT-Systemen und die Ausführung von
Kommandos auf entfernten IT-Systemen. UUCP war ursprünglich auf UnixSysteme beschränkt, ist aber mittlerweile auch für viele andere Betriebssysteme verfügbar. Bei der Kommunikation über UUCP werden IT-Benutzern
auf entfernten Rechnern Rechte auf dem lokalen Rechner eingeräumt. Wenn
diese Rechte nicht sorgfältig und auf das Notwendige beschränkt vergeben
werden, besteht die Gefahr der mißbräuchlichen Nutzung des lokalen
Systems. Denkbar ist auch eine Maskerade über UUCP, indem z. B. ein Host bei Kenntnis des Paßworts - vorgetäuscht wird.

_____________________________________________________________________ ..........................................
44

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.42
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.42

Social Engineering

Social Engineering ist eine Methode, um nicht allgemein zugängliche Infortionen durch "Aushorchen" zu erlangen. Oft gibt sich ein Angreifer bei
Gesprächen durch die Kenntnisse der richtigen Schlagworte als Insider zu
erkennen und erhält so zusätzliche Informationen, die an anderer Stelle ausgenutzt werden können.
Das "Aushorchen" kann z. B. per Telefonanruf erfolgen, bei dem sich jemand
ausgibt:
- als Vorzimmerkraft, deren Vorgesetzter schnell noch etwas erledigen will,
aber sein Paßwort vergessen hat und es jetzt dringend braucht,
- als Administrator, der wegen eines Systemfehlers anruft, da er zur Fehlerbehebung noch das Paßwort des Benutzers benötigt,
- als Telefonentstörer, der einige technische Details wissen will, z. B. unter
welcher Rufnummer ein Modem angeschlossen ist und welche Einstellungen es hat,
- als Externer, der gerne Herrn X sprechen möchte, der aber nicht erreichbar
ist. Die Information, daß Herr X drei Tage abwesend ist, sagt ihm auch
gleichzeitig, daß der Account von Herrn X in dieser Zeit nicht benutzt
wird, also unbeobachtet ist.
Wenn kritische Rückfragen kommen, ist der Neugierige angeblich "nur eine
Aushilfe" oder eine "wichtige" Persönlichkeit.

_____________________________________________________________________ ..........................................
45

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.43
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.43

Makro-Viren

Mit dem Austausch von Dateien (z. B. per Datenträger oder E-Mail) besteht
die Gefahr, daß neben der eigentlichen Datei (Textdatei, Tabelle etc.) weitere,
mit dem Dokument verbundene Makros bzw. eingebettete Editorkommandos
übersandt werden. Diese Makros laufen erst mit dem jeweiligen Anwendungsprogramm (Winword, Excel etc.) bei der Bearbeitung des Dokuments
ab, indem der Benutzer das Makro aktiviert bzw. das Makro automatisch
gestartet wird. Wird ein Dokument über einen WWW-Browser empfangen,
der das Dokument automatisch öffnet, kann hierdurch ein (Auto-) Makro
aktiviert werden.
Da die Makrosprachen über einen sehr umfangreichen Befehlssatz verfügen,
besteht auch die Gefahr, daß einem Dokument ein Makro beigefügt wird, das
eine Schadfunktion enthält (z. B. einen Virus).
In der Praxis hat diese Gefährdung insbesondere bei den Dateien der Programme Word für Windows und Excel der Firma Microsoft weltweit
beträchtlich zugenommen. Für den Benutzer ist dabei nicht transparent, daß
Dateien für Word-Vorlagen (*.DOT), in denen Makros enthalten sein können,
durch Umbenennen in *.DOC-Dateien scheinbar zu Datendateien werden, die
keine Makros enthalten. Von Microsoft Word werden solche Dateien jedoch
ohne Hinweis auf diese Tatsache in nahezu gleicher Weise verarbeitet
(Ausnahme: Winword ab Version 7.0a).
Die Word-Makro-Viren haben inzwischen die Spitzenstellung bei gemeldeten
Infektionen eingenommen. Hervorzuheben ist, daß Makro-Viren auf verschiedenen Betriebssystem-Plattformen auftreten können, nämlich auf allen,
auf denen Winword läuft (Windows Versionen 3.1 und 3.11, Windows 95,
Windows NT, Apple-Computer).
Beispiel:
Der Winword-Makro-Virus "Winword.Nuclear" wurde im Internet über die
Datei WW6ALERT.ZIP verbreitet. Der Makro-Virus bewirkt einerseits, daß
an Ausdrucken der Text "STOP ALL FRENCH NUCLEAR TESTIN IN
PACIFIC!" angehängt wird, andererseits aber auch den Versuch,
Systemdateien zu löschen.

_____________________________________________________________________ ..........................................
46

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.44
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.44

Mißbrauch von Remote-Zugängen für Managementfunktionen von TK-Anlagen

TK-Anlagen verfügen über Remote-Zugänge für Managementfunktionen.
Über diese Zugänge können alle Administrations- und Wartungstätigkeiten
sowie sonstige Managementfunktionalitäten wie z. B. Alarmsignalisierung
und -bearbeitung abgewickelt werden.
Solche Remote-Zugänge sind besonders in TK-Anlagen-Verbünden
(Corporate Networks) nützlich und teilweise unverzichtbar. Bei der Art des
Remote Zuganges läßt sich zwischen
- "Modem"-Zugang über dedizierte Managementports und
- direkte Einwahl über DISA (Direct Inward System Access)
unterscheiden. Desweiteren sind in neueren Protokollierungsverfahren wie
QSig und einigen anderen proprietären Protokollen Managementfunktionen
bereits im Signalisierungsspektrum enthalten. Hieraus ergeben sich potentielle
Mißbrauchsmöglichkeiten.
Bei unzureichend gesicherten Fernwartungszugängen ist es denkbar, daß
Hacker Zugang zu den Managementprogrammen des TK-Systems erlangen.
Sie können somit nach Überwindung des Anlagenpaßwortes ggf. alle
Administrationstätigkeiten ausüben. Der entstehende Schaden kann sich vom
vollständigen Anlagenausfall, über schwerste Betriebsstörungen, den Verlust
der Vertraulichkeit aller auf der Anlage vorhandenen Daten bis hin zum
großen direkten finanziellen Schaden z. B. durch Gebührenbetrug erstrecken.

_____________________________________________________________________ ..........................................
47

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.45
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.45

Ausprobieren von Paßwörtern unter WfW und
Windows 95

In einem Peer-to-Peer-Netz unter WfW und Windows 95 werden Zugriffsrechte zu Verzeichnissen durch die Vergabe von Paßwörtern realisiert. Es
findet keine Unterscheidung einzelner Benutzer statt. Der Zugriff auf ein freigegebenes Verzeichnis und die darin gespeicherten Dateien wird lediglich bei
der Eingabe eines korrekten Paßwortes erlaubt. Dies gilt nicht beim Einsatz
von Windows 95 in Netware-Netzen. Unter WfW und Windows 95 ist es
daher prinzipiell möglich, die Zugriffspaßwörter zu freigegebenen Verzeichnissen durch Ausprobieren zu ermitteln. Da keine Beschränkung der Anzahl
von Fehlversuchen bei der Paßworteingabe existiert, kann dies mittels einer
gewissen Systematik erfolgversprechend sein.

_____________________________________________________________________ ..........................................
48

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.46
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.46

Maskerade unter WfW

Da jeder Benutzer eines WfW-Rechners den Rechner- und Anmeldenamen
ändern kann, ist WfW nicht in der Lage, Benutzer zuverlässig zu identifizieren. Maskerade ist daher leicht möglich. Damit kann ein potentieller
Angreifer unter falschem Namen auf seinem Rechner ein Verzeichnis für alle
am Netz unter WfW arbeitenden Mitarbeiter freigeben, in dem sich
Schadprogramme befinden. Er kann auch versuchen, sich unberechtigt Zugriff
auf Verzeichnisse anderer zu verschaffen. Der Geschädigte wird über den
wahren Verursacher getäuscht. Ebenso kann ein Angreifer Kommunikation in
WfW (z. B. über die Telefonfunktion) in einfacher Weise unter falschem
Namen führen und den Empfänger über die Identität des tatsächlichen
Absenders täuschen. Auch ist es möglich, die Anmeldung eines bestimmten
Rechners unter WfW zu verhindern, indem man sich unter dessen Namen
zeitlich vor diesem unter WfW anmeldet.
Unter Windows 95 und Windows NT kann über entsprechende Systemrichtlinien verhindert werden, daß die Benutzer Rechner- und Anmeldenamen
ändern können.

_____________________________________________________________________ ..........................................
49

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.47
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.47

Löschen des Post-Office

Wird von mehreren Benutzern ein gemeinsames Post-Office unter mail
genutzt, kann dieses unter Umgehung aller WfW-Sicherheitsfunktionen unberechtigt gelöscht werden, wenn zu einem dem Post-Office bekannten Rechner
kein ausreichender Zugangsschutz (z. B. über ein BIOS-Paßwort) gewährleistet ist.

_____________________________________________________________________ ..........................................
50

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.48
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.48

IP-Spoofing

IP-Spoofing ist eine Angriffsmethode, bei der falsche IP-Nummern verwendet
werden, um dem angegriffenen IT-System eine falsche Identität vorzuspielen.
Bei vielen Protokollen der TCP/IP-Familie erfolgt die Authentisierung der
kommunizierenden IT-Systeme nur über die IP-Adresse, die aber leicht
gefälscht werden kann. Nutzt man darüber hinaus noch aus, daß die von den
Rechnern zur Synchronisation beim Aufbau einer TCP/IP-Verbindung
benutzten Sequenznummern leicht zu erraten sind, ist es möglich, Pakete mit
jeder beliebigen Absenderadresse zu verschicken. Damit können entsprechend
konfigurierte Dienste wie rlogin benutzt werden. Allerdings muß ein
Angreifer dabei u. U. in Kauf nehmen, daß er kein Antwortpaket von dem
mißbräuchlich benutzten Rechner erhält.
Weitere Dienste, die durch IP-Spoofing bedroht werden, sind rsh, rexec, XWindows, RPC-basierende Dienste wie NFS und der TCP-Wrapper, der
ansonsten ein sehr sinnvoller Dienst zur Einrichtung einer Zugangskontrolle
für TCP/IP-vernetzte Systeme ist. Leider sind auch die in Schicht 2 des OSIModells eingesetzten Adressen wie Ethernet- oder Hardware-Adressen leicht
zu fälschen und bieten somit für eine Authentisierung keine zuverlässige
Grundlage.
In LANs, in denen das Address Resolution Protocol (ARP) eingesetzt wird,
sind sehr viel wirkungsvollere Spoofing-Angriffe möglich. ARP dient dazu,
zu einer 32-Bit großen IP-Adresse die zugehörige 48-Bit große Hardwareoder Ethernet-Adresse zu finden. Falls in einer internen Tabelle des Rechners
kein entsprechender Eintrag gefunden wird, wird ein ARP-Broadcast-Paket
mit der unbekannten IP-Nummer ausgesandt. Der Rechner mit dieser IPNummer sendet dann ein ARP-Antwort-Paket mit seiner Hardware-Adresse
zurück. Da die ARP-Antwort-Pakete nicht manipulationssicher sind, reicht es
dann meist schon, die Kontrolle über einen der Rechner im LAN zu bekommen, um das gesamte Netz zu kompromittieren.

_____________________________________________________________________ ..........................................
51

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.49
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.49

Mißbrauch des Source-Routing

Der Mißbrauch des Routing-Mechanismus und -Protokolls ist eine sehr einfache protokoll-basierte Angriffsmöglichkeit. In einem IP-Paket läßt sich der
Weg, auf dem das Paket sein Ziel erreichen soll oder den die Antwortpakete
nehmen sollen, vorschreiben. Die Wegbeschreibung kann aber während der
Übertragung manipuliert werden, so daß nicht die durch die Routing Einträge
vorgesehenen sicheren Wege benutzt werden (z. B. über die Firewall), sondern andere unkontrollierte Wege.

_____________________________________________________________________ ..........................................
52

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.50
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.50

Mißbrauch des ICMP-Protokolls

Das Internet Control Message Protocol (ICMP) hat als Protokoll der Transportschicht die Aufgabe, Fehler- und Diagnoseinformationen zu
transportieren. Es läßt sich in mehrfacher Weise mißbrauchen. Zum einem
können über Redirect Pakete die Routingtabellen eines Rechners geändert und
z. B. unerwünschte Routen konfiguriert werden. Zum anderen kann ein
Angreifer gefälschte Destination Unreachable Pakete in die Verbindung
einschleusen, so daß die bestehende Verbindung unterbrochen wird und somit
die Verfügbarkeit der Netzverbindung nicht mehr gewährleistet ist.

_____________________________________________________________________ ..........................................
53

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.51
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.51

Mißbrauch der Routingprotokolle

Routing Protokolle wie RIP (Routing Information Protocol) oder OSPF (Open
Shortest Path First) dienen dazu, Veränderungen der Routen zwischen zwei
vernetzten Systemen an die beteiligten Systeme weiterzuleiten und so eine
dynamische Änderung der Routingtabellen zu ermöglichen. Es ist leicht
möglich, falsche RIP-Pakete zu erzeugen und somit unerwünschte Routen zu
konfigurieren.
Der Einsatz von dynamischem Routing ermöglicht es, Routing-Informationen
an einen Rechner zu schicken, die dieser in der Regel ungeprüft zum Aufbau
seiner Routingtabellen benutzt. Dies kann ein Angreifer ausnutzen, um gezielt
den Übertragungsweg zu verändern.

_____________________________________________________________________ ..........................................
54

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.52
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.52

Mißbrauch von Administratorrechten im
Windows NT System

Eine mißbräuchliche Administration liegt vor, wenn man vorsätzlich rechtoder unrechtmäßig erworbene Administrator-Berechtigungen und -Rechte
ausnutzt, um dem System oder dessen Benutzern zu schaden.
Beispiel:
Durch mißbräuchliche Nutzung des Rechtes zur Besitzübernahme beliebiger
Dateien kann sich ein Administrator unter Windows NT Zugriff auf beliebige
Dateien verschaffen, obwohl deren Eigentümer ihm diesen Zugriff explizit
durch entsprechende Zugriffskontrollen verwehrt hat. Eine Zugriffsübernahme
kann allerdings vom ursprünglichen Eigentümer der Dateien erkannt werden,
da der Administrator sich hierbei zum Besitzer der betreffenden Dateien
machen muß und unter Windows NT keine Funktion verfügbar ist, um diese
Änderung wieder rückgängig zu machen. Trotzdem kann der Administrator
unbemerkt auf Benutzerdateien zugreifen, in dem er sich z. B. in die Gruppe
Sicherungs-Operatoren einträgt und ein Backup der Dateien durchführt, die er
lesen will.
Es gibt verschiedene Möglichkeiten, mißbräuchlich Administrator-Rechte
auszunutzen. Dazu gehören unzulässige Zugriffe auf Dateien, Veränderungen
der Protokollierungs-Einstellungen und der Vorgaben für Benutzerkonten.
Andere Möglichkeiten des Mißbrauchs bestehen in der Fälschung von Protokollinformationen durch Verstellen der Systemzeit oder in der detaillierten
Verfolgung der Tätigkeiten einzelner Benutzer.
In Abhängigkeit von der zugrundeliegenden Hardware kann bei Zugangsmöglichkeit zur Konsole bzw. zum Systemgehäuse das System gebootet
werden. Das ermöglicht ggf. die Manipulation der Konfiguration, wenn hierbei von einem Fremdmedium gebootet oder ein anderes Betriebssystem
ausgewählt werden kann.

_____________________________________________________________________ ..........................................
55

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.53
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.53

Bewußte Fehlbedienung von Schutzschränken
aus Bequemlichkeit

Eine häufig festzustellende Form der absichtlichen Fehlbedienung von
Schutzschränken mit mechanischen Codeschlössern besteht darin, nach
Schließen eines Schutzschrankes den Code nicht zu verwerfen, um den Code
beim Öffnen nicht wieder eingeben zu müssen. Dieses Fehlverhalten reduziert
den Schutzwert des Schrankes gegen unbefugten Zugriff, da hierdurch einem
Dritten das Öffnen des Schutzschrankes ohne Kenntnis des Codes ermöglicht
wird.
Ebenso häufig anzutreffen ist der Umstand, daß Schutzschränke bei kurzfristigem Verlassen des Raumes nicht verschlossen werden, um sich das
Öffnen des Schrankes nach Rückkehr zu ersparen. Dies reduziert ebenfalls
den Schutzwert gegen unbefugten Zugriff.

_____________________________________________________________________ ..........................................
56

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.54
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.54

Vorsätzliches Herbeiführen eines Abnormal End

Ein Netware ABEND (Abnormal End) wird hervorgerufen, wenn das Netware
Betriebssystem aufgrund von Hard- und/oder Softwareproblemen nicht mehr
in der Lage ist, Netzprozesse ordnungsgemäß weiterzuführen bzw. zu steuern.
Der Fileserver wird in diesen Fällen gestoppt und muß neu gestartet werden.
Hat ein Angreifer Zugriff auf die Konsole des Novell Netware Servers, so
kann ein Netware ABEND durch die Eingabe bestimmter Parameter vorsätzlich herbeigeführt werden.
Der ABEND eines Novell Netware Servers kann sogar von jedem, der Zugriff
auf das Netz hat, herbeigeführt werden, ohne das ein autorisiertes Login auf
dem Novell Netware Server erfolgen muß. Durch den Aufruf des Programms
SYS:\PUBLIC\RENDIR.EXE mit zusätzlichen Parametern kann jede Workstation im Status "Attached" den ABEND eines Novell Netware Servers
provozieren.

_____________________________________________________________________ ..........................................
57

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.55
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.55

Login Bypass

Die Login-Scripts (System-Login-Script, User-Login-Script) eines Novell
Netware Servers erstellen, nach erfolgter Anmeldung am Novell Netware
Server, die persönliche Netzumgebung für den Benutzer.
Durch die Verwendung von Optionen beim Ausführen von LOGIN.EXE unter
Novell Netware werden weder das System-Login-Script noch das User-LoginScript des ausgewählten Novell Netware Servers ausgeführt. Sicherheitseinstellungen die in die Login-Scripts implemetiert wurden werden somit
umgangen. Hierdurch ist es dem Benutzer nach dem autorisierten Login
möglich, sich mit Hilfe des Map Kommandos unabhängig von den in den
Login-Scripts (System-Login-Script, User-Login-Script) festgelegten Parametern auf dem Novell Netware Server zu "bewegen". In Verbindung mit
einer unzureichenden Rechtevergabe kann dies dazu führen, daß Informationen, die nicht für den Benutzer zugänglich sein sollen, diesem zugänglich
werden.

_____________________________________________________________________ ..........................................
58

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.56
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.56

Temporär frei zugängliche Accounts

Bei der Einrichtung eines neuen User-Accounts wird dieser standardmäßig
ohne Paßwort eingerichtet. Von Seiten des Netzbetriebssystems besteht hierbei keinerlei Zwang, ein Paßwort zu vergeben, obwohl dieses in den
Standardeinstellungen ("Default Account Balance/Restrictions") eingestellt
werden kann. Diese neu eingerichteten Accounts sind somit für jederman frei
zugänglich, ohne daß eine Paßwortabfrage erfolgt. Die Gefährdung des sogenannten "race on new accounts" ist hierbei umso höher einzuschätzen, je
privilegierter der neue Account auf dem Novell Netware Server ist.
In diesem Zusammenhang wird darauf hingewiesen, daß verschiedene Versionen (z. B. Vers. 3.75, Vers. 3.76) des Netware Utilities
SYS:\PUBLIC\SYSCON.EXE bei der Vergabe eines neuen Paßwortes durch
einen Systemverwalter dieses Paßwort unverschlüsselt über das Netz übertragen.

_____________________________________________________________________ ..........................................
59

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.57
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.57

Netzanalyse-Tools

Werden die im Netzsegment übertragenen Informationen nicht verschlüsselt,
so können diese Informationen mit Hilfe von Netzanalyse-Tools, den sogenannten "Sniffern", im Klartext ausgelesen werden. Hierbei ist auch zu beachten, daß diese "Sniffer" keineswegs immer als "Hackingsoftware" betrachtet
werden können, da viele Produkte, die dem Management des Netzes dienen,
eine derartige Funktion beinhalten.

_____________________________________________________________________ ..........................................
60

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.58
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.58

"Hacking Novell Netware"

"Hacking Novell Netware" kann prinzipiell auf zwei Arten durchgeführt werden.
Zum einen kann, ausgehend von einer Workstation, eine gezielte Attacke
gegen einen User Account erfolgen, um dessen Paßwort in Erfahrung zu
bringen.
Die gezielte Attacke gegen einen User Account kann hierbei über einen sogenannten Brute Force Angriff erfolgen, bei dem eine Workstation (Status: Attached) Login-Versuche unter einem zuvor festgelegten User Account durchführt und hierbei mit Hilfe eines Algorithmus oder eines mitgelieferten
Wörterbuches Paßwörter generiert bzw. ausprobiert.
Mit Hilfe des Programms HACK.EXE kann ein autorisierter Benutzer einen
Angriff gegen den Account des Supervisors durchführen. Es kann, eine
Schwachstelle im Betriebssystem ausnutzend, alle Benutzer des Novell Netware Servers in einen Supervisor-äquivalenten Zustand versetzten, den Supervisor ausloggen sowie dessen Paßwort verändern, vorausgesetzt der Account
des Supervisors ist zum Zeitpunkt der Aktivierung von HACK.EXE auf dem
Novell Netware Server eingeloggt.
Weiterhin kann eine Attacke durch eine direkte Manipulation am Server
durchgeführt werden, um beispielsweise einen Supervisor-äquivalenten
Account zu generieren.
Durch das Einspielen und Aktivieren von NLMs (Netware Loadable
Modules), die als Notfalltools entwickelt worden sind, besteht beispielsweise
die Möglichkeit, einen speziellen Benutzer zu erzeugen, dessen Rechte auf
dem Novell Netware Server äquivalent zu denen des Supervisors sind.
Diese Tools, wie z. B. SETPWD.NLM, arbeiten auch in Netware 4 Netzen.
Deshalb sei an dieser Stelle noch einmal auf M 1.42 Gesicherte Aufstellung
von Novell Netware Servern hingewiesen.
Die meisten dieser Programme sind frei über das Internet erhältlich. Sie sind,
hinsichtlich ihrer Handhabung, auch von "Computer-Laien" zu bedienen, da
sie keine spezifischen Novell Netware Kenntnisse erfordern.

_____________________________________________________________________ ..........................................
61

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.59
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.59

Mißbrauch von Administratorrechten unter
Novell Netware 3.x

Der Supervisor Account bzw. ein Supervisor-äquivalenter Account besitzt, mit
Ausnahme der Bindery Informationen (z. B. Paßwörter), die vollständige
Kontrolle über einen Novell Netware Server.
Hierdurch ist es einem Account der Sicherheitsstufe "Supervisor" möglich, auf
alle gespeicherten Informationen des Servers zuzugreifen, wenn diese nicht
durch zusätzliche Sicherheitsmechanismen, wie z. B. Verschlüsselung
geschützt werden. Damit haben autorisierte Benutzer dieser Accounts die
Möglichkeit, Daten anderer Benutzer zu lesen, zu löschen bzw. zu verändern.

_____________________________________________________________________ ..........................................
62

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.60
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.60

Umgehen der Systemrichtlinien

Besteht lokaler Zugang zu einem nicht vernetzten PC unter Windows 95, ist es
möglich, die Paßwortdatei (name.PWL), die zu einer bestimmten
Benutzerkennung gehört, zu löschen. Der Zugang mit dieser Benutzerkennung
ist dann ohne Kenntnis des Benutzerpaßwortes möglich. Dies ist insbesondere
dann kritisch, wenn ein nicht vernetzter Windows 95-Rechner durch
Systemrichtlinien für bestimmte Benutzer eingeschränkt ist, aber eine
Administrator-Kennung (z. B. ADMIN) existiert, die alle Rechte besitzt.
Durch löschen der ADMIN.PWL durch einen auf diesem PC eingeschränkten,
aber dennoch berechtigten Benutzer kann dieser sich anschließend als
Administrator anmelden. Die für den Benutzer eingestellten Einschränkungen
bzw. Systemrichtlinien werden somit umgangen.

_____________________________________________________________________ ..........................................
63

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.61
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.61

Mißbrauch von Remote-Zugängen für
Managementfunktionen von Routern

Router verfügen über Remote-Zugänge für Managementfunktionen. Über
diese Zugänge können alle Administrations- und Wartungstätigkeiten sowie
Signalisierungsfunktionalitäten abgewickelt werden. Solche Remote-Zugänge
sind besonders in größeren Netzen mit mehreren Routern bzw. bei der LANKopplung über Weitverkehrsnetze nützlich und teilweise unverzichtbar.
Bei der Art des Remote-Zugangs läßt sich unterscheiden zwischen:
- "Modem"-Zugang über dedizierte Schnittstelle (z. B. V.24) und
- direkter Zugang über reservierte Bandbreiten.
Wird für das Netzmanagement das Protokollverfahren SNMP (Simple
Network Management Protocol) eingesetzt, ergeben sich aufgrund fehlender
bzw. noch nicht umgesetzter Sicherheitsfunktionalitäten weitere Gefährdungen, die über den direkten Mißbrauch der ungeschützten Remote-Schnittstellen hinausgehen:
- Ein nicht autorisierter Benutzer fängt Datenpakete einer SNMP-Management-Station ab und verändert die darin enthaltenen Parameterwerte für
seine Zwecke. Nach dieser Manipulation werden die manipulierten Datenpakete zur eigentlichen Zielstation gesendet. Das Empfängergerät hat keine
Möglichkeit, diese Datenmanipulation zu erkennen und reagiert deshalb
auf die im Paket enthaltenen Informationen so, als ob diese von der
Management-Station direkt abgesandt worden wären.
-

Erhält der Besitzer einer Netzmanagement-Station Zugang zum mittels
SNMP verwalteten Netz, ist das Vorspiegeln einer Community
(Verwaltungsbereich innerhalb von SNMP) möglich. Durch diese
Maskerade täuscht ein nicht autorisierter Benutzer eine autorisierte
Identität vor und kann alle Informationen der Agents (im Netz zu
verwaltende Objekte, bspw. Router) auslesen sowie sämtliche
Managementoperationen durchführen. Der Agent hat keine Möglichkeit
zwischen der richtigen und der falschen Identität zu unterscheiden.

_____________________________________________________________________ ..........................................
64

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.62
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.62

Mißbrauch von Ressourcen über abgesetzte ITSysteme

Abgesetzte IT-Systeme (z. B. Telearbeitsplätze) können meist auf vielfältige
Ressourcen eines unternehmensweiten Netzes zugreifen. Grundsätzlich
besteht deshalb immer die Gefahr des Daten- und Programmdiebstahls.
Bestehen zu einem Unternehmensnetz auch Zugriffsmöglichkeiten von abgesetzten IT-Systemen (z. B. Telearbeitsplätzen), besteht grundsätzlich die
Gefahr, daß in dem Unternehmensnetz angebotenen Dienstleistungen
mißbraucht werden können. Die Bereitstellung von Kommunikationsservern
im Netz (z. B. Fax-Gateway, Internetanbindungen usw.) kann bei einer nicht
erlaubten privaten Nutzung zu einem Gebührenbetrug führen.

_____________________________________________________________________ ..........................................
65

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.63
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.63

Manipulationen über den ISDN-D-Kanal

Die Summe aller physikalischen Verbindungen der Kommunikationsteilnehmer zu einer ihnen zugeordneten digitalen Vermittlungsstelle bezeichnet
man als Anschlußnetz. Innerhalb des Anschlußnetzes existieren zahlreiche
Verteiler und Übergabepunkte, die teilweise frei zugänglich und nicht aufwendig gesichert sind (z. B. Kabelverzweiger). Die Kommunikation auf dem
Anschlußnetz kann im einfachsten Fall durch das mechanische Beschädigen
einer Anschlußleitung unterbrochen werden.
Weiterhin ist es mit Hilfe eines ISDN-Protokollanalysators möglich,
Kommunikationsinhalte aufzuzeichnen und auszuwerten. Mittels Einschleifen
eines Protokollanalysators ist ebenfalls das Manipulieren von Steuerungsinformationen im D-Kanal des ISDN möglich. Die Kommunikationskomponenten des angegriffenen Kommunikationsteilnehmers (also ISDN-Karten,
ISDN-Router, TK-Anlagen etc.) können so zu Reaktionen veranlaßt werden,
die ihren ordnungsgemäßen Betrieb beeinträchtigen oder zur Kompromittierung gespeicherter Daten führen.

_____________________________________________________________________ ..........................................
66

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.64
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.64

Manipulation an Daten oder Software bei
Datenbanksystemen

Durch ein gezieltes Manipulieren von Daten werden diese vorsätzlich
verfälscht oder unbrauchbar gemacht. Die entsprechenden Folgen sind in
G 4.28 Verlust von Daten einer Datenbank und G 4.30 Verlust der
Datenbankintegrität/-konsistenz beschrieben.
Werden die Dateien einer Datenbank oder der Datenbankstandardsoftware
gezielt gelöscht oder verändert, so führt dies zur vorsätzlichen Zerstörung des
gesamten Datenbanksystems (siehe G 4.26 Ausfall einer Datenbank).
Es ist prinzipiell nicht verhinderbar, daß Benutzer mit den entsprechenden
Zugangs- und Zugriffsberechtigungen gezielt Datenmanipulationen
durchführen oder eine Datenbank zerstören können. Ist es außerdem möglich,
die Zugangs- und Zugriffsberechtigungen zu umgehen (z. B. durch eine
fehlerhafte Administration des DBMS), so können sich auch unberechtigte
Benutzer Zugang zur Datenbank verschaffen und dort Manipulationen
vornehmen.

_____________________________________________________________________ ..........................................
67

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.65
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.65

Verhinderung der Dienste eines Datenbanksystems

Ein solcher Angriff zielt darauf ab, die IT-Benutzer daran zu hindern, die
Funktionen und Dienste eines Datenbanksystems benutzen zu können, die
ihnen normalerweise zur Verfügung stehen. Neben den in G 5.28 Verhinderung von Diensten aufgeführten Beispielen, kann dies im Bereich Datenbanken zusätzlich z. B. dadurch erreicht werden, daß große Datenmengen
selektiert werden, deren Auswertung das gesamte Datenbanksystem lahmlegt,
oder daß die Datensätze durch Sperren blockiert werden.

_____________________________________________________________________ ..........................................
68

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.66
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.66

Unberechtigter Anschluß von IT-Systemen an
ein Netz

Grundsätzlich kann der unberechtigte Anschluß eines IT-Systems in ein bestehendes Netz (durch ein Aufschalten auf die zugehörige Verkabelung oder
durch die Nutzung von Schnittstellen in Verteiler- oder Büroräumen) nicht
verhindert werden. Es gibt keinen Verkabelungstyp, der ein solches
Ankoppeln verhindern würde, lediglich der erforderliche Aufwand zum
Auftrennen der Verkabelung und zum Lesen bzw. Einspielen von Daten
unterscheidet die verschiedenen Typen.
Die unberechtigte Integration eines Rechners in ein Netz ist nur sehr schwer
zu entdecken und bleibt meistens unbemerkt. Ein solcher Zugriff betrifft den
gesamten Netzverkehr in dem zugehörigen Segment und kann z. B.
- die Manipulation an Daten oder Software,
- das Abhören von Leitungen,
- die Manipulation an Leitungen,
- das Wiedereinspielen von Nachrichten,
- die Maskerade als anderer Kommunikationsteilnehmer,
- eine Analyse des Nachrichtenflusses,
- die Verhinderung von Diensten,
- die unberechtigte Ausführung von Netzmanagementfunktionen oder
- den unberechtigten Zugang zu den aktiven Netzkomponenten
begünstigen.

_____________________________________________________________________ ..........................................
69

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.67
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.67

Unberechtigte Ausführung von Netzmanagementfunktionen

Durch die unberechtigte Ausführung von Netzmanagementfunktionen können
aktive Netzkomponenten teilweise oder vollständig kontrolliert werden. Die
Kontrollmöglichkeiten werden u. a. durch das verwendete Netzmanagementprotokoll, wie z. B. SNMP oder CMIP/CMOT bestimmt. Daraus kann ein
Verlust der Netzintegrität, der Verfügbarkeit einzelner oder aller Netzbestandteile sowie der Vertraulichkeit bzw. Integrität von Daten resultieren.
Unter Verwendung eines Serviceprotokolls, wie z. B. SNMP, können
dedizierte Ports aktiver Netzkomponenten aktiviert oder insbesondere auch
deaktiviert werden. Weiterhin können z. B. die VLAN-Konfiguration,
Routing-Tabellen, die Router-Konfiguration sowie die Konfiguration von
Filtern manipuliert werden (siehe G 3.28 Ungeeignete Konfiguration der
aktiven Netzkomponenten). Daneben kann die Möglichkeit einer Verteilung
von Firmware-Updates über das Netz genutzt werden, um unberechtigt Software auf aktiven Netzkomponenten zu installieren, mit deren Unterstützung
wiederum vielfältige Angriffe auf Komponenten innerhalb des Netzes durchgeführt oder unterstützt werden können.

_____________________________________________________________________ ..........................................
70

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.68
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.68

Unberechtigter Zugang zu den aktiven Netzkomponenten

Aktive Netzkomponenten haben üblicherweise eine serielle Schnittstelle (RS232), an die von außen ein Terminal oder ein tragbarer PC angeschlossen
werden kann. Dadurch ist es möglich, aktive Netzkomponenten auch lokal zu
administrieren.
Bei unzureichend gesicherten Schnittstellen ist es denkbar, daß Angreifer
einen unberechtigten Zugang zur Netzkomponente erlangen. Sie können somit
nach Überwindung der lokalen Sicherheitsmechanismen (z. B. des Paßwortes)
ggf. alle Administrationstätigkeiten ausüben.
Dabei können durch das Auslesen der Konfiguration aktiver Netzkomponenten ggf. schutzbedürftige Informationen über die Topologie, die Sicherheitsmechanismen und die Nutzung eines Netzes in Erfahrung gebracht
werden. Ein Auslesen der Konfigurationsdaten ist z. B. durch den Anschluß
eines Terminals oder tragbaren PCs an die serielle Schnittstelle der aktiven
Netzkomponente, durch den Zugriff auf die aktive Netzkomponente über das
lokale Netz oder durch das Mitlesen der Daten auf einem Bildschirm oder
Display möglich, falls die aktive Netzkomponente gerade administriert bzw.
konfiguriert wird.

_____________________________________________________________________ ..........................................
71

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.69
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.69

Erhöhte Diebstahlgefahr am häuslichen
Arbeitsplatz

Der häusliche Arbeitsplatz ist in der Regel nicht so abgesichert wie der
Arbeitsplatz in einem Unternehmen oder einer Behörde. Dort ist, bedingt
durch aufwendigere Vorkehrungen (Verwendung von Sicherheitstüren,
Einbruchschutz, Pförtnerdienst usw.) die Gefahr, daß jemand in das Gebäude
unbefugt eindringt, weit geringer als bei einem Privathaus.
Einbruch und Diebstahl im Privathaus dienen meist der Bereicherung. Dabei
gestohlene dienstliche IT wird mit dem Ziel der Veräußerung gestohlen. Die
mitentwendeten Daten können ggf. auch einen Wert darstellen, der zum
Beispiel durch Erpressung oder Informationsweitergabe an Konkurrenzunternehmen realisiert werden kann.

_____________________________________________________________________ ..........................................
72

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.70
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.70

Manipulation durch Familienangehörige und
Besucher

Am häuslichen Arbeitsplatz ist mit Angehörigen und Besuchern der Familie
zu rechnen, so daß die Gefahr besteht, daß bei unzureichender Sicherung die
dienstliche IT durch diese manipuliert werden kann. So sollte auch betrachtet
werden, daß durch Familienangehörige private Software (z. B. Computerspiele) aufgespielt werden könnte, daß durch Kinder die IT zerstört werden
kann oder daß dienstliche Datenträger zweckentfremdet weitergegeben
werden können. Diese teils fahrlässigen oder auch absichtlichen Manipulationen können sowohl die Vertraulichkeit und Integrität der dienstlichen
Daten betreffen als auch die Verfügbarkeit von Daten und IT beeinträchtigen.

_____________________________________________________________________ ..........................................
73

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.71
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.71

Vertraulichkeitsverlust schützenswerter Informationen

Für Informationen, die einen Schutzbedarf bezüglich ihrer Vertraulichkeit
besitzen (wie Paßwörter, personenbezogene Daten, firmen- oder amtsvertrauliche Informationen, Entwicklungsdaten), besteht die inhärente Gefahr,
daß die Vertraulichkeit durch Unachtsamkeit oder auch durch vorsätzliche
Handlungen beeinträchtigt wird. Dabei kann auf diese vertraulichen Informationen an unterschiedlichen Stellen zugegriffen werden, beispielsweise
- auf Speichermedien innerhalb von Rechnern (Festplatten),
- auf austauschbaren Speichermedien (Disketten, Magnetbänder),
- in gedruckter Form auf Papier (Ausdrucke, Akten) und
- auf Übertragungswegen während der Datenübertragung.
Auch die Art und Weise, wie die vertraulichen Informationen gewonnen
werden, kann sehr unterschiedlich sein:
- Auslesen von Dateien,
- Kopieren von Dateien,
- Wiedereinspielen von Datensicherungsbeständen,
- Diebstahl des Datenträgers und anschließendes Auswerten,
- Abhören von Übertragungsleitungen und
- Mitlesen am Bildschirm.
Je höher der Vertraulichkeitsbedarf der Informationen ist, umso größer ist
auch der Anreiz für Dritte, diese Informationen zu erlangen und zu mißbrauchen.

_____________________________________________________________________ ..........................................
74

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.72
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.72

Mißbräuchliche E-Mail-Nutzung

Der Mißbrauch von E-Mail-Systemen kann an verschiedenen Punkten aufsetzen, beim Benutzer, im internen Netz, bei einem der übertragenden Mailserver oder beim Empfänger.
Wenn der Zugang zum E-Mail-Programm eines Benutzers oder zum E-MailSystem einer Organisation nicht gut genug geschützt ist, kann ein Unbefugter
sich unberechtigt Zugang für manipulative Zwecke verschaffen. Dabei können
neben den Übertragungskosten auch Schäden dadurch entstehen, daß ein
Unbefugter sich als Berechtigter ausgibt.
Ebenso muß verhindert werden, daß E-Mails von Unbefugten gelesen werden
können. Vertrauliche Informationen können so bekannt werden, ihren Wert
verlieren oder zum Schaden des Empfängers genutzt werden.
Beispiele:
- Ein Abteilungsleiter verließ für kurze Zeit sein Büro mit ungesichertem ITSystem, auf dem das Mailprogramm bereits gestartet war und für das er
sich bereits authentisiert hatte. Ein zufällig vorbeigekommener Kollege
hielt es für einen gelungenen Scherz, unter dessen E-Mail-Kennung
anderen Kollegen "Kündigungen" oder Arbeitsaufträge zu schicken.
- Ein Mitarbeiter verbreitet unter seiner dienstlichen E-Mail-Adresse private
Ansichten, die dem Ansehen seines Arbeitgebers schaden können.

_____________________________________________________________________ ..........................................
75

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.73
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.73

Vortäuschen eines falschen Absenders

Es ist relativ einfach, beim Versand von E-Mail einen falschen Absender
anzugeben. Dadurch können Schäden entstehen, wenn der Empfänger die
darin enthaltenen Informationen als authentisch und verbindlich ansieht.
Beispiel:
Mit dem verbreiteten Mailprogramm Eudora ist es ohne Probleme möglich,
eine Mail mit gefälschten Absenderangaben ohne Paßwortüberprüfung auf den
Mail-Server weiterzuleiten. Die so versandte Mail wird bei nicht erfolgter
Benutzer-Authentisierung nur im Feld "X-Sender" mit "Unverified" gekennzeichnet. Dies wird aber erfahrungsgemäß von kaum einem Empfänger
bemerkt, ohnehin wird dieses Feld von den meisten Mailprogramme in der
Standardkonfiguration nicht angezeigt.

_____________________________________________________________________ ..........................................
76

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.74
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.74

Manipulation von Alias-Dateien oder
Verteilerlisten

Um häufig wiederkehrende E-Mail-Adressen nicht ständig neu eingeben zu
müssen, kann über die Vergabe von Alias-Namen eine "sprechende"
Schreibweise für E-Mail-Adressen gewählt werden oder es kann über die
Erstellung von Verteilerlisten ein größerer Empfängerkreis komfortabel
angewählt werden. Werden solche Alias-Namen oder Verteilerlisten unbefugt
geändert, kann auf diese Weise die Weiterleitung einer E-Mail an einen
gewünschten Empfänger unterbunden oder die Weiterleitung zu einem unerwünschten Empfänger erfolgen. Besonders gefährdert sind hier Alias-Dateien
oder Adreßbücher, die zentral geführt werden.

_____________________________________________________________________ ..........................................
77

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.75
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.75

Überlastung durch eingehende E-Mails

Eine E-Mail-Adresse kann absichtlich blockiert werden, indem andauernd
umfangreiche E-Mails (ggf. mit sinnlosem Inhalt) zugesandt werden. Dies
kann beispielsweise passieren, weil der Benutzer die Netiquette nicht beachtet
hat und sich dadurch in Newsgruppen unbeliebt gemacht hat. Als Netiquette
(die Netz-Etiquette) werden die Höflichkeitsregeln bezeichnet, die sich mit der
Zeit bei der Nutzung des Internet, insbesondere in den Newsgruppen,
eingebürgert haben und deren Einhaltung gewährleisten soll, daß jeder das
Internet effizient und zu aller Zufriedenheit benutzen kann.
Durch vorsätzlich erzeugtes hohes Verkehrsaufkommen kann das lokale
Mailsystems überlastet werden, so daß es funktionsuntüchtig wird. Dies kann
sogar solche Ausmaße annehmen, daß der Provider den Benutzer bzw. dessen
ganze Organisation vom Netz nimmt.
Ein Mailsystem kann auch überlastet werden, wenn die Mitarbeiter an E-MailKettenbrief-Aktionen teilnehmen. So hat schon Mitte der achtziger Jahre eine
Kettenmail-Aktion zu Weihnachten weltweit viele IT-Systeme lahmgelegt.
Hierbei erhielten Benutzer eine E-Mail mit Weihnachtsgrüßen und einer
ansprechenden Graphik und wurden aufgefordert, diese E-Mail zu kopieren
und zehn andere Benutzer weiterleiten.

_____________________________________________________________________ ..........................................
78

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.76
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.76

Mailbomben

Unter dem Begriff Mailbomben werden E-Mails verstanden, die absichtlich
eingebaute Schadfunktionen enthalten. Diese sind üblicherweise in den
Anlagen der E-Mail enthalten. Eine solche Anlage erzeugt z. B. beim Aktivieren zum Lesen oder nach dem Auspacken Unmengen von Unterverzeichnissen
oder beansprucht sehr viel Festplattenplatz. Vielfach wird auch die gezielte
Überlastung von E-Mail-Adressen durch eingehende E-Mails mit meist
sinnlosem Inhalt (siehe G 5.75 Überlastung durch eingehende E-Mails) als
Mailbombing bezeichnet.

_____________________________________________________________________ ..........................................
79

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.77
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.77

Mitlesen von E-Mails

Elektronische Post (E-Mail) wird im Normalfall im Klartext übertragen. Auf
allen IT-Systemen, über die die Daten übertragen werden, können diese mitgelesen oder unbemerkt verändert werden, wenn sie kryptographisch ungesichert sind. Bei E-Mail über das Internet können das sehr viele IT-Systeme
sein, ohne dass der genaue Übertragungsweg vorher bekannt ist. Der Übertragungsweg hängt von der Auslastung und Verfügbarkeit der Gateways und
Teilen des Netzes ab. Eine E-Mail von einem Stadtteil in den anderen kann
sogar über das Ausland weitergeleitet werden.

Übertragung im Klartext

Der Zugriff auf eingehende E-Mails kann auch über die beim Mailserver des
Empfängers geführte Mailbox erfolgen. Sie enthält alle empfangenen E-Mails,
je nach Konfiguration nicht nur die ungelesenen, sondern ein Archiv aller in
den letzten Monaten eingegangenen Nachrichten. Hierauf hat mindestens der
Systemadministrator des Mailservers Zugriff. In manchen Fällen werden auch
Kopien ausgehender E-Mails auf dem Mailserver gespeichert, häufiger jedoch
legt das Benutzer-Mailprogramm diese auf dem Rechner des Absenders ab.

Speicherung auf dem
Mailserver

Beispiele:
- Mehrere Microsoft-interne E-Mails wurden im Antitrust-Verfahren von der
Gegenseite benutzt, um deren Position zu untermauern. Diese E-Mails enthielten teilweise diffamierende Aussagen über Microsofts Konkurrenten.
- Ein Anbieter stellt Dienstleistungen über das Internet zur Verfügung. Für
die Nutzung ist eine Anmeldung am Server des Dienstleisters erforderlich.
Die dafür notwendigen Authentisierungsinformationen werden per E-Mail
an die Kunden versandt. Durch Mitlesen dieser E-Mails ist ein Angreifer in
der Lage, sich unberechtigt am Server des Dienstleisters anzumelden und
auf Kosten der registrierten Kunden Dienste in Anspruch zu nehmen.

_____________________________________________________________________ ..........................................
80

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.78
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.78

DNS-Spoofing

Um im Internet mit einem anderen Rechner kommunizieren zu können,
benötigt man dessen IP-Adresse. Diese Adresse setzt sich aus vier Zahlen
zwischen 0 und 255 zusammen, also zum Beispiel 194.95.176.226. Da solche
Nummern nicht sehr einprägsam sind, wird einer solchen IP-Adresse fast
immer ein Name zugeordnet. Das Verfahren hierzu nennt sich DNS (Domain
Name System). So kann der WWW-Server des BSI sowohl unter
http://www.bsi.bund.de als auch unter http://194.95.176.226 angesprochen
werden, da der Name bei der Abfrage in die IP-Adresse umgewandelt wird.
Die Datenbanken, in denen den Rechnernamen die zugehörigen IP-Adressen
zugeordnet sind und den IP-Adressen entsprechende Rechnernamen, befinden
sich auf sogenannten Nameservern. Für die Zuordnung zwischen Namen und
IP-Adressen gibt es zwei Datenbanken: In der einen wird einem Namen seine
IP-Adresse zugewiesen und in der anderen einer IP-Adresse der zugehörige
Name. Diese Datenbanken müssen miteinander nicht konsistent sein! Von
DNS-Spoofing ist die Rede, wenn es einem Angreifer gelingt, die Zuordnung
zwischen einem Rechnernamen und der zugehörigen IP-Adresse zu fälschen,
d. h. daß ein Name in eine falsche IP-Adresse bzw. umgekehrt umgewandelt
wird.
Dadurch sind unter anderem die folgenden Angriffe möglich:
- r-Dienste (rsh, rlogin, rsh)
Diese Dienste erlauben eine Authentisierung anhand des Namens des
Clients. Der Server weiß die IP-Adresse des Clients und fragt über DNS
nach dessen Namen.
- Web-Spoofing
Ein Angreifer könnte die Adresse www.bsi.bund.de einem falschen
Rechner zuweisen, und bei Eingabe von http://www.bsi.bund.de würde
dieser falsche Rechner angesprochen werden.
Wie leicht es ist, DNS-Spoofing durchzuführen, hängt davon ab, wie das Netz
des Angegriffenen konfiguriert ist. Da kein Rechner alle DNS-Informationen
der Welt besitzen kann, ist er immer auf Informationen anderer Rechner
angewiesen. Um die Häufigkeit von DNS-Abfragen zu verringern, speichern
die meisten Nameserver Informationen, die sie von anderen Nameservern
erhalten haben, für eine gewisse Zeit zwischen.
Ist ein Angreifer in einen Nameserver eingebrochen, kann er auch die zur
Verfügung gestellten Informationen abändern. Der Fall eines direkten
Einbruchs auf einen Nameserver soll hier nicht weiter betrachtet werden.
Vielmehr geht es darum, prinzipielle Schwächen im DNS aufzuzeigen.
Anhand zweier Beispiele sollen unterschiedliche Methoden aufgezeigt
werden, mit denen DNS-Spoofing möglich ist.
1. Ein Benutzer auf dem Rechner pc.kunde.de will zuerst auf www.firma-x.de
und dann auf den Konkurrenten www.firma-y.de zugreifen. Um auf
www.firma-x.de zugreifen zu können, muß er erst die zugehörige IPAdresse bei seinem Nameserver ns.kunde.de nachfragen. Dieser kennt die

_____________________________________________________________________ ..........................................
81

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.78
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

Adresse auch nicht und fragt beim Nameserver von ns.firma-x.de nach.
Dieser antwortet mit der IP-Adresse, die von ns.kunde.de an den Benutzer
weitergeleitet und gespeichert wird. Befindet sich in dem Antwortpaket
von ns.firma-x.de neben der IP-Adresse von www.firma-x.de auch noch
eine beliebige IP-Adresse für den Rechnernamen www.firma-y.de, so wird
auch diese gespeichert. Versucht der Benutzer nun, auf www.firma-y.de
zuzugreifen, fragt der eigene Nameserver ns.kunde.de nicht mehr bei dem
Nameserver ns.firma-y.de nach, vielmehr gibt er die Informationen weiter,
die ihm von ns.firma-x.de untergeschoben wurden.
2. Firma X weiß, daß ein Benutzer mit dem Rechner pc.kunde.de auf den
Konkurrenzrechner www.firma-y.de zugreifen will. Firma X verhindert
dies, indem sie den Nameserver ns.kunde.de nach der Adresse www.firmax.de fragt. Dieser muß beim Nameserver ns.firma-x.de nachfragen und
bekommt wie in Beispiel 1 auch die falschen Angaben über www.firmay.de zurück.
Diese beiden Beispiele beruhen darauf, daß ein Nameserver auch zusätzliche
Daten, die er gar nicht angefordert hat, akzeptiert. In neuen Versionen
bestimmter Software (z. B. bind) ist dieser Fehler beseitigt, so daß diese Art
von Angriffen verhindert wird. Es ist allerdings unter Verwendung von IPSpoofing noch immer möglich, falsche DNS-Einträge zu erzeugen. Dieser
Angriff ist jedoch technisch viel anspruchsvoller.

_____________________________________________________________________ ..........................................
82

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.79
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.79

Unberechtigtes Erlangen von Administratorrechten unter Windows NT

Bei jeder Standardinstallation von Windows NT (betrifft sowohl die
Versionen Workstation, Server als auch Domänenkontroller) wird ein
Administratorkonto angelegt. Im Gegensatz zu selbst angelegten Konten kann
dieses vordefinierte Administratorkonto weder gelöscht noch gesperrt werden,
um zu verhindern, daß der Administrator vorsätzlich oder versehentlich
ausgesperrt wird und somit die Verwaltung unmöglich wird. Problematisch in
diesem Zusammenhang ist, daß das vordefinierte Administratorkonto selbst
dann nicht gesperrt wird, wenn die in der Kontorichtlinie für eine Sperre
eingetragene Anzahl ungültiger Kennworteingaben überschritten wird. Dies
ermöglicht das planmäßige Ausprobieren von Paßwörtern unter Einsatz von
Crack-Programmen.
Es gibt aber noch weitere Möglichkeiten, um in den Besitz eines zu einem
Administratorkonto gehörenden Paßwortes zu kommen, um damit
Administratorrechte zu erlangen: Wird ein Rechner unter dem Betriebssystem
Windows NT fernadministriert, so besteht die Gefahr, daß beim Authentisierungsvorgang das Anmeldepaßwort im Klartext übertragen und damit von
einem Angreifer aufgezeichnet werden kann. Selbst wenn durch Eingriffe in
das System sichergestellt ist, daß die Anmeldepaßwörter nur verschlüsselt
übertragen werden, ist es möglich, daß ein Angreifer das verschlüsselte
Paßwort aufzeichnet und mit Hilfe entsprechender Software entschlüsselt.
Weiterhin wird jedes Paßwort in der Registrierung und in einer Datei, die sich
im Verzeichnis %SystemRoot%\System32\Repair bzw. auf den Notfalldisketten und ggf. auf Bandsicherungen befindet, verschlüsselt gespeichert.
Gelangt ein Angreifer in den Besitz der entsprechenden Datei, so kann er mit
Hilfe entsprechender Software versuchen, das benötigte Paßwort zu entschlüsseln.
Schließlich ist es mit einer speziellen Schadsoftware möglich, daß ein Angreifer auf dem Windows NT Rechner, an dem er lokal angemeldet ist, ein beliebiges Benutzerkonto der Gruppe "Administratoren" hinzufügt und dem
Kontoinhaber damit Administratorrechte verschafft.

_____________________________________________________________________ ..........................................
83

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.80
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.80

Hoax

Ein Hoax (englisch für Streich, Trick, falscher Alarm) ist eine Nachricht, die
per E-Mail versandt wird und meist eine Warnung vor neuen spektakulären
Computer-Viren oder anderen IT-Problemen enthält. Beispielsweise wird
dabei vor Computer-Viren gewarnt, die Hardware-Schäden verursachen
können oder durch das bloße Öffnen einer E-Mail (nicht eines Attachments)
zu Infektionen und Schäden führen können und die durch keine AntivirenSoftware erkannt werden. Neben dieser Warnung wird darum gebeten, die
Meldung an Freunde und Bekannte weiterzuleiten. Noch wirksamer wird ein
solcher Hoax, wenn als Absender eine gefälschte Adresse angegeben wird,
wie zum Beispiel die eines namhaften Herstellers.
Ein solcher Hoax ist nicht zu verwechseln mit einem Computer-Virus, der
tatsächlich Manipulationen am IT-System vornehmen kann. Vielmehr handelt
es sich um eine irreführende Nachricht, die ohne Schaden gelöscht werden
kann und sollte. Die einzigen Schäden, die ein Hoax herbeiführt, sind die
Verunsicherung und Irritation der Empfänger und ggf. die Kosten an Zeit und
Geld für den Weiterversand des Hoax.

_____________________________________________________________________ ..........................................
84

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.81
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.81

Unautorisierte Benutzung eines Kryptomoduls

Gelingt es einem Dritten, ein Kryptomodul unautorisiert zu benutzen, so
können Schäden verschiedenster Art die Folge sein. Beispiele für solche
Schäden sind:
- Bei der unautorisierten Nutzung gelingt es dem Angreifer, geheime
Schlüssel auszulesen, die Schlüssel zu verändern oder auch kritische
Sicherheitsparameter zu manipulieren. Die Folge wäre, daß die kryptographischen Verfahren keine ausreichende Sicherheit mehr bieten.
- Bei der unautorisierten Nutzung manipuliert der Angreifer das Kryptomodul so, daß es zwar auf den ersten Blick korrekt arbeitet, sich jedoch
tatsächlich in einem unsicheren Zustand befindet.
- Der Angreifer nutzt das Kryptomodul in Form einer Maskerade. Signiert er
oder verschlüsselt er Daten bei der unautorisierten Benutzung des
Kryptomoduls, so wird dies vom Empfänger der Daten so interpretiert, als
hätte der autorisierte Benutzer dies vorgenommen.
Beispiel:
Eine unautorisierte Benutzung eines Kryptomoduls wird dann möglich, wenn
der reguläre Benutzer kurzfristig seinen Arbeitsplatz verläßt und das funktionsfähige Kryptomodul einsetzbar ist, ohne daß es vor unbefugtem Zugriff
geschützt ist, also beispielsweise wenn eine Signatur- oder Verschlüsselungschipkarte im Rechner stecken bleibt. Damit kann jeder, der zufällig vorbeikommt, E-Mail im Namen des regulären Benutzers signieren oder auf dem
IT-System gespeicherte Dateien so verschlüsseln, daß der Benutzer sie nicht
mehr verwenden kann.

_____________________________________________________________________ ..........................................
85

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.82
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.82

Manipulation eines Kryptomoduls

Ein Angreifer kann versuchen, ein Kryptomodul zu manipulieren, um geheime
Schlüssel auszulesen oder die Schlüssel zu verändern oder auch um kritische
Sicherheitsparameter zu verändern. Ein Kryptomodul kann auf verschiedene
Art und Weise manipuliert sein, es kann z. B.
- ein Super-Paßwort, mit dem alle anderen Paßwörter umgangen werden
können,
- nicht dokumentierte Testmodi, über die jederzeit Zugriff auf sensitive
Bereiche genommen werden kann,
- Trojanische Pferde, d. h. Software, die neben ihrer eigentlichen Aufgabe
andere, nicht direkt erkennbare Aktionen wie das Aufzeichnen von
Paßwörtern, durchführt,
- manipulierte Zugriffsrechte auf bestimmte Kommandos
enthalten. Andere Beispiele für solche Angriffe sind
- die Modifikation von kryptographischen Schlüsseln,
- die Beeinträchtigung der internen Schlüsselgenerierung, z. B. durch Manipulation des Zufallszahlengenerators,
- die Modifizierung der Abläufe innerhalb des Kryptomoduls,
- Modifikationen am Sourcecode oder am ausführbaren Code des Kryptomoduls,
- Über- oder Unterschreitung des zulässigen Arbeitsbereichs bzgl.
Spannungsversorgung, Temperatur, EMV-Grenzwerte etc. des Kryptomoduls.
Bei Manipulationen am Kryptomodul wird der Angreifer meist versuchen,
diesen Angriff zu vertuschen, so daß das Kryptomodul für Benutzer zwar auf
den ersten Blick vermeintlich korrekt arbeitet, sich jedoch in einem unsicheren
Zustand befindet. Es gibt allerdings auch zerstörerische Angriffe, bei denen
auch die Zerstörung des Kryptomoduls bewußt in Kauf genommen wird,
beispielweise wenn ein Angreifer Informationen über die Funktionsweise des
Kryptomoduls erhalten will oder wenn die kryptographischen Schlüssel
ausgelesen werden sollen.
Ein Angreifer kann versuchen, seine Angriffe am Aufstellungsort des
Kryptomoduls durchzuführen oder es entwenden. Bei einem schlecht
geschützten Aufstellungsort lassen sich die Manipulationen unter Umständen
sehr schnell durchführen und bleiben dadurch evtl. lange unbemerkt. Durch
den Diebstahl von Kryptomodulen kann ein Angreifer wichtige Informationen
darüber bekommen, wie eine Komponente am einfachsten manipulierbar ist.
Er kann die entwendeten Komponenten benutzen, um daraus sensitive Informationen wie Schlüssel, Software oder Kenntnis über Hardwaresicherheitsmechanismen zu gewinnen. Er kann aber auch die entwendete Komponente
dazu benutzen, um ein authentisches Kryptomodul vorzutäuschen.

_____________________________________________________________________ ..........................................
86

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.83
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.83

Kompromittierung kryptographischer Schlüssel

Beim Einsatz kryptographischer Verfahren hängt der Sicherheitszugewinn
entscheidend davon ab, wie vertraulich die verwendeten geheimen kryptographischen Schlüssel bleiben. Mit Kenntnis sowohl des verwendeten
Schlüssels als auch des eingesetzten Kryptoverfahrens ist es meist einfach, die
Verschlüsselung umzukehren und den Klartext zu gewinnen. Daher wird ein
potentieller Angreifer versuchen, die verwendeten Schlüssel zu ermitteln.
Angriffspunkte dazu sind:
- Bei der Schlüsselerzeugung werden ungeeignete Verfahren eingesetzt,
beispielsweise zur Bestimmung von Zufallszahlen oder zur Ableitung der
Schlüssel.
- Bei der Schlüsselerzeugung werden Schlüssel ausgelesen, bevor sie auf
sicheren Speichermedien gespeichert werden.
- Im laufenden Betrieb werden Schlüssel aus Kryptomodulen durch technische Angriffe ausgelesen.
- Als Backup hinterlegte Schlüssel werden entwendet.
- Bei der Eingabe von kryptographischen Schlüsseln werden die Schlüssel
ausgespäht.
- Die eingesetzten Kryptoverfahren werden gebrochen. So ist es heute
beispielsweise bei symmetrischen Verschlüsselungsverfahren wie dem
DES möglich, den verwendeten Schlüssel mittels massiv paralleler Rechner durch Ausprobieren zu ermitteln (Brute-Force-Attacke).
- Verwendete kryptographische Schlüssel werden durch Innentäter verraten.

_____________________________________________________________________ ..........................................
87

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.84
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.84

Gefälschte Zertifikate

Zertifikate dienen dazu, einen öffentlichen kryptographischen Schlüssel an
eine Person zu binden. Diese Bindung des Schlüssels an den Namen der Person wird wiederum kryptographisch mittels einer digitalen Signatur einer
vertrauenswürdigen dritten Stelle abgesichert. Diese Zertifikate werden von
Dritten dann verwendet, um digitale Signaturen der im Zertifikat ausgewiesenen Person zu prüfen bzw. um dieser Person Daten mit dem im Zertifikat
aufgezeichneten Schlüssel verschlüsselt zuzusenden.
Ist ein solches Zertifikat gefälscht, werden digitale Signaturen fälschlicherweise als korrekt geprüft und der Person im Zertifikat zugeordnet oder es
werden Daten mit einem ggf. unsicheren Schlüssel verschlüsselt und versandt.
Beide Angriffsmöglichkeiten können einen Täter bewegen, gefälschte
Zertifikate in Umlauf zu bringen.
Gefälschte Zertifikate können auf verschiedene Weise erzeugt werden:
- Ein Innentäter der vertrauenswürdigen Stelle erstellt mit dem eigenen
Signaturschlüssel ein Zertifikat mit gefälschten Angaben. Dieses Zertifikat
ist authentisch und wird bei einer Prüfung als korrekt verifiziert.
- Ein Täter gibt sich als eine andere Person aus und beantragt ein Zertifikat,
welches auf diese andere Person ausgestellt wird, obwohl der Täter im
Besitz des geheimen Schlüssels ist, der mit dem öffentlichen Schlüssel im
Zertifikat korrespondiert.
- Ein Täter erzeugt ein Zertifikat und signiert es mit einem eigenen Schlüssel. Die Fälschung fällt nur auf, wenn das Zertifikat geprüft wird und dabei
festgestellt werden kann, daß das Zertifikat von einer nichtvertrauenswürdigen Stelle ausgestellt wurde.
Wenn ein Täter erst einmal ein Zertifikat mit falschen Angaben auf irgendeinem Weg erhalten hat, kann er sich gegenüber Kommunikationspartnern
jederzeit als eine andere Person ausgegeben, und zwar sowohl beim Versand
als auch beim Empfang von Nachrichten.

_____________________________________________________________________ ..........................................
88

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.85
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.85

Integritätsverlust schützenswerter Informationen

Wenn Daten nicht mehr integer sind, kann es zu einer Vielzahl von Problemen
kommen:
- Daten können im einfachsten Fall nicht mehr gelesen, also weiterverarbeitet werden.
- Daten können versehentlich oder vorsätzlich so verfälscht werden, daß
dadurch falsche Informationen weitergegeben werden. Hierdurch können
beispielsweise Überweisungen in falscher Höhe oder an den falschen
Empfänger ausgelöst werden, die Absenderangaben von E-Mails könnten
manipuliert werden oder vieles mehr.
- Wenn verschlüsselte oder komprimierte Datensätze ihre Integrität verlieren
- und hier reicht die Änderung eines Bits, können sie nicht mehr entschlüsselt bzw. entpackt werden.
- Dasselbe gilt auch für kryptographische Schlüssel, auch hier reicht die
Änderung eines Bits, damit die Schlüssel unbrauchbar werden. Dies führt
dann ebenfalls dazu, daß Daten nicht mehr entschlüsselt werden können
oder auf ihre Authentizität überprüft werden können.
Zu Integritätsverlusten kann es auf verschiedene Weise kommen:
- Durch die Alterung von Datenträgern kann es zu Informationsverlusten
kommen.
- Bei der Datenübertragung kann es zu Übertragungsfehlern kommen.
- Durch Computerviren können ganze Datenbestände verändert oder zerstört
werden.
- Durch Fehleingaben kann es zu so nicht gewünschten Transaktionen
kommen, die sogar häufig lange Zeit nicht bemerkt werden.
- Angreifer können versuchen, Daten für ihre Zwecke zu manipulieren, z. B.
um Zugriff auf weitere IT-Systeme oder Datenbestände zu erlangen.

_____________________________________________________________________ ..........................................
89

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.86
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.86

Manipulation von Managementparametern

Auch Managementsysteme können durch bewußt herbeigeführte Fehlkonfigurationen zu einem Angriff auf ein lokales Rechnersystem benutzt werden.
Die Fehlkonfigurationen können dabei auf verschiedene Arten herbeigeführt
werden. Dabei sind Manipulationen sowohl an der Managementplattform als
auch an den gemanageten Geräten möglich. Insbesondere Netzmanagementsysteme, die SNMP benutzen, sind für Angriffe anfällig, bei denen
bewußt Managementparameter fehlkonfiguriert werden (z. B. durch einen
eigenen SNMP-Client). Je nach einstellbaren Parametern reichen die Attacken
von einfachen "Denial-of-service-Attacken" (z. B. durch Verstellen von IPAdressen) bis hin zur Datenveränderung (z. B. nach Verstellen von
Zugriffsrechten).
Werden Netzkomponenten durch ein Managementsystem verwaltet, so sollten
alle durch das Managementsystem verwalteten Konfigurationsparameter auch
nur durch das Managementsystem verändert werden. Je nach Managementsystem ist es jedoch immer noch möglich, die Konfigurationsparameter der
Komponente auch lokal zu verändern. Wird ein PC z. B. über SNMP durch
ein Netzmanagementsystem verwaltet, so kann ein lokaler Benutzer mit einem
lokalen SNMP-Client-Programm (mit Kenntnis des SNMP-Paßwortes) oder
aber über ein lokales Bedienelement (z. B. bei einem Drucker) die Einstellungen verändern. Dies führt u. U. zumindest zu Inkonsistenzen im Netzmanagementsystem, kann jedoch auch bewußt zur Herbeiführung von Sicherheitslöchern benutzt werden. Beispielsweise könnte das Abfragen freigegebener Verzeichnisse über SNMP über Netz für einen Windows NT Rechner
nachträglich ermöglicht werden.

_____________________________________________________________________ ..........................................
90

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.87
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.87

Web-Spoofing

Bei Web-Spoofing "fälscht" ein Angreifer WWW-Server, d. h. er spiegelt
durch die Gestaltung seines WWW-Servers vor, daß dieser ein bestimmter,
vertrauenswürdiger WWW-Server ist. Dazu wählt er eine WWW-Adresse so,
daß viele Benutzer alleine durch die Adreßwahl davon ausgehen, mit einer
bestimmten Institution verbunden zu sein. Selbst bei Verwendung eines
richtigen Rechnernamens ist Web-Spoofing möglich, wenn ein Angreifer
DNS-Spoofing verwendet (siehe G 5.78 DNS-Spoofing).
Beispiel:
- Unter der Adresse www.whitehouse.com findet sich nicht die offizielle
Homepage des weißen Hauses, sondern die eines Scherzboldes.
- Die XY Bank hat die WWW-Adresse www.xy-bank.de. Ein Angreifer
kann unter www.xybank.de oder www.xy-bank.com WWW-Seiten
einrichten, die auf den ersten Blick denjenigen der XY Bank ähneln. Dazu
trägt er diese Adressen auf diversen Suchmaschinen ein, wobei er
Stichworte wählt, nach denen XY-Kunden voraussichtlich suchen könnten.
Benutzer, die diese Seiten aufrufen, werden annehmen, daß sie mit dem
WWW-Server ihrer Bank kommunizieren. Daher sind sie bereit, ihre
Kontonummer und PIN oder andere Zugangscodes einzugeben. Vielleicht
lesen sie dort auch für sie interessante, aber gefälschte Angebote wie
günstige Geldanlagen oder Immobilien und wollen diese wahrnehmen.
Kann die Bank diese nicht zu diesen Konditionen oder überhaupt nicht
anbieten, sind die Kunden im besten Fall nur unzufrieden, im schlechtesten
Fall kann es sogar zu Rechtsstreitigkeiten kommen.
Statt zu versuchen, einen vorhandenen WWW-Server zu manipulieren oder
nachzuahmen, kann ein Angreifer auch ein eigenes WWW-Angebot ins
Internet einbringen und dieses so gestalten, daß jeder Besucher den Eindruck
hat, mit einer etablierten, seriösen Institution verbunden zu sein.
Beispiele:
- Es könnte ein Warenangebot angepriesen werden, das nur zu dem Zweck
gestaltet wurde, um Kreditkartennummern von potentiellen Käufern zu
erhalten.
- Es hat Fälle gegeben, in denen gutgläubige Kunden bei vermeintlichen
Banken zu lukrativen Konditionen Geld anlegen wollten. Diese Banken
waren ihnen nur übers Internet bekannt und erst, als die erwarteten Zinsen
nicht eintrafen, fiel ihnen auf, daß es sich nur um eine, inzwischen
gelöschte, private WWW-Seite handelte.

_____________________________________________________________________ ..........................................
91

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.88
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.88

Mißbrauch aktiver Inhalte

Während des Surfens im Internet können WWW-Seiten mit aktiven Inhalten
auf den Anwenderrechner geladen werden (z. B. ActiveX oder Java-Applets).
Diese Software kann gezielt zu dem Zweck erstellt worden sein, daß sie vertrauliche Daten des Benutzers ausspioniert und anschließend so ausgespähte
Informationen an den Angreifer über das Internet zurückgibt.
Ein Java-fähiger Browser erlaubt es dem Benutzer, Java-Applets vom Netz zu
laden und auszuführen, ohne daß der Benutzer das Applet erkannt hat. Dies
stellt Java-Benutzer vor bedeutende Sicherheitsrisiken:
- Ein Java-Applet kann Standardnetzprotokolle (wie zum Beispiel SMTP)
benutzen, um Daten vom Rechner des Benutzers aus zu verschicken.
- Ein Java-Applet kann das Java-System angreifen, indem es dessen Speicher korrumpiert, oder es kann das darunterliegende Betriebssystem
angreifen, indem es Dateien fälscht oder wichtige Prozesse beendet.
- Ein Java-Applet kann den gesamten Speicher des Systems belegen oder
hochprioritäre Nachrichten erzeugen. Der Verfügbarkeitsangriff ist auch
bei der korrekten Interpretation des Java-Sicherheitsmodells möglich.
Bei ActiveX ist anders als bei Java die Funktionsvielfalt kaum eingeschränkt:
Bis hin zur Formatierung der Festplatte kann ein ActiveX-Programm alle
Befehle enthalten. Diese kleinen ausführbaren Codes nennt man Controls. Die
meist zur Illustration oder Unterhaltung verteilten Controls können auch
böswillige Elemente besitzen, die dann Zugriff auf den Datenspeicher des
Anwenderrechners haben oder andere Programme - für den Benutzer unbemerkt - fernsteuern. ActiveX-Controls können die Festplatte löschen, einen
Virus oder ein Trojanisches Pferd enthalten oder die Festplatte nach bestimmten Informationen durchsuchen. All dies kann passieren, ohne daß der Nutzer
bzw. Betrachter des Controls dies bemerkt. Während der Betrachter ein durch
Controls übertragenes Spiel ausführt, kann im Hintergrund dieses Control die
E-Mail nach bestimmten Informationen durchsuchen.
Bei entsprechendener Voreinstellung seines WWW-Browsers kann ein
Benutzer zwar dafür sorgen, daß nur digital signierte ActiveX-Controls ausgeführt werden. Eine solche digitale Signatur beweist allerdings nur, daß der
Hersteller des ActiveX-Controls bei einer Zertifizierungsstelle bekannt ist und
daß das von diesem Hersteller bereitgestellte Control unverändert geladen
wurde. Hierdurch wird nichts über die Funktionsweise oder Schadensfreiheit
eines solchen Controls ausgesagt und auch keine Gewähr dafür übernommen.

_____________________________________________________________________ ..........................................
92

IT-Grundschutzhandbuch: Stand Juli 1999

G 5.89
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.89

Hijacking von Netz-Verbindungen

Weit aus kritischer als das Abhören einer Verbindung ist das Übernehmen
einer Verbindung. Hierbei werden Pakete in das Netz eingeschleust, die entweder zum Abbruch oder Blockieren des Clients führen. Der Serverprozess
kann daraufhin nicht erkennen, dass ein anderes Programm an die Stelle des
Original-Clients getreten ist. Bei dieser Übernahme einer bestehenden
Verbindung kann der Angreifer nach erfolgreicher Authentisierung einer
berechtigten Person beliebige Aktionen im Namen dessen ausüben.
Beispiel:
Es gibt bereits eine Reihe von Programmen, die es ermöglichen, eine bestehende Telnet-Verbindung zu übernehmen.

_____________________________________________________________________ ..........................................
93

IT-Grundschutzhandbuch: Stand Januar 2000

G 5.90
Gefährdungskatalog Vorsätzliche Handlungen
Bemerkungen
_____________________________________________________________________ ..........................................

G 5.90

Manipulation von Adressbüchern und
Verteillisten

Auf Faxservern besteht in der Regel die Möglichkeit, Adressbücher und
Verteillisten zu führen. In Adressbüchern werden u. a. die EmpfängerFaxnummern gespeichert. Auch ist es möglich, mehrere Faxempfänger in
einer Gruppe z. B. für den Versand von Serien-Faxsendungen zusammenzufassen. Der Gebrauch von solchen Adressbüchern ist für den Benutzer sehr
komfortabel, da eine einmal gespeicherte Empfängernummer nicht noch
einmal manuell eingegeben werden muss. Vielfach wird von den Benutzern
eines Faxservers vor dem Faxversand nicht mehr die Richtigkeit einer im
Adressbuch eingetragenen Empfängernummer überprüft. Gleiches gilt auch
für die Zuordnung einzelner Empfänger zu Gruppen. Häufig wird vor dem
Versand von Serien-Faxsendungen nicht mehr überprüft, ob sich der
gewünschte Kreis von Empfängern mit den Mitgliedern einer Gruppe deckt.
Mittels Verteillisten können
Empfängern zugeordnet werden.

eingehende

Faxsendungen

Manipulation von
Adressbüchern

(mehreren)

Sofern ein Unbefugter Adressbücher und Verteillisten verändern kann, besteht
die Gefahr, dass Faxsendungen an unerwünschte Empfänger übermittelt
werden. Es ist damit auch möglich, dass der Versand eines Faxes an den
gewünschten Empfänger unterbunden wird. Besonders gefährdet sind hier
naturgemäß die zentral geführten Adressbücher und Verteillisten.

Manipulation von
Verteillisten

_____________________________________________________________________ ..........................................
94

IT-Grundschutzhandbuch: Stand Januar 2000

M1
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M1

Maßnahmenkatalog Infrastruktur

M 1.1

Einhaltung einschlägiger DIN-Normen/VDEVorschriften ...............................................................................1

M 1.2

Regelungen für Zutritt zu Verteilern..........................................2

M 1.3

Angepaßte Aufteilung der Stromkreise......................................3

M 1.4

Blitzschutzeinrichtungen............................................................4

M 1.5

Galvanische Trennung von Außenleitungen ..............................5

M 1.6

Einhaltung von Brandschutzvorschriften und Auflagen
der örtlichen Feuerwehr .............................................................6

M 1.7

Handfeuerlöscher .......................................................................7

M 1.8

Raumbelegung unter Berücksichtigung von Brandlasten ..........8

M 1.9

Brandabschottung von Trassen ..................................................9

M 1.10

Verwendung von Sicherheitstüren ...........................................10

M 1.11

Lagepläne der Versorgungsleitungen.......................................11

M 1.12

Vermeidung von Lagehinweisen auf schützenswerte
Gebäudeteile ............................................................................12

M 1.13

Anordnung schützenswerter Gebäudeteile...............................13

M 1.14

Selbsttätige Entwässerung........................................................14

M 1.15

Geschlossene Fenster und Türen..............................................15

M 1.16

Geeignete Standortauswahl......................................................16

M 1.17

Pförtnerdienst...........................................................................17

M 1.18

Gefahrenmeldeanlage...............................................................18

M 1.19

Einbruchsschutz .......................................................................19

M 1.20

Auswahl geeigneter Kabeltypen unter physikalischmechanischer Sicht ..................................................................20

M 1.21

Ausreichende Trassendimensionierung....................................21

M 1.22

Materielle Sicherung von Leitungen und Verteilern ................22

M 1.23

Abgeschlossene Türen .............................................................23

M 1.24

Vermeidung von wasserführenden Leitungen..........................24

M 1.25

Überspannungsschutz...............................................................25

M 1.26

Not-Aus-Schalter .....................................................................26

M 1.27

Klimatisierung..........................................................................27

M 1.28

Lokale unterbrechungsfreie Stromversorgung .........................28

M 1.29

Geeignete Aufstellung eines IT-Systems .................................30

M 1.30

Absicherung der Datenträger mit TK-Gebührendaten .............31

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

M1
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.31

Fernanzeige von Störungen......................................................32

M 1.32

Geeignete Aufstellung von Konsole, Geräten mit
austauschbaren Datenträgern und Druckern.............................33

M 1.33

Geeignete Aufbewahrung tragbarer PCs bei mobilem
Einsatz......................................................................................34

M 1.34

Geeignete Aufbewahrung tragbarer PCs im stationären
Einsatz......................................................................................35

M 1.35

Sammelaufbewahrung mehrerer tragbarer PCs........................36

M 1.36

Sichere Aufbewahrung der Datenträger vor und nach
Versand ....................................................................................37

M 1.37

Geeignete Aufstellung eines Fax-Gerätes ................................38

M 1.38

Geeignete Aufstellung eines Modems......................................39

M 1.39

Verhinderung von Ausgleichsströmen auf Schirmungen.........40

M 1.40

Geeignete Aufstellung von Schutzschränken...........................43

M 1.41

Schutz gegen elektromagnetische Einstrahlung .......................44

M 1.42

Gesicherte Aufstellung von Novell Netware Servern ..............45

M 1.43

Gesicherte Aufstellung von ISDN-Routern .............................46

M 1.44

Geeignete Einrichtung eines häuslichen Arbeitsplatzes...........47

M 1.45

Geeignete Aufbewahrung dienstlicher Unterlagen und
Datenträger...............................................................................48

M 1.46

Einsatz von Diebstahl-Sicherungen .........................................49

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.1
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.1

Einhaltung einschlägiger DIN-Normen/VDEVorschriften

Verantwortlich für Initiierung: Leiter Beschaffung, Planer
Verantwortlich für Umsetzung: Bauleiter, Errichterfirma
Für nahezu alle Bereiche der Technik gibt es Normen bzw. Vorschriften, z. B.
DIN, VDE, VDMA, Richtlinien des VdS. Diese Regelwerke tragen dazu bei,
daß technische Einrichtungen ein ausreichendes Maß an Schutz für den
Benutzer und Sicherheit für den Betrieb gewährleisten.
Bei der Planung und Errichtung von Gebäuden, bei deren Umbau, beim
Einbau technischer Gebäudeausrüstungen (z. B. interne Versorgungsnetze wie
Telefon- oder Datennetze) und bei Beschaffung und Betrieb von Geräten sind
entsprechende Normen und Vorschriften unbedingt zu beachten.
Ergänzende Kontrollfragen:
- Werden VDE-Vorschriften bei Ausschreibungen, Bestellungen oder
Beschaffungen berücksichtigt?

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.2
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.2

Regelungen für Zutritt zu Verteilern

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Die Verteiler (z. B. für Energieversorgung, Datennetze, Telefonie) sind nach
Möglichkeit in Räumen für technische Infrastruktur (siehe Kapitel 4.3.4)
unterzubringen. Die dort geforderten Maßnahmen sind zu berücksichtigen.
Der Zutritt zu den Verteilern a l l e r Versorgungseinrichtungen (Strom,
Wasser, Gas, Telefon, Gefahrenmeldung, Rohrpost etc.) im Gebäude muß
möglich und geordnet sein.
Mit möglich ist gemeint,
- daß Verteiler nicht bei Malerarbeiten mit Farbe oder Tapeten so verklebt
werden, daß sie nur noch mit Werkzeug zu öffnen oder unauffindbar sind,
- daß Verteiler nicht mit Möbeln, Geräten, Paletten etc. zugestellt werden,
- daß für verschlossene Verteiler die Schlüssel verfügbar sind und die
Schlösser funktionieren.
Mit geordnet ist gemeint, daß festgelegt ist, wer welchen Verteiler öffnen
darf. Verteiler sollten verschlossen sein und dürfen nur von den für die jeweilige Versorgungseinrichtung zuständigen Personen geöffnet werden. Die
Zugriffsmöglichkeiten können durch unterschiedliche Schließungen und eine
entsprechende Schlüsselverwaltung geregelt werden (siehe dazu M 2.14
Schlüsselverwaltung).
Sind in Verteilern des Stromversorgungsnetzes Schmelzsicherungen eingebaut, sollten entsprechende Ersatzsicherungen (im Verteiler) bereit liegen.
Eine Dokumentation der Verteiler ist entsprechend M 2.19 Neutrale Dokumentation in den Verteilern auszuführen.
Alle im Verteiler eingebauten Einrichtungen sind exakt und verständlich zu
beschriften.
Ergänzende Kontrollfragen:
- Gibt es Regelungen für den Zutritt zu Verteilern?

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.3
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.3

Angepaßte Aufteilung der Stromkreise

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Die Raumbelegung und die Anschlußwerte, für die eine Elektroinstallation
ausgelegt wurde, stimmen erfahrungsgemäß nach einiger Zeit nicht mehr mit
den tatsächlichen Gegebenheiten überein. Es ist also unerläßlich, bei Änderungen der Raumnutzung und bei Änderungen und Ergänzungen der technischen
Ausrüstung (IT, Klimatruhe, Beleuchtung etc.) die Elektroinstallation zu prüfen und ggf. anzupassen. Das kann durch Umrangierung von Leitungen
geschehen. Andernfalls kann die Neuinstallation von Einspeisung, Leitungen,
Verteilern etc. erforderlich werden.
Ergänzende Kontrollfragen:
- Wird überprüft, ob die Absicherung und Auslegung der Stromkreise den
tatsächlichen Bedürfnissen entspricht?
- Wann erfolgte die letzte Überprüfung?

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.4
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.4

Blitzschutzeinrichtungen

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Die direkten Auswirkungen eines Blitzeinschlages auf ein Gebäude
(Beschädigung der Bausubstanz, Dachstuhlbrand u.ä.) lassen sich durch die
Installation einer Blitzschutzanlage gemäß DIN/VDE 0185 verhindern. Über
diesen "Äußeren Blitzschutz" hinaus ist fast zwingend der "Innere Blitzschutz", der Überspannungsschutz, erforderlich. Denn der äußere Blitzschutz
schützt die elektrischen Betriebsmittel im Gebäude nicht. Dies ist nur durch
einen Überspannungsschutz möglich (siehe dazu M 1.25 Überspannungsschutz), dessen hohe Kosten dem Schutzgut gegenüber gerechtfertigt sein
müssen.
Beispiel:
Durch Blitzschlag entstand in der süddeutschen Niederlassung eines Dienstleistungsunternehmens ein Schaden an IT-Geräten (PCs, Server, Laserdrucker) in Höhe von ca. 20.000 DM. Aufgrund dieses Ereignisses wurde das
Gebäude mit einem äußeren Blitzschutz ohne inneren Blitzschutz
(Überspannungsschutz) ausgestattet. Ein erneuter Blitzschlag führte nun trotz
äußeren Blitzschutzes zu Schäden in annähernd gleicher Höhe.
Ergänzende Kontrollfragen:
- Ist die Notwendigkeit des äußeren Blitzschutzes tatsächlich gegeben?
- Gibt es Auflagen von Behörden oder Versicherungen?
- Wird die Blitzschutzanlage regelmäßig geprüft und gewartet?
- Existiert ggf. ein ausreichender Überspannungsschutz im Gebäude?

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.5
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.5

Galvanische Trennung von Außenleitungen

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Viele hausinterne Netze stehen in direkter galvanischer Verbindung mit
Außenleitungen. Telefon-, Strom- und Datennetze mit DFÜ-Anschlüssen sind
davon betroffen, aber auch Gas- und Wasserleitungen.
Über diese Netzanschlüsse können Fremd- und Überspannungen in das
Gebäude verschleppt werden. Es gibt eine Reihe von elektrischen,
elektronischen oder softwaregestützten Maßnahmen, Netze gegen Einflüsse
von außen zu schützen. Ein absolut sicherer Schutz läßt sich aber nicht in
allen Fällen garantieren. Hier bleibt nur noch die konsequente galvanische
Trennung der Netzübergänge ins Gebäude. Dies kann z. B. durch den Einbau
eines Schalters geschehen, der die Leitung nur bei Bedarf durchschaltet
(Fernwartung).
Zum Schutz nicht trennbarer Leitungen (Telefon, Daten, Strom, Gas, Wasser)
gegen Überspannungen ist die Einrichtung eines Überspannungsschutzes
(M 1.25 Überspannungsschutz) in Erwägung zu ziehen.

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.6
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.6

Einhaltung von Brandschutzvorschriften und
Auflagen der örtlichen Feuerwehr

Verantwortlich für Initiierung: Leiter Haustechnik, Brandschutzbeauftragter
Verantwortlich für Umsetzung: Brandschutzbeauftragter, Haustechnik
Die bestehenden Brandschutzvorschriften (z. B. DIN 4102) und die Auflagen
der örtlichen Feuerwehr für Gebäude sind unbedingt einzuhalten. Die örtliche
Feuerwehr kann bei der Brandschutzplanung hinzugezogen werden. Es ist
empfehlenswert, weitere Hinweise zum Brandschutz zu beachten, wie sie zum
Beispiel im Merkblatt "Räume für EDV-Anlagen" des Verbands der
Schadensversicherer (VdS) zu finden sind.

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.7
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.7

Handfeuerlöscher

Verantwortlich für Initiierung: Leiter Haustechnik, Brandschutzbeauftragter
Verantwortlich für Umsetzung: Haustechnik, Brandschutzbeauftragter
Die meisten Brände entstehen aus kleinen, anfangs noch gut beherrschbaren
Brandherden. Besonders in Büros findet das Feuer reichlich Nahrung und
kann sich sehr schnell ausbreiten. Der Sofortbekämpfung von Bränden kommt
also ein sehr hoher Stellenwert zu.
Diese Sofortbekämpfung ist nur möglich, wenn Handfeuerlöscher in der
jeweils geeigneten Brandklasse (DIN EN 3) in ausreichender Zahl und Größe
(Beratung durch die örtliche Feuerwehr) im Gebäude zur Verfügung stehen.
Dabei ist die räumliche Nähe zu schützenswerten Bereichen und Räumen wie
Serverraum, Raum mit technischer Infrastruktur, Belegarchiv anzustreben.
Pulverlöscher mit Eignung für Brandklasse E bis 1000 V sind für elektrisch
betriebene Peripheriegeräte geeignet, für elektronisch gesteuerte Geräte, z. B.
Rechner, sollten Kohlendioxyd-Löscher (Brandklasse B) zur Verfügung
stehen.
Die Feuerlöscher müssen regelmäßig geprüft und gewartet werden. Die
Beschäftigten sollten sich die Standorte des nächsten Feuerlöschers einprägen.
Bei entsprechenden Brandschutzübungen sind die Mitarbeiter in die
Benutzung der Handfeuerlöscher einzuweisen.
Ergänzende Kontrollfragen:
- Sind die Mitarbeiter über den Aufbewahrungsort der Handfeuerlöscher
informiert?
- Wird die Nutzung der Handfeuerlöscher geübt?
- Sind die Handfeuerlöscher im Brandfall überhaupt erreichbar?
- Werden die Handfeuerlöscher regelmäßig inspiziert und gewartet?

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.8
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.8

Raumbelegung unter Berücksichtigung von
Brandlasten

Verantwortlich für Initiierung: Leiter Haustechnik, Brandschutzbeauftragter
Verantwortlich für Umsetzung: Haustechnik, Brandschutzbeauftragter
Eine Brandlast entsteht durch alle brennbaren Stoffe, die ins Gebäude eingebracht werden. Sie ist von der Menge und vom Heizwert der Stoffe abhängig.
IT-Geräte und Leitungen stellen ebenso eine Brandlast dar wie Möbel,
Fußbodenbeläge und Gardinen. Maximale Brandlasten, standardisierte Heizwerte, weitere Informationen und Bestimmungen sind in der DIN 4102
zusammengestellt.
Bei der Unterbringung von IT-Geräten, Datenträgern etc. sollte eine vorherige
Beachtung der vorhandenen Brandlasten im gleichen Raum und in den
benachbarten Räumen erfolgen. Z. B. sollte das Datenträgerarchiv nicht in der
Nähe von oder über einem Papierlager untergebracht sein.

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.9
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.9

Brandabschottung von Trassen

Verantwortlich für Initiierung: Leiter Haustechnik, Brandschutzbeauftragter
Verantwortlich für Umsetzung: Haustechnik, Brandschutzbeauftragter
Bei Gebäuden mit mehreren Brandabschnitten läßt es sich kaum vermeiden,
daß Trassen durch Brandwände und Decken führen. Die Durchbrüche sind
nach Verlegung der Leitungen entsprechend dem Brandwiderstandswert der
Wand bzw. Decke zu schotten. Um die Nachinstallation zu erleichtern,
können geeignete Materialien (z. B. Brandschutzkissen) verwendet werden.
Entsprechende VdS-Richtlinien sind zu beachten.
Negativbeispiel:
In einem mehrgeschossigen Bürogebäude in Bonn wurden verschiedene Netze
über eine gemeinsame Steigetrasse aus dem Keller bis in das oberste Geschoß
geführt. Alle Deckendurchbrüche waren mit reichlich Reserve hergestellt,
nach Verlegung der Leitungen allerdings nicht wieder verschlossen worden.
Im Keller wurden im Bereich des Trassenbeginns große Papier- und
Stoffmengen gelagert. Die direkt darüber beginnende Steigetrasse hätte im
Brandfall wie ein Kamin gewirkt. Rauch und Feuer hätten sich in kürzester
Zeit über alle Etagen ausgebreitet.
Ergänzende Kontrollfragen:
- Wurde bei der Trassenplanung der für den Brandschutz Zuständige hinzugezogen?
- Wurden mögliche Alternativen der Trassenführung geprüft?

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.10
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.10

Verwendung von Sicherheitstüren

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Sicherheitstüren wie z. B. Stahlblechtüren, bieten gegenüber normalen
Bürotüren Vorteile:
- Sie bieten aufgrund ihrer Stabilität (DIN 18 103) einen höheren Schutz gegen Einbruch (z. B. bei Keller- und Lieferanteneingängen) und
- sie verzögern in der Ausführung als selbstschließende feuerhemmende Tür
(FH-Tür T30, DIN 18 082) die Ausbreitung eines Brandes.
Der Einsatz von Sicherheitstüren ist über den von der Feuerwehr vorgeschriebenen Bereich hinaus (vgl. M 1.6 Einhaltung von Brandschutzvorschriften
und Auflagen der örtlichen Feuerwehr) besonders bei schutzbedürftigen
Räumen wie Serverraum, Beleg- oder Datenträgerarchiv sinnvoll.
Ergänzende Kontrollfragen:
- Wurde die Verwendung von Sicherheitstüren geprüft?
- Sind Brand- und Rauchschutztüren auch tatsächlich geschlossen oder werden sie (unzulässigerweise) z. B. durch Keile offen gehalten?

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.11
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.11

Lagepläne der Versorgungsleitungen

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Es sind genaue Lagepläne aller Versorgungsleitungen (Strom, Wasser, Gas,
Telefon, Gefahrenmeldung, Rohrpost etc.) im Gebäude und auf dem dazugehörenden Grundstück zu führen und a l l e die Leitungen betreffenden
Sachverhalte aufzunehmen:
- genaue Führung der Leitungen (Einzeichnung in bemaßte Grundriß- und
Lagepläne),
- genaue technische Daten (Typ und Abmessung),
- evtl. vorhandene Kennzeichnung,
- Nutzung der Leitungen, Nennung der daran angeschlossenen Netzteilnehmer,
- Gefahrenpunkte und
- vorhandene und zu prüfende Schutzmaßnahmen.
Es muß möglich sein, sich anhand der Pläne einfach und schnell ein genaues
Bild der Situation zu machen. Nur so kann das Risiko, daß Leitungen bei
Arbeiten versehentlich beschädigt werden, auf ein Mindestmaß reduziert
werden. Eine Schadstelle ist schneller zu lokalisieren, die Störung schneller zu
beheben.
Es ist sicherzustellen, daß alle Arbeiten an Leitungen rechtzeitig und vollständig dokumentiert werden. Die Pläne sind gesichert aufzubewahren und der
Zugriff ist zu regeln, da sie schützenswerte Informationen beinhalten.
Ergänzende Kontrollfragen:
- Wer ist für die Pläne zuständig?
- Werden die Pläne aktualisiert?
- Werden die Pläne sicher aufbewahrt und sind sie nur von Befugten einsehbar?
- Welche Pläne existieren bereits?

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.12
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.12

Vermeidung von Lagehinweisen auf
schützenswerte Gebäudeteile

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Schützenswerte Gebäudeteile sind z. B. Serverraum, Rechenzentrum, Datenträgerarchiv, Klimazentrale, Verteilungen der Stromversorgung, Schalt- und
Rangierräume, Ersatzteillager.
Solche Bereiche sollten keinen Hinweis auf ihre Nutzung tragen. Türschilder
wie z. B. RECHENZENTRUM oder EDV-ARCHIV geben einem potentiellen
Angreifer, der zum Gebäude Zutritt hat, Hinweise, um seine Aktivitäten
gezielter und damit erfolgversprechender vorbereiten zu können.
Ist es unvermeidbar, IT in Räumen oder Gebäudebereichen unterzubringen,
die für Fremde leicht von außen einsehbar sind (siehe auch M 1.13 Anordnung
schützenswerter Gebäudeteile), so sind geeignete Maßnahmen zu treffen, um
den Einblick zu verhindern oder so zu gestalten, daß die Nutzung nicht
offenbar wird. Dabei ist darauf zu achten, daß z. B. nicht nur e i n Fenster
einer ganzen Etage mit einem Sichtschutz versehen wird.
Ergänzende Kontrollfragen:
- Welche Lagehinweise können von außerhalb erkannt werden?
- Welche Lagehinweise gibt es innerhalb eines Gebäudes?

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.13
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.13

Anordnung schützenswerter Gebäudeteile

Verantwortlich für Initiierung: Bauplaner, Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Bauleiter, Leiter Haustechnik
Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder
besonders gefährdeten Bereichen untergebracht sein:
- Kellerräume sind durch Wasser gefährdet.
- Räume im Erdgeschoß - zu öffentlichen Verkehrsflächen hin - sind durch
Anschlag, Vandalismus und höhere Gewalt (Verkehrsunfälle in Gebäudenähe) gefährdet.
- Räume im Erdgeschoß mit schlecht einsehbaren Höfen sind durch
Einbruch und Sabotage gefährdet.
- Räume unterhalb von Flachdächern sind durch eindringendes Regenwasser
gefährdet.
Als Faustregel kann man sagen, daß schutzbedürftige Räume oder Bereiche im
Zentrum eines Gebäudes besser untergebracht sind als in dessen Außenbereichen.
Optimal ist es, diese Aspekte schon in die Bauplanung für ein neues Gebäude
oder in die Raumbelegungsplanung bei Einzug in ein bestehendes einzubeziehen. Bei bereits genutzten Gebäuden wird eine entsprechende Nutzungsanordnung oft mit internen Umzügen verbunden sein. Ersatzweise sollten die sich
aus ohnehin erforderlichen Änderungen der Raumbelegung ergebenden
Gelegenheiten konsequent genutzt werden.
Ergänzende Kontrollfragen:
- Welche schützenswerten Räume befinden sich in exponierter Lage?

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.14
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.14

Selbsttätige Entwässerung

Verantwortlich für Initiierung: Bauplaner, Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Bauleiter, Leiter Haustechnik
Alle Bereiche, in denen sich Wasser sammeln und stauen kann oder in denen
fließendes oder stehendes Wasser nicht oder erst spät entdeckt wird und in
denen das Wasser Schäden verursachen kann, sollten mit einer selbsttätigen
Entwässerung und ggf. mit Wassermeldern ausgestattet sein. Zu diesen Bereichen gehören u. a.:
- Keller,
- Lufträume unter Doppelböden,
- Lichtschächte,
- Heizungsanlage.
Erfolgt die Entwässerung passiv, also durch Bodengullys direkt in das
Abwassersystem des Gebäudes, sind Rückstauklappen unerläßlich. Ohne
solche Klappen wird diese Entwässerung zur Wassereintrittsöffnung, wenn
das Abwassersystem überlastet wird. Nach extremen Niederschlägen dringt in
der Mehrzahl aller Fälle Wasser über diesen Weg in Keller ein. Die Rückstauklappen müssen regelmäßig auf ihre Funktionstüchtigkeit hin untersucht
werden.
Ist eine passive Entwässerung nicht möglich, weil das Niveau des Abwassersystems zu hoch ist, können Pumpen eingesetzt werden, die über Schwimmerschalter oder Wassersensoren automatisch eingeschaltet werden. Beim
Einsatz dieser Technik sind insbesondere folgende Punkte zu beachten:
- Die Pumpenleistung muß ausreichend bemessen sein.
- Die Druckleitung der Pumpe ist mit einem Rückstauventil auszustatten.
- Es sind Vorkehrungen zu treffen, damit die Pumpe nicht durch mitgeschwämmte Gegenstände blockiert werden kann (Ansaugfilter etc.).
- Das Anlaufen der Pumpe sollte automatisch (z. B. beim Hausmeister oder
der Haustechnik) angezeigt werden.
- Die Funktion von Pumpe und Schalter ist regelmäßig zu testen.
- Die Druckleitung der Pumpe darf nicht an eine in unmittelbarer Nähe vorbeigeführte Abwasserleitung angeschlossen werden. Bei einem Leck dieser
Leitung würde die Pumpe das Wasser nur "im Kreis pumpen".
Ergänzende Kontrollfragen:
- Sind die wasserbedrohten Räume mit einer selbsttätigen Entwässerung
ausgestattet?

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.15
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.15

Geschlossene Fenster und Türen

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik, Mitarbeiter
Fenster und nach außen gehende Türen (Balkone, Terrassen) sind in Zeiten, in
denen ein Raum nicht besetzt sind, zu schließen. Im Keller- und Erdgeschoß
und, je nach Fassadengestaltung, auch in den höheren Etagen bieten sie einem
Einbrecher auch während der Betriebszeiten eine ideale Einstiegsmöglichkeit.
Während normaler Arbeitszeiten und sichergestellter kurzer Abwesenheit des
Mitarbeiters kann von einer zwingenden Regelung für Büroräume abgesehen
werden.
Ergänzende Kontrollfragen:
- Gibt es eine Anweisung, die das Verschließen der Fenster und Außentüren
fordert?
- Wird regelmäßig überprüft, ob die Fenster und Türen nach Verlassen der
Räume verschlossen sind?

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.16
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.16

Geeignete Standortauswahl

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Standortplaner
Bei der Planung des Standortes, an dem ein Gebäude angemietet werden oder
entstehen soll, empfiehlt es sich, neben den üblichen Aspekten wie Raumbedarf und Kosten, auch Umfeldgegebenheiten die Einfluß auf die IT-Sicherheit haben zu berücksichtigen:
- In Zusammenhang mit Schwächen in der Bausubstanz kann es durch
Erschütterungen naher Verkehrswege (Straße, Eisenbahn, U-Bahn) zu
Beeinträchtigungen der IT kommen.
- Gebäude, die direkt an Hauptverkehrstrassen (Bundesbahn, Autobahn,
Bundesstraße) liegen, können durch Unfälle beschädigt werden.
- Die Nähe zu optimalen Verkehrs- und somit Fluchtwegen kann die Durchführung eines Anschlages erleichtern.
- In der Nähe von Sendeeinrichtungen kann es zu Störungen der IT kommen.
- In der Nähe von Gewässern und in Niederungen ist mit Hochwasser zu
rechnen.
- In der Nähe von Kraftwerken oder Fabriken kann durch Unfälle oder
Betriebsstörungen (Explosion, Austritt schädlicher Stoffe) die Verfügbarkeit des Gebäudes (z. B. durch Evakuierung oder großräumige Absperrung) beeinträchtigt werden.
Ergänzende Kontrollfragen:
- Gibt es standortbedingte Gefährdungen?
- Wie wird diesen Gefährdungen begegnet?

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.17
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.17

Pförtnerdienst

Verantwortlich für Initiierung: Leiter Innerer Dienst
Verantwortlich für Umsetzung: Innerer Dienst
Die Einrichtung eines Pförtnerdienstes hat weitreichende positive Auswirkungen gegen eine ganze Reihe von Gefährdungen. Voraussetzung ist allerdings, daß bei der Durchführung des Pförtnerdienstes einige Grundprinzipien
beachtet werden.
- Der Pförtner beobachtet bzw. kontrolliert alle Personenbewegungen an der
Pforte.
- Unbekannte Personen ("selbst der neue Chef") haben sich beim Pförtner zu
legitimieren.
- Der Pförtner hält vor Einlaßgewährung eines Besuchers bei dem Besuchten
Rückfrage.
- Der Besucher wird zu dem Besuchten begleitet oder an der Pforte abgeholt.
- Dem Pförtner müssen die Mitarbeiter bekannt sein. Scheidet ein Mitarbeiter aus, ist auch der Pförtner zu unterrichten, ab wann diesem Mitarbeiter der Einlaß zu verwehren ist.
- In einem Besucherbuch kann der Zutritt von Fremdpersonen zum Gebäude
dokumentiert werden. Die Ausgabe von Besucherausweisen oder
Besucherbegleitscheinen ist zu erwägen.
Die Arbeitsbedingungen des Pförtners sind für die Aufgabenwahrnehmung
geeignet auszugestalten. Die Aufgabenbeschreibung muß verbindlich festschreiben, welche Aufgaben dem Pförtner im Zusammenspiel mit weiteren
Schutzmaßnahmen zukommt (z. B. Gebäudesicherung nach Dienst- oder
Geschäftsschluß, Scharfschaltung der Alarmanlage, Kontrolle der Außentüren
und Fenster).

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.18
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.18

Gefahrenmeldeanlage

Verantwortlich für Initiierung: Leiter Haustechnik, Brandschutzbeauftragter,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik
Ist eine Gefahrenmeldeanlage (GMA) für Einbruch oder Brand vorhanden und
läßt sich diese mit vertretbarem Aufwand entsprechend erweitern, ist zu
überlegen, ob zumindest die Kernbereiche der IT (Serverräume, Datenträgerarchive, Räume für technische Infrastruktur u. ä.) in die Überwachung durch
diese Anlage mit eingebunden werden sollen. So lassen sich Gefährdungen
wie Feuer, Einbruch, Diebstahl frühzeitig erkennen und Gegenmaßnahmen
einleiten. Um die Schutzwirkung aufrechtzuerhalten, ist eine regelmäßige
Wartung und Funktionsprüfung der GMA vorzusehen.
Ist keine GMA vorhanden oder läßt sich die vorhandene nicht nutzen,
kommen als Minimallösung lokale Melder in Betracht. Diese arbeiten völlig
selbständig, ohne Anschluß an eine Zentrale. Die Alarmierung erfolgt vor Ort
oder mittels einer einfachen Zweidrahtleitung (evtl. Telefonleitung) an anderer
Stelle.
Ergänzende Kontrollfragen:
- Wird die Gefahrenmeldeanlage regelmäßig gewartet bzw. geprüft?
- Wurden die Personen über die im Alarmfall einzuleitenden Schritte unterrichtet?

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.19
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.19

Einbruchsschutz

Verantwortlich für Initiierung: Leiter Haustechnik, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik
Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten entsprechend angepaßt werden. Dazu gehören:
- Rolladensicherungen bei einstiegsgefährdeten Türen oder Fenster,
- besondere Schließzylinder, Zusatzschlösser und Riegel,
- Sicherung von Kellerlichtschächten,
- Verschluß von nichtbenutzten Nebeneingängen,
- einbruchgesicherte Notausgänge (soweit seitens der örtlichen Bauaufsicht
zugelassen),
- Verschluß von Personen- und Lastenaufzügen außerhalb der Dienstzeit.
Empfehlungen hierzu geben die örtlichen Beratungsstellen der Kriminalpolizei.
Den Mitarbeitern ist durch Regelungen bekanntzugeben, welche Maßnahmen
zum Einbruchsschutz beachtet werden müssen.
Ergänzende Kontrollfragen:
- Wird geprüft, ob die Maßnahmen zum Einbruchschutz befolgt werden?

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.20
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.20

Auswahl geeigneter Kabeltypen unter
physikalisch-mechanischer Sicht

Verantwortlich für Initiierung: Netzplaner, Leiter Haustechnik, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik
Bei der Auswahl von Kabeln ist neben der Berücksichtigung von übertragungstechnischen Notwendigkeiten das Umfeld, in dem die Kabel verlegt
werden sollen, zu beachten. Für die meisten Verlegebedingungen gibt es
Kabel mit entsprechenden Qualitäten. Die wichtigsten sind hier zusammengestellt:
- Innen- bzw. Außenkabel,
- längswassergeschütztes Kabel für Feucht- oder Naßbereiche,
- zugentlastete Kabel für Freileitungen und extreme Steigungen,
- funktionserhaltende Kabel in feuergefährdeten Bereichen,
- geschirmte Kabel für Bereiche mit starken elektrischen und induktiven
Störfeldern,
- gepanzerte Kabel für Fälle, in denen ein ausreichender mechanischer
Schutz auf andere Weise nicht realisierbar ist, z. B. bei der provisorischen
Verlegung auf Boden und Wänden.
Ergänzende Kontrollfragen:
- Wurde bei der Kabelauswahl der für die Betriebstechnik Zuständige über
bekannte oder zu erwartende widrige Umfeldbedingungen befragt?
- Wurden möglich Alternativen der Kabelführung geprüft?

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.21
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.21

Ausreichende Trassendimensionierung

Verantwortlich für Initiierung: Netzplaner, Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Haustechnik
Kabeltrassen (z. B. Fußbodenkanäle, Fensterbankkanäle, Pritschen, Rohrtrassen im Außenbereich) sind ausreichend zu dimensionieren, d. h., daß
einerseits genügend Platz vorhanden ist, um evtl. notwendige Erweiterungen
des Netzes vornehmen zu können. Andererseits sind zur Verhinderung des
Übersprechens (gegenseitige Beeinflussung von Kabeln) ggf. Mindestabstände
zwischen Kabeln einzuhalten.
Ist es aus unterschiedlichen Gründen nicht möglich, Trassen sofort mit ausreichenden Reserven zu errichten, sollte zumindest darauf geachtet werden,
daß im Bereich der Trassenführung Platz ist, um Erweiterungen unterzubringen. Bei der Auslegung von Wand- und Deckendurchbrüchen erspart dies
spätere lärm-, schmutz- und kostenintensive Arbeiten.
Diese Maßnahme kann ersetzt werden durch die Auswahl anderer Kabeltypen
(M 2.20 Kontrolle bestehender Verbindungen und M 5.3 Auswahl geeigneter
Kabeltypen unter kommunikationstechnischer Sicht). Durch Verwendung
weniger hochadriger Kabel kann gegenüber vielen kleinen Kabeln Platz
eingespart werden. Durch den Einsatz von geschirmten Kabeln oder Lichtwellenleitern kann Übersprechen verhindert werden.
Ergänzende Kontrollfragen:
- Wurde die Möglichkeit geprüft, durch die Auswahl anderer Kabel Platz zu
sparen und Übersprechen zu verhindern?

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.22
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.22

Materielle Sicherung von Leitungen und Verteilern

Verantwortlich für Initiierung: Netzplaner, Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Haustechnik
In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines
Gebäudes kann es sinnvoll sein, Leitungen und Verteiler zu sichern. Dies kann
auf verschiedene Weise erreicht werden:
- Verlegung der Leitungen unter Putz,
- Verlegung der Leitungen in Stahlpanzerrohr,
- Verlegung der Leitungen in mechanisch festen und abschließbaren
Kanälen,
- Verschluß von Verteilern und
- bei Bedarf zusätzlich elektrische Überwachung von Verteilern und
Kanälen.
Bei Verschluß sind Regelungen zu treffen, die die Zutrittsrechte, die
Verteilung der Schlüssel und die Zugriffsmodalitäten (was muß der
Berechtigte ggf. vor dem Zugriff auf Leitungen tun?) festlegen.
Ergänzende Kontrollfragen:
- Wurde die Zahl der Stellen, an denen das Kabel zugänglich ist, auf ein
Mindestmaß reduziert?
- Wurde die Länge zu schützender Verbindungen möglichst klein gehalten?
- Werden Zutrittsrechte restriktiv vergeben? Werden Personalwechsel und
Vertretungsfälle dabei berücksichtigt?
- Werden Zutrittsrechte regelmäßig auf ihre Berechtigung/Notwendigkeit
hin überprüft?

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.23
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.23

Abgeschlossene Türen

Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Haustechnik, Mitarbeiter
Die Türen nicht besetzter Räume sollten abgeschlossen werden. Dadurch wird
verhindert, daß Unbefugte Zugriff auf darin befindliche Unterlagen und ITEinrichtungen erlangen.
In manchen Fällen, z. B. in Großraumbüros, ist der Verschluß des Büros nicht
möglich. Dann sollte alternativ jeder Mitarbeiter vor seiner Abwesenheit seine
Unterlagen ("Clear-Desk-Politik") und den persönlichen Arbeitsbereich
verschließen: Schreibtisch, Schrank und PC (Schloß für Diskettenlaufwerk,
Tastaturschloß), Telefon.
Bei laufendem Rechner kann auf das Abschließen der Türen verzichtet
werden, wenn eine Sicherungsmaßnahme installiert ist, mit der die Nutzung
des Rechners nur unter Eingabe eines Paßwortes weitergeführt werden kann
(paßwortunterstützte Bildschirmschoner), der Bildschirm gelöscht wird und
wenn das Booten des Rechners die Eingabe eines Paßwortes verlangt.
Bei ausgeschaltetem Rechner kann auf das Verschließen des Büros verzichtet
werden, wenn das Booten des Rechners die Eingabe eines Paßwortes verlangt.
Wird in oben genannten Fällen auf das Verschließen der Türen verzichtet,
dürfen allerdings keine schutzbedürftigen Gegenstände wie Unterlagen oder
Datenträger offen ausliegen.
Ergänzende Kontrollfragen:
- Wird sporadisch überprüft, ob Büros beim Verlassen verschlossen werden?
- Werden Mitarbeiter angewiesen, bei Abwesenheit ihr Büro zu verschließen?

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.24
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.24

Vermeidung von wasserführenden Leitungen

Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Haustechnik, Administrator
In Räumen oder Bereichen, in denen sich IT-Geräte mit zentralen Funktionen
(z. B. Server) befinden, sollten wasserführende Leitungen aller Art vermieden
werden. Die einzigen wasserführenden Leitungen sollten, wenn unbedingt
erforderlich, Kühlwasserleitungen, Löschwasserleitungen und Heizungsrohre
sein. Zuleitungen zu Heizkörpern sollten mit Absperrventilen, möglichst
außerhalb des Raumes/Bereiches, versehen werden. Außerhalb der
Heizperiode sind diese Ventile zu schließen.
Sind Wasserleitungen unvermeidbar, kann als Minimalschutz eine Wasserauffangwanne oder -rinne unter der Leitung angebracht werden, deren Ablauf
außerhalb des Raumes führt. Günstig ist es, dazu den Flur zu nutzen, da so ein
eventueller Leitungsschaden früher entdeckt wird.
Optional können Wassermelder mit automatisch arbeitenden Magnetventilen
eingebaut werden. Diese Magnetventile sind außerhalb des Raumes/Bereiches
einzubauen und müssen stromlos geschlossen sein.
Als zusätzliche oder alternative Maßnahme empfiehlt sich ggf. eine
selbsttätige Entwässerung (M 1.14 Selbsttätige Entwässerung).
Ergänzende Kontrollfragen:
- Werden evtl. vorhandene Wasserleitungen regelmäßig auf ihre Dichtigkeit
hin überprüft (Sichtprüfung)?

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.25
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.25

Überspannungsschutz

Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik, Administrator
Je nach Qualität und Ausbau des Versorgungsnetzes des Energieversorgungsunternehmens und des eigenen Stromleitungsnetzes, abhängig vom Umfeld
(andere Stromverbraucher) und von der geographischen Lage, können durch
Induktion oder Blitzschlag Überspannungsspitzen im Stromversorgungsnetz
entstehen. Überspannungen durch Blitz haben i. d. R. ein recht hohes zerstörerisches Potential, während Überspannungen anderer Ursachen geringer sind,
aber trotzdem ausreichen können, um die IT zu stören.
Ein komplettes Überspannungschutzkonzept baut sich in drei Stufen auf:
- der Grobschutz in der Gebäudeeinspeisung,
- der Mittelschutz in den Etagenverteilern und
- der Feinschutz an den jeweiligen Steckdosen und den Steckverbindungen
aller anderen Leitungen.
Die Auslegung des Grobschutzes ist von dem Vorhandensein eines äußeren
Blitzschutzes abhängig. Die Schutzwirkung jeder Stufe baut auf der vorherigen auf. Der Verzicht auf eine Stufe macht den gesamten Überspannungsschutz nahezu unwirksam.
Ist der gebäudeweite Aufbau eines Überspannungsschutzes nicht möglich, so
kann man zumindest wichtige Teile der IT (Server etc.) mit einer entsprechenden Schutzzone umgeben. Netze mit einer Vielzahl angeschlossener
Geräte können, um einen möglichen Schaden klein zu halten, durch Optokoppler oder Überspannungsableiter in kleine, gegeneinander geschützte
Bereiche aufgeteilt werden.
Zwei Grundvoraussetzungen sind unabhängig von Umfang und Ausbau des
Überspannungsschutzes zu beachten:
- Die Leitungslänge zwischen dem Feinschutz und zu schützenden Geräten
sollte 20 m nicht überschreiten. Falls doch, ist ein erneuter Feinschutz
zwischenzuschalten. Verfügt ein Gerät über einen Feinschutz im Eingang,
entfällt die 20 m Begrenzung.
- Für einen funktionierenden Überspannungsschutz ist ein umfassender
Potentialausgleich aller in den Überspannungsschutz einbezogenen elektrischen Betriebsmittel erforderlich!
Ergänzende Kontrollfragen:
- Werden Blitz- und Überspannungsschutzeinrichtungen periodisch und nach
bekannten Ereignissen geprüft und ggf. ersetzt?
- Ist ein durchgängiger Potentialausgleich realisiert?
- Wird bei Nachinstallationen darauf geachtet, daß der Potentialausgleich
mitgeführt wird?

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.26
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.26

Not-Aus-Schalter

Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Haustechnik
Bei Räumen, in denen elektrische Geräte in der Weise betrieben werden, daß
z. B. durch deren Abwärme, durch hohe Gerätedichte oder durch Vorhandensein zusätzlicher Brandlasten ein erhöhtes Brandrisiko besteht, ist die Installation eines Not-Aus-Schalters sinnvoll. Da zur Betätigung des Not-AusSchalters Personal erforderlich ist, kommt er jedoch nur in solchen Bereichen
in Frage, in denen ständig oder meistens Personen anwesend sind. In nicht
oder nur sporadisch besetzten Bereichen ist eine Notabschaltung durch eine
Brandfrühesterkennung wesentlich effektiver.
Mit Betätigung des Not-Aus-Schalters wird dem Brand eine wesentliche
Energiequelle genommen, was bei kleinen Bränden zu deren Verlöschen
führen kann. Zumindest ist aber die Gefahr durch elektrische Spannungen
beim Löschen des Feuers beseitigt.
Zu beachten ist, daß lokale unterbrechungsfreie Stromversorgungen (USV)
nach Ausschalten der externen Stromversorgung die Stromversorgung
selbsttätig übernehmen und die angeschlossenen Geräte unter Spannung bleiben. Daher ist bei der Installation eines Not-Aus-Schalters zu beachten, daß
auch die USV abgeschaltet und nicht nur von der externen Stromversorgung
getrennt wird.
Der Not-Aus-Schalter sollte innerhalb des Raumes neben der Eingangstür
(evtl. mit Lagehinweis außen an der Tür) oder außerhalb des Raumes neben
der Tür angebracht werden. Dabei ist allerdings zu bedenken, daß dieser NotAus-Schalter auch ohne Gefahr versehentlich oder absichtlich betätigt werden
kann.
Negativbeispiel:
Ein Serverraum einer mittleren Behörde wurde mit ca. 10 Servern, 5 Laserdruckern und weiteren Geräten bestückt. Der Raum war nach den Gesichtspunkten des Einbruchschutzes mit entsprechenden Wänden, Fenstern und
Türen ausgestattet. Ein Not-Aus-Schalter war nicht vorhanden. Es gab nur
zwei Punkte, um diesen Raum gezielt stromlos schalten zu können: die
Gebäudehauptverteilung im Keller oder die Verteilung des Raumes. Diese
befand sich jedoch an der Wand, die der Eingangstür gegenüberlag, im
Brandfalle nahezu unerreichbar.

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.27
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.27

Klimatisierung

Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Haustechnik
Um den zulässigen Betriebstemperaturbereich von IT-Geräten zu gewährleisten, reicht der normale Luft- und Wärmeaustausch eines Raumes manchmal nicht aus, so daß der Einbau einer Klimatisierung erforderlich wird. Deren
Aufgabe ist es, die Raumtemperatur durch Kühlung unter dem von der IT
vorgegebenen Höchstwert zu halten.
Werden darüber hinaus Forderungen an die Luftfeuchtigkeit gestellt, kann ein
Klimagerät durch Be- und Entfeuchtung auch diese erfüllen. Dazu muß das
Klimagerät allerdings an eine Wasserleitung angeschlossen werden. M 1.24
Vermeidung von wasserführenden Leitungen ist zu beachten.
Um die Schutzwirkung aufrechtzuerhalten, ist eine regelmäßige Wartung der
Klimatisierungseinrichtung vorzusehen.
Ergänzende Kontrollfragen:
- In welchen für IT genutzte Räumen können erhöhte Temperaturen auftreten?
- Werden eingesetzte Klimageräte regelmäßig gewartet?
- Welches sind die für die IT zulässigen Höchst- und Tiefstwerte für
Temperatur und Luftfeuchte?

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.28
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.28

Lokale unterbrechungsfreie Stromversorgung

Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik, Administrator
Mit einer unterbrechungsfreien Stromversorgung (USV) kann ein kurzzeitiger
Stromausfall überbrückt werden oder die Stromversorgung solange aufrechterhalten werden, daß ein geordnetes Herunterfahren angeschlossener Rechner
möglich ist. Dies ist insbesondere dann sinnvoll,
- wenn im Rechner umfangreiche Daten zwischengespeichert werden (z. B.
Cache-Speicher im Netz-Server), bevor sie auf nichtflüchtige Speicher
ausgelagert werden,
- beim Stromausfall ein großes Datenvolumen verloren gehen würde und
nachträglich nochmals erfaßt werden müßte,
- wenn die Stabilität der Stromversorgung nicht ausreichend gewährleistet
ist.
Zwei Arten der USV sind zu unterscheiden:
- Off-Line-USV: Hierbei werden die angeschlossenen Verbraucher im
Normalfall direkt aus dem Stromversorgungsnetz gespeist. Erst wenn
dieses ausfällt, schaltet sich die USV selbsttätig zu und übernimmt die
Versorgung.
- On-Line-USV: Hier ist die USV ständig zwischen Netz und Verbraucher
geschaltet. Die gesamte Stromversorgung läuft immer über die USV.
Beide USV-Arten können neben der Überbrückung von Totalausfällen der
Stromversorgung und Unterspannungen auch dazu dienen, Überspannungen
zu glätten. Auch hier gilt hinsichtlich des Überspannungsschutzes die in
M 1.25 Überspannungsschutz erläuterte Begrenzung auf 20 m.
Werden IT-Geräte in einem Gebäude mit TN-S-Netz (siehe dazu M 1.39
Verhinderung von Ausgleichsströmen auf Schirmungen) mit einer lokalen
USV versorgt, ist folgendes zu beachten: Um die Schutzwirkung des TN-SNetzes gegen Ausgleichsströme auf Schirmen von Datenleitungen aufrecht zu
erhalten, darf der PE-Leiter der Stromzuleitung nicht mit dem PE-Leiter der
Ausgangsseite der USV verbunden werden.
Bei der Dimensionierung einer USV kann man i. d. R. von einer üblichen
Überbrückungszeit von ca. 10 bis 15 Minuten ausgehen. Die Mehrzahl aller
Stromausfälle ist innerhalb von 5 bis 10 Minuten behoben, so daß nach
Abwarten dieser Zeitspanne noch 5 Minuten übrigbleiben, um die angeschlossene IT geordnet herunterfahren zu können, sollte der Stromausfall
länger andauern. Die meisten modernen USV-Geräte bieten Rechnerschnittstellen an, die nach einer vorher festgelegten Zeit, entsprechend dem Zeitbedarf der IT und der Kapazität der USV, ein rechtzeitiges automatisches
Herunterfahren (Shut-down) einleiten können.
Für spezielle Anwendungsfälle (z. B. TK-Anlagen) kann die erforderliche
Überbrückungszeit auch mehrere Stunden betragen.

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.28
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

Um die Schutzwirkung aufrechtzuerhalten, ist eine regelmäßige Wartung der
USV vorzusehen.
Falls die Möglichkeit besteht, die Stromversorgung unterbrechungsfrei aus
einer anderen Quelle zu beziehen (z. B. durch Anschluß an eine zentrale
USV), so stellt dies eine Alternative zur lokalen USV dar.
Ergänzende Kontrollfragen:
- Werden die Wartungsintervalle der USV eingehalten?
- Ist ein automatisches Shut-down vorgesehen?
- Wird die Wirksamkeit der USV regelmäßig getestet?
- Haben sich Veränderungen ergeben, so daß die vorgehaltene Kapazität der
USV nicht mehr ausreichend ist?

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.29
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.29

Geeignete Aufstellung eines IT-Systems

Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Haustechnik, IT-Benutzer
Bei der Aufstellung eines IT-Systems sollten verschiedene Voraussetzungen
beachtet werden, die die Lebensdauer und Zuverlässigkeit der Technik verbessern und die Ergonomie berücksichtigen. Einige seien hier genannt:
- ein IT-System sollte nicht in unmittelbarer Nähe der Heizung aufgestellt
werden, um eine Überhitzung zu vermeiden,
- ein IT-System sollte nicht der direkten Sonneneinstrahlung ausgesetzt sein,
- Staub und Verschmutzungen sollten vermieden werden, da die mechanischen Bauteile (Diskettenlaufwerke, mechanische Maus, Festplatten)
beeinträchtigt werden können,
- direkte Lichteinstrahlung auf den Bildschirm sollte aus ergonomischen
Gründen vermieden werden,
- der Standort in der Nähe eines Fensters oder einer Tür erhöht die Gefahr
des Beobachtens von außerhalb.
Weitere Hinweise sind den Empfehlungen der Berufsgenossenschaften zu
entnehmen.
Ergänzende Kontrollfragen:
- Sind durch den Aufstellungsort bedingte Ausfälle in der Vergangenheit zu
beobachten gewesen?
- Beklagen sich Benutzer von IT-Systemen über unzureichende ergonomische Bedingungen?

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.30
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.30

Absicherung der Datenträger mit TK-Gebührendaten

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher, Datenschutzbeauftragter
Verantwortlich für Umsetzung: Administrator
Auf den TK-Anlagen fallen während des Betriebes Gebührendaten an. Diese
enthalten Informationen über:
- Zeit und Datum eines Gespräches,
- Quell- und Zielrufnummer sowie die
- Gesprächsdauer.
Gebührendaten sind personenbezogene Daten im Sinne der einschlägigen
Bundes- und Landesdatenschutzgesetze. Hieraus folgt, daß auch nach den im
folgenden vorgeschlagenen Maßnahmen des IT-Grundschutzes in jedem Fall
eine gesonderte Betrachtung im Hinblick auf die Anforderungen der Datenschutzgesetze (z. B. aus der Anlage zum § 9 Bundesdatenschutzgesetz)
durchzuführen ist.
Diese Daten können sowohl auf der Festplatte der TK-Anlage selbst als auch
auf einem externen Gebührenrechner gespeichert werden. In vielen Fällen
wird es eine Kombination beider Varianten geben. Die Rechner sind - wenn
möglich - so zu schützen, daß nur Berechtigte auf die Gebührendaten zugreifen können. Dazu ist es erforderlich, den Gebührenrechner in einem besonders
geschützten Raum (vgl. Kapitel 4.3.2 Serverraum) aufzustellen. Für Einrichtungen, auf denen Gebührendaten gespeichert sind, müssen ferner die
Maßnahmen M 1.23 Abgeschlossene Türen, M 2.5 Aufgabenverteilung und
Funktionstrennung, M 2.6 Vergabe von Zutrittsberechtigungen, M 2.7
Vergabe von Zugangsberechtigungen, M 2.8 Vergabe von Zugriffsrechten,
M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
und M 2.17 Zutrittsregelung und -kontrolle realisiert werden.
Ergänzende Kontrollfragen:
- Wer hat Zugriff auf die Gebührendaten?
- Wie wird der Zugriffsschutz realisiert?
- Haben nur die Benutzer mit berechtigtem Interesse Zugriffsrecht?
- Wo befinden sich die Sicherungskopien und wer hat dort Zugang?
- Wie werden die Datenträger entsorgt?
- Wie lange werden die Daten gespeichert?

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.31
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.31

Fernanzeige von Störungen

Verantwortlich für Initiierung: Leiter IT, TK-Anlagen-Verantwortlicher, ITSicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
IT-Geräte und Supportgeräte, die keine oder nur seltene Bedienung durch eine
Person erfordern, werden oft in ge- und verschlossenen Räumen untergebracht
(z. B. Serverraum). Das führt dazu, daß Störungen, die sich in ihrem
Frühstadium auf die IT noch nicht auswirken und einfach zu beheben sind,
erst zu spät, meist durch ihre Auswirkungen auf die IT, entdeckt werden.
Feuer, Funktionsstörungen einer USV oder der Ausfall eines Klimagerätes
seien als Beispiele für solche "schleichenden" Gefährdungen angeführt.
Durch eine Fernanzeige ist es möglich, solche Störungen früher zu erkennen.
Viele Geräte, auf die man sich verlassen muß, ohne sie ständig prüfen oder
beobachten zu können, haben heute einen Anschluß für Störungsfernanzeigen.
Die technischen Möglichkeiten reichen dabei von einfachen Kontakten, über
die eine Warnlampe eingeschaltet werden kann, bis zu Rechnerschnittstellen
mit dazugehörigem Softwarepaket für die gängigen Betriebssysteme. Über die
Schnittstellen ist es oft sogar möglich, jederzeit den aktuellen Betriebszustand
der angeschlossenen Geräte festzustellen und so Ausfällen rechtzeitig
begegnen zu können.
Ergänzende Kontrollfragen:
- Wissen die durch die Fernanzeige Alarmierten, welche Handlungen auszuführen sind?

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.32
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.32

Geeignete Aufstellung von Konsole, Geräten
mit austauschbaren Datenträgern und Druckern

Verantwortlich für Initiierung: Leiter IT, TK-Anlagen-Verantwortlicher, ITSicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Diese Maßnahme dient der Absicherung der Schnittstellen eines IT-Systems
zur Außenwelt, um auch dort den Sicherheitsanforderungen in bezug auf die
gespeicherten und verarbeiteten Daten zu entsprechen, die im IT-System
durch die internen Sicherheitsmechanismen und durch die Maßnahmen im
Bereich Hardware/Software gewährleistet sind. Der Schutz vor unbefugtem
Lesen von Informationen, der innerhalb des Systems durch die Mechanismen
der Zugriffskontrolle gegeben ist, muß an diesen Shnittstellen hauptsächlich
durch infrastrukturelle oder organisatorische Maßnahmen gewährleistet
werden.
Um Manipulationen an der Konsole, an Geräten mit austauschbaren Datenträgern und an Druckern zu verhindern, müssen diese so aufgestellt werden,
daß nur Berechtigte Zugang haben.
Insbesondere gilt:
- Bei Unix-Systemen dürfen Unbefugte keinen Zugang zur Konsole erhalten,
weil sie dort unter Umständen den Unix-Rechner in den Single-UserModus booten bzw. den Monitor-Modus aktivieren können und damit
Systemadministrator-Rechte erlangen.
- Es ist sicherzustellen, daß an den Geräten für austauschbare Datenträger
- wie Streamern, Diskettenlaufwerken, Wechselplatten usw. - kein
mißbräuchliches Ein- und Auslesen von Dateien möglich ist.
- Nur Berechtigte dürfen Zutritt zu Räumen mit Druckern / Ausdrucken
haben. Dieses kann z. B. durch Aufstellung der Drucker in einem
geschlossenen Raum und Verteilung der Ausdrucke in nur für den jeweiligen Empfänger zugängliche Fächer durch eine vertrauenswürdige Person
erreicht werden. Druckerausgaben müssen daher mit dem Namen des
Empfängers gekennzeichnet sein. Dieses kann automatisch durch die
Druckprogramme erfolgen.
Diese Maßnahme wird ergänzt durch folgende Maßnahmen:
M 4.18 Administrative und technische Absicherung des Zugangs zum
Monitor- und Single-User-Modus
M 4.21 Verhinderung des unautorisierten Erlangens von Administratorrechten
Ergänzende Kontrollfragen:
- Sind Konsole, Geräte für austauschbare Datenträger und Druckerausgaben
vor unbefugtem Zugriff geschützt?

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.33
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.33

Geeignete Aufbewahrung tragbarer PCs bei
mobilem Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Da die Umfeldbedingungen bei mobilem Einsatz meist außerhalb der direkten
Einflußnahme des Benutzers liegen, muß er versuchen, den tragbaren PC auch
außer Haus sicher aufzubewahren. Hierfür können nur einige Hinweise gegeben werden, die bei der mobilen Nutzung zu beachten sind:
- Nach Möglichkeit sollten die Zeiten, in denen das Gerät unbeaufsichtigt
bleibt, minimiert werden.
- Wird ein tragbarer PC in einem Kraftfahrzeug aufbewahrt, so sollte das
Gerät von außen nicht sichtbar sein. Das Abdecken des Gerätes oder das
Einschließen in den Kofferraum bieten Abhilfe. Ein tragbarer PC stellt
einen hohen Wert dar, der potentielle Diebe anlockt, zumal tragbare PCs
leicht veräußert werden können.
- Wird der tragbare PC in fremden Büroräumen vor Ort benutzt, so ist dieser
Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen.
Wird der Raum für längere Zeit verlassen, sollte zusätzlich der tragbare PC
ausgeschaltet werden, um über das Bootpaßwort die unerlaubte Nutzung zu
verhindern.
- In Hotelräumen sollte der tragbare PC nicht offen ausliegen. Das
Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe.
- Einige neuere Geräte bieten zusätzlich die Möglichkeit zum Anketten des
Gerätes. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus.
Ergänzende Kontrollfragen:
- Werden die Benutzer von tragbaren PCs auf die geeignete Aufbewahrung
hingewiesen?

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.34
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.34

Geeignete Aufbewahrung tragbarer PCs im
stationären Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Wird ein tragbarer PC zeitweise stationär in einem Büro betrieben, so sind die
in Kapitel 4.3.1 Büroraum beschriebenen Maßnahmen zu beachten. Da ein
tragbarer PC jedoch besonders leicht zu transportieren und zu verbergen ist,
sollte das Gerät außerhalb der Nutzungszeit in einem Schrank verschlossen
werden.
Ergänzende Kontrollfragen:
- Wie werden tragbare PCs in den Büros aufbewahrt?

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.35
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.35

Sammelaufbewahrung mehrerer tragbarer PCs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Sind in einer Behörde bzw. einem Unternehmen eine Vielzahl von tragbaren
PCs im (mobilen) Einsatz und wechseln die Benutzer häufig, kann es angebracht sein, die zeitweise nicht genutzten tragbaren PCs in einer Sammelaufbewahrung (Pool) zu halten. Der dafür genutzte Raum sollte den Anforderungen, die in Kapitel 4.3.4 Raum für technische Infrastruktur beschriebenen
werden, entsprechen.
Darüber hinaus ist die Stromversorgung der tragbaren PCs sicherzustellen,
damit die Batterien dieser Geräte den sofortigen Einsatz erlauben. Zusätzlich
müssen die Rücknahme und die Ausgabe von tragbaren PCs dokumentiert
werden.
Ergänzende Kontrollfragen:
- Wer hat Zutritt zur Sammelaufbewahrung der tragbaren PCs?
- Wird die Ausgabe und Rücknahme der PCs dokumentiert?

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.36
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.36

Sichere Aufbewahrung der Datenträger vor und
nach Versand

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Poststelle
Vor dem Versand eines Datenträgers ist zu gewährleisten, daß für den Zeitraum zwischen dem Speichern der Daten auf dem Datenträger und dem
Transport ein ausreichender Zugriffsschutz besteht. Sind die zu übermittelnden Daten auf den Datenträger geschrieben, so sollte dieser bis zum Transport
in entsprechenden Behältnissen (Schrank, Tresor) verschlossen aufbewahrt
werden. Die für den Transport oder für die Zustellung Verantwortlichen (z. B.
Poststelle) sind auf sachgerechte und sichere Aufbewahrung und Handhabung
des Datenträgers hinzuweisen.
Ergänzende Kontrollfragen:
- Sind die Mitarbeiter darauf hingewiesen worden, für den Transport vorgesehene Datenträger nicht frei zugänglich aufzubewahren?

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.37
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.37

Geeignete Aufstellung eines Fax-Gerätes

Verantwortlich für Initiierung: Leiter Haustechnik,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik, IT-Benutzer, Fax-Verantwortlicher
Ein Fax-Gerät sollte in einem Bereich installiert werden, der nicht öffentlich
zugänglich ist. Eine Kontrolle des Zutritts zu diesem Bereich oder der
Nutzung des Fax-Gerätes ist sinnvoll.
Sinnvollerweise kann dies durch die Aufstellung in einem ständig besetzten
Raum (z. B. Geschäftszimmer, Sekretariat, Poststelle) erreicht werden.
Außerhalb der Dienstzeiten oder bei Abwesenheit der berechtigten Benutzer
sollte das Gerät eingeschlossen werden (Raum oder Schrank). Wichtig ist in
diesem Zusammenhang, daß verhindert werden muß, daß eingegangene FaxSendungen von Unberechtigten eingesehen oder entnommen werden können
(vgl. M 2.48 Festlegung berechtigter Fax-Bediener).
Ergänzende Kontrollfragen:
- Wer kann das Fax-Gerät unkontrolliert nutzen?
- Zu welchen Zeiten ist dies einfach möglich (Mittagspause, Schichtwechsel,
...)?
- Wie wird der Zugang zum Fax-Gerät kontrolliert?
- Wie wird das Gerät außerhalb der Dienstzeiten geschützt?

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.38
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.38

Geeignete Aufstellung eines Modems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Administrator
Um den Mißbrauch von Modems zu verhindern, muß sichergestellt werden,
daß nur Berechtigte physikalischen Zugriff darauf haben. Mißbrauch bedeutet
hier zum einem die Durchführung unbefugter Datenübertragungen, durch die
Kosten verursacht, Viren eingeschleppt oder Interna nach außen transferiert
werden können, und zum anderen das unbefugte Ändern oder Auslesen der
Modem-Konfiguration, wodurch Sicherheitslücken entstehen können.
Um den physikalischen Zugriff auf ein externes Modem oder ein PCMCIAModem abzusichern, ist z. B. bei einem ständig benutzten Modem das
Abschließen des Raumes oder bei einem nur zeitweise benutzten Modem das
sichere Aufbewahren des inaktiven Modems in einem Schrank zu gewährleisten. Die Maßnahmen des Kapitels 4.3.1 Büroraum sind zu beachten.
Ein internes Modem besitzt aufgrund des Einbaus in ein IT-System einen
höheren inhärenten physikalischen Zugriffsschutz. Hier würde es reichen, die
Maßnahmen der Kapitel 4.3.1 Büroraum oder 4.3.2 Serverraum zu beachten.
Wenn über ein Modem oder einen Modempool Zugänge zum internen Netz
geschaffen werden, ist das Kapitel 7.3 Firewall zu beachten. Über Modems
darf kein Zugang zum internen Netz unter Umgehung einer bestehenden
Firewall geschaffen werden.
Wenn mit einem Modempool weitere externe Zugänge zu einem durch eine
Firewall geschützten Netz geschaffen werden sollen, muß dieser auf der
unsicheren Seite der Firewall aufgestellt werden (siehe auch M 2.77 Sichere
Anordnung weiterer Komponenten). Der Modempool sollte zusammen mit
dem zugehörigen Server in einem gesicherten Serverraum aufgestellt sein. Die
Maßnahmen des Kapitels 4.3.2 Serverraum sind zu beachten.

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.39
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.39

Verhinderung von Ausgleichsströmen auf
Schirmungen

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Haustechnik, physikalischer Netzbetreiber
Um Ausgleichsströme auf den Schirmungen von Datenleitungen in Gebäuden
zu verhindern, gibt es verschiedene Möglichkeiten:
Ausgleichsströme können im TN-C-Netz vermieden werden, indem nur solche
IT-Geräte miteinander über geschirmte Datenleitungen miteinander verbunden
werden, die an einer gemeinsamen Elektro-Verteilung angeschlossen sind. Bei
jeder Erweiterung des Daten-Netzes ist diese Bedingung zu prüfen und
sicherzustellen.
Ist die Beschränkung auf Datenverbindungen von IT-Geräten an einer Verteilung nicht möglich, können Ausgleichsströme dadurch vermieden werden, daß
man die Schirmung der Datenleitung nur einseitig auflegt. Bei jeder Änderung
im Daten-Netz ist darauf zu achten, daß nur entsprechend geeignete Kabel
(mit nur einseitig aufgelegtem Schirm) Verwendung finden.
Die optimale, weil sicherste Möglichkeit besteht darin, das Stromverteilnetz
im gesamten Gebäude komplett als TN-S-Netz auszulegen. Dabei wird der
PE- und der N-Leiter ab der Potentialausgleichsschiene (PAS) getrennt
geführt. Einzelmaßnahmen an IT-Geräten sind dann in der Regel nicht mehr
erforderlich. Zu beachten ist jedoch der Hinweis in M 1.28 Lokale unterbrechungsfreie Stromversorgung hinsichtlich der Bildung eines neuen TN-SNetzes für die angeschlossenen Geräte.
Die nachfolgenden Zeichnungen erläutern die Entstehung von Ausgleichsströmen auf Schirmungen und die möglichen Gegenmaßnahmen:

_____________________________________________________________________ ..........................................
40

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.39
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................
S trom lauf im T N -C -N etz *)

L1

S trom lauf im T N -S -N etz *)

L1

A u s g le ich s strom
a u f d er S ch irm u n g

L2

L2

L3

L3

PEN

N

N

PE

PE

N o rm a le r S tro m f lu ß

N orm aler S trom fluß

L1

L1

L2

L2
L3

L3
PEN

N

N

PE

PE

L 1 L 2 L 3 PEN

L1 L2 L3

PAS

L1

N

PE

PAS

L1

L2

L2

L3

L3

PEN

PEN

* ) verein fach te p rin zip ielle
D ars tellu n g

Strom lauf im TN -C S -N etz *)

T N -C -B ereic h

T N -C -B ereic h

A u s gleic h s s trom au f
d er S ch irm u n g d er
D at en leitu n g

L1

L2
L3

L2
L3

N

PEN

A u sg leic h s st rom au f
d er S c h irm u n g d er
D aten leitu n g

L1

PEN

N

PE

PE

N orm aler S trom flu ß

N orm ale r S trom fluß

L1

L1

L2

L2

L3

L3
N

PEN

PEN

N

PE

PE

T N -S -B ereich

T N -S -B ereich

L1

L1

L2

L2

L3

L3

N

N

PE

PE

L1

L1

L2

L2

L3

L3

N

N

PE

PE

Im beiden B ereich en fließ en
A usgleichsström e auf d en
S chirm ungen von Daten leitungen.
L1 L2 L3 N PE

L1

L1 L2 L3

P AS

L2
L3
PEN

L1
L2
L3

N PE

E inseitiges "N icht-A u flegen" der
S chirm ung verhindert die V erschleppung von A u sgleichsström en
in den T N-S -B ereich.

PAS

*) verein fac h te p rin z ip ielle
D arst ellu n g

PEN

_____________________________________________________________________ ..........................................
41

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.39
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Welche Netzart ist in der Liegenschaft vorhanden?
- Wie und durch wen werden die Schutzbedingungen (eine gemeinsame
Verteilung oder nur einseitig aufgelegter Schirm) geprüft?
- Werden Änderungen im Datennetz mit der Haustechnik abgestimmt?

_____________________________________________________________________ ..........................................
42

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.40
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.40

Geeignete Aufstellung von Schutzschränken

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Hausverwaltung
Aufgrund des in der Regel hohen Gewichts von Schutzschränken muß vor der
Aufstellung die Tragfähigkeit des Fußbodens am Aufstellungsort geprüft
werden.
Schutzschränke, die aufgrund ihrer geringen Größe relativ einfach weggetragen werden könnten, sollten in der Wand oder im Boden verankert werden.
Evtl. vorhandene Herstellerhinweise zur geeigneten Aufstellung (z. B. freie
Lüftungsöffnungen, Kabelführungen) sind zu berücksichtigen.
Ergänzende Kontrollfragen:
- Wie wird der Diebstahl eines Schutzschrankes verhindert?

_____________________________________________________________________ ..........................................
43

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.41
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.41

Schutz gegen elektromagnetische Einstrahlung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Beschaffer, Haustechnik
Werden in einem Schutzschrank informationstechnische Geräte untergebracht,
so kann durch benachbarte Einrichtungen elektromagnetische Strahlung
erzeugt werden, die die Funktion der Geräte beeinträchtigt (insbesondere in
industriellen Produktionsbereichen). Durch Nachrüstung von Filtern und
Türdichtungen kann die Einstrahlung innerhalb des Schutzschrankes reduziert
werden. Gleichzeitig verhindern diese Maßnahmen auch eine Verbreitung von
kompromittierender Abstrahlung der im Schrank befindlichen Geräte.
Ergänzende Kontrollfragen:
- Ist eine Gefährdung durch elektromagnetische Einstrahlung gegeben?

_____________________________________________________________________ ..........................................
44

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.42
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.42

Gesicherte Aufstellung von Novell Netware
Servern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um den manipulationssicheren Betrieb von Novell Netware Servern sicherzustellen, ist es zwingend erforderlich, die Novell Netware Server in einer
gesicherten Umgebung aufzustellen. Dies kann entweder ein Serverraum sein
(vgl. Kapitel 4.3.2 Serverraum) oder ein Serverschrank, wenn kein separater
Serverraum zur Verfügung steht (vgl. Kapitel 4.4 Schutzschränke). Unbefugte
dürfen zum Aufstellungsort von Novell Netware Servern keinen unbeaufsichtigten Zugang erhalten. Das Diskettenlaufwerk von Novell Netware Servern
ist darüber hinaus standardmäßig mit einem Diskettenschloß zu verschließen.
Weiterhin sollte mit Hilfe von SYS:SYSTEM\MONITOR.NLM die unmittelbare Dateneingabe an der Serverkonsole durch ein Paßwort verhindert
werden. Dabei sollte der Befehl LOAD MONITOR.NLM -L bereits in der
Datei SYS:SYSTEM\AUTOEXEC.NCF mit eingepflegt werden. Dies veranlaßt
den Server, bei jedem Starten die Serverkonsole mit einem Paßwort zu
schützen. Dabei muß allerdings berücksichtigt werden, daß hier das Paßwort
des Bindery-Benutzers SUPERVISOR zum Entriegeln des Servers notwendig
ist. Dieses ist zum Zeitpunkt der Installation des Netware 4.x Servers identisch
mit dem Paßwort des Benutzers, der den Server in der NDS installiert hat.
Dies ist in der Regel der NDS-Benutzer ADMIN. Wird allerdings das Paßwort
des Benutzers ADMIN regelmäßig geändert, ist dies nicht gleichbedeutend mit
der Änderung der Paßwörter der Bindery-Benutzer SUPERVISOR auf den
jeweiligen NDS-Servern. Daraus ergibt sich das Problem, daß die jeweiligen
SUPERVISOR Paßwörter, von denen jeder Novell NDS-Server jeweils sein
eigenes besitzt, häufig auf einem alten Stand verbleiben, der zudem leicht in
Vergessenheit geraten kann.
Ein weiterer wichtiger Befehl, mit dem die Serverkonsole gesichert werden
muß, ist SECURE CONSOLE. Dieser Befehl deaktiviert den Debugger des
Servers. Ohne diesen Befehl wäre es z. B. auch möglich, den Debugger zu
erreichen, obwohl die Konsole des Servers mit einem Paßwort geschützt ist.
Weitere wichtige Funktionen des Befehls SECURE CONSOLE sind:
- Netware Loadable Modules (NLM) können nur noch von SYS:SYSTEM
und eventuell anderen vorhandenen Suchpfaden geladen werden, wobei
DOS-Suchpfade automatisch entfernt werden,
- einige SET Parameter können nicht mehr verändert werden,
- Datum und Zeit können an der Serverkonsole nicht mehr eingestellt
werden und
- der Systemdebugger des Servers kann nicht mehr erreicht werden.
Ergänzende Kontrollfragen:
- Ist auch im Vertretungsfall ausschließlich der autorisierte Zugriff auf den
Novell Netware Server sichergestellt?
- Ist jeder Novell Netware Server in einem Serverraum oder Serverschrank
untergebracht?

_____________________________________________________________________ ..........................................
45

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.43
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.43

Gesicherte Aufstellung von ISDN-Routern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um den manipulationssicheren Betrieb von ISDN-Routern sicherzustellen, ist
es zwingend erforderlich, diese in einer gesicherten Umgebung aufzustellen.
Dies kann entweder ein Serverraum sein (vgl. Kapitel 4.3.2 Serverraum) oder
ein Serverschrank, wenn kein separater Serverraum zur Verfügung steht (vgl.
Kapitel 4.4 Schutzschränke). Unbefugte dürfen zum Aufstellungsort von
ISDN-Routern keinen unbeaufsichtigten Zugang erhalten.
Ergänzende Kontrollfragen:
- Ist auch im Vertretungsfall sichergestellt, daß ausschließlich autorisierte
Zugriffe auf den ISDN-Router erfolgen können?
- Ist jeder ISDN-Router in einem Serverraum oder Serverschrank untergebracht?

_____________________________________________________________________ ..........................................
46

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.44
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.44

Geeignete Einrichtung eines häuslichen
Arbeitsplatzes

Verantwortlich für Initiierung: Leiter Haustechnik, Personalrat/Betriebsrat,
Vorgesetzte
Verantwortlich für Umsetzung: Haustechnik, Mitarbeiter
Für den häuslichen Arbeitsplatz ist die Nutzung eines Arbeitszimmers
wünschenswert. Zumindest sollte der häusliche Arbeitsplatz von der übrigen
Wohnung durch eine Tür abgetrennt sein.
Die Einrichtung sollte unter Berücksichtigung von Ergonomie, Sicherheit und
Gesundheitsschutz ausgewählt werden.
Dies bedeutet u. a.:
- ausreichend Platz für Möbel und Bildschirmarbeitsplatz,
- regelbare Raumtemperatur und ausreichende Lüftungsmöglichkeiten,
- Abschirmung gegenüber Lärmquellen,
- Tageslicht sowie ausreichend künstliche Beleuchtung,
- Sichtschutz des Monitors, falls er durch ein Fenster beobachtet werden
könnte,
- Vermeidung von störenden Blendungen, Reflexen oder Spiegelungen am
Arbeitsplatz und
- Anschlüsse für Telefon und Strom.
Dienstlich genutzte IT sollte vom Arbeitgeber bereitgestellt werden, um z. B.
per Dienstanweisung ausschließen zu können, daß die IT für private Zwecke
benutzt wird.
Ergänzende Kontrollfragen:
- Werden betroffene Mitarbeiter mit einem häuslichen Arbeitsplatz regelmäßig oder sporadisch befragt, ob der Arbeitsplatz ihren gesundheitlichen
oder betrieblichen Ansprüchen entsprechen?

_____________________________________________________________________ ..........................................
47

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.45
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.45

Geeignete Aufbewahrung dienstlicher
Unterlagen und Datenträger

Verantwortlich für Initiierung: Leiter Haustechnik, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Mitarbeiter
Dienstliche Unterlagen und Datenträger dürfen auch am häuslichen Arbeitsplatz nur dem autorisierten Mitarbeiter zugänglich sein. Aus diesem Grund
muß ein verschließbares Behältnis (Schrank, Schreibtisch o. ä.) verfügbar
sein. Die dienstlichen Unterlagen und Datenträger müssen außerhalb der
Nutzungszeit in diesem Behältnis verschlossen aufbewahrt werden. Die
Schutzwirkung des Behältnisses sollte den Sicherheitsanforderungen der darin
zu verwahrenden Unterlagen und Datenträger entsprechen.
Ergänzende Kontrollfragen:
- Steht für den häuslichen Arbeitsplatz ein verschließbares Behältnis zur
Verfügung?
- Ist der Mitarbeiter darauf hingewiesen worden, daß die Unterlagen und
Datenträger verschlossen aufzubewahren sind?

_____________________________________________________________________ ..........................................
48

IT-Grundschutzhandbuch: Stand Juli 1999

M 1.46
Maßnahmenkatalog Infrastruktur
Bemerkungen
_____________________________________________________________________ ..........................................

M 1.46

Einsatz von Diebstahl-Sicherungen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Diebstahl-Sicherungen sind überall dort einzusetzen, wo große Werte zu
schützen sind bzw. dort, wo andere Maßnahmen - z. B. geeignete Zutrittskontrolle zu den Arbeitsplätzen - nicht umgesetzt werden können. DiebstahlSicherungen machen z. B. dort Sinn, wo Publikumsverkehr herrscht oder die
Fluktuation von Benutzern sehr hoch ist.
Mit Diebstahl-Sicherungen sollten je nach zu schützendem Objekt nicht nur
das IT-System selber, sondern auch Monitor, Tastatur und anderes Zubehör
ausgestattet werden.
Es sind mittlerweile die unterschiedlichsten Diebstahl-Sicherungen auf dem
Markt erhältlich. Es gibt hier zum einem Hardware-Sicherungen, die dem
Diebstahl von IT-Geräten vorbeugen, z. B. durch das Verbinden des ITSystems mit dem Schreibtisch. Es gibt auch eine Reihe von Sicherungsmechanismen, die das Öffnen des Gehäuses verhindern sollen, um dem
Diebstahl von Teilen oder der Manipulation von sicherheitsrelevanten Einstellungen wie dem Entfernen von Sicherheitskarten vorzubeugen.
Bei Neuanschaffung von IT-Geräten sollte darauf geachtet werden, daß diese
Ösen am Gehäuse besitzen, um sie an anderen Gegenständen befestigen zu
können, und daß die Gehäuse abschließbar sind.
Ergänzende Kontrollfragen:
- Sind im letzten Jahr IT-Systeme oder IT-Komponenten gestohlen worden?
- Wie werden IT-Systeme oder IT-Komponenten vor Diebstahl geschützt?

_____________________________________________________________________ ..........................................
49

IT-Grundschutzhandbuch: Stand Juli 1999

M2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M2

Maßnahmenkatalog Organisation

M 2.1

Festlegung von Verantwortlichkeiten und Regelungen
für den IT-Einsatz ......................................................................1

M 2.2

Betriebsmittelverwaltung ...........................................................3

M 2.3

Datenträgerverwaltung...............................................................5

M 2.4

Regelungen für Wartungs- und Reparaturarbeiten.....................7

M 2.5

Aufgabenverteilung und Funktionstrennung..............................9

M 2.6

Vergabe von Zutrittsberechtigungen........................................10

M 2.7

Vergabe von Zugangsberechtigungen......................................11

M 2.8

Vergabe von Zugriffsrechten ...................................................12

M 2.9

Nutzungsverbot nicht freigegebener Software .........................17

M 2.10

Überprüfung des Software-Bestandes ......................................18

M 2.11

Regelung des Paßwortgebrauchs..............................................19

M 2.12

Betreuung und Beratung von IT-Benutzern .............................21

M 2.13

Ordnungsgemäße Entsorgung von schützenswerten
Betriebsmitteln.........................................................................22

M 2.14

Schlüsselverwaltung.................................................................23

M 2.15

Brandschutzbegehungen ..........................................................24

M 2.16

Beaufsichtigung oder Begleitung von Fremdpersonen ............25

M 2.17

Zutrittsregelung und -kontrolle ................................................26

M 2.18

Kontrollgänge ..........................................................................27

M 2.19

Neutrale Dokumentation in den Verteilern ..............................28

M 2.20

Kontrolle bestehender Verbindungen.......................................29

M 2.21

Rauchverbot .............................................................................30

M 2.22

Hinterlegen des Paßwortes.......................................................31

M 2.23

Herausgabe einer PC-Richtlinie ...............................................32

M 2.24

Einführung eines PC-Checkheftes ...........................................34

M 2.25

Dokumentation der Systemkonfiguration ................................35

M 2.26

Ernennung eines Administrators und eines Vertreters .............36

M 2.27

Verzicht auf Fernwartung der TK-Anlage ...............................37

M 2.28

Bereitstellung externer TK-Beratungskapazität .......................38

M 2.29

Bedienungsanleitung der TK-Anlage für die Benutzer ............39

M 2.30

Regelung für die Einrichtung von Benutzern /
Benutzergruppen ......................................................................40

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

M2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.31

Dokumentation der zugelassenen Benutzer und
Rechteprofile............................................................................42

M 2.32

Einrichtung einer eingeschränkten Benutzerumgebung ...........43

M 2.33

Aufteilung der Administrationstätigkeiten unter Unix.............44

M 2.34

Dokumentation der Veränderungen an einem
bestehenden System .................................................................45

M 2.35

Informationsbeschaffung über Sicherheitslücken des
Systems ....................................................................................46

M 2.36

Geregelte Übergabe und Rücknahme eines tragbaren
PC ............................................................................................48

M 2.37

"Der aufgeräumte Arbeitsplatz" ...............................................49

M 2.38

Aufteilung der Administrationstätigkeiten...............................50

M 2.39

Reaktion auf Verletzungen der Sicherheitspolitik....................51

M 2.40

Rechtzeitige Beteiligung des Personal- / Betriebsrates ............52

M 2.41

Verpflichtung der Mitarbeiter zur Datensicherung ..................53

M 2.42

Festlegung der möglichen Kommunikationspartner ................54

M 2.43

Ausreichende Kennzeichnung der Datenträger beim
Versand ....................................................................................55

M 2.44

Sichere Verpackung der Datenträger .......................................56

M 2.45

Regelung des Datenträgeraustausches......................................57

M 2.46

Geeignetes Schlüsselmanagement............................................59

M 2.47

Ernennung eines Fax-Verantwortlichen...................................63

M 2.48

Festlegung berechtigter Fax-Bediener .....................................64

M 2.49

Beschaffung geeigneter Fax-Geräte .........................................65

M 2.50

Geeignete Entsorgung von Fax-Verbrauchsgütern und
Ersatzteilen...............................................................................66

M 2.51

Fertigung von Kopien eingehender Fax-Sendungen ................67

M 2.52

Versorgung und Kontrolle der Fax-Verbrauchsgüter...............68

M 2.53

Abschalten des Fax-Gerätes außerhalb der Bürozeiten............69

M 2.54

Beschaffung geeigneter Anrufbeantworter ..............................70

M 2.55

Einsatz eines Sicherungscodes .................................................72

M 2.56

Vermeidung schutzbedürftiger Informationen auf dem
Anrufbeantworter .....................................................................73

M 2.57

Regelmäßiges Abhören und Löschen aufgezeichneter
Gespräche.................................................................................74

M 2.58

Begrenzung der Sprechdauer ...................................................75

M 2.59

Auswahl eines geeigneten Modems in der Beschaffung ..........76

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Juli 1999

M2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.60

Sichere Administration eines Modems.....................................79

M 2.61

Regelung des Modem-Einsatzes ..............................................80

M 2.62

Software-Abnahme- und Freigabe-Verfahren..........................82

M 2.63

Einrichten der Zugriffsrechte ...................................................85

M 2.64

Kontrolle der Protokolldateien.................................................86

M 2.65

Kontrolle der Wirksamkeit der Benutzer-Trennung am
IT-System.................................................................................88

M 2.66

Beachtung des Beitrags der Zertifizierung für die
Beschaffung .............................................................................89

M 2.67

Festlegung einer Sicherheitsstrategie für das Peer-toPeer-Netz .................................................................................91

M 2.68

Durchführung von Sicherheitskontrollen durch die
Benutzer im Peer-to-Peer-Netz ................................................97

M 2.69

Einrichtung von Standardarbeitsplätzen.................................100

M 2.70

Entwicklung eines Firewall-Konzeptes..................................101

M 2.71

Festlegung einer Sicherheitspolitik für eine Firewall.............105

M 2.72

Anforderungen an eine Firewall.............................................108

M 2.73

Auswahl eines geeigneten Firewall-Typs ..............................109

M 2.74

Geeignete Auswahl eines Paket-Filters..................................113

M 2.75

Geeignete Auswahl eines Application-Gateway ....................115

M 2.76

Auswahl und Implementation geeigneter Filterregeln ...........116

M 2.77

Sichere Anordnung weiterer Komponenten ...........................118

M 2.78

Sicherer Betrieb einer Firewall ..............................................123

M 2.79

Festlegung der Verantwortlichkeiten im Bereich
Standardsoftware....................................................................125

M 2.80

Erstellung eines Anforderungskataloges für
Standardsoftware....................................................................128

M 2.81

Vorauswahl eines geeigneten
Standardsoftwareproduktes ....................................................140

M 2.82

Entwicklung eines Testplans für Standardsoftware ...............144

M 2.83

Testen von Standardsoftware .................................................152

M 2.84

Entscheidung und Entwicklung der
Installationsanweisung für Standardsoftware.........................164

M 2.85

Freigabe von Standardsoftware..............................................166

M 2.86

Sicherstellen der Integrität von Standardsoftware..................168

M 2.87

Installation und Konfiguration von Standardsoftware ...........169

_____________________________________________________________________ ..........................................
iii

IT-Grundschutzhandbuch: Stand Juli 1999

M2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.88

Lizenzverwaltung und Versionskontrolle von
Standardsoftware....................................................................171

M 2.89

Deinstallation von Standardsoftware .....................................172

M 2.90

Überprüfung der Lieferung ....................................................173

M 2.91

Festlegung einer Sicherheitsstrategie für das Windows
NT Client-Server-Netz...........................................................175

M 2.92

Durchführung von Sicherheitskontrollen im Windows
NT Client-Server-Netz...........................................................180

M 2.93

Planung des Windows NT Netzes..........................................182

M 2.94

Freigabe von Verzeichnissen unter Windows NT..................189

M 2.95

Beschaffung geeigneter Schutzschränke ................................193

M 2.96

Verschluß von Schutzschränken ............................................195

M 2.97

Korrekter Umgang mit Codeschlösser ...................................196

M 2.98

Sichere Installation von Novell Netware Servern ..................197

M 2.99

Sichere Einrichtung von Novell Netware Servern .................200

M 2.100

Sicherer Betrieb von Novell Netware Servern .......................207

M 2.101

Revision von Novell Netware Servern...................................214

M 2.102

Verzicht auf die Aktivierung der Remote Console ................216

M 2.103

Einrichten von Benutzerprofilen unter Windows 95..............217

M 2.104

Systemrichtlinien zur Einschränkung der Nutzungsmöglichkeiten von Windows 95.............................................219

M 2.105

Beschaffung von TK-Anlagen ...............................................224

M 2.106

Auswahl geeigneter ISDN-Karten in der Beschaffung ..........225

M 2.107

Dokumentation der ISDN-Karten-Konfiguration...................226

M 2.108

Verzicht auf Fernwartung der ISDNNetzkoppelelemente...............................................................227

M 2.109

Rechtevergabe für den Fernzugriff ........................................228

M 2.110

Datenschutzaspekte bei der Protokollierung ..........................229

M 2.111

Bereithalten von Handbüchern...............................................233

M 2.112

Regelung des Akten- und Datenträgertransports
zwischen häuslichem Arbeitsplatz und Institution .................234

M 2.113

Regelungen für Telearbeit......................................................235

M 2.114

Informationsfluß zwischen Telearbeiter und Institution ........237

M 2.115

Betreuungs- und Wartungskonzept für Telearbeitsplätze ......238

M 2.116

Geregelte Nutzung der Kommunikationsmöglichkeiten ........239

M 2.117

Regelung der Zugriffsmöglichkeiten des Telearbeiters..........241

_____________________________________________________________________ ..........................................
iv

IT-Grundschutzhandbuch: Stand Juli 1999

M2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.118

Festlegung einer Sicherheitspolitik für E Mail-Nutzung........242

M 2.119

Regelung für den Einsatz von E Mail ....................................244

M 2.120

Einrichtung einer Poststelle ...................................................247

M 2.121

Regelmäßiges Löschen von E Mails ......................................248

M 2.122

Einheitliche E Mail-Adressen ................................................249

M 2.123

Auswahl eines Mailproviders.................................................250

M 2.124

Geeignete Auswahl einer Datenbank-Software......................251

M 2.125

Installation und Konfiguration einer Datenbank ....................254

M 2.126

Erstellung eines Datenbanksicherheitskonzeptes ...................257

M 2.127

Inferenzprävention .................................................................260

M 2.128

Zugangskontrolle einer Datenbank ........................................262

M 2.129

Zugriffskontrolle einer Datenbank .........................................263

M 2.130

Gewährleistung der Datenbankintegrität................................266

M 2.131

Aufteilung von Administrationstätigkeiten bei
Datenbanksystemen ...............................................................268

M 2.132

Regelung für die Einrichtung von Datenbankbenutzern/
-benutzergruppen ...................................................................270

M 2.133

Kontrolle der Protokolldateien eines Datenbanksystems .......272

M 2.134

Richtlinien für Datenbank-Anfragen......................................274

M 2.135

Gesicherte Datenübernahme in eine Datenbank.....................278

M 2.136

Einhaltung von Regelungen bzgl. Arbeitsplatz und
Arbeitsumgebung ...................................................................280

M 2.137

Beschaffung eines geeigneten Datensicherungssystems ........281

M 2.138

Strukturierte Datenhaltung .....................................................283

M 2.139

Ist-Aufnahme der aktuellen Netzsituation..............................285

M 2.140

Analyse der aktuellen Netzsituation.......................................287

M 2.141

Entwicklung eines Netzkonzeptes..........................................289

M 2.142

Entwicklung eines Netz-Realisierungsplans ..........................292

M 2.143

Entwicklung eines Netzmanagementkonzeptes .....................294

M 2.144

Geeignete Auswahl eines Netzmanagement-Protokolls.........296

M 2.145

Anforderungen an ein Netzmanagement-Tool .......................300

M 2.146

Sicherer Betrieb eines Netzmanagementsystems ...................302

M 2.147

Sichere Migration von Novell Netware 3.x Servern in
Novell Netware 4.x Netze ......................................................304

M 2.148

Sichere Einrichtung von Novell Netware 4.x Netzen ............306

_____________________________________________________________________ ..........................................
v

IT-Grundschutzhandbuch: Stand Juli 1999

M2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.149

Sicherer Betrieb von Novell Netware 4.x Netzen ..................314

M 2.150

Revision von Novell Netware 4.x Netzen ..............................328

M 2.151

Entwurf eines NDS-Konzeptes ..............................................330

M 2.152

Entwurf eines Zeitsynchronisations-Konzeptes .....................334

M 2.153

Dokumentation von Novell Netware 4.x Netzen ...................336

M 2.154

Erstellung eines Computer-Virenschutzkonzepts...................339

M 2.155

Identifikation potentiell von Computer-Viren
betroffener IT-Systeme ..........................................................341

M 2.156

Auswahl einer geeigneten Computer-VirenschutzStrategie .................................................................................343

M 2.157

Auswahl eines geeigneten Computer-VirenSuchprogramms .....................................................................348

M 2.158

Meldung von Computer-Virusinfektionen .............................350

M 2.159

Aktualisierung der eingesetzten Computer-VirenSuchprogramme .....................................................................351

M 2.160

Regelungen zum Computer-Virenschutz ...............................352

M 2.161

Entwicklung eines Kryptokonzepts........................................354

M 2.162

Bedarfserhebung für den Einsatz kryptographischer
Verfahren und Produkte .........................................................358

M 2.163

Erhebung der Einflußfaktoren für kryptographische
Verfahren und Produkte .........................................................362

M 2.164

Auswahl eines geeigneten kryptographischen
Verfahrens..............................................................................371

M 2.165

Auswahl eines geeigneten kryptographischen Produktes.......375

M 2.166

Regelung des Einsatzes von Kryptomodulen.........................378

M 2.167

Sicheres Löschen von Datenträgern.......................................380

M 2.168

IT-System-Analyse vor Einführung eines
Systemmanagementsystems...................................................383

M 2.169

Entwickeln einer Systemmanagementstrategie ......................385

M 2.170

Anforderungen an ein Systemmanagementsystem.................389

M 2.171

Geeignete Auswahl eines SystemmanagementProduktes ...............................................................................391

M 2.172

Entwicklung eines Konzeptes für die WWW-Nutzung..........396

M 2.173

Festlegung einer WWW-Sicherheitsstrategie ........................397

M 2.174

Sicherer Betrieb eines WWW-Servers...................................399

M 2.175

Aufbau eines WWW-Servers.................................................402

_____________________________________________________________________ ..........................................
vi

IT-Grundschutzhandbuch: Stand Juli 1999

M2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.176

Geeignete Auswahl eines Internet Service Providers.............405

M 2.177

Sicherheit bei Umzügen .........................................................406

M 2.178

Erstellung einer Sicherheitsleitlinie für die Faxnutzung ........410

M 2.179

Regelungen für den Faxserver-Einsatz ..................................412

M 2.180

Einrichten einer Fax-Poststelle ..............................................416

M 2.181

Auswahl eines geeigneten Faxservers....................................418

M 2.182

Regelmäßige Kontrollen der IT-Sicherheitsmaßnahmen .......424

_____________________________________________________________________ ..........................................
vii

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.1
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.1

Festlegung von Verantwortlichkeiten und
Regelungen für den IT-Einsatz

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation
Für die Aufgabenbereiche "IT-Einsatz" und "IT-Sicherheit" müssen sowohl
Verantwortlichkeiten als auch Befugnisse festgelegt sein.
Für den "IT-Einsatz" ist eine Festlegung der Fachverantwortung und der
Betriebsverantwortung vorzunehmen. Der Fachverantwortliche ist zuständig
für die Erarbeitung der fachlichen Vorgaben, die es in einem IT-Verfahren
umzusetzen gilt. Hingegen umfaßt die Betriebsverantwortung u. a. folgende
Aufgaben:
- Datenerfassung,
- Arbeitsplanung und -vorbereitung,
- Datenverarbeitung,
- Nachbereitung von Datenausgaben,
- Datenträgerverwaltung und
- Überwachung des Verfahrensbetriebes.
Übergreifende Regelungen zur "IT-Sicherheit" als ein Aspekt des IT-Einsatzes
müssen verbindlich festgelegt werden. Es empfiehlt sich, Regelungen über
- Datensicherung,
- Datenarchivierung,
- Datenträgertransport,
- Datenübertragung,
- Datenträgervernichtung,
- Dokumentation von IT-Verfahren, Software, IT-Konfiguration,
- Gebrauch von Paßwörtern,
- Zutrittsberechtigungen,
- Zugangsberechtigungen,
- Zugriffsberechtigungen,
- Betriebsmittelverwaltung,
- Kauf und Leasing von Hardware und Software,
- Wartungs- und Reparaturarbeiten,
- Software: Abnahme und Freigabe,
- Software: Anwendungsentwicklung,
- Datenschutz,
- Schutz gegen Computer-Viren,

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.1
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Revision,
- Notfallvorsorge und
- Vorgehensweise bei der Verletzung der Sicherheitspolitik
zu treffen. Hinweise dazu finden sich in den nachfolgenden Maßnahmenbeschreibungen.
Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weise
bekanntzugeben (siehe M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung
einschlägiger Gesetze, Vorschriften und Regelungen). Es empfiehlt sich, die
Bekanntgabe zu dokumentieren. Darüber hinaus sind sämtliche Regelungen in
der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse
zugänglich zu machen.
Die getroffenen Regelungen sind regelmäßig zu aktualisieren, um Mißverständnisse, ungeklärte Zuständigkeiten und Widersprüche zu verhindern.
Ergänzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Werden die Regelungen regelmäßig überarbeitet?
- Wie werden die Regelungen den Mitarbeitern bekanntgegeben?

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.2

Betriebsmittelverwaltung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation
Betriebsmittel (oder Sachmittel) für den IT-Einsatz sind alle erforderlichen
Mittel wie Hardware-Komponenten (Rechner, Tastatur, Drucker usw.), Software (Systemsoftware, Individualprogramme, Standardprogramme u. ä.),
Verbrauchsmaterial (Papier, Toner, Druckerpatronen), Datenträger
(Magnetbänder, Disketten, Streamertapes, Festplatten, Wechselplatten, CDROMs u. ä.).
Die Betriebsmittelverwaltung umfaßt die Abwicklung der Aufgaben:
- Beschaffung der Betriebsmittel,
- Prüfung vor Einsatz,
- Kennzeichnung und
- Bestandsführung.
Die Beschaffung von Betriebsmitteln ist beim Einsatz von Informationstechnik von besonderer Bedeutung. Mit einem geregelten Beschaffungsverfahren lassen sich insbesondere die Ziele unterstützen, die mit dem Einsatz
von Informationstechnik angestrebt werden: Leistungssteigerung, Wirtschaftlichkeit, Verbesserung der Kommunikationsmöglichkeiten.
Neben reinen Wirtschaftlichkeitsaspekten kann durch ein geregeltes Beschaffungsverfahren - das von zentraler Stelle aus vorgenommen werden kann auch die Neu- und Weiterentwicklung im Bereich der Informationstechnik
stärker berücksichtigt werden.
Eine zentrale Beschaffung sichert darüber hinaus die Einführung und Einhaltung eines "Hausstandards", der die Schulung der Mitarbeiter und Wartungsaktivitäten vereinfacht.
Mit einem geregelten Prüfverfahren vor Einsatz der Betriebsmittel lassen
sich unterschiedliche Gefährdungen abwenden. Beispiele sind:
- Überprüfung der Vollständigkeit von Lieferungen (z. B. Handbücher), um
die Verfügbarkeit aller Lieferteile zu gewährleisten,
- Test neuer PC-Software sowie neuer vorformatierter Datenträger mit einem
Computer-Viren-Suchprogramm,
- Testläufe neuer Software auf speziellen Test-Systemen,
- Überprüfung der Kompatibilität neuer Hardware- und Softwarekomponenten mit den vorhandenen.
Erst mit Hilfe einer Bestandsführung der eingesetzten Betriebsmittel ist es
möglich, den Verbrauch zu ermitteln und Nachbestellungen zu veranlassen.
Darüber hinaus ermöglicht die Bestandsführung Vollständigkeitskontrollen,
Überprüfung des Einsatzes von nicht genehmigter Software oder die Feststellung der Entwendung von Betriebsmitteln. Hierzu bedarf es einer eindeutigen
Kennzeichnung der wesentlichen Betriebsmittel mit eindeutigen Identifi-

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.2
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

zierungsmerkmalen (z. B. gruppierte fortlaufende Inventarnummern). Zusätzlich sollten die Seriennummern vorhandener Geräte wie Bildschirm, Drucker,
Festplatten etc. dokumentiert werden, damit sie nach einem Diebstahl identifiziert werden können.
Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen
aufgelistet werden. Ein solches Bestandsverzeichnis muß Auskunft geben
können über:
- Identifizierungsmerkmale,
- Beschaffungsquellen, Lieferzeiten,
- Verbleib der Betriebsmittel,
- Lagervorhaltung,
- Aushändigungsvorschriften und
- Wartungsverträge, Wartungsintervalle.
Ergänzende Kontrollfragen:
- Ermöglicht die Bestandsführung eine Vollständigkeitskontrolle?
- Welche Prüfverfahren vor Einsatz sind eingeführt worden? Welche
Ergebnisse wurden erzielt?
- Ist der Beschaffungsgang geregelt oder gibt es die Möglichkeit, die
Betriebsmittelverwaltung bei Beschaffungvorgängen zu umgehen?
- Wie aktuell ist das Bestandsverzeichnis?

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.3
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.3

Datenträgerverwaltung

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Archivverwalter,
licher

IT-Verfahrensverantwort-

Aufgabe der Datenträgerverwaltung als Teil der Betriebsmittelverwaltung ist
es, den Zugriff auf Datenträger im erforderlichen Umfang und in angemessener Zeit gewährleisten zu können. Dies erfordert eine geregelte Verwaltung
der Datenträger, die eine einheitliche Kennzeichnung sowie eine Führung von
Bestandsverzeichnissen erforderlich macht. Weiterhin ist im Rahmen der
Datenträgerverwaltung die sachgerechte Behandlung und Aufbewahrung der
Datenträger, deren ordnungsgemäßer Einsatz und Transport und schließlich
auch noch die Löschung bzw. Vernichtung der Datenträger zu gewährleisten.
Bestandsverzeichnisse ermöglichen einen schnellen und zielgerichteten
Zugriff auf Datenträger. Bestandsverzeichnisse geben Auskunft über: Aufbewahrungsort, Aufbewahrungsdauer, berechtigte Empfänger.
Die äußerliche Kennzeichnung von Datenträgern ermöglicht deren schnelle
Identifizierung. Die Kennzeichnung sollte jedoch für Unbefugte keine Rückschlüsse auf den Inhalt erlauben (z. B. die Kennzeichnung eines Magnetbandes mit dem Stichwort "Telefongebühren"), um einen Mißbrauch zu
erschweren. Eine festgelegte Struktur von Kennzeichnungsmerkmalen (z. B.
Datum, Ablagestruktur, lfd. Nummer) erleichtert die Zuordnung in Bestandsverzeichnissen.
Für eine sachgerechte Behandlung von Datenträgern sind die Herstellerangaben, die üblicherweise auf der Verpackung zu finden sind, heranzuziehen.
Hinsichtlich der Aufbewahrung von Datenträgern sind einerseits Maßnahmen
zur Lagerung (magnetfeld-/staubgeschützt, klimagerecht) und andererseits
Maßnahmen zur Verhinderung des unbefugten Zugriffs (geeignete
Behältnisse, Schränke, Räume) zu treffen.
Der Versand oder Transport von Datenträgern muß in der Weise erfolgen,
daß eine Beschädigung der Datenträger möglichst ausgeschlossen werden
kann (z. B. Magnetbandversandtasche, luftgepolsterte Umschläge). Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit auszurichten (z. B.
mittels verschließbaren Transportbehältnissen). Versand- oder Transportarten
(z. B. Kuriertransport) müssen ebenso festgelegt werden wie das Nachweisverfahren über den Versand (z. B. Begleitzettel, Versandscheine) und den
Eingang beim Empfänger (z. B. Empfangsbestätigung). Der Datenträger darf
über die zu versendenden Daten hinaus, keine "Restdaten" enthalten. Dies
kann durch physikalisches Löschen erreicht werden. Stehen hierzu keine
Werkzeuge zur Verfügung, so sollte der Datenträger zumindest formatiert
werden. Dabei sollte sichergestellt werden, daß mit dem zugrundeliegenden
Betriebssystem eine Umkehr des Befehls nicht möglich ist. Weiterhin ist zu
beachten, daß vor Abgabe wichtiger Datenträger eine Sicherungskopie erstellt
wird. Weitere Ausführungen zum Versand und Transport von Datenträgern
enthält das Kapitel 7.1 Datenträgeraustausch.

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.3
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Für die interne Weitergabe von Datenträger können Regelungen getroffen
werden wie Quittungsverfahren, Abhol-/Mitnahmeberechtigungen sowie das
Führen von Bestandsverzeichnissen über den Verbleib der Datenträger.
Für den Fall, daß von Dritten erhaltene Datenträger eingesetzt werden, sind
Regelungen über deren Behandlung vor dem Einsatz zu treffen. Werden zum
Beispiel Daten für PCs übermittelt, sollte generell ein Computer-Viren-Check
des Datenträgers erfolgen. Dies gilt entsprechend auch vor dem erstmaligen
Einsatz neuer Datenträger. Es ist empfehlenswert, nicht nur beim Empfang,
sondern auch vor dem Versenden von Datenträgern diese auf Computer-Viren
zu überprüfen.
Eine geregelte Vorgehensweise für die Löschung oder Vernichtung von
Datenträgern verhindert den Mißbrauch der gespeicherten Daten. Vor der
Wiederverwendung von Datenträgern muß die Löschung der gespeicherten
Daten vorgenommen werden; siehe hierzu: M 2.167 Sicheres Löschen von
Datenträgern.
Ergänzende Kontrollfragen:
- Liegt ein (tages-)aktuelles Bestandsverzeichnis vor?
- Prüft der Archivverwalter die Berechtigung einer Datenträgeranforderung?
- Werden Vollständigkeitskontrollen des Datenträgerbestandes vorgenommen?

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.4
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.4

Regelungen für Wartungs- und Reparaturarbeiten

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Administrator, IT-Benutzer
Als vorbeugende Maßnahme, um IT vor Störungen zu bewahren, ist die
ordnungsgemäße Durchführung von Wartungsarbeiten von besonderer Bedeutung. Die rechtzeitige Einleitung von Wartungsarbeiten und die Überprüfung
ihrer Durchführung sollte von einer zentralen Stelle aus wahrgenommen
werden (z. B. Beschaffungsstelle). Dabei sollten die Wartungsarbeiten von
vertrauenswürdigen Personen oder Firmen durchgeführt werden.
Wartungs- und Reparaturarbeiten im Hause
Für Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe
durchgeführt werden, sind Regelungen über deren Beaufsichtigung zu
treffen: während der Arbeiten sollte eine fachkundige Kraft die Arbeiten
soweit beaufsichtigen, daß sie beurteilen kann, ob während der Arbeit nichtautorisierte Handlungen vollzogen werden. Weiterhin ist zu überprüfen, ob
der Wartungsauftrag ausgeführt wurde.
Als Maßnahmen vor und nach Wartungs- und Reparaturarbeiten sind
einzuplanen:
- Ankündigung der Maßnahme gegenüber den betroffenen Mitarbeitern.
- Wartungstechniker müssen sich auf Verlangen ausweisen.
- Der Zugriff auf Daten durch den Wartungstechniker ist soweit wie möglich
zu vermeiden. Falls erforderlich, sind Speichermedien vorher auszubauen
oder zu löschen (nach einer kompletten Datensicherung), insbesondere
wenn die Arbeiten extern durchgeführt werden müssen. Falls das Löschen
nicht möglich ist (z. B. aufgrund eines Defektes), sind die Arbeiten auch
extern zu beobachten bzw. es sind besondere vertragliche Vereinbarungen
zu treffen.
- Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und
Zugriffsrechte sind auf das notwendige Minimum zu beschränken und nach
den Arbeiten zu widerrufen bzw. zu löschen.
- Nach der Durchführung von Wartungs- oder Reparaturarbeiten sind - je
nach "Eindringtiefe" des Wartungspersonals - Paßwortänderungen erforderlich. Im PC-Bereich sollte ein Computer-Viren-Check durchgeführt
werden.
- Die durchgeführten Wartungsarbeiten sind zu dokumentieren (Umfang,
Ergebnisse, Zeitpunkt, evtl. Name des Wartungstechnikers).
Externe Wartungs- und Reparaturarbeiten
Werden IT-Systeme zur Wartung oder Reparatur außer Haus gegeben, sind
alle sensitiven Daten, die sich auf Datenträgern befinden, vorher physikalisch
zu löschen. Ist dies nicht möglich, weil aufgrund eines Defekts nicht mehr auf
die Datenträger zugegriffen werden kann, sind die mit der Reparatur beauftragten Unternehmen auf die Einhaltung der erforderlichen IT-Sicherheits-

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.4
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

maßnahmen zu verpflichten. Entsprechend M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen
sind mit diesen vertragliche Regelungen über die Geheimhaltung von Daten
zu treffen. Insbesondere ist festzulegen, daß Daten, die im Rahmen der
Wartung extern gespeichert wurden, nach Abschluß der Arbeiten sorgfältig
gelöscht werden. Ebenso sind die Pflichten und Kompetenzen des externen
Wartungspersonals sorgfältig festzulegen.
Die Durchführung externer Wartungsarbeiten muß protokolliert werden,
welche IT-Systeme oder Komponenten wann an wen zur Reparatur gegeben
wurden, wer dies veranlaßt hat, zu welchem Zeitpunkt die Reparatur abgeschlossen sein sollte und wann das Gerät wieder zurückgebracht wurde. Um
dies nachhalten zu können, ist eine Kennzeichnung der IT-Systeme oder
Komponenten erforderlich, aus der zum einem hervorgeht, welcher Organisation diese gehören, und zum anderen eine eindeutige Zuordnung innerhalb
der Organisation möglich ist.
Bei Versand oder Transport der zu reparierenden IT-Komponenten sollte
darauf geachtet werden, daß Beschädigungen und Diebstahl vorgebeugt wird.
Befinden sich auf den IT-Systemen noch sensitive Informationen, müssen sie
entsprechend geschützt transportiert werden, also z. B. in verschlossenen
Behältnissen oder durch Kuriere. Weiterhin müssen Nachweise über den Versand (Begleitzettel, Versandscheine) und den Eingang beim Empfänger
(Empfangsbestätigung) geführt und archiviert werden.
Bei IT-Systemen, die durch Paßwörter geschützt sind, müssen je nach Umfang
der Reparaturarbeiten und der Art der Paßwortabsicherung, alle oder einige
Paßwörter entweder bekanntgegeben oder auf festgelegte Einstellungen wie
"REPARATUR" gesetzt werden, damit die Wartungstechniker auf die Geräte
zugreifen können.
Nach der Rückgabe der IT-Systeme oder Komponenten sind diese auf Vollständigkeit zu überprüfen. Alle Paßwörter sind zu ändern. PC-Datenträger
sind nach der Rückgabe mittels eines aktuellen Viren-Suchprogramms auf
Computer-Viren zu überprüfen. Alle Dateien oder Programme, die sich auf
dem reparierten Gerät befinden, sind auf Integrität zu überprüfen.
Fernwartung
Regelungen für die Fernwartung können der Maßnahme M 5.33 Absicherung
der per Modem durchgeführten Fernwartung entnommen werden.
Ergänzende Kontrollfragen:
- Werden die Mitarbeiter zur Wahrnehmung der Aufsicht angehalten?
- Werden Nachweise über durchgeführte Wartungsarbeiten geführt?
- Liegt ein Fristenplan für Wartungsarbeiten vor?

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.5
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.5

Aufgabenverteilung und Funktionstrennung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation, IT-Sicherheitsmanagement
Die von der Behörde bzw. dem Unternehmen im Zusammenhang mit dem ITEinsatz wahrzunehmenden Funktionen sind festzulegen. Zu unterscheiden
sind hier zwei Ebenen:
- Die erste Ebene besteht aus den Funktionen, die den IT-Einsatz ermöglichen oder unterstützen wie Arbeitsvorbereitung, Datennachbereitung,
Operating, Programmierung, Netzadministration, Rechteverwaltung,
Revision.
- Die zweite Ebene besteht aus den Funktionen, die die zur Aufgabenerfüllung bereitstehenden IT-Verfahren anwenden. Beispiele solcher Funktionen sind: Fachverantwortlicher, IT-Anwendungsbetreuer, Datenerfasser,
Sachbearbeiter, Zahlungsanordnungsbefugter.
Im nächsten Schritt ist die Funktionstrennung festzulegen und zu begründen,
d. h. welche Funktionen nicht miteinander vereinbar sind, also auch nicht von
einer Person gleichzeitig wahrgenommen werden dürfen. Vorgaben hierfür
können aus den Aufgaben selbst oder aus gesetzlichen Bestimmungen
resultieren. Beispiele dafür sind:
- Rechteverwaltung und Revision,
- Netzadministration und Revision,
- Programmierung und Test bei eigenerstellter Software,
- Datenerfassung und Zahlungsanordnungsbefugnis,
- Revision und Zahlungsanordnungsbefugnis.
Insbesondere wird deutlich, daß meistens operative Funktionen nicht mit
kontrollierenden Funktionen vereinbar sind.
Nach der Festlegung der einzuhaltenden Funktionstrennung kann die Zuordnung der Funktionen zu Personen erfolgen.
Die hier getroffenen Festlegungen sind zu dokumentieren und bei Veränderungen im IT-Einsatz zu aktualisieren. Sollte bei dieser Zuordnung eine
Person miteinander unvereinbare Funktionen wahrnehmen müssen, so ist dies
in einer entsprechenden Dokumentation über die Funktionsverteilung besonders hervorzuheben.
Ergänzende Kontrollfragen:
- Ist die Aufzählung der relevanten Funktionen umfassend?
- Sind die definierten Funktionstrennungen vollständig?
- Wird die Funktionstrennung personell aufrechterhalten?
- Wird die Zuordnung Personen/Funktionen aktualisiert?

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.6
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.6

Vergabe von Zutrittsberechtigungen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter Organisation, Leiter Haustechnik
Vor der Vergabe von Zutrittsberechtigungen für Personen sind die schutzbedürftigen Räume eines Gebäudes zu bestimmen, z. B. Büro, Datenträgerarchiv, Serverraum, Operating-Raum, Maschinensaal, Belegarchiv, Rechenzentrum. Der Schutzbedarf eines Raumes ist festzustellen anhand der im
Raum befindlichen Informationstechnik sowie am Schutzbedarf der eingesetzten IT-Anwendungen und ihrer Informationen.
Anschließend ist festzulegen, welche Person zur Ausübung der wahrgenommenen Funktion welches Zutrittsrecht benötigt. Dabei ist die vorher erarbeitete Funktionstrennung (M 2.5 Aufgabenverteilung und Funktionstrennung) zu
beachten. Unnötige Zutrittsrechte sind zu vermeiden.
Um die Zahl zutrittsberechtigter Personen zu einem Raum möglichst gering zu
halten, sollte auch beim IT-Einsatz der Grundsatz der Funktionstrennung
berücksichtigt werden. So verhindert z. B. eine getrennte Lagerung von ITErsatzteilen und Datenträgern den unerlaubten Zugriff eines Wartungstechnikers auf die Datenträger.
Die Vergabe und Rücknahme von Zutrittsberechtigungen ist zu dokumentieren. Bei der Rücknahme einer Zutrittsberechtigung muß die Rücknahme des
Zutrittsmittels gewährleistet sein. Zusätzlich ist zu dokumentieren, welche
Konflikte bei der Vergabe der Zutrittsberechtigungen an Personen aufgetreten
sind. Gründe für Konflikte können vorliegen, weil Personen Funktionen
wahrnehmen, die bezüglich der Zutrittsberechtigungen der Funktionstrennung
entgegenstehen, oder aufgrund räumlicher Notwendigkeiten.
Zur Überwachung der Zutrittsberechtigung können Personen (Pförtner,
Schließdienst) oder technische Einrichtungen (Ausweisleser, Schloß) eingesetzt werden (vgl. M 2.14 Schlüsselverwaltung). Der Zutritt zu schutzbedürftigen Räumen von nicht autorisiertem Personal (z. B. Besuchern) darf nur bei
Anwesenheit oder in Begleitung Zutrittsberechtigter erfolgen.
Regelungen über die Vergabe und Rücknahme von Zutrittsberechtigungen für
Fremdpersonal und Besucher müssen ebenfalls getroffen werden.
Ergänzende Kontrollfragen:
- Liegt eine Dokumentation vor, die den Schutzbedarf von IT-Räumen
ausweist?
- Wird die Dokumentation schutzbedürftiger Räume und zutrittsberechtigter
Personen aktualisiert?

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.7
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.7

Vergabe von Zugangsberechtigungen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Fachverantwortliche
Zugangsberechtigungen erlauben der betroffenen Person, bestimmte ITSysteme bzw. System-Komponenten und Netze zu nutzen. Dies ist für jede
nutzungsberechtigte Person aufgrund ihrer Funktion, unter Beachtung der
Funktionstrennung (vgl. M 2.5 Aufgabenverteilung und Funktionstrennung),
im einzelnen festzulegen. Entsprechend der Funktion ist der Zugang zum
Rechner zu definieren, z. B. Zugang zum Betriebssystem (Systemverwalter)
oder Zugang zu einer IT-Anwendung (Anwender). Ergänzend hierzu muß
sichergestellt sein, daß personelle und aufgabenbezogene Änderungen unverzüglich berücksichtigt werden.
Der Zugang soll - sofern DV-technisch möglich - erst nach einer Identifikation
(z. B. durch Name, User-ID oder Chipkarte) und Authentisierung (z. B. durch
ein Paßwort) des Nutzungsberechtigten möglich sein und protokolliert
werden.
Die Ausgabe bzw. der Einzug von Zugangsmitteln wie Benutzerkennungen
oder Chipkarten ist zu dokumentieren. Regelungen über die Handhabung von
Zugangs- und Authentifikationsmitteln (z. B. Umgang mit Chipkarten,
Paßworthandhabung, vgl. M 2.11 Regelung des Paßwortgebrauchs) müssen
ebenfalls getroffen werden.
Die vorübergehende Sperrung einer Zugangsberechtigung sollte bei längerwährender Abwesenheit der berechtigten Person vorgenommen werden, um
Mißbräuche zu verhindern.
Es ist notwendig, die vorgenannten Festlegungen auf ihre korrekte Einhaltung
sporadisch zu kontrollieren.
Ergänzende Kontrollfragen:
- Wird die Vergabe sowie der Einzug von Zugangsberechtigungen und
Zugangsmitteln dokumentiert?
- Wird bei der Vergabe von Zugangsberechtigungen die Funktionstrennung
eingehalten?
- Werden die Benutzer zum korrekten Umgang mit Zugangsmitteln
geschult?
- Falls die Nutzung von Zugangsmitteln protokolliert wird, werden diese
Protokolle auch ausgewertet?

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.8
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.8

Vergabe von Zugriffsrechten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Fachverantwortliche
Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion
bevollmächtigt wird, IT-Anwendungen oder Daten zu nutzen. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt, z. B. Anwenderbetreuer, Arbeitsvorbereiter, Systemprogrammierer,
Anwendungsentwickler, Systemadministrator, Revisor, Datenerfasser, Sachbearbeiter. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden,
wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-knowPrinzip"). Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT-Systems.
Eine Vielzahl von IT-Systemen lassen es zu, daß verschiedene Rechte als
Gruppenrechte bzw. als Rechte-Profil definiert werden (z. B. Gruppe Datenerfasser). Diese Definition entspricht der technischen Umsetzung der Rechte,
die einer Funktion zugeordnet werden. Für die Administration der Rechte
eines IT-Systems ist es vorteilhaft, solche Gruppen oder Profile zu erstellen,
da damit die Rechtezuteilung und deren Aktualisierung erheblich vereinfacht
werden kann.
Die Festlegung und Veränderung von Zugriffsrechten ist vom jeweils Verantwortlichen zu veranlassen und zu dokumentieren. Aus der Dokumentation
muß hervorgehen:
- welche Funktion unter Beachtung der Funktionstrennung (vgl. M 2.5 Aufgabenverteilung und Funktionstrennung) mit welchen Zugriffsrechten ausgestattet wird,
- welche Gruppen bzw. Profile eingerichtet werden,
- welche Person welche Funktion wahrnimmt,
- welche Zugriffsrechte eine Person erhält und
- welche Konflikte bei der Vergabe von Zugriffsrechten aufgetreten sind.
Diese Konflikte können z. B. daraus resultieren, daß eine Person unvereinbare Funktionen wahrnimmt oder daraus, daß abhängig vom IT-System die
Trennung bestimmter Zugriffsrechte nicht vorgenommen werden kann.
Ergänzende Kontrollfragen:
- Liegt eine aktuelle Dokumentation der vergebenen Zugriffsrechte vor?
- Werden beantragte Zugriffsrechte oder Änderungen erteilter Zugriffsrechte
von den Verantwortlichen bestätigt und geprüft?
- Existiert ein geregeltes Verfahren für den Entzug von Zugriffsrechten vor?
Die Vorgehensweise bei der Funktionstrennung und der Rechtevergabe
wird am nachfolgenden Beispiel erläutert.
Die betrachtete IT-Anwendung sei ein Reisekosten-Abrechnungssystem. Die
relevanten Räume sind in nachfolgender Graphik erläutert. Das IT-System

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.8
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

besteht aus einem LAN, an dem neben der Bedienkonsole drei PCs als
Arbeitsplatzrechner angeschlossen sind.

Schritt 1: Aufgabenverteilung und Funktionstrennung
Folgende Funktionen sind für das betrachtete Reisekosten-Abrechnungssystem notwendig:
1. LAN-Administration
2. Revision
3. Datenerfassung
4. Sachbearbeitung mit Feststellung der rechnerischen Richtigkeit
5. Sachbearbeitung mit Feststellung der sachlichen Richtigkeit
6. Sachbearbeitung mit Anordnungsbefugnis

Folgende Funktionen sind aufgrund der Sachzwänge nicht miteinander vereinbar:
- Funktion 1 und Funktion 2 (die Administration darf sich nicht selbst kontrollieren)
- Funktion 2 und Funktion 6 (der Anordnungsbefugte darf sich nicht selbst
kontrollieren)
- die Kombination der Funktionen 4 oder 5 mit 6 (das Vier-Augen-Prinzip
wäre verletzt für Zahlungsanweisungen)
Diese Funktionen werden durch folgende Personen wahrgenommen:

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.8
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Hr. Mayer

1. LAN-Administration

Fr. Schmidt Hr. Müller

Fr. Fleiß

X

2. Revision

X

3. Datenerfassung

X

4. Sachbearbeitung
rechn.

X

5. Sachbearbeitung sachl.

X

6. Anordnungsbefugnis

X

Schritt 2: Vergabe von Zutrittsrechten
Nachfolgend wird der Schutzbedarf der einzelnen Räume begründet und in der
Tabelle die Vergabe der Zutrittsrechte dokumentiert:
- Serverraum:
der unbefugte Zutritt zum Server muß verhindert werden, weil die Verfügbarkeit Integrität und Vertraulichkeit der gesamten Anwendung von dieser
zentralen Komponente abhängig ist
- Belegarchiv:
für die Rechnungslegung bedarf es der Aufbewahrung der Reisekostenabrechnungen. Es ist sicherzustellen, daß die Belege vollständig und unverändert aufbewahrt werden
- Büro 1:
in diesem Büro erfolgt die Dateneingabe in Verbindung mit der Feststellung der rechnerischen Richtigkeit und die Feststellung der sachlichen
Richtigkeit. Für die Gewährleistung der Korrektheit dieser Vorgänge muß
verhindert werden, daß Unbefugte Zutritt zu den Arbeitsplatzrechnern
erhalten.
- Büro 2:
hier erfolgt die Anordnungsbefugnis für die Auszahlung der Reisekosten
am APC. Dieser Vorgang darf nur von einer befugten Person vorgenommen werden. Unbefugten ist der Zutritt zu verwehren.

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.8
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Serverraum
1. LAN-Administration

X

2. Revision

X

Belegarchiv

Büro 1

Büro 2

X

X

X

3. Datenerfassung

X

4. Sachbearbeitung
rechn.

X

X

5. Sachbearbeitung
sachl.

X

X

6. Anordnungsbefugnis

X

X

X

Schritt 3: Vergabe von Zugangsberechtigungen
Aufgrund der Funktionen ergeben sich folgende Zugangsberechtigungen:
Betriebssystem
Server
1. LAN-Administration

X

2. Revision

X

3. Datenerfassung

Anwendung Protokollauswertung

Anwendung
Datenerfassung

X

Anwendung
Belegbearbeitung

X
X

4. Sachbearbeitung
rechn.

X

5. Sachbearbeitung
sachl.

X

6. Anordnungsbefugnis

X

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.8
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Schritt 4: Vergabe von Zugriffsrechten
Im folgenden werden die Zugriffsrechte, die eine Funktion zur Ausübung
benötigt, dargestellt. Es bezeichnen:
A = Recht zur Ausführung der Anwendung/Software
L = Leserecht auf Daten
S = Schreibrecht, d. h. Erzeugen von Daten
M = Recht zum Modifizieren von Daten
Ö = Recht zum Löschen von Daten
U = Recht zum Unterschreiben von Zahlungsanweisungen
Betriebssystem
Server

Protokollauswertung

Anwendung
Datenerfassung

Anwendung
Belegbearbeitung

1. LAN-Administration A,L,S,M,Ö
2. Revision

A,L

3. Datenerfassung

A,L,Ö

A,L
A,S

4. Sachbearbeitung
rechn.

A,L,M

5. Sachbearbeitung
sachl.

A,L,M

6. Anordnungsbefugnis

A,L,U

Eine solche Dokumentation erleichtert die Rechteverteilung. Angenommen,
daß Frau Schmidt den Arbeitgeber wechseln würde und ihre Stelle neu besetzt
werden müßte, so läßt sich anhand der obigen Tabellen einfach feststellen,
welche der ehemaligen Rechte Frau Schmidts zu löschen und für die neue
Kraft einzurichten sind. Wenn die neue Kraft zusätzlich vertretungsweise die
Funktion Sachbearbeitung mit Anordnungsbefugnis übernehmen soll, so wird
anhand der durchzuführenden Rechteverteilung der Konflikt offenbar, daß die
neue Kraft im Vertretungsfall Manipulationen unbemerkt durchführen könnte.

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.9
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.9

Nutzungsverbot nicht freigegebener Software

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Es muß geregelt sein, wie Software abgenommen, freigegeben, eingespielt
bzw. benutzt werden darf (vgl. M 2.62 Software-Abnahme und -FreigabeVerfahren bzw. Kapitel 9.1 Standardsoftware). Das Einspielen bzw. Benutzen
nicht freigegebener Software muß verboten und außerdem durch technische
Möglichkeiten soweit möglich verhindert werden. Beispielsweise kann dies
unter Windows 95 durch Einschränkung der Benutzerumgebung (vgl. M 2.104
Systemrichtlinien zur Einschränkung der Nutzungsmöglichkeiten von
Windows 95) erreicht werden. Damit soll verhindert werden, daß Programme
mit unerwünschten Auswirkungen eingebracht werden. Zusätzlich soll verhindert werden, daß das System über den festgelegten Funktionsumfang
hinaus unkontrolliert genutzt wird. Falls erforderlich, kann dieses Nutzungsverbot auch auf die Nutzung privater Hardware (Disketten, Wechselplatte, PC,
Laptop) und privater Daten ausgedehnt werden.
Ausnahmeregelungen sollten einen Erlaubnisvorbehalt vorsehen.
Ergänzende Kontrollfragen:
- Gibt es ein Genehmigungs- und Registrierverfahren für Software?
- Ist das Nutzungsverbot nicht freigegebener Software schriftlich fixiert?
- Sind alle Mitarbeiter über das Nutzungsverbot unterrichtet?
- Wird in regelmäßigen Abständen an das Nutzungsverbot erinnert?
- Welche Möglichkeiten bestehen, unautorisiert Software einzuspielen oder
zu nutzen?
- Welche Möglichkeiten bestehen an den einzelnen Rechnern, Software
selbständig zu entwickeln?
- Gibt es Regelungen über die Programmierung und die Weitergabe von
Makros aus leistungsfähigen Standardprodukten wie z. B. Textverarbeitung, Tabellenkalkulation und Datenbanken?
- Existieren Listen mit den freigegebenen Versionen ausführbarer Dateien,
die insbesondere Erstellungsdatum und Dateigröße beinhalten?
- Wird regelmäßig überprüft, ob die freigegebenen Versionen ausführbarer
Dateien verändert wurden?
- Besteht die Möglichkeit, das Einspielen von Software technisch zu verhindern?

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.10
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.10

Überprüfung des Software-Bestandes

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT,
IT-Sicherheitsmanagement, Vorgesetzte
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um Verstöße gegen das Verbot der Nutzung nicht freigegebener Software
feststellen zu können, ist eine regelmäßige Überprüfung des SoftwareBestandes notwendig. Ist die Zahl der IT-Systeme sehr groß, kann eine stichprobenartige Überprüfung durchgeführt werden. Die Ergebnisse der Überprüfung sind zu dokumentieren, um auch Wiederholungsfälle feststellen zu
können.
Sollte bei der Überprüfung nicht freigegebene Software gefunden werden, so
ist die Entfernung zu veranlassen. Um diese Überprüfung durchführen zu
können, muß der überprüfenden Instanz die entsprechende Befugnis durch die
Unternehmens- bzw. Behördenleitung verliehen werden. Zusätzlich muß der
prüfenden Instanz bekannt sein, welche Software auf welchem IT-System
freigegeben ist (Software-Bestandsverzeichnis).
Ergänzende Kontrollfragen:
- In welchem Turnus sind Überprüfungen sinnvoll?
- Sind Fälle aufgetreten, daß unautorisierte Software genutzt wurde?
- Wie wird verfahren, wenn ein Verstoß festgestellt wird?

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.11
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.11

Regelung des Paßwortgebrauchs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, IT-Benutzer
Werden in einem IT-System Paßwörter zur Authentisierung gebraucht, so ist
die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, daß das Paßwort korrekt gebraucht wird. Dafür ist
es empfehlenswert, eine Regelung zum Paßwortgebrauch einzuführen und den
IT-Benutzer diesbezüglich zu unterweisen.
Folgende Regeln zum Paßwortgebrauch sollten beachtet werden:
- Das Paßwort darf nicht leicht zu erraten sein wie Namen, Kfz-Kennzeichen, Geburtsdatum.
- Innerhalb des Paßwortes sollte mindestens ein Zeichen verwendet werden,
das kein Buchstabe ist (Sonderzeichen oder Zahl).
- Das Paßwort sollte mindestens 6 Zeichen lang sein. Es muß getestet
werden, wieviele Stellen des Paßwortes vom Rechner überprüft werden.
- Voreingestellte Paßwörter (z. B. des Herstellers bei Auslieferung von
Systemen) müssen durch individuelle Paßwörter ersetzt werden.
- Paßwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert
werden.
- Das Paßwort muß geheimgehalten werden und sollte nur dem Benutzer
persönlich bekannt sein.
- Das Paßwort sollte nur für die Hinterlegung schriftlich fixiert werden,
wobei es dann in einem verschlossenen Umschlag sicher aufbewahrt wird.
Wird es darüber hinaus aufgeschrieben, ist das Paßwort zumindest so
sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren (vgl.
M 2.22 Hinterlegen des Paßwortes).
- Das Paßwort muß regelmäßig gewechselt werden, z. B. alle 90 Tage.
- Ein Paßwortwechsel ist durchzuführen, wenn das Paßwort unautorisierten
Personen bekannt geworden ist.
- Alte Paßwörter sollten nach einem Paßwortwechsel nicht mehr gebraucht
werden.
- Die Eingabe des Paßwortes sollte unbeobachtet stattfinden.
Falls IT-technisch möglich, sollten folgende Randbedingungen eingehalten
werden:
- Die Wahl von Trivialpaßwörtern ("BBBBBB", "123456") sollte verhindert
werden.
- Jeder Benutzer muß sein eigenes Paßwort jederzeit ändern können.
- Für die Erstanmeldung neuer Benutzer sollten Einmalpaßwörter vergeben
werden, also Paßwörter, die nach einmaligem Gebrauch gewechselt werden
müssen. In Netzen, in denen Paßwörter unverschlüsselt übertragen werden,

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.11
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

empfiehlt sich die dauerhafte Verwendung von Einmalpaßwörtern (vgl.
M 5.34 Einsatz von Einmalpaßwörtern).
- Nach dreifacher fehlerhafter Paßworteingabe sollte eine Sperrung erfolgen,
die nur vom Systemadministrator aufgehoben werden kann.
- Bei der Authentisierung in vernetzten Systemen sollten Paßwörter nicht
unverschlüsselt übertragen werden.
- Bei der Eingabe sollte das Paßwort nicht auf dem Bildschirm angezeigt
werden.
- Die Paßwörter sollten im System zugriffssicher gespeichert werden, z. B.
mittels Einwegverschlüsselung.
- Der Paßwortwechsel sollte vom System regelmäßig initiiert werden.
- Die Wiederholung alter Paßwörter beim Paßwortwechsel sollte vom ITSystem verhindert werden (Paßwort-Historie).
Ergänzende Kontrollfragen:
- Sind die Benutzer über den korrekten Umgang mit Paßwörtern unterrichtet
worden?
- Wird die Paßwort-Güte kontrolliert?
- Wird der Paßwort-Wechsel erzwungen?
- Ist jeder Benutzer im Netz mit einem Paßwort ausgestattet?

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.12
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.12

Betreuung und Beratung von IT-Benutzern

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT
Verantwortlich für Umsetzung: Leiter IT
Der Einsatz von IT-Systemen erfordert eine umfassende Schulung der ITBenutzer. Neben der Schulung, die die IT-Benutzer in die Lage versetzt, die
eingesetzte Informationstechnik sachgerecht einzusetzen, bedarf es einer
Betreuung und Beratung der IT-Benutzer für die im laufenden Betrieb auftretenden Probleme. Diese Probleme können aus Hardware-Defekten oder
fehlerhafter Software-Installation resultieren, aber auch aus Bedienungsfehlern.
In größeren Behörden bzw. Unternehmen kann es daher sinnvoll sein, eine
zentrale Stelle mit der Betreuung der IT-Benutzer zu beauftragen und diese
allen Mitarbeitern bekanntzugeben. Diese Notwendigkeit kann sich insbesondere bei einer hohen Zahl dezentraler Systeme wie PCs als praktikabel erweisen.
Ergänzende Kontrollfragen:
- An wen wendet sich ein IT-Benutzer in Problemfällen?

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.13
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.13

Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter Haustechnik, Mitarbeiter
Betriebsmittel oder Sachmittel, die schützenswerte Daten enthalten
(Druckerpapier, Disketten, Streamertapes, Magnetbänder, Festplatten, aber
auch spezielle Tonerkassetten, Kohlepapier oder Carbonbänder) und nicht
mehr gebraucht werden oder aufgrund eines Defektes ausgesondert werden
sollen, sind so zu entsorgen, daß keine Rückschlüsse auf vorher gespeicherte
Daten möglich sind. Bei funktionstüchtigen Datenträgern sollten die Daten
physikalisch gelöschen werden. Nicht funktionierende oder nur einmal
beschreibbare Datenträger wie CD-ROMs müssen mechanisch zerstört werden
(siehe M 2.167 Sicheres Löschen von Datenträgern).
Die Art der Entsorgung schutzbedürftigen Materials sollte in einer speziellen
Anordnung geregelt werden, entsprechende Entsorgungseinrichtungen sind
vorzuhalten (siehe auch DIN 32757).
Wird schutzbedürftiges Material vor der Entsorgung gesammelt, so ist die
Sammlung verschlossen zu halten und vor unberechtigtem Zugriff zu
schützen.
Soweit im Unternehmen bzw. in der Behörde keine umweltgerechte und
sichere Entsorgung durchgeführt werden kann, sind damit beauftragte Unternehmen auf die Einhaltung erforderlicher IT-Sicherheitsmaßnahmen zu verpflichten. Ein Mustervertrag ist als Hilfsmittel diesem Handbuch beigefügt.
Ergänzende Kontrollfragen:
- Werden in der genannten Regelung alle schutzbedürftigen Materialien
behandelt?
- Ist der Entsorgungsvorgang verläßlich?
- Werden die genannten Entsorgungsbestimmungen eingehalten?

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.14
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.14

Schlüsselverwaltung

Verantwortlich für Initiierung: Leiter Organisation, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter Haustechnik
Für alle Schlüssel des Gebäudes (von Etagen, Fluren und Räumen) ist ein
Schließplan zu fertigen. Die Herstellung, Aufbewahrung, Verwaltung und
Ausgabe von Schlüsseln ist zentral zu regeln. Reserveschlüssel sind vorzuhalten und gesichert aufzubewahren. Das gleiche gilt auch für alle Identifikationsmittel wie Magnetstreifen- oder Chipkarten. Zu beachten bleibt:
- Ist eine Schließanlage vorhanden, sind für schutzbedürftige Bereiche
eigene Schließgruppen zu bilden, ggf. einzelne Räume aus der Schließgruppe herauszunehmen und mit Einzelschließung zu versehen.
- Nicht ausgegebene Schlüssel und die Reserveschlüssel sind gegen unbefugten Zugriff geschützt aufzubewahren.
- Die Ausgabe der Schlüssel erfolgt gegen Quittung und ist zu dokumentieren.
- Es sind Vorkehrungen zu treffen, wie bei Verlust einzelner Schlüssel zu
reagieren ist (Meldung, Ersatz, Kostenerstattung, Austausch des Schlosses,
Austausch von Schließgruppen etc.).
- Bei Zuständigkeitsänderungen von Mitarbeitern sind deren Schließberechtigungen zu prüfen, Schlüssel ggf. einzuziehen.
- Beim Ausscheiden von Mitarbeitern sind alle Schlüssel einzuziehen
(Aufnahme der Schlüsselverwaltung in den Laufzettel).
- Schlösser und Schlüssel zu besonders schutzbedürftigen Bereichen (zu
denen nur sehr wenige Schlüssel ausgegeben werden sollten) können bei
Bedarf getauscht werden, um so illegal nachgefertigten Schlüsseln die
Funktion zu nehmen.
Ergänzende Kontrollfragen:
- Welche Regelungen gibt es zur Schlüsselverwaltung?
- Werden diese Regelungen von den Mitarbeitern angenommen?

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.15
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.15

Brandschutzbegehungen

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Brandschutzbeauftragter
Bei der Errichtung und der Nutzung von Gebäuden sind Brandschutzvorschriften zu beachten. Diese werden durch DIN- und VDE-Vorschriften
festgeschrieben und durch Auflagen der örtlichen Feuerwehr ergänzt (siehe
auch M 1.6 Einhaltung von Brandschutzvorschriften und Auflagen der
örtlichen Feuerwehr).
Die Erfahrungen zeigen, daß nach Nutzungsbeginn im täglichen Betrieb diese
Regelungen immer nachlässiger gehandhabt werden - bis hin zur völligen
Ignoranz. Einige Beispiele:
- Fluchtwege werden blockiert, z. B. durch Möbel und Papiervorräte.
- Brandabschnittstüren werden durch Keile offen gehalten.
- Zulässige Brandlasten werden durch anwachsende Kabelmengen oder
geänderte Nutzungen überschritten.
- Brandabschottungen werden bei Arbeiten beschädigt und nicht ordnungsgemäß wiederhergerichtet.
Brandschutzbegehungen sollten ein- bis zweimal im Jahr angekündigt oder
unangekündigt erfolgen.
Da die Handlungsweise der Mitarbeiter in der Regel nicht vom böswilligen
Vorsatz, sondern von der betrieblichen Notwendigkeit oder Bequemlichkeit
bestimmt wird, kann es nicht Sinn einer Brandschutzbegehung sein, Täter zu
finden und zu bestrafen. Vielmehr sollten die vorgefundenen Mißstände dazu
Anlaß geben, die Zustände sofort und ggf. deren Ursachen unverzüglich zu
beheben.
Ergänzende Kontrollfragen:
- Werden Brandschutzbegehungen regelmäßig durchgeführt und festgestellte
Mängel behoben?

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.16
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.16

Beaufsichtigung oder Begleitung von
Fremdpersonen

Verantwortlich für Initiierung: Leiter Organisation
Verantwortlich für Umsetzung: Mitarbeiter
Fremde (Besucher, Handwerker, Wartungs- und Reinigungspersonal) sollten,
außer in Räumen, die ausdrücklich dafür vorgesehen sind, nicht unbeaufsichtigt sein (siehe auch M 2.6 Vergabe von Zutrittsberechtigungen). Wird es
erforderlich, einen Fremden allein im Büro zurückzulassen, sollte man einen
Kollegen ins Zimmer oder den Besucher zu einem Kollegen bitten.
Ist es nicht möglich, Fremdpersonen (z. B. Reinigungspersonal) ständig zu
begleiten oder zu beaufsichtigen, sollte zumindest der persönliche Arbeitsbereich abgeschlossen werden: Schreibtisch, Schrank und PC (Schloß für
Diskettenlaufwerk, Tastaturschloß). Siehe auch M 2.37 "Der aufgeräumte
Arbeitsplatz".
Für den häuslichen Arbeitsplatz gilt, daß Familienmitglieder und Besucher
sich nur dann alleine im Arbeitsbereich aufhalten dürfen, wenn alle Arbeitsunterlagen verschlossen aufbewahrt sind und die IT über einen aktivierten
Zugangsschutz gesichert ist.
Die Notwendigkeit dieser Maßnahme ist den Mitarbeitern zu erläutern und
ggf. in einer Dienstanweisung festzuhalten. Eine Dokumentationen über den
Aufenthalt von Fremdpersonen kann in einem Besucherbuch geführt werden.
Ergänzende Kontrollfragen:
- Werden die Mitarbeiter dazu angehalten, entsprechend zu handeln?
- Wie sieht die tatsächliche Praxis im Hause aus?

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.17
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.17

Zutrittsregelung und -kontrolle

Verantwortlich für Initiierung: Leiter Organisation, Leiter Haustechnik
Verantwortlich für Umsetzung: Leiter Haustechnik, Mitarbeiter
Der Zutritt zu schutzbedürftigen Gebäudeteilen und Räumen ist zu regeln und
zu kontrollieren (siehe M 2.6 Vergabe von Zutrittsberechtigungen). Die
Maßnahmen reichen dabei von einer einfachen Schlüsselvergabe bis zu aufwendigen Identifizierungssystemen mit Personenvereinzelung, wobei auch die
Nutzung eines mechanischen Schlüssels nebst Schloß eine Zutrittskontrolle
darstellt. Für eine Zutrittsregelung und -kontrolle ist es erforderlich, daß
- der von der Regelung betroffene Bereich eindeutig bestimmt wird,
- die Zahl der zutrittsberechtigten Personen auf ein Mindestmaß reduziert
wird; diese Personen sollen gegenseitig ihre Berechtigung kennen, um
Unberechtigte als solche erkennen zu können,
- der Zutritt anderer Personen (Besucher) erst nach vorheriger Prüfung der
Notwendigkeit erfolgt,
- erteilte Zutrittsberechtigungen dokumentiert werden.
Die Vergabe von Rechten allein reicht nicht aus, wenn deren Einhaltung bzw.
Überschreitung nicht kontrolliert wird. Die Ausgestaltung von Kontrollmechanismen sollte nach dem Grundsatz erfolgen, daß einfache und praktikable Lösungen oft ebenso effizient sind wie aufwendige Technik. Beispiele
hierfür sind:
- Information und Sensibilisierung der Berechtigten,
- Bekanntgabe von Berechtigungsänderungen,
- sichtbares Tragen von Hausausweisen, ggf. Vergabe von Besucherausweisen,
- Begleitung von Besuchern,
- Verhaltensregelungen bei erkannter Berechtigungsüberschreitung und
- Einschränkung des ungehinderten Zutritts für nicht Zutrittsberechtigte
(z. B. Tür mit Blindknauf, Schloß für Berechtigte mit Schlüssel, Klingel
für Besucher).
Ergänzend kann der Einbau von Ausweislesern verschiedenster Qualitäten,
von Schleusen und Vereinzelungseinrichtungen sinnvoll sein. Zur Schlüsselverwaltung siehe M 2.14 Schlüsselverwaltung.

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.18
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.18

Kontrollgänge

Verantwortlich für Initiierung: Haustechnik, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik, IT-Sicherheitsmanagement
Eine Maßnahme kann nur so gut wirken, wie sie auch tatsächlich umgesetzt
wird. Kontrollgänge bieten das einfachste Mittel, die Umsetzung von
Maßnahmen und die Einhaltung von Auflagen und Anweisungen zu überprüfen.
Die Kontrollgänge sollen nicht dem Finden von Tätern dienen, um diese zu
bestrafen. Sinn der Kontrollen soll es in erster Linie sein, erkannte Nachlässigkeiten möglichst sofort zu beheben (Fenster zu schließen, Unterlagen in
Aufbewahrung zu nehmen etc.). In zweiter Linie können Ursachen für diese
Nachlässigkeiten erkannt und evtl. in der Zukunft vermieden werden.
Die Kontrollgänge sollten durchaus auch während der Dienstzeit erfolgen und
zur Information der Mitarbeiter über das Wie und Warum von Regelungen
genutzt werden. So werden sie von allen Beteiligten eher als Hilfe denn als
Gängelung angesehen.

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.19
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.19

Neutrale Dokumentation in den Verteilern

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Leiter Haustechnik, Netzplaner
In jedem Verteiler sollte sich eine Dokumentation befinden, die den derzeitigen Stand von Rangierungen und Leitungsbelegungen wiedergibt. Diese
Dokumentation ist möglichst neutral zu halten. Nur bestehende und genutzte
Verbindungen sind darin aufzuführen. Es sollen, soweit nicht ausdrücklich
vorgeschrieben (z. B. für Brandmeldeleitungen) keine Hinweise auf die
Nutzungsart der Leitungen gegeben werden. Leitungs-, Verteiler-, und Raumnummern reichen in vielen Fällen aus. Alle weitergehenden Informationen
sind in einer Revisions-Dokumentation aufzuführen.
Ergänzende Kontrollfragen:
- Wie wird sichergestellt, daß die Dokumentation immer aktuell ist?
- Wie wird sichergestellt, daß keine unzulässigen Informationen in dieser
Dokumentation enthalten sind?

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.20
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.20

Kontrolle bestehender Verbindungen

Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Leiter Haustechnik, Netzplaner
Alle Verteiler und Zugdosen sind einer (zumindest stichprobenartigen) Sichtprüfung zu unterziehen. Dabei ist auf folgende Punkte zu achten:
- Spuren von gewaltsamen Öffnungsversuchen an verschlossenen Verteilern,
- Aktualität der im Verteiler befindlichen Dokumentation,
- Übereinstimmung der tatsächlichen Beschaltungen und Rangierungen mit
der Dokumentation,
- Unversehrtheit der Kurzschlüsse und Erdungen nicht benötigter Leitungen
und
- unzulässige Einbauten/Veränderungen.
Neben der reinen Sichtkontrolle kann zusätzlich eine funktionale Kontrolle
durchgeführt werden. Dabei werden bestehende Verbindungen auf ihre Notwendigkeit und die Einhaltung technischer Werte hin geprüft. In zwei Fällen
ist diese Prüfung anzuraten:
- bei Verbindungen, die sehr selten genutzt und bei denen Manipulationen
nicht sofort erkannt werden,
- bei Verbindungen, auf denen häufig und regelmäßig schützenswerte
Informationen übertragen werden.
Ergänzende Kontrollfragen:
- In welchem Turnus werden bestehende Verbindungen kontrolliert?
- Wie werden festgestellte Unregelmäßigkeiten dokumentiert und verfolgt?
- Wem sind welche festgestellten Unregelmäßigkeiten zu melden?
- Wer führt die Beseitigung von Unregelmäßigkeiten durch und wer
kontrolliert diese Arbeiten?

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.21
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.21

Rauchverbot

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Mitarbeiter
In Räumen mit IT oder Datenträgern (Serverraum, Datenträgerarchiv, aber
auch Belegarchiv), in denen Brände oder Verschmutzungen zu hohen Schäden
führen können, sollte ein Rauchverbot erlassen werden. Dieses Rauchverbot
dient gleicherweise dem vorbeugenden Brandschutz wie der
Betriebssicherheit von IT mit mechanischen Funktionseinheiten.
Ergänzende Kontrollfragen:
- Wird das Rauchverbot in schutzbedürftigen Räumen eingehalten?

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.22
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.22

Hinterlegen des Paßwortes

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: IT-Benutzer
Ist der Zugriff auf ein IT-System durch ein Paßwort geschützt, so müssen
Vorkehrungen getroffen werden, die bei Abwesenheit eines Mitarbeiters, z. B.
im Urlaubs- oder Krankheitsfall, seinem Vertreter den Zugriff auf das ITSystem ermöglichen. Zu diesem Zweck ist das aktuelle Paßwort durch jeden
Mitarbeiter an einer geeigneten Stelle (in einem geschlossenen Umschlag) zu
hinterlegen und bei jeder Änderung des Paßwortes zu aktualisieren. Wird es
notwendig, dieses hinterlegte Paßwort zu nutzen, so sollte dies nach dem VierAugen-Prinzip, d. h. von zwei Personen gleichzeitig, geschehen.
Bei einem Telearbeiter ist sicherzustellen, daß dessen Paßwörter auch in der
Institution hinterlegt werden, damit im Notfall sein Vertreter auf die im Telearbeitsrechner gespeicherten Daten zugreifen kann.
Bei allen von Administratoren betreuten Systemen, insbesondere bei vernetzten Systemen, ist durch regelmäßige Überprüfung sicherzustellen, daß das
aktuelle Systemadministrator-Paßwort hinterlegt ist.
Ergänzende Kontrollfragen:
- Sind die hinterlegten Paßwörter vollständig und aktuell?
- Ist die ordnungsgemäße Verwendung eines hinterlegten Paßwortes geregelt?
- Wird anhand der Aktualisierungen der hinterlegten Paßwörter die
Wechselsystematik kontrolliert?

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.23
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.23

Herausgabe einer PC-Richtlinie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement, Leiter IT

IT-Sicher-

Verantwortlich für Umsetzung: Leiter IT, IT-Benutzer
Um einen sicheren und ordnungsgemäßen Einsatz von Personalcomputern in
größeren Unternehmen bzw. Behörden zu fördern, sollte eine PC-Richtlinie
erstellt werden, in der verbindlich vorgeschrieben wird, welche Randbedingungen eingehalten werden müssen und welche IT-Sicherheitsmaßnahmen zu
ergreifen sind. Diese PC-Richtlinie soll zumindest den Einsatz von unvernetzten PCs regeln; werden PCs vernetzt betrieben oder als intelligente
Terminals genutzt, ist die Richtlinie um diese Punkte zu erweitern. Im
folgenden soll grob umrissen werden, welche Inhalte für eine solche PCRichtlinie sinnvoll sind.
Möglicher inhaltlicher Aufbau einer PC-Richtlinie:
- Zielsetzung und Begriffsdefinitionen
Dieser erste Teil der PC-Richtlinie dient dazu, die PC-Anwender für ITSicherheit zu sensibilisieren und zu motivieren. Gleichzeitig werden die für
das gemeinsame Verständnis notwendigen Begriffe definiert, wie z. B. PC,
Anwender, Benutzer, schutzbedürftige Objekte.
- Geltungsbereich
In diesem Teil muß verbindlich festgelegt werden, für welche Teile des
Unternehmens bzw. der Behörde die PC-Richtlinie gilt.
- Rechtsvorschriften und interne Regelungen
Hier wird dargestellt, welche Rechtsvorschriften, z. B. das Bundesdatenschutzgesetz und das Urheberrechtsgesetz, einzuhalten sind. Darüber
hinaus kann diese Stelle genutzt werden, um alle relevanten betriebsinternen Regelungen aufzuführen.
- Verantwortungsverteilung
In diesem Teil wird definiert, welcher Funktionsträger im Zusammenhang
mit dem PC-Einsatz welche Verantwortung tragen muß. Dabei sind insbesondere die Funktionen IT-Benutzer, Vorgesetzte, Revisionsbeauftragter,
Datenschutzbeauftragter und IT-Sicherheitsmanagement zu unterscheiden.
- Umzusetzende und einzuhaltende IT-Sicherheitsmaßnahmen
Im letzten Teil der PC-Richtlinie ist festzulegen, welche IT-Sicherheitsmaßnahmen vom IT-Benutzer einzuhalten bzw. umzusetzen sind. Es kann
je nach Schutzbedarf auch über die IT-Grundschutz-Maßnahmen hinausgehen.
Sind Telearbeiter im Unternehmen bzw. in der Behörde beschäftigt, sollte die
PC-Richtlinie um die Telearbeitsplatz-spezifischen Regelungen ergänzt
werden. Vgl. dazu Kapitel 9.3.

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.23
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Existiert eine PC-Richtlinie?
- Wie wird die Einhaltung der PC-Richtlinie überprüft?
- Müssen die Inhalte, insbesondere die IT-Sicherheitsmaßnahmen, aktualisiert werden?
- Besitzt jeder PC-Benutzer ein Exemplar dieser PC-Richtlinie?
- Ist die PC-Richtlinie Inhalt der Schulungen zu IT-Sicherheitsmaßnahmen?

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.24
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.24

Einführung eines PC-Checkheftes

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: IT-Benutzer
Um die durchgeführten IT-Sicherheitsmaßnahmen am PC zu dokumentieren,
bietet es sich an, ein PC-Checkheft einzuführen, in dem der PC-Nutzer folgendes dokumentieren kann:
- Name des PC-Benutzers,
- Aufstellungsort des PC,
- Beschreibung der Konfiguration,
- Zugangsmittel,
- eingesetzte Hard- und Software,
- planmäßige Zeitpunkte für die Datensicherungen,
- durchgeführte Wartungen und Reparaturen,
- durchgeführte Computer-Viren-Kontrollen,
- Zeitpunkt von Paßwort-Änderungen,
- zur Verfügung stehendes Zubehör,
- durchgeführte Revisionen,
- Ansprechpartner für Problemfälle und
- Zeitpunkte der durchgeführten Datensicherungen.
Ein Muster eines solchen PC-Checkheftes ist der CD-ROM zum Handbuch
beigefügt.
Wird das Führen eines solchen PC-Checkheftes angeordnet, so werden Kontrolltätigkeiten entschieden erleichtert, da die Dokumentation aller durchgeführten PC-relevanten Änderungen und IT-Sicherheitsmaßnahmen aus diesem
PC-Checkheft hervorgehen. Außerdem unterstützt das Führen dieses Heftes
für den PC-Benutzer eine notwendige Selbstkontrolle, damit er regelmäßig
Datensicherungen, Paßwort-Änderungen und Viren-Checks durchführt.

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
34

M 2.25
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.25

Dokumentation der Systemkonfiguration

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
Planung, Steuerung, Kontrolle und Notfallvorsorge des IT-Einsatzes basieren
auf einer aktuellen Dokumentation des vorhandenen IT-Systems. Nur eine
aktuelle Dokumentation der Systemkonfiguration ermöglicht im Notfall einen
geordneten Wiederanlauf des IT-Systems.
Bei einem Netzbetrieb ist die physikalische Netzstruktur (vgl. M 5.4 Dokumentation und Kennzeichnung der Verkabelung) und die logische Netzkonfiguration zu dokumentieren. Dazu gehören auch die Zugriffsrechte der einzelnen Benutzer (siehe M 2.31 Dokumentation der zugelassenen Benutzer und
Rechteprofile) und der Stand der Datensicherung. Weiterhin sind die
eingesetzten Applikationen und deren Konfiguration sowie die
Dateistrukturen auf allen IT-Systemen zu dokumentieren.
Dabei ist auf Aktualität und Verständlichkeit der Dokumentation zu achten,
damit auch ein Vertreter die Administration jederzeit weiterführen kann. Die
System-Dokumentation ist so aufzubewahren, dass sie im Bedarfsfall jederzeit
verfügbar ist. Wenn sie in elektronischer Form geführt wird, sollte sie
entweder regelmäßig ausgedruckt oder auf einem transportablen Datenträger
gespeichert werden. Der Zugriff auf die Dokumentation ist auf die
zuständigen Administratoren zu beschränken.
In der System-Dokumentation sollten alle Schritte dokumentiert sein, die beim
Herauf- bzw. Herunterfahren von IT-Systemen zu beachten sind. Dies ist
insbesondere bei vernetzten IT-Systemen wichtig. Hier muss z. B. häufig eine
bestimmte Reihenfolge beim Mounten von Laufwerken oder Starten von
Netzdiensten eingehalten werden.
Ergänzende Kontrollfragen:
- Ist die vorhandene Dokumentation aktuell?
- Kann aufgrund der Dokumentation die Administration weitergeführt
werden?

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.26
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.26

Ernennung eines Administrators und eines
Vertreters

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, TKAnlagen-Verantwortlicher
Verantwortlich für Umsetzung: Um einen geordneten Betrieb von IT-Systemen zu ermöglichen, sind für alle
IT-Systeme und Netze Administratoren zu bestimmen. Ihnen obliegt neben
allgemeinen Administrationsarbeiten insbesondere die Benutzerverwaltung
einschließlich der Verwaltung der Zugriffsrechte. Zusätzlich sind sie für die
Sicherheitsbelange aller von ihnen betreuten IT-Systeme zuständig.
Bei größeren Behörden bzw. Unternehmen mit einer Vielzahl verschiedener
IT-Systeme und Teilnetzen muss außerdem sichergestellt sein, dass die Aufgaben zwischen den verschiedenen Administratoren so verteilt sind, dass es zu
keinen Zuständigkeitsproblemen kommt, also weder zu Überschneidungen
noch zu Lücken in der Aufgabenverteilung. Darüber hinaus sollte die
Kommunikation zwischen den verschiedenen Adminstratoren möglichst
reibungslos ablaufen. Hierzu können z. B. regelmäßige AdminstratorenTreffen durchgeführt werden, bei denen typische Problem und Lösungsmöglichkeiten bei der täglichen Arbeit thematisiert werden.
Beim Einsatz von Protokollierung sollte auf die Rollentrennung von Administration und Revision geachtet werden. Hier ist zu überprüfen, inwieweit die
IT-Systeme dies unterstützen.
Um bei Verhinderung eines Administrators die Funktionen weiter aufrechtzuerhalten, ist ein Vertreter zu benennen.
Für die Übernahme von Administrationsaufgaben muss gewährleistet sein,
dass jedem Administrator und ebenso den Vertretern für eine sorgfältige Aufgabenerfüllung auch die hierfür erforderliche Zeit zur Verfügung steht.
Hierbei muss auch berücksichtigt werden, dass Aus- und Fortbildungsmaßnahmen erforderlich sind.
Ergänzende Kontrollfragen:
- Wurden alle Administratoren und Vertreter ausreichend geschult?
- Wurden Zuständigkeiten für die Administration geändert und die notwendigen Schulungsmaßnahmen eingeleitet?

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.27
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.27

Verzicht auf Fernwartung der TK-Anlage

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, TKAnlagen-Verantwortlicher
Verantwortlich für Umsetzung: Der Verzicht auf Fernwartung ist eine wirkungsvolle Maßnahme, um Externe
an Manipulationen an der TK-Anlagenkonfiguration zu hindern. Für Einzelanlagen und kleine Anlagenverbunde mit geringen räumlichen Entfernungen
zwischen den einzelnen Verbundmitgliedern kann dies auch aus ökonomischen Gründen sinnvoll sein.
Vorteil: Im Gegensatz zu allen anderen in Kapitel 8.1 TK-Anlage aufgeführten Maßnahmen kann hierdurch garantiert werden, daß auch bei direktem
Zugriff auf die Leitungen der Telekom keine Zugriffsmöglichkeit auf den
Wartungseingang der Anlage möglich ist. Eine ähnliche Sicherheit wäre sonst
nur unter Zuhilfenahme von Kryptomitteln erreichbar.
Nachteil: Alle Wartungsarbeiten müssen direkt an der Anlage durchgeführt
werden. Ohne zusätzliche Maßnahmen, z. B. Verlagerung des Wartungs-PCs
in den Nachbarraum, hat das Wartungspersonal auch immer Zutritt zur TKAnlage. Oft werden die Remote-Schnittstellen nicht nur für den Zweck der
Fernwartung genutzt. Über dieselben Schnittstellen werden teilweise auch
Fernsignalisierungen geführt, die für den Betrieb eines TK-Netzes notwendig
sind. In solchen Fällen wäre mit dem Verzicht auf Fernwartung auch ein
Verzicht auf ein zentrales Netzmanagement verbunden. Soll eine RemoteSchnittstelle nur für Fernsignalisierungszwecke via Modem benutzt werden,
so sollte dieses Modem so konfiguriert werden, daß keine Rufe entgegengenommen werden.
Ergänzende Kontrollfragen:
- Welche Gründe sprechen für und welche gegen den Verzicht der Fernwartung?
- Wurde die Entscheidung über die Fernwartung herbeigeführt?

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.28
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.28

Bereitstellung externer TK-Beratungskapazität

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, TKAnlagen-Verantwortlicher
Verantwortlich für Umsetzung: Um in schwierigen Fällen schnell auf fachkundige Hilfe zurückgreifen zu
können, sollte schon beim Kauf bzw. der Miete einer TK-Anlage an die
Bereitstellung entsprechender Beratungsdienstleistung gedacht werden.
Wichtig hierbei ist, daß in einer Notfallsituation die Unterstützung schnell
erfolgen kann, da der Ausfall einer TK-Anlage die Handlungsfähigkeit einer
gesamten Institution erheblich beeinträchtigen und ggf. nur für kurze Zeit
toleriert werden kann.
Ergänzende Kontrollfragen:
- Wie lange kann auf die TK-Anlage verzichtet werden?
- In welcher Zeit kann Unterstützung seitens des Herstellers in Anspruch
genommen werden?
- Welche Zeit wird für einen kompletten "Restart" der Anlage auf Basis der
Datensicherungsbestände benötigt?

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.29
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.29

Bedienungsanleitung der TK-Anlage für die
Benutzer

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, TKAnlagen-Verantwortlicher
Verantwortlich für Umsetzung: Administrator
Dem Benutzer der TK-Anlage sind die notwendigen Unterlagen zur Bedienung seiner Endgeräte (z. B. Bedienungsanleitung für das Telefon) zur Verfügung zu stellen. Neben der normalen Bedienung seines Telefons sollte der
Benutzer vor allem in der Lage sein, etwaige Warnanzeigen (LEDs oder
Piktogramme im Display) und -töne zu interpretieren (siehe M 3.12 Information aller Mitarbeiter über mögliche TK-Warnanzeigen, -symbole und töne).
Ergänzende Kontrollfragen:
- Liegen an allen Endgeräten die richtigen Bedienungsanleitungen vor?
- Kann der Benutzer die ihm zur Verfügung stehenden Leistungsmerkmale
richtig anwenden?
- Kennt der Benutzer die Warnanzeigen und -töne?

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.30
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.30

Regelung für die Einrichtung von Benutzern /
Benutzergruppen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Regelungen für die Einrichtung von Benutzern / Benutzergruppen bilden die
Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die
Sicherstellung eines geordneten und überwachbaren Betriebsablaufs.
Es sollte ein Formblatt existieren, um von jedem Benutzer bzw. für jede
Benutzergruppe zunächst die erforderlichen Daten abzufragen:
- Name, Vorname,
- Vorschlag für die Benutzer- bzw. Gruppenkennung, wenn diese nicht
durch Konventionen vorgegeben sind,
- Organisationseinheit,
- Erreichbarkeit (z. B. Telefon, Raum),
- ggf. Projekt,
- ggf. Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit,
- ggf. Restriktionen auf Zeiten, Endgeräte, Plattenvolumen, Zugriffsberechtigungen (für bestimmte Verzeichnisse, Remote-Zugriffe, etc.), eingeschränkte Benutzerumgebung,
- ggf. Zustimmung von Vorgesetzten.
Falls Zugriffsberechtigungen vergeben werden, die über den Standard hinausgehen, sollte dies begründet werden.Dieses kann auch in elektronischer Form
erfolgen durch ein spezielles Login, dessen Name und Paßwort den einzurichtenden Benutzern bekanntgegeben wird. Dort wird ein entsprechendes
Programm durchlaufen, das mit einem Logout endet. Die erfaßten Daten
können zur Vorlage beim Vorgesetzten ausgedruckt werden. Ein Paßwort, das
einem neuen Benutzer für die erstmalige Systemnutzung mitgeteilt wird, muß
danach gewechselt werden. Dies sollte vom System initiiert werden.
Es sollte eine begrenzte Anzahl von Rechteprofilen festgelegt werden. Ein
neuer Benutzer wird dann einem solchen Profil zugeordnet und erhält damit
genau die für seine Tätigkeit erforderlichen Rechte. Dabei sind die systemspezifischen Möglichkeiten bei der Einrichtung von Benutzern und Gruppen
zu beachten. Es ist sinnvoll, Namenskonventionen für die Benutzer- und
Gruppennamen festzulegen (z. B. Benutzer-ID = Kürzel Organisationseinheit
|| lfd. Nummer).
Die Zugriffsberechtigung für Dateien ist auf Benutzer bzw. Gruppen mit
berechtigtem Interesse zu beschränken. Wenn mehrere Personen auf eine
Datei zugreifen müssen, soll für diese eine Gruppe eingerichtet werden. In der
Regel muß jedem Benutzer eine eigene Benutzerkennung zugeordnet sein, es
dürfen nicht mehrere Benutzer unter derselben Kennung arbeiten. Für jeden
Benutzer muß ein eindeutiges Heimatverzeichnis angelegt werden.

_____________________________________________________________________ ..........................................
40

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.30
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Für die Einrichtungsarbeiten im System sollte eine administrative Rolle
geschaffen werden: Die Einrichtung sollte mit Hilfe eines speziellen Logins,
unter dem ein entsprechendes Programm oder Shellskript gestartet wird,
erfolgen. Die zuständigen Administratoren können Benutzer bzw. Benutzergruppen somit nur auf definierte Weise einrichten, und es ist nicht erforderlich, ihnen Rechte für andere Administrationsaufgaben zu geben.
Diese Maßnahme wird ergänzt durch folgende Maßnahmen:
- M 4.13 Sorgfältige Vergabe von IDs
- M 4.19 Restriktive Attributvergabe bei Unix-Systemdateien und
-verzeichnissen
- M 4.20 Restriktive Attributvergabe bei Unix-Benutzerdateien und
-verzeichnissen
Ergänzende Kontrollfragen:
- Gibt es organisatorische Regelungen zur Einrichtung von Benutzern bzw.
Benutzergruppen?
- Gibt es ein Programm zur Einrichtung von Benutzern bzw. Benutzergruppen?

_____________________________________________________________________ ..........................................
41

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.31
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.31

Dokumentation der zugelassenen Benutzer und
Rechteprofile

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Dokumentation dient der Übersicht über die zugelassenen Benutzer,
Benutzergruppen und Rechteprofile und ist Voraussetzung für Kontrollen.
Es soll jede der folgenden drei Dokumentationsmöglichkeiten genutzt werden:
- vorgegebene Administrationsdateien des Systems,
- individuelle Dateien, die vom zuständigen Administrator verwaltet werden,
- in Papierform.
Dokumentiert werden sollen insbesondere
- die zugelassenen Benutzer mit folgenden Angaben: zugeordnetes Rechteprofil (ggf. Abweichungen vom verwendeten Standard-Rechteprofil),
Begründung für die Wahl des Rechteprofils (und ggf. der Abweichungen),
Erreichbarkeit des Benutzers, Zeitpunkt und Grund der Einrichtung,
Befristungen,
- die zugelassenen Gruppen mit den zugehörigen Benutzern, Zeitpunkt und
Grund der Einrichtung, Befristung.
Ergänzende Kontrollfragen:
- Sind Aufzeichnungen über die zugelassenen Benutzer und Gruppen und
deren Rechteprofile vorhanden?
- Sind die Aufzeichnungen aktuell?

_____________________________________________________________________ ..........................................
42

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.32
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.32

Einrichtung einer eingeschränkten
Benutzerumgebung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Falls Benutzer nur bestimmte Aufgaben wahrzunehmen brauchen, ist es oftmals nicht erforderlich, ihnen alle mit einem eigenen Login verbundenen
Rechte (ggf. sogar Systemadministrator-Rechte) zu geben. Beispiele sind
bestimmte Tätigkeiten der routinemäßigen Systemverwaltung (wie Erstellung
von Backups, Einrichten eines neuen Benutzers), die mit einem Programm
menügesteuert durchgeführt werden, oder Tätigkeiten, für die ein Benutzer
nur ein einzelnes Anwendungsprogramm benötigt.
Für diese Benutzer sollte eine eingeschränkte Benutzerumgebung geschaffen
werden. Sie kann z. B. unter Unix durch eine Restricted Shell (rsh) und eine
Beschränkung der Zugriffspfade mit dem Unix-Kommando chroot realisiert
werden. Für einen Benutzer, der nur ein Anwendungsprogramm benötigt,
kann dieses als Login-Shell eingetragen werden, so dass nach dem Einloggen
dieses direkt gestartet und er bei Beendigung des Programms automatisch
ausgeloggt wird.

Restricted Shell
chroot verwenden

und

Der verfügbare Funktionsumfang des IT-Systems kann für einzelne Benutzer
oder Benutzergruppen eingeschränkt werden. Die Nutzung von Editorprogrammen oder Compilern sollte verhindert werden, wenn dies nicht für die
Aufgabenerfüllung des Benutzers erforderlich ist. Dies kann bei Stand-aloneSystemen durch die Entfernung solcher Programme und bei vernetzten
Systemen durch die Rechtevergabe geregelt werden.

Nutzung von Editoren
und Compilern einschränken

Ergänzende Kontrollfragen:
- Welche Benutzerumgebung und welche Startprozedur ist für die jeweiligen
Benutzer eingerichtet worden?

_____________________________________________________________________ ..........................................
43

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.33
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.33

Aufteilung der Administrationstätigkeiten unter
Unix

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In den meisten Unix-Systemen gibt es nur eine Administrationsrolle (den
Super-User namens root mit der Benutzer-ID (UID) 0). Personen mit Zugang
zu dieser Rolle haben die volle Kontrolle über das System. Insbesondere
können sie unabhängig von Zugriffsrechten jede Datei lesen, verändern und
löschen.
Das Super-User-Passwort darf nur den Administratoren bekannt sein. Die
Weitergabe des Passworts ist auf die in Regelungen festgelegte Fälle zu
beschränken und zu dokumentieren. Der Super-User-Login root kann durch
Anwendung des Vier-Augen-Prinzips zusätzlich geschützt werden, z. B. durch
organisatorische Maßnahmen wie ein geteiltes Passwort. Dabei muss das
Passwort eine erhöhte Mindestlänge (12 oder mehr Zeichen) haben. Hierbei
muss darauf geachtet werden, dass das Passwort in voller Mindestlänge vom
System überprüft wird.

Vier-Augen-Prinzip

Bei etlichen Unix-Systemen ist eine Aufgabenteilung durch die Ausnutzung
vorhandener Administratorrollen möglich. Diese Rollen sollen dann durch
verschiedene Personen wahrgenommen werden.

Rollentrennung

Eine Reihe von Administrationstätigkeiten können auch ohne Zugang zum
Login root ausgeführt werden. Wenn es Administratoren mit solchen Spezialaufgaben gibt, sollte davon Gebrauch gemacht werden. Insbesondere wenn in
großen Systemen mehrere Personen mit Administrationsaufgaben betraut
werden müssen, kann das Risiko durch eine entsprechende Aufgabenteilung
vermindert werden. Es gibt dazu zwei Möglichkeiten:
- Schaffung administrativer Logins: Sie haben zwar die UID 0, jedoch wird
beim Login nur ein Programm gestartet, mit dem die administrative
Aufgabe ausgeführt werden kann und das mit einem Logout endet.
Beispiele: Einrichten neuer Benutzer, Mounten eines Laufwerks. Zu UNIX
V.4 können z. B. die administrativen Login-Namen setup, sysadm,
powerdown, checkfsys, mountfsys und umountfsys mit den gleichnamigen
Programmen eingerichtet werden.
- Benutzung von Logins ohne UID 0: Diese Login-Namen (sys, bin, adm,
uucp, nuucp, daemon und lp) sind Eigentümer von Dateien und
Programmen, die für die Funktionalität des Systems entscheidend sind und
die daher besonderem Schutz unterliegen. Sie sind in den meisten UnixSystemen zur Verwaltung der entsprechenden Dienste vorgegeben.
Um festzustellen, welche Logins Administratorrechte haben, sollten
regelmäßig Hilfsprogramme (z. B. USEIT, cops, tiger) eingesetzt werden, die
nach Logins mit der UID 0 in der Passwort-Datei suchen.

Hilfsprogramme einsetzen

Ergänzende Kontrollfragen:
- Welchen Personen ist das Super-User-Passwort bekannt?
- Sind Administrator-Rollen getrennt worden?
- Welche Logins haben die UID 0?
- Gibt es Logins mit UID 0 und Shell-Zugriff?
_____________________________________________________________________ ..........................................
44

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.34
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.34

Dokumentation der Veränderungen an einem
bestehenden System

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um einen reibungslosen Betriebsablauf zu gewährleisten, muss der
Administrator einen Überblick über das System haben bzw. sich verschaffen
können. Dieses muss auch für seinen Vertreter möglich sein, falls der
Administrator unvorhergesehen ausfällt. Der Überblick ist auch Voraussetzung, um Prüfungen des Systems (z. B. auf problematische Einstellungen,
Konsistenz bei Änderungen) durchführen zu können.

Überblick über das
System

Daher sollten die Veränderungen, die Administratoren am System vornehmen,
dokumentiert werden, nach Möglichkeit automatisiert. Dieses gilt
insbesondere für Änderungen an Systemverzeichnissen und -dateien.
Bei Installation neuer Betriebssysteme oder bei Updates sind die vorgenommenen Änderungen besonders sorgfältig zu dokumentieren. Möglicherweise kann durch die Aktivierung neuer oder durch die Änderung bestehender
Systemparameter das Verhalten des IT-Systems (insbesondere auch Sicherheitsfunktionen) maßgeblich verändert werden.

neue Betriebssysteme
oder Updates

Unter Unix müssen ausführbare Dateien, auf die auch andere Benutzer als der
Eigentümer Zugriff haben oder deren Eigentümer root ist, vom Systemadministrator freigegeben und dokumentiert werden (siehe auch M 2.9
Nutzungsverbot nicht freigegebener Software). Insbesondere müssen Listen
mit den freigegebenen Versionen dieser Dateien geführt werden, die außerdem
mindestens das Erstellungsdatum, die Größe jeder Datei und Angaben über
evtl. gesetzte s-Bits enthalten. Sie sind Voraussetzung für den regelmäßigen
Sicherheitscheck und für Überprüfungen nach einem Verlust der Integrität.

Freigabe und Dokumentation ausführbarer
Dateien

Ergänzende Kontrollfragen:
- Werden Logbücher über Systemveränderungen geführt?
- Sind die Aufzeichnungen aktuell und vollständig?
- Kann aufgrund der Aufzeichnungen die Administration weitergeführt
werden?
- Sind die Aufzeichnungen vor unberechtigtem Zugriff geschützt?

_____________________________________________________________________ ..........................................
45

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.35
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.35

Informationsbeschaffung über Sicherheitslücken
des Systems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Gegen bekannt gewordene und durch Veröffentlichungen zugänglich
gemachte Sicherheitslücken müssen die erforderlichen organisatorischen und
administrativen Maßnahmen ergriffen oder zusätzliche Sicherheitshardware
bzw. Sicherheitssoftware eingesetzt werden.
Es ist daher sehr wichtig, sich über neu bekannt gewordene Schwachstellen zu
informieren. Informationsquellen:
- Bundesamt für Sicherheit in der Informationstechnik (BSI), Postfach
20 03 63, 53133 Bonn, Telefon: 0228-9582-444, Fax: -427, E-Mail:
cert@bsi.de, WWW: http://www.bsi.bund.de/bsi-cert
- Hersteller bzw. Vertreiber des Betriebssystems informieren registrierte
Kunden über bekannt gewordene Sicherheitslücken ihrer Systeme und
stellen korrigierte Varianten des Systems oder Patches zur Behebung der
Sicherheitslücken zur Verfügung.
- Computer Emergency Response Teams (CERT) sind Organisationen, die
über bekannt gewordene Betriebssystemfehler und deren Behebungsmöglichkeiten informieren.
Computer Emergency Response Team / Coordination Center (CERT/CC),
Software Engineering Institute, Carnegie Mellon University, Pittsburgh,
PA 15213-3890,
Telefon: +1-412-268-7090 (24-Stunden-Hotline), E-Mail: cert@cert.org,
FTP: ftp://ftp.cert.org, WWW: http://www.cert.org
Die CERT-Mitteilungen werden in Newsgruppen (comp.security.announce
und info.nsfnet.cert) und über Mailinglisten (Aufnahme durch E-Mail an:
cert-advisory-request@cert.org) veröffentlicht.
- CERT in Deutschland:
-

BSI-CERT, Bundesamt für Sicherheit in der Informationstechnik,
Postfach 20 03 63, 53133 Bonn, Telefon: 0228-9582-444, Fax: -427,
E-Mail: cert@bsi.de

-

DFN-CERT, Universität Hamburg, Fachbereich Informatik, VogtKölln-Straße 30, 22527 Hamburg, Telefon: 040-54715-262, Fax:
-241,
E-Mail: dfncert@cert.dfn.de,
FTP: ftp://ftp.cert.dfn.de/pub/security,
WWW: http://www.cert.dfn.de,
gopher: gopher.cert.dfn.de,
Aufnahme in Mailingliste für CERT-Mitteilungen durch E-Mail an:
dfncert-request@cert.dfn.de

_____________________________________________________________________ ..........................................
46

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.35
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Mailinglisten für Diskussionen: win-sec@cert.dfn.de
Mailinglisten für sicherheitsrelevante Informationen: win-secssc@cert.dfn.de
-

Micro-BIT Virus Center/CERT, Universität Karlsruhe, Postfach
6980, 76128 Karlsruhe, Telefon: 0721-376422, Fax: 0721-32550,
E-Mail: cert@rz.uni-karlsruhe.de

- hersteller- und systemspezifische sowie sicherheitsspezifische Newsgruppen oder Mailinglisten, wie z. B. die englisch-sprachige Mailingliste
BUGTRAQ (Aufnahme in die Mailingliste durch E-Mail an:
listserv@securityfocus.com)
- IT-Fachzeitschriften
Ergänzende Kontrollfragen:
- Steht der Administrator in regelmäßigem Kontakt zu den Herstellern der
betreuten Systeme? Sind diese Systeme registriert? Sind Wartungsverträge
abgeschlossen worden?
- Werden alle bekannten Informationsmöglichkeiten genutzt?
- Werden neue Informationsquellen erschlossen?
- Werden bekannt gewordene Sicherheitslücken schnellstmöglich behoben?

_____________________________________________________________________ ..........................................
47

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.36
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.36

Geregelte Übergabe und Rücknahme eines
tragbaren PC

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Bei der Übergabe und Rücknahme eines tragbaren PCs sind folgende Punkte
zu beachten:
Übergabe:
- Die fachliche Notwendigkeit der Benutzung eines tragbaren PCs sollte
vorab geprüft sein.
- Der neue Benutzer wird aufgefordert, direkt bei der Übergabe das alte
Passwort des tragbaren PCs bzw. das Standardpaßwort zu ändern.
- Dem neuen Benutzer wird ein Merkblatt für den sicheren Umgang mit dem
tragbaren PC übergeben (optional).
- Der neue Benutzer wird mit Namen, Organisationseinheit, Telefonnummer,
Einsatzzweck in das Übergabe-/Rücknahmejournal eingetragen.
Rücknahme bzw. Weitergabe:
- Der Benutzer gibt sein zuletzt benutztes Passwort bekannt bzw. stellt ein
Standardpaßwort wie "LAPTOP" ein.
- Die Vollständigkeit des Gerätes, des Zubehörs und der Dokumentation ist
sicherzustellen.
- Der Benutzer muss sicherstellen, dass vor Übergabe des Gerätes sämtliche
Daten, die der Benutzer noch benötigt, auf ihm zugängliche Datenträger
(z. B. seinen PC) übertragen werden. Darüber hinaus hat der Benutzer
dafür Sorge zu tragen, dass sämtliche von ihm erzeugten Dateien und
Daten (nach Möglichkeit physikalisch) gelöscht sind.
- Die empfangende Stelle prüft den tragbaren PC mittels eines aktuellen
Viren-Suchprogramms auf einen Computer-Viren-Befall.
- Die Rückgabe des tragbaren PC und das Untersuchungsergebnis der
Virensuche werden dokumentiert.
- Zurückgegebene Disketten werden neu formatiert. Beim Formatieren von
DOS-Datenträgern ist darauf zu achten, dass der Parameter /U (in DOS 6.2
enthalten) benutzt wird, damit das Formatieren nicht über den Befehl
unformat wieder rückgängig gemacht werden kann.
Ergänzende Kontrollfragen:
- Wird die Weitergabe eines tragbaren PC an Kollegen dokumentiert?
- Werden die dabei zu beachtenden Sicherheitsmaßnahmen eingehalten?

_____________________________________________________________________ ..........................................
48

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.37
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.37

"Der aufgeräumte Arbeitsplatz"

Verantwortlich für Initiierung: Leiter Organisation, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Mitarbeiter
Jeder Mitarbeiter sollte dazu angehalten werden, seinen Arbeitsplatz
"aufgeräumt" zu hinterlassen. Ein IT-Benutzer hat nicht nur dafür Sorge zu
tragen, daß bei Verlassen seines Arbeitsplatzes entsprechende Vorkehrungen
getroffen sind, daß Unbefugte keinen Zugang zu IT-Anwendungen oder
Zugriff auf Daten erhalten. Der IT-Benutzer muß mit der gleichen Sorgfalt
auch seinen Arbeitsplatz überprüfen und sicherstellen, daß durch den Zugriff
Unbefugter auf Datenträger (Diskette, Festplatte) oder Unterlagen
(Ausdrucke) kein Verlust an Verfügbarkeit, Vertraulichkeit oder Integrität
entstehen kann.
Für eine kurze Abwesenheit während der Arbeitszeit ist das Verschließen des
Raumes ausreichend; außerhalb der Arbeitszeit ist der Arbeitsplatz so aufzuräumen, daß keine schutzbedürftigen Datenträger oder Unterlagen unverschlossen am Arbeitsplatz zurückgelassen werden.

_____________________________________________________________________ ..........................................
49

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.38
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.38

Aufteilung der Administrationstätigkeiten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Viele Netzbetriebssysteme bieten die Möglichkeit, die Administratorrolle
aufzuteilen und Administrationstätigkeiten an verschiedene Benutzer zu verteilen.
So können z. B. unter Novell Netware 3.11 die folgenden Administratorrollen
eingerichtet werden: Workgroup Manager, User Account Manager, File
Server Console Operator, Print Server Operator, Print Queue Operator.
Unter Windows NT können durch die gezielte Vergabe von Benutzerrechten
an einzelne Benutzer oder besser an Gruppen definierte Administratorrollen
geschaffen werden. Neben der Gruppe der Administratoren sind hier die
Gruppen Hauptbenutzer (d.h. Administratoren mit eingeschränkten Rechten),
Sicherungs-Operatoren,
Druck-Operatoren,
Server-Operatoren
sowie
Reproduktions-Operatoren zu nennen. Darüber hinaus können weitere Rollen
durch explizite Zuweisung von Benutzerrechten definiert werden (siehe auch
M 4.50 Strukturierte Systemverwaltung unter Windows NT).
Wenn es Administratorrollen für Spezialaufgaben gibt, sollte davon Gebrauch
gemacht werden. Insbesondere wenn in großen Systemen mehrere Personen
mit Administrationsaufgaben betraut werden müssen, kann das Risiko der
übergroßen Machtbefugnis der Administratorrollen durch eine entsprechende
Aufgabenteilung vermindert werden, so daß Administratoren nicht unkontrolliert unautorisierte oder unbeabsichtigte Veränderungen am System vornehmen können.
Trotz des Aufteilens von Administrationstätigkeiten legt das System meist
noch automatisch einen Account für einen Administrator an, der keinen
Beschränkungen unterliegt, den Supervisor. Das Supervisor-Paßwort sollte,
wenn überhaupt, nur einem kleinen Personenkreis bekannt sein. Es darf
keinem der Subadministratoren bekannt sein, damit diese nicht auf diese
Weise ihre Rechte erweitern können. Das Paßwort ist gesichert zu hinterlegen
(siehe M 2.22 Hinterlegen des Paßwortes). Das Supervisor-Login kann durch
Anwendung des Vier-Augen-Prinzips zusätzlich geschützt werden, z. B. durch
organisatorische Maßnahmen wie ein geteiltes Paßwort. Dabei muß das
Paßwort eine erhöhte Mindestlänge (12 oder mehr Zeichen) haben. Hierbei
muß darauf geachtet werden, daß das Paßwort in voller Mindestlänge vom
System überprüft wird.
Ergänzende Kontrollfragen:
- Welchen Personen ist das Supervisor-Paßwort bekannt?
- Sind Administrator-Rollen getrennt worden?

_____________________________________________________________________ ..........................................
50

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.39
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.39

Reaktion auf Verletzungen der Sicherheitspolitik

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Es ist festzulegen, welche Reaktion auf Verletzungen der Sicherheitspolitik
erfolgen soll, um eine klare und sofortige Reaktion gewährleisten zu können.
Untersuchungen sollten durchgeführt werden, um festzustellen, wie und wo
die Verletzung entstanden ist. Anschließend müssen die angemessenen
schadensbehebenden oder -mindernden Maßnahmen durchgeführt werden.
Soweit erforderlich, müssen zusätzliche schadensvorbeugende Maßnahmen
ergriffen werden. Die durchzuführenden Aktionen hängen sowohl von der Art
der Verletzung als auch vom Verursacher ab.
Es muß geregelt sein, wer für Kontakte mit anderen Organisationen verantwortlich ist, um Informationen über bekannte Sicherheitslücken einzuholen
(siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems)
oder um Informationen über aufgetretene Sicherheitslücken weiterzugeben. Es
muß dafür Sorge getragen werden, daß evtl. mitbetroffene Stellen schnellstens
informiert werden.
Ergänzende Kontrollfragen:
- Ist die Vorgehensweise bei Verdacht auf Verletzung der Sicherheitspolitik
klar definiert?

_____________________________________________________________________ ..........................................
51

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.40
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.40

Rechtzeitige Beteiligung des Personal- /
Betriebsrates

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Maßnahmen, die geeignet sind eine Verhaltens- oder Leistungsüberwachung
eines Mitarbeiters zu ermöglichen- z. B. Protokollierung -, bedürfen der Mitbestimmung der Personalvertretung. Grundlage dessen sind die Betriebsverfassungs- und Personalvertretungsgesetze von Bund und Ländern. Die
rechtzeitige und umfassende Information des Betriebs- oder Personalrates
kann Zeitverzögerung bei der Umsetzung von Maßnahmen im Bereich des ITGrundschutzes verhindern.

_____________________________________________________________________ ..........................................
52

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.41
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.41

Verpflichtung der Mitarbeiter zur Datensicherung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Da die Datensicherung eine wichtige IT-Sicherheitsmaßnahmen ist, sollten die
betroffenen Mitarbeiter auf die Einhaltung des Datensicherungskonzeptes
bzw. des Minimaldatensicherungskonzeptes verpflichtet werden. Eine regelmäßige Erinnerung und Motivation zur Datensicherung sollte erfolgen.
Ergänzende Kontrollfragen:
- Wird die Verpflichtung zur Datensicherung schriftlich dokumentiert?
- Wird die Durchführung von Kontrollen auf Einhaltung der Datensicherungsverpflichtung vorgenommen?

_____________________________________________________________________ ..........................................
53

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.42
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.42

Festlegung der möglichen Kommunikationspartner

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Datenschutzbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Sollen Informationen an einen Kommunikationspartner übertragen werden, so
muß sichergestellt werden, daß der Empfänger die notwendigen Berechtigungen zum Weiterverarbeiten dieser Informationen besitzt. Werden Informationen zwischen mehreren kommunizierenden Stellen ausgetauscht, so soll für
alle Beteiligten ersichtlich sein, wer diese Informationen ebenfalls erhalten hat
bzw. erhalten wird. Um die oben genannten Kriterien zu erfüllen, bedarf es
einer Festlegung, welche Kommunikationspartner welche Informationen
erhalten dürfen.
Im Sinne des BDSG, Anlage zu § 9 Satz 1 (Übermittlungskontrolle) sollte
eine Übersicht erstellt werden, welche Empfänger berechtigt sind, Informationen, insbesondere personenbezogene Daten, per Datenträgeraustausch
erhalten können.
Ergänzende Kontrollfragen:
- Existiert eine Festlegung für etwaige Kommunikationsbeziehungen?
- Werden die genannten Übersichten regelmäßig aktualisiert?

_____________________________________________________________________ ..........................................
54

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.43
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.43

Ausreichende Kennzeichnung der Datenträger
beim Versand

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Neben den in Maßnahme M 2.3 Datenträgerverwaltung dargestellten
Umsetzungshinweisen ist bei einer ausreichenden Kennzeichnung von auszutauschenden Datenträgern darauf zu achten, daß Absender und (alle) Empfänger unmittelbar zu identifizieren sind. Die Kennzeichnung muß den Inhalt des
Datenträgers eindeutig für den Empfänger erkennbar machen. Es ist jedoch
bei schützenswerten Informationen wichtig, daß diese Kennzeichnung für
Unbefugte nicht interpretierbar ist.
Darüber hinaus sollten die Datenträger mit den für das Auslesen notwendigen
Parametern gekennzeichnet werden. So sind bei der Übermittlung von
Magnetbändern unter anderem das Label, die Geschwindigkeit (z. B. 800 bpi),
die Satzlänge, Blocklänge und Satzformat (z. B. 132 Byte, 13200 Byte, Fixed)
auf einem Etikett zu vermerken.
Datum des Versandes, eventuelle Versionsnummern oder Ordnungsmerkmale
können gegebenenfalls nützlich sein.
Ergänzende Kontrollfragen:
- Ist geregelt, wie auszutauschende Datenträger gekennzeichnet werden
müssen?
- Wird stichprobenartig die Einhaltung der Kennzeichnungsvorgaben
geprüft?

_____________________________________________________________________ ..........................................
55

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.44
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.44

Sichere Verpackung der Datenträger

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Poststelle
Neben den in Maßnahme M 2.3 Datenträgerverwaltung dargestellten Umsetzungshinweisen sollte die Verpackung dergestalt sein, daß Manipulationen am
Datenträger durch Veränderungen an der Verpackung erkennbar sind.
Mögliche Maßnahmen sind die Verwendung von
- Umschlägen mit Siegel,
- verplombten Behältnissen oder
- Umschlägen, die mit Klebefilm überklebt und anschließend mit nicht-wasserlöslicher Tinte mehrmals unregelmäßig überzeichnet werden.
Verfügt der Datenträger über einen Schreibschutz (Schieber bei Disketten,
Schreibring bei Bändern) so sollte dieser genutzt werden. Sollen Manipulationen an den Informationen auf dem Datenträger selbst erkannt werden, sind
Verschlüsselungs- oder Checksummenverfahren einzusetzen (siehe M 4.34
Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen).
Ergänzende Kontrollfragen:
- Sind für den sicheren Transport verschiedener Datenträger entsprechende
Transportbehältnisse vorgesehen und vorrätig?
- Ermöglichen die Transportbehältnisse dem Empfänger die Kontrolle, daß
keine Manipulationen am Inhalt stattgefunden haben?

_____________________________________________________________________ ..........................................
56

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.45
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.45

Regelung des Datenträgeraustausches

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Poststelle
Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger
ausgetauscht werden, so sind zum ordnungsgemäßen Austausch folgende
Punkte zu beachten:
- Die Adressierung muß eindeutig erfolgen, um eine fehlerhafte Zustellung
zu vermeiden. So sollte neben dem Namen des Empfängers auch Organisationseinheit und die genaue Bezeichnung der Behörde/des Unternehmens
angegeben sein. Entsprechendes gilt für die Adresse des Absenders.
- Dem Datenträger sollte (optional) ein Datenträgerbegleitzettel beigelegt
werden, der folgende Informationen umfaßt:
-

Absender,

-

Empfänger,

-

Art des Datenträgers,

-

Seriennummer (soweit vorhanden),

-

Identifikationsmerkmal für den Inhalt des Datenträgers,

-

Datum des Versandes, ggf. Datum bis wann der Datenträger
spätestens den Empfänger erreicht haben muß,

-

Hinweis, daß Datenträger auf Viren überprüft sind,

-

Parameter, die zum Lesen der Informationen benötigt werden, z. B.
Bandgeschwindigkeit.

Jedoch sollte nicht vermerkt werden,
-

welches Paßwort für die eventuell geschützten Informationen vergeben wurde,

-

welche Schlüssel ggf. für eine Verschlüsselung der Informationen
verwendet wurde,

-

welchen Inhalt der Datenträger hat.

- Der Versand des Datenträgers kann (optional) dokumentiert werden. Für
jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten,
wer wann welche Informationen erhalten hat. Je nach Schutzbedarf
beziehungsweise Wichtigkeit der übermittelten Informationen ist der
Empfang zu quittieren ein Quittungsvermerk und dem erwähnten Protokoll
beizufügen.
- Es sind jeweils Verantwortliche für den Versand und für den Empfang zu
benennen.
- Die Versandart ist festzulegen.

_____________________________________________________________________ ..........................................
57

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.45
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Sind Regelungen bekanntgegeben worden, wie ein Datenträgeraustausch
stattzufinden hat?
- Sind die für den Datenträgeraustausch Verantwortlichen hinsichtlich möglicher Gefährdungen ausreichend sensibilisiert?

_____________________________________________________________________ ..........................................
58

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.46
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.46

Geeignetes Schlüsselmanagement

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement,
verantwortlicher

IT-Verfahrens-

Die Verwendung kryptographischer Sicherheitsmechanismen (z. B. Verschlüsselung, digitale Signatur) setzt die vertrauliche, integere und authentische Erzeugung, Verteilung und Installation von geeigneten Schlüsseln voraus. Schlüssel, die Unbefugten zur Kenntnis gelangt sind, bei der Verteilung
verfälscht worden sind oder gar aus unkontrollierter Quelle stammen (dies gilt
auch für die Schlüsselvereinbarung zwischen Kommunikationspartnern),
können den kryptographischen Sicherheitsmechanismus genauso kompromittieren wie qualitativ schlechte Schlüssel, die auf ungeeignete Weise
erzeugt worden sind. Qualitativ gute Schlüssel werden in der Regel unter
Verwendung geeigneter Schlüsselgeneratoren erzeugt (s. u.). Für das Schlüsselmanagement sind folgende Punkte zu beachten:
Schlüsselerzeugung
Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Kryptographische Schlüssel können zum
einen direkt am Einsatzort (und dann meistens durch den Benutzer initiiert)
oder zum anderen zentral erzeugt werden. Bei der Erzeugung vor Ort müssen
meistens Abstriche an die Sicherheit der Umgebung gemacht werden, bei
einer zentralen Schlüsselgenerierung muß sichergestellt sein, daß sie ihre
Besitzer authentisch und kompromittierungsfrei erreichen.
Geeignete Schlüsselgeneratoren müssen kontrollierte, statistisch gleichverteilte Zufallsfolgen unter Ausnutzung des gesamten möglichen Schlüsselraums
produzieren. Dazu erzeugt z. B. eine Rauschquelle zufällige Bitfolgen, die mit
Hilfe einer Logik nachbereitet werden. Anschließend wird unter Verwendung
verschiedener Testverfahren die Güte der so gewonnenen Schlüssel überprüft.
Einige Kryptomodule, insbesondere solche, die keinen integrierten Zufallszahlengenerator besitzen, greifen auf Benutzereingaben zur Schlüsselerzeugung zurück. Beispielsweise werden hier Paßwörter abgefragt, aus denen dann
ein Schlüssel abgeleitet wird, oder der Benutzer wird gebeten, beliebigen Text
einzutippen, um zufällige Startwerte für die Schlüsselgenerierung zu erhalten.
Solche Paßwörter sollten dabei gut gewählt sein und möglichst lang sein.
Wenn möglichst "zufällige" Benutzereingaben angefordert werden, sollten
diese auch zufällig, also schlecht vorhersagbar, sein.
Schlüsseltrennung
Kryptographische Schlüssel sollten möglichst nur für einen Einsatzzweck
dienen. Insbesondere sollten für die Verschlüsselung immer andere Schlüssel
als für die Signaturbildung benutzt werden. Dies ist sinnvoll,
- damit bei der Offenlegung eines Schlüssels nicht alle Verfahren betroffen
sind,
- da es manchmal erforderlich sein kann, Verschlüsselungsschlüssel weiterzugeben (Vertretungsfall),

_____________________________________________________________________ ..........................................
59

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.46
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- da es unterschiedliche Zyklen für den Schlüsselwechsel geben kann.
Schlüsselverteilung / Schlüsselaustausch
Kryptographische Kommunikationsbeziehungen können nur dann funktionieren, wenn die Kommunikationspartner über aufeinander abgestimmte kryptographische Schlüssel verfügen. Dazu müssen alle Kommunikationspartner mit
den dazu erforderlichen Schlüsseln versorgt werden. Zur Schlüsselverteilung
und zum Schlüsselaustausch können unterschiedliche Verfahren verwendet
werden. Die Unterschiede ergeben sich aus der Anwendung verschiedener
kryptographischer Verfahren und Mechanismen bzw. aus ihrer Kombination
(siehe M 2.164 Auswahl kryptographischer Verfahren). Unter Schlüsselverteilung wird hier die initiale Versorgung der Kommunikationspartner mit
Grundschlüsseln verstanden. Die Schlüssel werden dazu von einer meist zentralen Schlüsselerzeugungsstelle (z. B. einem Trust Center) an die einzelnen
Kommunikationspartner übermittelt.
Die Verteilung der Schlüssel sollte auf geeigneten Datenträgern (z. B. Chipkarten) oder über Kommunikationsverbindungen (z. B. LAN, WAN) vertraulich (z. B. mit KEK - Key Encryption Key - verschlüsselt), integer (z. B.
MAC-gesichert) und authentisch (z. B. digital signiert gemäß Signatur-Gesetz)
erfolgen. Die unbefugte Kenntnisnahme bzw. Verfälschung der Schlüssel muß
verhindert oder wenigstens erkannt werden können.
Mit Schlüsselaustausch wird die Schlüsseleinigungsprozedur zwischen zwei
Kommunikationspartnern auf einen Sitzungsschlüssel (Session Key) bezeichnet. Der Session Key ist ein Schlüssel, der nur eine begrenzte Zeit, etwa für
die Dauer einer Kommunikationsverbindung, verwendet wird. Diese Zeit muß
festgelegt werden, da Sitzungen sehr lange dauern können. Die Festlegung
erfolgt z. B. durch einen relativen Zeitablauf oder durch einen Paketzähler.
Für jede neue Verbindung wird ein neuer Session Key zwischen den
Kommunikationspartnern ausgehandelt.
Moderne Systeme bedienen sich heute asymmetrischer kryptographischer
Verfahren zur Schlüsselverteilung und zum Schlüsselaustausch. Zum Nachweis der Authentizität der öffentlichen Schlüssel kann eine vertrauenswürdige
Zertifizierungsstelle eingerichtet werden. Die Kommunikationsteilnehmer
müssen sich gegenüber der Zertifizierungsstelle ausweisen und dort ihren
öffentlichen Schlüssel mittels einer digitalen Signatur der Zertifizierungsstelle
beglaubigen lassen. Das so erzeugte digitale Zertifikat sollte mindestens den
öffentlichen Schlüssel und ein Identifikationsmerkmal des Kommunikationsteilnehmers, die Gültigkeitsdauer des Zertifikats und die digitale
Signatur der Zertifizierungsstelle enthalten. Mit Kenntnis des öffentlichen
Signaturschlüssels der Zertifizierungsstelle ist jeder Kommunikationsteilnehmer in der Lage, die Authentizität des öffentlichen Schlüssels des
Kommunikationspartners zu verifizieren.
Schlüsselinstallation und -speicherung
Im Zuge der Schlüsselinstallation ist die authentische Herkunft sowie die
Integrität der Schlüsseldaten zu überprüfen. Generell sollten Schlüssel nie in
klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert
werden. Bei Software-Verschlüsselungsprodukten muß berücksichtigt werden,
daß
Schlüssel
zumindest
zeitweise
während
des
Ver-

_____________________________________________________________________ ..........................................
60

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.46
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

/Entschlüsselungsprozesses in Klarform im PC-System vorliegen müssen.
Bieten die IT-Systeme, auf denen das kryptographische Produkt eingesetzt ist,
keinen ausreichenden Zugriffsschutz für die Schlüssel, sollten diese nicht auf
diesem IT-System gespeichert werden. Es bietet sich dann eine bedarfsorientierte manuelle Eingabe an. Eine andere Möglichkeit wäre die Auslagerung
der Schlüssel auf einen externen Datenträger, der dann aber sicher verwahrt
werden muß, wie unter Schlüsselarchivierung beschrieben. Aus Sicherheitsaspekten ist deshalb der Einsatz von Hardware-Verschlüsselungskomponenten
vorzuziehen, bei denen die Schlüssel vom Datenträger (z. B. Chipkarte)
verschlüsselt auf direktem Weg in die Verschlüsselungskomponente geladen
werden und diese nie in Klarform verlassen.
Auf jeden Fall muß sichergestellt werden, daß bei der Installation des Verschlüsselungsverfahrens voreingestellte Schlüssel geändert werden.
Schlüsselarchivierung
Für Archivierungszwecke sollte das kryptographische Schlüsselmaterial auch
außerhalb des Kryptomoduls in überschlüsselter Form speicherbar und gegebenenfalls wieder einlesbar sein. Dazu können mehrere Schlüssel zu einem
Satz zusammengefaßt werden, der dann ebenfalls mit Hilfe eines KEK (KeyEncryption-Key: Überschlüsselungsschlüssel) kryptiert wird. Der KEK muß
entsprechend sicher (z. B. auf Chipkarte im Safe) aufgehoben werden. Splittet
man den KEK in zwei Teilschlüssel, so läßt sich das ”Vier-Augen-Prinzip”
umsetzen: zwei verschiedene Personen haben Zugriff auf je einen Datenträger
(z. B. Chipkarte, Diskette), auf der sich nur jeweils einer der beiden Teilschlüssel befindet. Um den KEK zu generieren, müssen sich beide Datenträger
gleichzeitig oder nacheinander in der Leseeinheit des Kryptomoduls befinden.
Zugriffs- und Vertreterregelung
In der Sicherheitspolitik sollten Fragen bzgl. der Zugriffs- und Vertretungsrechte geregelt sein. Entsprechende Mechanismen müssen vom Schlüsselmanagement und von den einzusetzenden Kryptomodulen/-geräten unterstützt
werden (z. B. Schlüsselhinterlegung für den Fall, daß ein Mitarbeiter das
Unternehmen verläßt oder wegen Krankheit längere Zeit ausfällt, vgl.
Schlüsselarchivierung).
Schlüsselwechsel
Im Kryptokonzept muß basierend auf der Sicherheitspolitik festgelegt werden,
wann und wie oft Schlüssel gewechselt werden müssen. Je größer die Menge
verschlüsselter Daten ist, die einem Angreifer für eine Analyse zur Verfügung
steht, um so größer ist bei manchen Verfahren die Chance, daß das
Analyseverfahren erfolgreich ist. Ein regelmäßiger Schlüsselwechsel minimiert die Angriffsmöglichkeiten auf verschlüsselte Daten. Die Wechselfrequenz ist von verschiedenen Faktoren abhängig. Dabei spielt die Art des
verschlüsselten Mediums (z. B. Langzeitdatenträger, Datenübertragungsmedium) ebenso eine Rolle wie der kryptographische Algorithmus, die
Detektion von Angriffen (z. B. Diebstahl oder Verlust eines Schlüssels) und
die Schutzwürdigkeit der Daten. Weitere Faktoren bei der Festlegung der
Wechselfrequenz sind die Häufigkeit des Schlüsseleinsatzes, das relevante
Bedrohungspotential und die Sicherheit der lokalen Aufbewahrung der
Schlüssel.

_____________________________________________________________________ ..........................................
61

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.46
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Je nach verwendetem Verfahren sind für jede einzelne Kommunikationsverbindung neue Schlüssel auszuhandeln, also Sitzungsschlüssel (Session
Keys) zu verwenden. Dies sollte natürlich für die Benutzer unbemerkt durch
die Verfahren gesteuert werden. Schlüsselwechsel bedeutet hierbei den Austausch der Masterkeys, die die Grundlage bilden, auf der die Sitzungsschlüssel
gebildet werden, und sollte natürlich auch regelmäßig durchgeführt werden.
Besteht der Verdacht, daß ein verwendeter Schlüssel bloßgestellt wurde, so ist
dieser Schlüssel nicht mehr zu verwenden und alle Beteiligten sind zu informieren. Bereits mit diesem Schlüssel verschlüsselte Informationen sind zu
entschlüsseln und mit einem anderen Schlüssel zu verschlüsseln.
Schlüsselvernichtung
Nicht mehr benötigte Schlüssel (z. B. Schlüssel, deren Gültigkeitsdauer abgelaufen sind) sind auf sichere Art zu löschen bzw. zu vernichten (z. B. durch
mehrfaches Löschen/Überschreiben und/oder mechanische Zerstörung des
Datenträgers). Auf Produkte mit unkontrollierbarer Schlüsselablage sollte
generell verzichtet werden.
Ergänzende Kontrollfragen:
- Ist ein Verantwortlicher für das Schlüsselmanagement benannt?
- Werden die zu schützenden Daten getrennt von den bei der Verschlüsselung verwendeten Schlüsseln übertragen?
- Werden die zu verwendenden Schlüssel hinreichend häufig gewechselt?
- Kann eine lokale sichere Aufbewahrung der Schlüssel sichergestellt
werden?

_____________________________________________________________________ ..........................................
62

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.47
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.47

Ernennung eines Fax-Verantwortlichen

Verantwortlich für Initiierung: Leiter Innerer Dienst, Vorgesetzte
Verantwortlich für Umsetzung: Innerer Dienst
Für jedes Fax-Gerät ist ein Verantwortlicher zu benennen, der folgende Aufgaben übernehmen muß:
- Verteilung der eingehenden Fax-Sendungen an die Empfänger,
- Koordination der Versorgung des Fax-Gerätes mit notwendigen Verbrauchsgütern,
- geeignete Entsorgung von Fax-Verbrauchsgütern,
- Löschen von Restinformationen im Fax-Gerät vor Wartungs- und Reparaturarbeiten,
- Beaufsichtigung von Wartungs- und Reparaturarbeiten (vgl. M 2.4 Regelungen für Wartungs- und Reparaturarbeiten),
- gelegentliche Kontrolle programmierter Zieladressen und Protokolle,
insbesondere nach Wartungs- und Reparaturarbeiten,
- Ansprechpartner bei Problemen bei der Fax-Nutzung.
Ergänzende Kontrollfragen:
- Ist der Fax-Verantwortliche in seine Aufgaben eingewiesen worden?
- Wird die Zuverlässigkeit des Fax-Verantwortlichen gelegentlich geprüft?

_____________________________________________________________________ ..........................................
63

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.48
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.48

Festlegung berechtigter Fax-Bediener

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Innerer Dienst
Die Berechtigung zur Bedienung des Fax-Gerätes ist auf einen ausgewählten
Kreis zuverlässiger Mitarbeiter zu beschränken. Diese Mitarbeiter sind in die
korrekte Handhabung des Gerätes einzuweisen und mit den erforderlichen ITSicherheitsmaßnahmen vertraut zu machen. Jeder berechtigte Benutzer sollte
darüber unterrichtet werden, wer das Gerät bedienen darf und wer der FaxVerantwortliche ist. Darüber hinaus sollte am Fax-Gerät eine verständliche
Bedienungsanleitung ausliegen.
Durch die Einschränkung des Fax-Bedienerkreises auf die für den operativen
Einsatz notwendige Mindestzahl wird erreicht, daß die Anzahl der Personen,
die eingehende Fax-Sendungen mitlesen können, begrenzt ist.
Ergänzende Kontrollfragen:
- Ist die Anzahl der Fax-Benutzer so gewählt, daß der betriebliche Einsatz
nicht eingeschränkt ist?
- Wissen alle Benutzer, wer zur Bedienung des Fax-Gerätes sonst noch
berechtigt ist?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
64

M 2.49
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.49

Beschaffung geeigneter Fax-Geräte

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Beschaffungsstelle
Bei Neuanschaffungen von Fax-Geräten sollte darauf geachtet werden, daß
übliche Standardsicherheitsfunktionen implementiert sind wie:
- Austausch einer Teilnehmerkennung,
- Sendebericht,
- Journalführung.
Unter Beachtung des Preis-/Leistungsverhältnisses sind darüber hinaus folgende zusätzliche Sicherheitsfunktionen zu begrüßen:
- paßwortgeschützter Zugang,
- paßwortgeschützter Pufferspeicher,
- Einrichten einer geschlossenen Benutzergruppe,
- Ausschließen bestimmter Fax-Anschlüsse von Versendung oder Empfang.
Ergänzende Kontrollfragen:
- Werden bei der Neubeschaffung von Fax-Geräten Sicherheitsfunktionen
als Auswahlkriterien berücksichtigt?
- Wird bei der Beschaffung von Fax-Geräten mit zusätzlichen Sicherheitsfunktionen die Angemessenheit und Wirtschaftlichkeit am Schutzbedarf
ausgerichtet?

_____________________________________________________________________ ..........................................
65

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.50
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.50

Geeignete Entsorgung von Fax-Verbrauchsgütern und -Ersatzteilen

Verantwortlich für Initiierung: Leiter Innerer Dienst, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fax-Verantwortlicher
Alle Fax-Verbrauchsgüter, aus denen Informationen über Faxtexte gewonnen
werden könnten, wie z. B. Zwischenträgerfolien oder fehlerhafte Ausdrucke,
sollten vor der Entsorgung vernichtet oder durch eine zuverlässige Fachfirma
entsorgt werden.
Das gleiche gilt beim Austausch informationstragender Ersatzteile, wie z. B.
photo-elektrische Trommeln.
Wartungsfirmen, die Faxgeräte periodisch warten oder reparieren, sind auf
eine entsprechende Handhabung zu verpflichten und ggf. zu kontrollieren.
Ergänzende Kontrollfragen:
- Auf welche Weise wird nicht mehr benötigtes Fax-Verbrauchsmaterial
entsorgt?
- Sind die Fax-Verantwortlichen auf die Schutzbedürftigkeit des zu entsorgenden Materials und die bestehenden Entsorgungsmöglichkeiten
hingewiesen worden?

_____________________________________________________________________ ..........................................
66

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.51
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.51

Fertigung von Kopien eingehender Fax-Sendungen

Verantwortlich für Initiierung: Fax-Verantwortlicher
Verantwortlich für Umsetzung: IT-Benutzer
Ein Fax auf Thermopapier kann nach einiger Zeit stark verblassen oder
schwarz werden. Daher sollten von Faxen auf Thermopapier, deren Informationsgehalt länger benötigt wird, Kopien auf Normalpapier erstellt werden.
Ergänzende Kontrollfragen:
- Gibt es Fax-Geräte im Unternehmen/ der Behörde, die mit Thermopapier
arbeiten?
- Werden wichtige eingehende Fax-Sendungen kopiert?

_____________________________________________________________________ ..........................................
67

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.52
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.52

Versorgung und Kontrolle der Fax-Verbrauchsgüter

Verantwortlich für Initiierung: IT-Sicherheitsmanagement,
Dienst

Leiter

Innerer

Verantwortlich für Umsetzung: Fax-Verantwortlicher
Die Benutzer sollten angewiesen werden, den Fax-Verantwortlichen zu
benachrichtigen, wenn Verbrauchsmaterial (z. B. Papier, Toner) nachgefüllt
werden muß. Der Fax-Verantwortliche selbst sollte eine solche Prüfung
regelmäßig (mindestens einmal pro Monat, bei besonderem Bedarf öfter) vornehmen. Die Versorgung mit Fax-Verbrauchsgütern ist vom Fax-Verantwortlichen ausreichend sicherzustellen.
Ergänzende Kontrollfragen:
- Ist die Zuständigkeit für den Nachschub an Versorgungsgütern geregelt?
- Fehlt häufig Verbrauchsmaterial?

_____________________________________________________________________ ..........................................
68

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.53
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.53

Abschalten des Fax-Gerätes außerhalb der
Bürozeiten

Verantwortlich für Initiierung: IT-Sicherheitsmanagement,
auftragter

Brandschutzbe-

Verantwortlich für Umsetzung: Fax-Verantwortlicher
Um die Brandgefahr, die von Fax-Geräten immer ausgehen kann, zu reduzieren, sollten Geräte, die außerhalb der Arbeitszeit nicht benötigt werden
(Abteilungs-Fax-Gerät, persönliches Gerät) zum Dienstschluß abgeschaltet
werden. Damit kann auch erreicht werden, daß eingehende Fax-Sendungen
nicht unkontrolliert längere Zeit im Fax-Gerät verbleiben. Realisierbar ist die
Abschaltung auf einfache Weise durch Zeitschaltuhren, die die Stromversorgung des Gerätes auf die üblichen Bürozeiten einschränken.
Für später eingehende Sendungen kann ein anderer (möglichst ständig kontrollierter) Fax-Anschluß benannt werden oder bei modernen TK-Anlagen
eine Anrufumleitung eingerichtet werden.
Gleichzeitig kann mit dem Abschalten des Fax-Gerätes die Überlastung des
Gerätes aufgrund eines technischen Versagens oder aufgrund beabsichtigter
Massenfaxsendungen außerhalb der Bürozeit verhindert werden.
Das Abschalten sollte unterbleiben, wenn für die Verfügbarkeit des Gerätes
besondere Anforderungen bestehen, die bei den Ausweichlösungen nicht
umgesetzt werden können.
Ergänzende Kontrollfragen:
- Welche Fax-Geräte müssen auch außerhalb der Bürozeiten aktiv sein?
- Werden die anderen Geräte ausgeschaltet?
- Besteht die Möglichkeit einer Anrufweiterleitung?

_____________________________________________________________________ ..........................................
69

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.54
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.54

Beschaffung geeigneter Anrufbeantworter

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Haustechnik, Beschaffungsstelle
Diese Maßnahme ist bei der Neubeschaffung von Anrufbeantwortern zu
beachten. Sollten vorhandene Geräte den Sicherheitsansprüchen nicht
genügen, ist eine Neuanschaffung oder die Abschaltung dieser Geräte in
Erwägung zu ziehen.
Bei der Beschaffung von Anrufbeantwortern sollten unter Beachtung der
Wirtschaftlichkeit einige Kriterien beachtet werden, um Gefährdungen möglichst auszuschließen:
- Zur Sicherstellung einwandfreier fernmeldetechnischer Funktionen müssen
die Geräte eine BZT-Zulassung (Postzulassung) besitzen.
- Bei ganz oder teilweise digital speichernden Geräten empfiehlt es sich,
solche auszuwählen, die eine Notstromversorgung durch Batterien oder
vom Benutzer wechselbare Akkumulatoren bieten. Bei fest eingebauten
Akkumulatoren wird bei einem Austausch der Einsatz eines Servicetechnikers notwendig, was zu einem längeren Ausfall des Anrufbeantworters
führen kann.
- Aufgrund unterschiedlicher Güte der Nachrichtenaufzeichnung (z. B. bei
analoger oder digitaler Aufzeichnung) sollte vor der Beschaffung die
Aufzeichnungsqualität getestet werden.
- Ganz oder teilweise digital speichernde Anrufbeantworter sollten mit einer
Anzeige der Batteriekapazität sowie einem deutlichem Warnzeichen (evtl.
auch akustisch) ausgestattet sein, um verminderte Batterieleistung rechtzeitig anzeigen zu können.
- Bei Anrufbeantwortern, die eine einzige Kassette sowohl für Aufzeichnungen als auch für den Ansagetext verwenden, entstehen durch Bandspulvorgänge Wartezeiten. Es sollte abgewogen werden, ob diese Wartezeiten in Kauf genommen werden können.
- Die Bedienungsfreundlichkeit des Anrufbeantworters sollte beachtet
werden. Ergonomische und übersichtliche Tastenanordnung, Funktionstasten ohne Doppelbelegungen und für jedermann verständliche Bedienungsanleitungen sind vorteilhaft.
- Die Fernabfrage sollte nach Möglichkeit mechanisch oder elektronisch
deaktivierbar, der Sicherungscode zumindest drei- bis vierstellig und frei
programmierbar sein. Eine zusätzliche Sperrschaltung, die den Anrufbeantworter nach drei vergeblichen Versuchen die Verbindung unterbrechen
läßt, bietet einen erhöhten Schutz. Hieraus ergeben sich zumindest ein
höherer Zeitaufwand und höhere Telefonkosten für den potentiellen
Angreifer. Besser noch sind Geräte, bei denen die Fernabfragefunktionen
nach drei vergeblichen Versuchen vollkommen gesperrt werden und nur
noch am Gerät selbst wieder aktivierbar sind. Auch Sperrzeiten, die nach
jedem Fehlversuch verlängert werden, sind sinnvoll.

_____________________________________________________________________ ..........................................
70

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.54
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Sind obige Hinweise der Beschaffungsstelle bekannt?

_____________________________________________________________________ ..........................................
71

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.55
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.55

Einsatz eines Sicherungscodes

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Verfügt der Anrufbeantworter über Fernabfragemöglichkeiten und einen
Sicherungscode, so ist anzustreben, daß die Fernabfrage nur mittels eines
individuell gewählten, geheimzuhaltenden Sicherungscodes aktiviert werden
kann. Insbesondere ist ein evtl. werkseitig eingestellter Code zu ändern. Der
Sicherungscode ist wie ein Paßwort zu hinterlegen (vgl. hierzu M 2.22 Hinterlegen des Paßwortes) und auch regelmäßig zu ändern.
Bei der Bedienung des Anrufbeantworters mittels Fernabfragegerät sollte
darauf geachtet werden, daß sich kein Fremder in der Nähe aufhält, der die
Eingabe der Codes beobachten oder erlauschen könnte.
Ergänzende Kontrollfragen:
- Wurden die Benutzer über den korrekten Umgang mit der Fernabfrage
unterrichtet?

_____________________________________________________________________ ..........................................
72

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.56
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.56

Vermeidung schutzbedürftiger Informationen
auf dem Anrufbeantworter

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Da sich zur Zeit Anrufbeantworter nicht vollständig gegen Mißbrauch
absichern lassen, sollte die Aufzeichnung schutzbedürftiger Informationen
vermieden werden oder sogar in Bereichen, in denen typischerweise schutzbedürftige Informationen ausgetauscht werden, der Einsatz von Anrufbeantwortern überdacht werden. Im Ansagetext sollte daher darauf hingewiesen
werden, daß keine schutzbedürftigen Informationen auf dem Anrufbeantworter hinterlassen werden sollten.
Ergänzende Kontrollfragen:
- Werden Personen, die schutzbedürftigen Informationen aufsprechen, über
die damit verbundenen Risiken aufgeklärt?
- Sind Anrufbeantworter in Bereichen installiert, in denen häufig schutzbedürftige Informationen anfallen?

_____________________________________________________________________ ..........................................
73

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.57
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.57

Regelmäßiges Abhören und Löschen aufgezeichneter Gespräche

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Die im Anrufbeantworter gespeicherten Gespräche sollten regelmäßig
abgehört und gelöscht werden. Ist das Löschen bei analog aufzeichnenden
Geräten nicht möglich, sollte das Magnetband an den Anfang zurückgespult
werden, damit die Aufzeichnung neuer Gespräche gespeicherte alte
Nachrichten überschreibt.

_____________________________________________________________________ ..........................................
74

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.58
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.58

Begrenzung der Sprechdauer

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Zur Verhinderung von vorzeitiger Füllung des Speichermediums, sollte die
maximale Sprechdauer pro Anruf auf 2-4 Minuten begrenzt werden, wenn das
Gerät eine solche Einstellung erlaubt.

_____________________________________________________________________ ..........................................
75

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.59
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.59

Auswahl eines geeigneten Modems in der
Beschaffung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Administrator, Beschaffungsstelle
Bei der Beschaffung eines Modems sind folgende Punkte zu beachten:
- Modem-Zulassung
Ein Modem, daß in Deutschland an das öffentliche Telekommunikationsnetz angeschlossen werden soll, muß eine BZT-Zulassung (früher ZZFZulassung, davor FTZ-Zulassung, im allgemeinen Sprachgebrauch auch
Post-Zulassung genannt) haben. Hinweis: Entgegen der Angaben in vielen
Modem-Handbüchern muß die Inbetriebnahme eines zugelassenen
Modems nicht mehr der Telekom gemeldet werden.
- Bauweise
Ein internes Modem bietet den Vorteil, daß die Modem-Konfiguration nur
über den Rechner, in dem es eingebaut ist, geändert werden kann. Verfügt
der Rechner über Zugangs- oder Zugriffsschutzmechanismen, können sie
zum Schutz der Modem-Konfigurationsdaten eingesetzt werden. Gleichzeitig kann damit die Nutzung des Modems auf autorisierte Personen
beschränkt werden. Manipulationen am Modem sind durch den Einbau im
Rechner erschwert. Bei vernetzten Systemen, die nicht über derartige
Schutzmechanismen verfügen (einige Peer-to-Peer-Netze), besteht der
Nachteil eines internen Modems darin, daß das Modem unkontrolliert von
allen Arbeitsplätzen genutzt werden kann.
Ein externes Modem kann nach Nutzung verschlossen aufbewahrt werden.
Es bietet außerdem den Vorteil, daß es üblicherweise über diverse Anzeigen sowie den Modemlautsprecher über den aktuellen Status informieren
kann. Über den Modemlautsprecher kann auch gehört werden, ob von
extern eine Verbindung aufgebaut wird oder ob eine Applikation unaufgefordert versucht, Informationen über die Installation und die SystemKonfiguration an den Hersteller zu übertragen. Ein weiterer Vorteil eines
externen Modems ist, daß es unabhängig vom IT-System nur für die
jeweilige Datenübertragung eingeschaltet werden kann und somit z. B.
sichergestellt werden kann, daß die letzte Verbindung getrennt worden ist
und daß keine Verbindung von außerhalb aufgebaut werden kann. Nachteilig ist, daß ein externes Modem zur Manipulation der Konfigurationsdaten oder zum Auslesen gespeicherter Paßwörter einfach an ein nicht
geschütztes IT-System angeschlossen werden kann.
PCMCIA-Modems bieten aufgrund der Baugröße den Vorteil, daß sie nach
Nutzung einfach verwahrt werden können. Eine sichere Aufbewahrung
verhindert, daß sie zur Manipulation an ungeschützte Rechner angeschlossen werden.

_____________________________________________________________________ ..........................................
76

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.59
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Übertragungsgeschwindigkeit
Je höher die Übertragungsgeschwindigkeit eines Modems ist, desto geringer sind die Kosten für die Übertragung großer Datenmengen aufgrund der
Zeiteinsparung.
Zunächst ist zu klären, welche Übertragungsgeschwindigkeiten für den
gewünschten Einsatzzweck notwendig ist. Ausreichend sind z. B. bei
ASCII-Terminalemulation 2400 bit/sec, bei Fax-Übertragung 9600 bit/sec,
bei Datex-J (T-Online) zur Zeit 14400 bit/sec. Für Datenübertragung
großen Ausmaßes sind die aktuell größtmöglichen Übertragungsgeschwindigkeiten einzusetzen. Übertragungsgeschwindigkeiten von mehr
als 2400 bit/sec erschweren darüber hinaus das Abhören erheblich.
Anschließend muß bei Geschwindigkeiten über 9600 bit/sec überprüft
werden, ob die Schnittstelle des IT-Systems, an dem das Modem betrieben
werden soll, höhere Geschwindigkeiten zuläßt.
Bei der Auswahl des Modems sollte beachtet werden, daß die Leistungsmerkmale, die für die tatsächlich erreichte Übertragungsgeschwindigkeit
ausschlaggebend sind, genormt sind. Dies sind zum einen Normen für die
Übertragungsgeschwindigkeit wie V.32bis für 14400 bit/sec und zum
anderen Protokolle zur Übertragungsoptimierung durch Datenkompression
und Fehlerkorrektur wie MNP 5 oder V.24bis.
- Befehlssatz
Die meisten Modems arbeiten heute nach dem herstellerabhängigen HayesStandard (auch AT-Standard genannt). Aufgrund der weiten Verbreitung
dieses Standards kann bei Einsatz eines Modems, das diesen Standard
beherrscht, davon ausgegangen werden, daß die Kommunikation mit
anderen Modems meist problemlos möglich ist. Bei der Anschaffung von
Modems der neuesten Generation sollte bedacht werden, daß die versprochenen hohen Übertragungsraten oftmals nur erreicht werden können,
wenn Geräten desselben Herstellers auf beiden Seiten eingesetzt werden.
- Handbuch
Ein gut lesbares und ausführliches Handbuch ist zur schnellen Installation
und bestmöglichen Konfiguration eines Modems wichtig.
- Sicherheitsmechanismen
Es gibt vielfältige Sicherheitsmechanismen, die in Modems integriert sein
können wie Paßwortmechanismus oder Callback-Funktion. Einige
Modems bieten sogar die Möglichkeit, die übertragenen Daten zu verschlüsseln.
Die Anschaffung eines Modems mit Verschlüsselungsoption ist vorteilhaft,
wenn regelmäßig Übertragungen großer Datenmengen innerhalb einer
Organisation mit verstreuten Liegenschaften durchgeführt werden sollen.
Diese Online-Verschlüsselung bedingt einen geringeren organisatorischen
Aufwand als das Verschlüsseln der Daten mittels Zusatzprodukten.
Generelle Aussagen zur Sicherheit der eingesetzten Algorithmen können
nicht gemacht werden. Für den IT-Grundschutz bietet der DES-

_____________________________________________________________________ ..........................................
77

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.59
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Algorithmus bei entsprechendem Schlüsselmanagement ausreichende
Sicherheit.
Die vielfach angebotene Callback-Funktion bietet unter Sicherheitsgesichtspunkten den Vorteil, daß auf einfache Weise unautorisierte Anrufer
abgewiesen werden können (siehe auch M 5.30 Aktivierung einer
vorhandenen Callback-Option).
Ergänzende Kontrollfragen:
- Sind IT-Benutzer oder die Beschaffungsstelle über diese Hinweise informiert?

_____________________________________________________________________ ..........................................
78

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.60
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.60

Sichere Administration eines Modems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer, Administrator
Der sichere Einsatz eines Modems bedingt einige administrative Maßnahmen:
- Die Telefonnummer eines Modem-Zugangs darf nur den Kommunikationspartnern bekanntgegeben werden, um den Zugang vor Einwählversuchen zu schützen. Sie darf nicht im Telefonverzeichnis der Organisation erscheinen.
- Ist ein Modem in einen Netzserver integriert, können Benutzer von ihren
Arbeitsplatzrechnern auf das Modem zugreifen. Dann darf ein Zugriff auf
die Kommunikationssoftware nur den Benutzern möglich sein, die für die
Datenübertragung berechtigt sind (siehe auch M 2.42 Festlegung der
möglichen Kommunikationspartner).
- Außerdem müssen regelmäßig die Einstellungen des Modems und der
Kommunikationssoftware überprüft werden sowie die durchgeführten
Datenübertragungen protokolliert werden.
- Es muß sichergestellt sein, daß das Modem die Telefonverbindung unterbricht, sobald der Benutzer sich vom System abmeldet. Bei einem Standalone-System kann dies dadurch realisiert sein, daß das Modem nur solange mit dem Telefonnetz verbunden ist, wie es für die Datenübertragung
eingesetzt wird, und es anschließend ausgeschaltet bzw. von der Leitung
getrennt wird. Bei einem im Netzserver integrierten Modem muß dies über
die Konfiguration sichergestellt werden. Ein externes Modem kann einfach
ausgeschaltet werden. Außerdem müssen alle Benutzer darauf hingewiesen
werden, daß nach der Datenübertragung auch das Kommunikationsprogramm zu beenden ist.
- Es muß außerdem darauf geachtet werden, daß nach einem Zusammenbruch der Modem-Verbindung der externe Benutzer automatisch vom ITSystem ausgeloggt wird. Andernfalls kann der nächste Anrufer unter dieser
Benutzerkennung weiterarbeiten, ohne sich einzuloggen.
Ergänzende Kontrollfragen:
- Wurden die gewählten Einstellungen daraufhin getestet, ob eine unbefugte
Nutzung des Modems wirksam verhindert ist?
- Wird die Modemverbindung getrennt, wenn der Benutzer sich abmeldet?
- Wird der Benutzer abgemeldet, wenn die Modemverbindung getrennt
wird?

_____________________________________________________________________ ..........................................
79

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.61
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.61

Regelung des Modem-Einsatzes

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Es ist festzulegen:
- wer der Verantwortliche für den sicheren Betrieb des Modems ist
(beispielsweise im Stand-alone Einsatz der IT-Benutzer, in vernetzten
Systemen der Administrator),
- wer das Modem benutzen darf,
- in welchen Fällen vertrauliche Informationen bei der Übertragung verschlüsselt werden sollten,
- in welchen Fällen durchgeführte Datenübertragungen zu protokollieren
sind (z. B. bei Übermittlung personenbezogener Daten). Bietet die
Kommunikationssoftware Protokollierungsfunktion an, sollte diesen im
sinnvollen Rahmen genutzt werden.
Alle Login-Vorgänge, ob erfolgreich oder erfolglos, müssen protokolliert
werden. Korrekt eingegebene Paßwörter sollten nicht mitprotokolliert werden,
es ist aber zu überlegen, die bei erfolglosen Login-Versuchen eingegebenen
Paßwörter mitzuprotokollieren, um Paßwort-Attacken zu entdecken.
Indizien für Paßwort-Attacken können z. B. sein: häufige erfolglose LoginVersuche für einen Benutzer, erfolglose Login-Versuche immer vom selben
Anschluß, Versuche sich auf verschiedene Benutzernamen anzumelden während einer Verbindung oder von einem Anschluß.
Nach dem Verbindungsaufbau muß dem Anrufenden ein Anmelde-Prompt
angezeigt werden. Dabei sollte darauf geachtet werden, daß vor der erfolgreichen Anmeldung möglichst wenig Informationen über das angewählte ITSystem weitergegeben werden. Es sollte weder die Art der eingesetzten
Hardware noch des Betriebssystems gegeben werden. Der Anmelde-Prompt
sollte den Namen des IT-Systems und/oder der Organisation enthalten, einen
Hinweis, daß alle Verbindungen protokolliert werden und eine Eingabeaufforderung für Benutzername und Paßwort. Bei erfolglosen Anmeldeversuchen darf keine Ursache angezeigt werden (falscher Benutzername, falsches
Paßwort).
Trennung Dial-In / Dial-Out
Für ein- bzw. abgehende Verbindungen sollten getrennte Leitungen und
Modems benutzt werden. Ein Anrufer sollte keine Möglichkeit haben, sich
über das angewählte IT-System wieder nach außen verbinden zu lassen.
(Wenn dies für Außendienstmitarbeiter unbedingt notwendig ist, muß dem
eine starke Authentisierung vorangehen, z. B. über Chipkarten.) Ansonsten
besteht die Gefahr, daß Hacker den Zugang mißbrauchen, zum einen um teure
Fernverbindungen aufzubauen und zum anderen um ihre Spuren zu verwischen.

_____________________________________________________________________ ..........................................
80

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.61
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Beim Callback sollte für den Rückruf ein anderes Modem oder eine andere
Leitung benutzt werden, als das anrufende Modem benutzt hat (siehe auch
M 5.44 Einseitiger Verbindungsaufbau).
Ergänzende Kontrollfragen:
- Sind allen für die Kommunikation zugelassenen Mitarbeitern die diesbezüglichen Regelungen bekannt?

_____________________________________________________________________ ..........................................
81

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.62
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.62

Software-Abnahme- und Freigabe-Verfahren

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter IT
Der Einsatz von IT zur Aufgabenbewältigung setzt voraus, daß die maschinelle Datenverarbeitung soweit wie möglich fehlerfrei arbeitet, da die Kontrolle der Einzelergebnisse in den meisten Fällen nicht mehr zu leisten ist. Im
Zuge eines Software-Abnahme-Verfahrens wird deshalb überprüft, ob die
betrachtete Software fehlerfrei arbeitet, das heißt, ob die Software die erforderliche Funktionalität zuverlässig bereitstellt und ob sie darüber hinaus keine
unerwünschten Nebeneffekte hat. Mit der anschließenden Freigabe der Software durch die fachlich zuständige Stelle wird die Erlaubnis erteilt, die Software zu nutzen. Gleichzeitig übernimmt diese Stelle damit auch die Verantwortung für das IT-Verfahren, daß durch die Software realisiert wird.
Bei der Software-Abnahme unterscheidet man sinnvollerweise zwischen
Software, die selbst oder im Auftrag entwickelt wurde, und Standardsoftware,
die nur für den speziellen Einsatzzweck angepaßt wird.
Abnahme von selbst- oder im Auftrag entwickelter Software
Bevor der Auftrag zur Software-Entwicklung intern oder extern vergeben
wird, muß die Anforderungsdefinition für die Software erstellt sein, aus der
dann das Grob- und Feinkonzept für die Realisierung entwickelt wird. Anhand
dieser Dokumente erstellt die fachlich zuständige Stelle, nicht die für die
Software-Entwicklung zuständige Stelle, im allgemeinen einen Abnahmeplan.
Üblicherweise werden hierzu Testfälle und die erwarteten Ergebnisse für die
Software erarbeitet. Anhand dieser Testfälle wird die Software getestet und
der Abgleich zwischen berechnetem und erwartetem Ergebnis wird als Indiz
für die Korrektheit der Software benutzt.
Zur Entwicklung der Testfälle und zur Durchführung der Tests ist folgendes
zu beachten:
- die Testfälle werden von der fachlich zuständigen Stelle entwickelt,
- für Testfälle werden keine Daten des Wirkbetriebs benutzt,
- Testdaten, insbesondere wenn sie durch Kopieren der Wirkdaten erstellt
werden, dürfen keine vertraulichen Informationen beinhalten; personenbezogene Daten sind zu anonymisieren oder zu simulieren,
- die Durchführung der Tests darf keine Auswirkungen auf den Wirkbetrieb
haben; nach Möglichkeit sollte ein logisch oder physikalisch isolierter
Testrechner benutzt werden.
Eine Abnahme ist zu verweigern, wenn:
- Schwerwiegende Fehler in der Software festgestellt werden,
- Testfälle auftreten, in denen die erwarteten Ergebnisse nicht mit den
berechneten übereinstimmen,
- Benutzerhandbücher oder Bedienungsanleitungen nicht vorhanden oder
von nicht ausreichender Qualität sind und

_____________________________________________________________________ ..........................................
82

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.62
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Dokumentation der Software nicht vorhanden oder nicht ausreichend ist.
Die Ergebnisse der Abnahme sind schriftlich festzuhalten. Die Dokumentation
des Abnahmeergebnisses sollte umfassen:
- Bezeichnung und Versionsnummer der Software und ggf. des IT-Verfahrens,
- Beschreibung der Testumgebung,
- Testfälle und Testergebnisse und
- Abnahmeerklärung.
Abnahme von Standardsoftware
Wird Standardsoftware beschafft, so sollte auch diese einer Abnahme und
einer Freigabe unterzogen werden. In der Abnahme sollte überprüft werden,
ob
- die Software frei von Computer-Viren ist,
- die Software kompatibel zu den anderen eingesetzten Produkten ist,
- die Software in der angestrebten Betriebsumgebung lauffähig ist und
welche Parameter zu setzen sind,
- die Software komplett einschließlich der erforderlichen Handbücher
ausgeliefert wurde und
- die geforderte Funktionalität erfüllt wird.
Freigabe-Verfahren
Ist die Abnahme der Software erfolgt, muß die Software für die Nutzung
freigegeben werden. Dazu ist zunächst festzulegen, wer berechtigt ist, Software freizugeben. Die Freigabe der Software ist schriftlich festzulegen und
geeignet zu hinterlegen.
Die Freigabeerklärung sollte umfassen:
- Bezeichnung und Versionsnummer der Software und ggf. des IT-Verfahrens,
- Bestätigung, daß die Abnahme ordnungsgemäß vorgenommen wurde,
- Einschränkungen für die Nutzung (Parametereinstellung, Benutzerkreis,...),
- Freigabedatum, ab wann die Software eingesetzt werden darf und
- die eigentliche Freigabeerklärung.
Falls IT-technisch möglich muß verhindert werden, daß Software nach der
Freigabe verändert oder manipuliert werden kann. Andernfalls ist dies durch
eine Regelung festzulegen.
Auch nach intensiven Abnahmetests kann es vorkommen, daß im laufenden
Einsatz Fehler in der Software festgestellt werden. Für diesen Fall ist festzulegen, wie in einem solchen Fehlerfall verfahren werden soll
(Ansprechpartner, Fehlerbeseitigungsablauf, Beteiligung der fachlich zuständigen Stelle, Wiederholung der Abnahme und Freigabe, Versionskontrolle).

_____________________________________________________________________ ..........................................
83

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.62
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Für weiterführende Erklärungen siehe Kapitel 9.1 Standardsoftware.
Ergänzende Kontrollfragen:
- Gibt es für sämtliche eingesetzte Software eine Abnahme- und Freigabebestätigung?
- Werden Fehler auch ohne Beteiligung der fachlich zuständigen Stelle
beseitigt?
- Kann im Einsatz befindliche Software unerkannt manipuliert werden?

_____________________________________________________________________ ..........................................
84

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.63
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.63

Einrichten der Zugriffsrechte

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen, Administrator
Arbeiten mit einem IT-System mehrere Benutzer, so muß durch eine ordnungsgemäße Administration der Zugriffsrechte sichergestellt werden, daß die
Benutzer das IT-System nur gemäß ihren Aufgaben nutzen können.
Vorausgesetzt sei, daß von den Fachverantwortlichen die Zugangs- und
Zugriffsberechtigungen für die einzelnen Funktionen festgelegt wurden (vgl.
M 2.7 Vergabe von Zugangsberechtigungen und M 2.8 Vergabe von
Zugriffsrechten). Anschließend werden die Benutzer des IT-Systems den
einzelnen Funktionen zugeordnet. Die Ergebnisse sind schriftlich zu dokumentieren.
Der Administrator muß dann das IT-System so konfigurieren, daß diese
Benutzer Zugang zum IT-System erhalten und mit den ihnen zugewiesenen
Zugriffsrechten nur ihre Aufgaben wahrnehmen können. Bietet das IT-System
keine Möglichkeit, Zugriffsrechte zuzuweisen (z. B. beim DOS-PC mit
mehreren Benutzern), so ist ein Zusatzprodukt zu diesem Zweck einzusetzen
(vgl. z. B. M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes).
Läßt das IT-System es zu, so sind die sinnvoll einsetzbaren Protokollfunktionen zur Beweissicherung durch den Administrator zu aktivieren. Dazu
gehören erfolgreiche und erfolglose An- und Abmeldevorgänge, Fehlermeldungen des Systems, unerlaubte Zugriffsversuche.
Für den Vertretungsfall muß der Administrator vorab kontrollieren, ob der
Vertreter vom Fachverantwortlichen autorisiert ist. Erst dann darf er die
erforderlichen Zugriffsrechte im akuten Vertretungsfall einrichten.
Ergänzende Kontrollfragen:
- Werden die vom Administrator eingerichteten Zugriffsrechte sporadisch
überprüft?
- Liegt eine Dokumentation vor, welche Rechtestruktur im IT-System realisiert ist?

_____________________________________________________________________ ..........................................
85

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.64
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.64

Kontrolle der Protokolldateien

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen, Revisor
Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam, wenn die protokollierten Daten in regelmäßigen
Abständen durch einen Revisor ausgewertet werden. Ist es technisch nicht
möglich, die Rolle eines unabhängigen Revisors für Protokolldateien zu
implementieren, kann ihre Auswertung auch durch den Administrator erfolgen. Für diesen Fall bleibt zu beachten, daß damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist. Das Ergebnis der Auswertung
sollte daher dem IT-Sicherheitsbeauftragten, dem IT-Verantwortlichen oder
einem anderen besonders zu bestimmenden Mitarbeiter vorgelegt werden.
Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck, durch die
anschließende Löschung der Protokolldaten ein übermäßiges Anwachsen der
Protokolldateien zu verhindern.
Da Protokolldateien in den meisten Fällen personenbezogene Daten beinhalten, ist sicherzustellen, daß diese Daten nur zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen
Betriebes verwendet werden dürfen (vgl. § 14 Abs. 4 BDSG).
Die nachfolgenden Auswertungskriterien dienen als Beispiele, die Hinweise
auf eventuelle Sicherheitslücken, Manipulationsversuche und Unregelmäßigkeiten erkennen lassen:
- Liegen die Zeiten des An- und Abmeldens außerhalb der Arbeitszeit
(Hinweis auf Manipulationsversuche)?
- Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch,
Paßwörter zu erraten)?
- Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur
Manipulation)?
- Gibt es auffällig große Zeitintervalle, in denen keine Protokolldaten aufgezeichnet wurden (Hinweis auf eventuell gelöschte Protokollsätze)?
- Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche
Protokolldatei erschwert das Auffinden von Unregelmäßigkeiten)?
- Gibt es auffällig große Zeitintervalle, in denen anscheinend kein BenutzerWechsel stattgefunden hat (Hinweis darauf, daß das konsequente Abmelden nach Arbeitsende nicht vollzogen wird)?
- Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein
(vgl. G 4.25 Nicht getrennte Verbindungen)?
- Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig
hohe Netzlast oder eine Unterbrechung des Netzbetriebes festgestellt
(Hinweis auf Versuche, die Dienste des Netzes zu verhindern bzw. zu
beeinträchtigen oder auf eine ungeeignete Konzeption bzw. Konfiguration
des Netzes)?

_____________________________________________________________________ ..........................................
86

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.64
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen,
ist es sinnvoll, ein Werkzeug zur Auswertung zu benutzen. Dieses Werkzeug
sollte wählbare Auswertungskriterien zulassen und besonders kritische
Einträge (z. B. mehrfacher fehlerhafter Anmeldeversuch) hervorheben.
Das oben gesagte gilt analog auch für die Erhebung von Auditdaten, da es sich
dabei im Prinzip nur um die Protokollierung sicherheitskritischer Ereignisse
handelt.
Ergänzende Kontrollfragen:
- Wer wertet die Protokolldateien aus? Findet das Vier-Augen-Prinzip
Anwendung?
- Können die Aktivitäten des Administrators ausreichend kontrolliert
werden?
- Wird das IT-Sicherheitsmanagement bei Auffälligkeiten unterrichtet?

_____________________________________________________________________ ..........................................
87

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.65
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.65

Kontrolle der Wirksamkeit der BenutzerTrennung am IT-System

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Revisor, Administrator, IT-Sicherheitsmanagement
Mittels Protokollauswertung oder durch Stichproben ist in angemessenen
Zeitabständen zu überprüfen, ob die Benutzer des IT-Systems sich regelmäßig
nach Aufgabenerfüllung abmelden oder ob mehrere Benutzer unter einer
Kennung arbeiten.
Sollte festgestellt werden, daß tatsächlich mehrere Benutzer unter einer
Kennung arbeiten, sind sie auf die Verpflichtung zum Abmelden nach Aufgabenerfüllung hinzuweisen. Gleichzeitig sollte der Sinn dieser Maßnahme
erläutert werden, die im Interesse des einzelnen Benutzers liegt.
Stellt sich heraus, daß die An- und Abmeldevorgänge zu zeitintensiv sind und
trotz Aufforderung nicht akzeptiert werden, sollten alternative Maßnahmen
diskutiert werden wie zum Beispiel:
- Zuordnung des IT-Systems zu einem Benutzer für bestimmte Zeitintervalle, in denen andere Benutzer das IT-System nicht nutzen dürfen. Dies
setzt voraus, daß der Arbeitsprozeß dementsprechend zeitlich variabel ist.
- Anschaffung zusätzlicher IT-Systeme, mit denen die quasiparallele Arbeit
an einem IT-System vermieden werden kann. Zu beachten ist, daß zwar die
Anschaffungskosten für die zusätzlichen IT-Systeme anfallen, aber
andererseits die Anschaffungskosten für PC-Sicherheitsprodukte entfallen
können. Anstelle des Bausteins 5.4 DOS-PC (mehrere Benutzer) ist dann
die Umsetzung empfohlener Grundschutzmaßnahmen eines anderen
Bausteins, z. B 5.1 DOS-PC (ein Benutzer), erforderlich.
- Sollten sich die Datenbestände der einzelnen Benutzer separieren lassen
(beispielsweise Benutzer A bearbeitet die Daten A-L, Benutzer B die
Daten M-Z), so können dafür unterschiedliche Zugriffsrechte eingeräumt
werden. Will ein Benutzer dann mit seinen Daten arbeiten, muß er sich
zuvor beim System anmelden, da seine Kollegen kein Zugriffsrecht auf
diese Daten besitzen.
Ergänzende Kontrollfragen:
- Wie häufig wird der ordnungsgemäße Benutzerwechsel geprüft?
- Gibt es Akzeptanzprobleme bezüglich des Benutzerwechsels?
- Lassen sich die Datenbestände separieren?

_____________________________________________________________________ ..........................................
88

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.66
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.66

Beachtung des Beitrags der Zertifizierung für
die Beschaffung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Beschaffungsstelle
Bei der Beschaffung von IT-Produkten und IT-Systemen muß frühzeitig festgelegt werden, ob die bloße Zusicherung des Herstellers oder Vertreibers über
implementierte Sicherheitsfunktionen als ausreichend vertrauenswürdig anerkannt werden kann. Insbesondere bei einem hohen oder sehr hohen Schutzbedarf kann die Vertrauenswürdigkeit der Produkte in Hinblick auf ITSicherheit nur dadurch gewährleistet werden, daß unabhängige Prüfstellen die
Produkte untersuchen und bewerten (evaluieren).
Allgemein anerkannte Grundlage dieser Evaluierungen bilden seit 1991 die
europaweit harmonisierten "Kriterien für die Bewertung der Sicherheit von
Systemen der Informationstechnik (ITSEC)" und das Evaluationshandbuch
ITSEM und seit 1998 die weltweit angestimmten "Gemeinsamen Kriterien für
die Prüfung und Bewertung der Sicherheit von Informationstechnik" /
Common Criteria (CC). In Deutschland führen das BSI selbst und vom BSI
akkreditierte Prüfstellen solche Evaluationen durch. Bei positivem Evaluationsergebnis und bei Einhaltung der Rahmenbedingungen von ITSEC und
ITSEM bzw. der Common Criteria wird für das untersuchte Produkt oder
System vom BSI als Zertifizierungsstelle ein Sicherheitszertifikat erteilt.
Aus dem dazugehörenden Zertifizierungsreport geht hervor, welche Funktionalität mit welcher Prüftiefe untersucht wurde und welche Bewertung vorgenommen wurde. Dabei reichen die Prüftiefe von Evaluationsstufe E 1
(geringste Prüftiefe) bis Evaluationsstufe E 6 (höchste Prüftiefe) bei den
ITSEC bzw. von Vertrauenswürdigkeitsstufe EAL 1 (geringste Prüftiefe) bis
Vertrauenswürdigkeitsstufe EAL 7 (höchste Prüftiefe) bei den CC. Dabei
entspricht die Evaluationsstufe E 1 der ITSEC in etwa der Vertrauenswürdigkeitsstufe EAL 2 der CC usw. Zusätzlich wird die geprüfte Mechanismenstärke der Implementation der Sicherheitsfunktionen angegeben, die ein Maß
darstellt für den Aufwand, den man zum Überwinden der Sicherheitsfunktionen aufbringen muß. ITSEC und CC unterscheiden hier die Mechanismenstärken niedrig, mittel und hoch. Darüber hinaus werden Hinweise
gegeben, welche Randbedingungen beim Einsatz des Produktes beachtet
werden müssen.
Stehen bei der IT-Beschaffung mehrere Produkte mit angemessenem Preis/Leistungsverhältnis zur Auswahl, so kann ein eventuell vorhandenes Sicherheitszertifikat als Auswahlkriterium positiv berücksichtigt werden. Hierbei
sollten Sicherheitszertifikate insbesondere dann berücksichtigt werden, wenn
der evaluierte Funktionsumfang die Mindestfunktionalität (weitestgehend)
umfaßt und die Mechanismenstärke dem Schutzbedarf entspricht (vgl. M 4.41
Einsatz eines angemessenen PC-Sicherheitsproduktes). Je höher dann die im
Zertifikat angegebene Prüfungstiefe ist, desto mehr Vertrauen in Wirksamkeit
und Korrektheit der Sicherheitsfunktionen kann dem Produkt entgegengebracht werden.

_____________________________________________________________________ ..........................................
89

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.66
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Die Zertifzierungsstellen geben regelmäßig Übersichten heraus, welche Produkte ein Zertifikat erhalten haben. Eine Zusammenstellung der vom BSI
zertifizierten IT-Produkte und -Systeme kann beim BSI angefordert werden:
BSI 7148 - BSI-Zertifikate. Weiterhin veröffentlicht das BSI neu erteilte Zertifikate in der Zeitschrift KES, Zeitschrift für Kommunikations- und EDVSicherheit. Diese Informationen lassen sich ebenfalls vom BSI-Server abrufen.
Ergänzende Kontrollfragen:
-

Sind die IT-Beschaffungsstellen/-ämter über den Beitrag der Evaluation/Zertifizierung unterrichtet worden?

-

Sind für die Beschaffungsstelle/-ämter aktuelle Übersichten über zertifizierte Produkte verfügbar?

-

Werden von der Beschaffungsstelle die relevanten Zertifizierungsreports angefordert?

_____________________________________________________________________ ..........................................
90

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.67
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.67

Festlegung einer Sicherheitsstrategie für das Peerto-Peer-Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Bevor mit der eigentlichen Konfiguration und Installation eines Peer-to-PeerNetzes, bei dem Rechner mit WfW, Windows 95 und/oder Windows NT eingesetzt werden, begonnen werden kann, müssen zuerst zwei grundlegende
Überlegungen angestellt werden:
Zunächst muß geklärt werden, welche Dienstleistung das jeweilige Betriebssystem erbringen und in welchem Rahmen es diesbezüglich eingesetzt werden
soll. Insbesondere ist zu klären, ob überhaupt Peer-to-Peer-Funktionalitäten,
d. h. die Nutzung freigegebener Ressourcen wie Verzeichnisse oder Drucker
unter einem der genannten Betriebssysteme, verwendet werden sollen.
Dies soll anhand einiger Beispiele veranschaulicht werden:
- Das IT-System wird für eine Arbeitsgruppe von typischerweise drei bis
fünf Benutzern eingesetzt, bei denen jeder alle Rechte besitzen sollen. An
jedem Arbeitsplatz soll die komplette Peer-to-Peer-Funktionalität unterstützt werden.
- Das IT-System wird für eine größere Arbeitsgruppe eingesetzt, in der
unterschiedliche Rechte vergeben werden können. Die Peer-to-Peer-Funktionalität soll aufgrund konkreter Anforderungen in eingeschränkter Form
realisiert werden.
- Das IT-System wird in einem servergestützten PC-Netz eingesetzt, bei dem
auf die Peer-to-Peer-Funktionalität zum Austausch von Daten in der Regel
verzichtet werden kann. Einzelne Drucker sollen jedoch über Peer-to-PeerFunktionalität gemeinsam benutzt werden können.
- Das IT-System wird in einem servergestützten PC-Netz eingesetzt, in dem
keine Peer-to-Peer-Funktionalität vorgesehen ist. Dann sind alle Peer-toPeer-Funktionalitäten zu deaktivieren. In diesem Fall kann die Betrachtung
der folgenden Punkte entfallen, doch sollten dann die Maßnahme M 5.37
Einschränken der Peer-to-Peer-Funktionalitäten bei Nutzung von WfW,
Windows 95 oder Windows NT in einem servergestützten Netz beachtet
werden.
Hinweis:
Servergestützte Netze bieten wesentlich weitgehendere Sicherheitsfunktionalitäten als Peer-to-Peer-Netze. Darüber hinaus entstehen durch die Verwendung von Peer-to-Peer-Funktionalitäten in servergestützten Netzen
zusätzliche Sicherheitsprobleme. Deshalb sollte bei servergestützten PCNetzen auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet
werden. Peer-to-Peer-Netze, die zur Anbindung von WfW an andere Rechner
mit WfW, Windows 95 oder Windows NT dienen, sollten nur als Übergangslösung betrachtet werden, bis entweder WfW durch Windows 95 oder
Windows NT abgelöst wird oder ein servergestütztes Netzbetriebssystem
installiert wird.

_____________________________________________________________________ ..........................................
91

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.67
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Sofern Peer-to-Peer-Funktionalitäten verwendet werden sollen, müssen
anschließend diese Überlegungen in eine Sicherheitsstrategie übersetzt
werden.
Dabei zeigt sich, daß je nach bereits vorhandener Systemumgebung und
Organisationsstruktur sowie der vorzusehenden Restriktionen an die Peer-toPeer-Funktionalitäten, ein mehr oder weniger großer Aufwand bei der Entwicklung einer dazu passenden Sicherheitsstrategie notwendig ist.
Es wird nachfolgend eine methodische Vorgehensweise aufgezeigt, mittels
derer eine umfassende Sicherheitsstrategie für ein Peer-to-Peer-Netz entwikkelt werden kann. Da jedoch ein Peer-to-Peer-Netz in verschiedenen Konfigurationen eingesetzt werden kann, ist für die jeweilige Ausprägung individuell
zu entscheiden, welche der beschriebenen Schritte anzuwenden sind.
Festlegung einer Sicherheitsstrategie für ein Peer-to-Peer-Netz
In der Sicherheitsstrategie sollte aufgezeigt werden, wie ein Peer-to-Peer-Netz
sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die
einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:
1.

Definition der Peer-to-Peer-Netzstruktur

Eine Peer-to-Peer-Netzstruktur wird definiert durch die Festlegung,
- welche Rechner als Fileserver (sie dürfen Verzeichnisse freigeben),
- welche Rechner als Druckserver (sie dürfen Drucker freigeben),
- welche Rechner als Applikationsserver für bestimmte IT-Anwendungen
wie z. B. Mail, Schedule+, Fax (sie sollten ständig verfügbar sein) und
- welche Rechner nur als Clients (sie können sich nur mit anderen Rechnern
verbinden)
fungieren sollen. Dabei ist einerseits darauf zu achten, daß die Kapazität der
Server den jeweiligen Anforderungen hinsichtlich Geschwindigkeit und
Plattenspeicherplatz genügt, andererseits ist aber die Anzahl der Server auf
das notwendige Maß zu beschränken. Darüber hinaus sollten keine Applikationen auf Server ausgelagert werden, bei denen ständig große Datenmengen
über das Netz übertragen werden müssen, da dies zu Netzüberlastungen
führen kann.
2.

Regelung der Verantwortlichkeiten

Ein Peer-to-Peer-Netz sollte mittels eines geschulten Administrators nebst
Stellvertreter sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Peer-to-Peer-Netz verändern. Sie sind z. B. dafür zuständig, auf
eventuellen Applikations- oder Fileservern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit
diese die Freigabe der von anderen benötigten Verzeichnisse bzw. Anwendungen vornehmen können.
Auch in einem servergestützten PC-Netz, in dem zusätzlich Peer-to-PeerFunktionalitäten zugelassen werden sollen, müssen explizit Peer-to-PeerAdministratoren ernannt werden, die aber mit den Netz-Administratoren
identisch sein dürfen.

_____________________________________________________________________ ..........................................
92

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.67
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Die Verantwortlichkeiten der einzelnen Benutzer im Peer-to-Peer-Netz sind
unter Schritt 7 dargestellt.
3.

Einschränkung der Freigabemöglichkeiten

Windows für Workgroups:
Mit dem Administrationswerkzeug ADMINCFG.EXE für WfW können die
folgenden Möglichkeiten für jeden WfW-Rechner einzeln zugelassen oder
gesperrt werden:
- Freigabe von Verzeichnissen,
- Freigabe von Druckern,
- Restriktionen für das WfW-Anmeldepaßwort (Ablaufzeit, Mindestlänge
etc.),
- Freigabe von Netz-DDE (z. B. für den Datenaustausch über die Ablagemappe oder das Telefonieren unter WfW).
Die Datei ADMINCFG.EXE gehört zwar zum Lieferumfang von WfW, wird
aber nicht standardmäßig auf den Rechnern installiert. Eine Dokumentation
erfolgt nur in den Anleitungen für Systemverwalter (siehe M 4.45 Einrichtung
einer sicheren Peer-to-Peer-Umgebung).
Es ist festzulegen, auf welchen Rechnern dieses Administrationswerkzeug
installiert werden soll.
Dieses Programm verfügt über eine Paßwortabfrage, mit der die eingestellte
Konfiguration geschützt wird. Jeder, der Zugriff auf dieses Programm hat,
kann versuchen, das Paßwort der jeweiligen Konfigurationsdatei herauszufinden und dann die Freigabeoptionen zu ändern.
Sinnvollerweise sollte es daher nur dem Administrator und seinem Stellvertreter zur Verfügung gestellt werden. Darüber hinaus ist es unter WfW
möglich, die Konfigurationsdateien zentral auf einem Server abzulegen
(entweder für jeden Benutzer einzeln, für Gruppen oder für alle Benutzer
gemeinsam; siehe "WfW Resource Kit, Addendum for Operating System
Version 3.11"). Dies hat den Vorteil, Änderungen für mehrere WfW-Benutzer
gleichzeitig vornehmen zu können, insbesondere wenn das Paßwort der
Konfigurationsdatei(en) geändert werden soll.
Hinweis: Eine durch ein Paßwort geschützte Konfiguration bietet nur eingeschränkte Sicherheit, da sie einem vorsätzlichen Angriff kaum standhält. Die
Einschränkung der WfW-Funktionalität beugt damit in erster Linie dem
unbeabsichtigten Fehlverhalten der Benutzer vor.
Windows 95:
Die Möglichkeit zur Freigabe von Verzeichnissen bzw. Druckern läßt sich
unter Windows 95 für einzelne Rechner und/oder Benutzer durch entsprechende Einträge in deren Profile einschränken (siehe auch M 4.58 Freigabe
von Verzeichnissen unter Windows 95).

_____________________________________________________________________ ..........................................
93

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.67
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Windows NT:
Unter Windows NT ist die Möglichkeit der Freigabe von Verzeichnissen auf
Administratoren eingeschränkt, so daß hier einem Mißbrauch durch Endbenutzer vorgebeugt ist. Ob und ggf. welche Ressourcen freigegeben werden
sollen, ist bei der Planung des Netzes (siehe M 2.94 Freigabe von Verzeichnissen unter Windows NT) im Detail festzulegen.
4.

Festlegung einer Namenskonvention

Um eine Maskerade unter WfW zu erschweren, sollten eindeutige Namen für
die Rechner, Benutzergruppen und die Benutzer verwendet werden. Diese
Namen sind allen Benutzern bekanntzugeben. Erfolgt nun eine Anmeldung
unter einem Namen, den es nach der Konvention nicht geben kann, z. B.
indem er einem bestehenden nur ähnlich ist, wird eine Maskerade offensichtlich. Eine Anmeldung unter einem bereits angemeldeten Rechnernamen wird
von WfW abgewiesen, jedoch ist eine Maskerade unter einem zugelassenen
Namen dann möglich, wenn der betreffende Anwender nicht angemeldet ist.
Unter Windows 95 ist durch die Systemrichtlinien sicherzustellen, daß die
Benutzer weder Rechner- noch Benutzernamen selbstständig ändern können.
Dazu sollte für Standardbenutzer der Zugriff auf die Systemsteuerungsoption
"Netzwerk" deaktiviert werden (siehe auch M 2.103 Einrichten von Benutzerprofilen unter Windows 95).
Unter Windows NT sind nur die vom Administrator definierten Benutzer
zugelassen und es können nur Administratoren den Rechnernamen ändern.
Allerdings können Benutzer versuchen, sich über die Option "Verbinden Als"
unter "Netzlaufwerk verbinden" unter anderem Benutzernamen anzumelden.
Zusätzlich können Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf
den Inhalt des Verzeichnisses möglich sein, sind entsprechende Pseudonyme
zu verwenden. Soll eine freigegebene Ressource nicht als solche erkennbar
sein, ist dem Freigabenamen das Zeichen "$" anzuhängen. Letzteres empfiehlt
sich immer dann, wenn Verzeichnisse nur zum bilateralen Austausch von
Informationen zwischen zwei Anwendern freigegeben werden.
5. Festlegung freizugebender Verzeichnisse bzw. Drucker und Vergabe
der Zugriffsrechte
Für die Applikationsserver ist festzulegen, welche Verzeichnisse (z. B. das
Post-Office-Verzeichnis AGPO unter Mail) für den Betrieb freizugeben sind.
Für die Fileserver sind diejenigen Verzeichnisse auszuwählen, die den
Benutzern zur Verfügung gestellt werden sollen. Unter WfW und Windows 95
können beliebige Benutzer Ressourcen für den Netzzugriff freigeben; unter
Windows NT ist dies nur den Administratoren erlaubt.
Dabei muß zwischen den beiden Zugriffsmodellen der Sicherheit auf Freigabeebene (Share Level Security), bei der die Zugriffe auf freigegebene
Ressourcen über Paßwörter kontrolliert werden, und der Sicherheit auf
Benutzerebene (User Level Security), bei der die Zugangs- und Zugriffskontrolle eines Server-Betriebssystems genutzt werden, unterschieden werden.
WfW unterstützt nur das erste dieser Modelle, Windows NT (als Client) das
zweite, während Windows 95 über die Registerkarte "Zugriffssteuerung" der

_____________________________________________________________________ ..........................................
94

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.67
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Systemsteuerungsoption "Netzwerk" die Auswahl zwischen beiden Modellen
gestattet. Bei Verwendung der Sicherheit auf Freigabeebene sind für die
freigegebenen Verzeichnisse Zugriffsrechte (Lese- oder Lese-/ Schreibrecht)
zu definieren und geeignete Paßwörter auszuwählen.
Durch die gezielte Weitergabe dieser Paßwörter an einzelne Benutzer werden
nunmehr die Zugriffsrechte im Peer-to-Peer-Netz vergeben. Diese Paßwörter
sind nur soweit erforderlich bekanntzugeben, da die Rücknahme der Freigabe
für eine einzelne Person nur durch einen aufwendigen Paßwortwechsel für alle
anderen noch berechtigten Benutzer vorgenommen werden kann.
Bei Verwendung der Sicherheit auf Benutzerebene unter Windows NT und
Windows 95, die die Einbindung der Clients in eine Arbeitsgruppe bzw. eine
Domäne zusammen mit wenigstens einem Windows NT-System voraussetzt,
werden die Zugriffsrechte dagegen explizit einzelnen Benutzern und/oder
Gruppen zugewiesen, so daß in diesem Fall die Eingabe von Paßwörtern entfällt. Die Verwendung der Sicherheit auf Freigabeebene ist in diesem Fall zu
vermeiden, da sie einen wesentlich geringeren Schutz bietet. Anschließend ist
zu entscheiden, ob die Verzeichnisse automatisch beim Start des jeweiligen
Servers freigegeben und ob sie automatisch beim Start des zugreifenden
Rechners verbunden werden sollen.
Das zuvor gesagte gilt analog für die Freigabe von Druckern.
6.

Paßwortwechselstrategie

Windows für Workgroups:
Im WfW-Netz werden eine Reihe von Paßwörtern gebraucht: die Anmeldepaßwörter, das Paßwort für den Aufruf von ADMINCFG.EXE und die
Paßwörter für die verschiedenen Rechte freigegebener Verzeichnisse, Drucker
und Ablagemappen. Die Anmeldepaßwörter und das Paßwort für den Aufruf
von ADMINCFG.EXE sollten regelmäßig gewechselt werden (siehe auch
M 2.11 Regelung des Paßwortgebrauchs). Eine maximale Gültigkeitsdauer
dieser Paßworte ist daher festzulegen. Damit auch der Wechsel des
ADMINCFG.EXE-Paßwortes einfach möglich ist, können die zugehörigen
Konfigurationsdateien zentral auf einem Server hinterlegt werden. Da ein
Wechsel der Freigabe-Paßwörter mit erheblichem organisatorischen Aufwand
(siehe Nr. 5) verbunden sein kann, ist vorab festzulegen, wie oft diese
gewechselt und wie die neuen Paßwörter den Betroffenen bekanntgegeben
werden sollen.
Windows 95:
Unter Windows 95 hängt die Menge der zu verwendenden Paßwörter davon
ab, ob als Zugriffsmodell die Sicherheit auf Benutzerebene oder die Sicherheit
auf Freigabeebene verwendet wird. Im ersten Fall werden, analog zur
Situation bei Windows NT, nur die Anmeldepaßwörter zu den Rechnern
benötigt, die Ressourcen für den Netzzugriff freigegeben haben, während im
zweiten Fall, ähnlich wie bei WfW, auch Paßwörter für den Zugriff auf die
freigegebenen Ressourcen benötigt werden. Eigene Paßwörter zur Verwaltung
der Peer-to-Peer-Funktionalitäten entfallen, da diese hier über Benutzerprofile
gesteuert wird.

_____________________________________________________________________ ..........................................
95

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.67
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Zugriffsschutz auf Benutzerebene basiert auf den Benutzerlisten, die auf
Windows NT oder Novell Netware Servern geführt werden, und kann daher
auch nur in solchen Netzen realisiert werden. Dieses Zugriffsmodell bietet die
größere Sicherheit und sollte daher vorzugsweise eingesetzt werden, wenn
trotz einer Vernetzung über Windows NT oder Novell Netware Server Peerto-Peer-Funktionalitäten eingesetzt werden sollen.
Windows NT:
Unter Windows NT erfolgt die Verwaltung der Peer-to-Peer-Funktionalität
unter der Kontrolle der allgemeinen Zugangs- und Zugriffskontrolle, so daß
hier keine eigenen Paßwörter für diese Verwaltungstätigkeiten erforderlich
sind. Zur Verwaltung der Zugangspaßwörter der betreffenden Benutzer sollten
die Vorgaben der Maßnahme M 2.11 Regelung des Paßwortgebrauchs
berücksichtigt werden.
7.

Verantwortlichkeiten für Benutzer im Peer-to-Peer-Netz

Neben der Wahrnehmung der Peer-to-Peer-Managementaufgaben (siehe Nr.
2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen,
welche Verantwortung die einzelnen Benutzer im Peer-to-Peer-Netz übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für
- die Auswertung der Protokolldateien auf den einzelnen Servern oder
Clients,
- die Vergabe von Zugriffsrechten,
- das Hinterlegen und den Wechsel von Paßwörtern und
- die Durchführung von Datensicherungen.
8.

Schulung

Abschließend muß festgelegt werden, welche Peer-to-Peer-Benutzer zu
welchen Punkten geschult werden müssen. Erst nach ausreichender Schulung
kann der Wirkbetrieb aufgenommen werden.
Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzern des Peer-to-Peer-Netzes mitzuteilen.
Ergänzende Kontrollfragen:
- Wird die Sicherheitsstrategie an Veränderungen im Einsatzumfeld angepaßt?

_____________________________________________________________________ ..........................................
96

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.68
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.68

Durchführung von Sicherheitskontrollen durch die
Benutzer im Peer-to-Peer-Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Da in einem Peer-to-Peer-Netz die wesentlichen Sicherheitseigenschaften
lediglich dezentral kontrolliert werden können, obliegt es dem einzelnen
Benutzer, solche Sicherheitskontrollen durchzuführen. In geeigneten
Abständen sollten daher von den Benutzern folgende Kontrollen durchgeführt
werden:
aktiver
Verbindungen:
- Kontrolle
Mittels
des
Programms
Netzwerkmonitor (in der Programmgruppe NETZWERK) unter WfW, des
optional installierbaren Programms Netzwerkmonitor (in der
Programmgruppe ZUBEHÖR, Untermenü SYSTEMPROGRAMME) unter
Windows 95 bzw. über die Systemsteuerungsoption "Server" unter
Windows NT kann überprüft werden, welcher Rechner aktuell Zugriff auf
den eigenen Rechner hat und wie die Art des Zugriffs erfolgt.
Beispielsweise:

Erkennbar sind die vom Rechner "MUSTER" aufgebauten Verbindungen.
Dabei bedeutet:
Es wird auf das Verzeichnis INFOS schreibend zugegriffen.
Es wird auf das Verzeichnis TEMP lesend zugegriffen.
Auf Ihren Drucker mit dem Namen HP$ wird zugegriffen.
Eine Verbindung zu Ihrer Ablagemappe wurde
hergestellt.
Auf die
Ablagemappe wird zugegriffen.

Seite

mit

Namen

SEITE12

Ihrer

Zeigt sich dabei, daß ein Rechner unberechtigt auf ein Verzeichnis oder
den Drucker zugreift, ist die Freigabe rückgängig zu machen. Eventuelle

_____________________________________________________________________ ..........................................
97

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.68
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Druckjobs können über den Druckmanager abgebrochen werden. Im
Ereignisprotokoll (siehe nächste Grafik) werden die entsprechenden
Aktionen dokumentiert. Zeigt sich, daß unberechtigt auf die Ablagemappe
zugegriffen wird, ist ebenfalls zu trennen, jedoch empfiehlt es sich vorher
mit der Druck-Taste den Fensterinhalt des Netzwerkmonitors in die
Zwischenablage zu kopieren, da Zugriffe auf die Ablagemappe nicht
dokumentiert werden.
- Kontrolle der Protokolldaten: Sind auf einem Rechner Ressourcen
freigegeben, sollte das Ereignisprotokoll aktiviert (in der Programmgruppe
SYSTEMSTEUERUNG unter Netzwerk bei WfW bzw. in der
Programmgruppe VERWALTUNG unter Benutzer-Manager bei
Windows NT) und regelmäßig ausgewertet (in der Programmgruppe
NETZWERK unter Netzwerkmonitor bei WfW bzw. in der
Programmgruppe
VERWALTUNG
unter
Ereignisanzeige
bei
Windows NT) werden. Windows 95 bietet standardmäßig keine
Möglichkeit zur Ereignisprotokollierung. Daher muß unter Windows 95
unbedingt der Netzwerkmonitor offen gehalten werden, falls trotz dieser
Schwachstelle die Peer-to-Peer-Funktionalitäten genutzt werden sollen.
Beispielsweise ist wöchentlich zu überprüfen, ob sich unberechtigte
Benutzer mit freigegebenen Verzeichnissen verbunden hatten, ob es
fehlerhafte Versuche zum Verbinden freigegebener Verzeichnisse gab oder
ob das System zu ungewöhnlichen Zeiten gestartet wurde. Da diese
Protokolldaten auch personenbezogene Daten beinhalten, sind sie nach
ihrer Auswertung, wenn die Notwendigkeit der Speicherung nicht mehr
besteht, zu löschen.
Beispiel für ein mögliches Ereignisprotokoll:

- Kontrolle automatisch freigegebener Ressourcen: Sporadisch sollten
WfW- und Windows 95-Benutzer überprüfen, welche ihrer Ressourcen
automatisch nach dem Systemstart ohne ihre direkte Beteiligung
freigegeben werden (zum Beispiel, indem sie nach Systemstart
kontrollieren, welche Verzeichnisse, Drucker und Seiten der Ablagemappe
dann freigegeben sind). Ggf. ist die Freigabe zurückzunehmen.
Unerklärliche Unregelmäßigkeiten wie die automatische Freigabe eines

_____________________________________________________________________ ..........................................
98

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.68
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Verzeichnisses, das der Benutzer selbst nie freigegeben hat, sind dem
Administrator zu melden. Es kann sich hier um Hinweise auf Trojanische
Pferde handeln, die unbemerkt Verzeichnisse freigeben. Besteht
Unsicherheit darüber, ob oder was freigegeben wurde, sollte unter WfW
die Datei shares.pwl gelöscht werden, die die Einträge für die automatische
Freigabe enthält. Unter Windows 95 sind die Freigaben mit Hilfe des
Explorers zurückzunehmen. Dieses Problem stellt sich unter Windows NT
nicht, da hier nur Administratoren Ressourcen freigeben dürfen.

Eine Kontrolle der Rechtevergabe ist in einem Peer-to-Peer-Netz nicht auf
direktem Wege möglich, da die Kenntnis eines gültigen Paßwortes
gleichbedeutend mit dem Besitz des Rechtes ist. Lediglich durch einen
aufwendigen Paßwortwechsel kann eine konsistente Rechteverteilung
sichergestellt werden.
Ergänzende Kontrollfragen:
- Werden Unregelmäßigkeiten dem Administrator bekanntgegeben?

_____________________________________________________________________ ..........................................
99

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.69
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.69

Einrichtung von Standardarbeitsplätzen

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Administrator
Ein Standardarbeitsplatz ist gekennzeichnet durch einheitliche Hardware und
Software sowie deren Konfiguration. Die Planung und Einrichtung erfolgt
üblicherweise unter den Aspekten der Aufgabenstellung, Zuverlässigkeit,
Ergonomie, Geschwindigkeit und Wartbarkeit. Sie wird durch fachkundiges
Personal durchgeführt. Die Einrichtung von Standardarbeitsplätzen ist in
mehrfacher Hinsicht vorteilhaft:
IT-Sicherheit:
- Standardarbeitsplätze sind leichter in Sicherheitskonzepte einzubinden.
- Der Aufwand für die Dokumentation des IT-Bestandes wird reduziert.
IT-Management:
- Die Beschaffung größerer Stückzahlen gleicher Komponenten ermöglicht
Preisvorteile.
- Der Einsatz nicht zulässiger Software ist einfacher festzustellen.
- Durch gleiche IT-Ausstattung entfallen „Neidfaktoren” zwischen den
einzelnen Benutzern.
IT-Nutzer:
- Bei Gerätewechsel ist keine erneute Einweisung in die IT-Konfiguration
erforderlich, Ausfallzeiten werden somit minimiert.
- Bei Fragen zu Hard- und Software können sich Anwender gegenseitig
helfen.
Systemadministration bei Installation und Wartung:
- Eine gewissenhaft geplante und getestete Installation kann fehlerfrei und
mit geringem Arbeitsaufwand installiert werden.
- Die einheitliche Arbeitsumgebung
(Wartung, Support und Pflege).

erleichtert

den

Benutzerservice

Schulung:
- Die Teilnehmer werden in dem Umfeld geschult, das sie am Arbeitsplatz
vorfinden.
Ergänzende Kontrollfragen:
- Werden Abweichungen vom Standardarbeitsplatz begründet?
- Werden die Begründungen regelmäßig überprüft?
- Welche Aspekte werden bei Planung
Standardarbeitsplätzen berücksichtigt?

und

Einrichtung

von

_____________________________________________________________________ ..........................................
100

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.70
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.70

Entwicklung eines Firewall-Konzeptes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Die Vernetzung vorhandener Teilnetze mit globalen Netzen wie dem Internet
führt zu einem neuen Informationsangebot. Gleichzeitig führt die zunehmende
lokale Vernetzung von Rechnersystemen dazu, daß von jedem
Arbeitsplatzrechner aus auf die vielfältigen Informationen zugegriffen werden
kann.
Diese Vernetzung läßt aber auch neue Gefährdungen entstehen, da prinzipiell
nicht nur ein Informationsfluß von außen in das zu schützende Netz stattfinden kann, sondern auch in die andere Richtung. Darüber hinaus gefährdet
die Möglichkeit remote, d. h. von einem entfernten Rechner aus (z. B. aus dem
Internet) Befehle auf Rechnern im lokalen Netz ausführen zu lassen, die
Integrität und die Verfügbarkeit der lokalen Rechner und dadurch indirekt
auch die Vertraulichkeit der lokalen Daten.
Ein zu schützendes Teilnetz sollte daher nur dann an ein anderes Netz angeschlossen werden, wenn dies unbedingt erforderlich ist. Dies gilt insbesondere
für Anschlüsse an das Internet. Dabei ist auch zu prüfen, inwieweit das zu
schützende Netz in anschließbare, nicht anschließbare und bedingt
anschließbare Teile segmentiert werden muß und ob für die Kopplung mit
dem Internet nicht ein Stand-alone-System ausreicht (siehe M 5.46 Einsatz
von Stand-alone-Systemen zur Nutzung des Internets).
Um die Sicherheit des zu schützenden Netzes zu gewährleisten, muß eine
geeignete Firewall eingesetzt werden. Damit eine Firewall effektiven Schutz
bieten kann, müssen folgende grundlegende Bedingungen erfüllt sein. Die
Firewall muß
- auf einer umfassenden Sicherheitspolitik aufsetzen,
- im IT-Sicherheitskonzept der Organisation eingebettet sein,
- korrekt installiert und
- korrekt administriert werden.
Der Anschluß an ein externes Netz darf erst dann erfolgen, wenn überprüft
worden ist, daß mit dem gewählten Firewall-Konzept sowie den personellen
und organisatorischen Randbedingungen alle Risiken beherrscht werden
können.
Es gibt verschiedene Arten der Realisierung einer Firewall. Um festzustellen,
welches Firewall-Konzept für den Einsatzzweck am geeignetsten ist, muß
zunächst geklärt werden, welche Sicherheitsziele durch die Firewall erfüllt
werden sollen. Beispiele für Sicherheitsziele sind:
- Schutz des internen Netzes gegen unbefugten Zugriff von außen,
- Schutz der Firewall gegen Angriffe aus dem externen Netz, aber auch
gegen Manipulationen aus dem internen Netz,

_____________________________________________________________________ ..........................................
101

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.70
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Schutz der lokal übertragenen und gespeicherten Daten gegen Angriffe auf
deren Vertraulichkeit oder Integrität,
- Schutz der lokalen Netzkomponenten gegen Angriffe auf deren Verfügbarkeit (Insbesondere gilt dies auch für Informationsserver, die Informationen aus dem internen Bereich für die Allgemeinheit zu Verfügung
stellen.),
- Verfügbarkeit der Informationen des externen Netzes im zu schützenden
internen Netz, (Die Verfügbarkeit dieser Informationen muß aber gegenüber dem Schutz der lokalen Rechner und Informationen zurückstehen!),
- Schutz vor Angriffen, die auf IP-Spoofing beruhen oder die SourceRouting Option, das ICMP-Protokoll bzw. Routingprotokolle mißbrauchen,
- Schutz vor Angriffen durch das Bekanntwerden von neuen sicherheitsrelevanten Softwareschwachstellen. (Da die Anzahl der potentiellen
Angreifer und deren Kenntnisstand bei einer Anbindung an das Internet als
sehr hoch angesehen werden muß, ist dieses Sicherheitsziel von besonderer
Bedeutung.)
Auf den Sicherheitszielen aufbauend muß eine Sicherheitspolitik erarbeitet
werden, in der Aufgaben und Anforderungen an die Firewall festgelegt
werden. Diese Sicherheitspolitik muß in die IT-Sicherheitsstrategie der
jeweiligen Organisation eingebettet sein und daher mit dem IT-Sicherheitsmanagement vereinbart werden.
Die Umsetzung der Firewall-Sicherheitspolitik erfolgt dann durch die Realisierung der Firewall, durch geeignete Auswahl von Hardware-Komponenten
wie Paket-Filter und Application-Gateway und die sorgfältige Implementation
von Filterregeln.
Hinweis:
Paket-Filter sind IT-Systeme mit spezieller Software, die die Informationen
der unteren Schichten des OSI-Modells filtern und entsprechend spezieller
Regeln Pakete weiterleiten oder abfangen (siehe M 2.74 Geeignete
Auswahl eines Paket-Filters).
Ein Application-Gateway ist ein Rechner, der die Informationen der
Anwendungsschicht filtert und gemäß spezieller Regeln Verbindungen
verbieten oder erlauben kann (siehe M 2.75 Geeignete Auswahl eines
Application-Gateway). Während Paket-Filter auf Schicht 3 und 4 des OSIModells arbeiten, arbeiten Gateways auf Schicht 7 und sind somit
wesentlicher komplexer. Ein Application-Gateway ist im allgemeinen auf
einem IT-System implementiert, das ausschließlich für diese Aufgabe eingesetzt wird und dessen Befehlsumfang auf das notwendigste reduziert ist.
Damit eine Firewall einen wirkungsvoller Schutz eines Netzes gegen Angriffe
von außen darstellt, müssen einige grundlegende Voraussetzungen erfüllt sein:
- Jede Kommunikation zwischen den beiden Netzen muß ausnahmslos über
die Firewall geführt werden. Dafür muß sichergestellt sein, daß die Firewall die einzige Schnittstelle zwischen den beiden Netzen darstellt. Es
müssen Regelungen getroffen werden, daß keine weiteren externen Ver-

_____________________________________________________________________ ..........................................
102

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.70
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

bindungen unter Umgehung der Firewall geschaffen werden dürfen (siehe
auch M 2.77 Sichere Anordnung weiterer Komponenten).
- Eine Firewall darf ausschließlich als schützender Übergang zum internen
Netz eingesetzt werden, daher dürfen auf einer Firewall nur die dafür
erforderlichen Dienste verfügbar sein und keine weiteren Dienste wie z. B.
Remote-Login angeboten werden.
- Ein administrativer Zugang zur Firewall darf nur über einen gesicherten
Weg möglich sein, also z. B. über eine gesicherte Konsole, eine verschlüsselte Verbindung oder ein separates Netz. Zur Aufstellung einer gesicherten Konsole siehe M 1.32 Geeignete Aufstellung von Konsole, Geräten mit
austauschbaren Datenträgern und Druckern.
- Eine Firewall baut auf einer für das zu schützende Netz definierten
Sicherheitspolitik auf und gestattet nur die dort festgelegten Verbindungen.
Diese Verbindungen müssen nach IP-Adresse, Dienst, Zeit, Richtung und
Benutzer getrennt festgelegt werden können.
- Für die Konzeption und den Betrieb einer Firewall muß geeignetes Personal zur Verfügung stehen. Der zeitliche Aufwand für den Betrieb einer
Firewall darf nicht unterschätzt werden. Alleine die Auswertung der angefallenen Protokolldaten nimmt erfahrungsgemäß viel Zeit in Anspruch. Ein
Firewall-Administrator muß fundierte Kenntnisse über die eingesetzten ITKomponenten besitzen und auch entsprechend geschult werden.
- Die Benutzer des lokalen Netzes sollten durch den Einsatz einer Firewall
möglichst wenig Einschränkungen hinnehmen müssen.
Eine Firewall kann das interne Netz vor vielen Gefahren beim Anschluß an
das Internet schützen, aber nicht vor allen. Beim Aufbau einer Firewall und
der Erarbeitung einer Firewall-Sicherheitspolitik sollte man sich daher die
Grenzen einer Firewall verdeutlichen:
- Es werden Protokolle überprüft, nicht die Inhalte. Eine Protokollprüfung
bestätigt beispielsweise, daß eine E-Mail mit ordnungsgemäßen Befehlen
zugestellt wurde, kann aber keine Aussagen zum eigentlichen Inhalt der EMail machen.
- Die Filterung von aktiven Inhalten ist unter Umständen nur teilweise
erfolgreich.
- Sobald ein Benutzer eine Kommunikation über eine Firewall herstellen
darf, kann er über das verwendete Kommunikationsprotokoll beliebige
andere Protokolle tunneln. Damit könnte ein Innentäter einem Externen
den Zugriff auf interne Rechner ermöglichen.
- Eine Einschränkung der Internetzugriffe auf festgelegte Webserver ist in
der Realität unmöglich, da zu viele WWW-Server auch als Proxies nutzbar
sind, so daß eine Sperrung bestimmter IP-Adressen leicht umgangen
werden kann.
- Die Filtersoftware ist häufig noch unausgereift. Beispielweise ist es
möglich, daß nicht alle Arten der Adressierung erfaßt werden. Das folgende Beispiel mit dem BSI-Webserver soll aufzeigen, welche Möglichkeiten zur Adressierung vorhanden sind. Die Liste ist bei weitem nicht

_____________________________________________________________________ ..........................................
103

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.70
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

vollständig, da einzelne Buchstaben auch durch Escape-Sequenzen dargestellt werden können.
WWW.BSI.BUND.DE
WWW.BSI.DE
194.95.176.226
3261051106
- Die Filterung von Spam-Mails ist noch nicht ausgereift. Keine Firewall
kann zweifelsfrei feststellen, ob eine E-Mail vom Empfänger erwünscht ist
oder nicht. Spam-Mails dürften erst dann verschwinden, wenn die Absender zweifelsfrei nachweisbar sind, was noch einige Zeit dauern wird.
- Firewalls schützen nicht vor allen Denial-of-Service-Attacken. Wenn ein
Angreifer z. B. die Anbindung zum Provider lahmlegt, kann auch die beste
Firewall nicht helfen. Außerdem gibt es immer wieder Implementationsfehler von Protokollen auf Endgeräten, die eine Firewall nicht abfangen
kann.
- Leider ermöglichen viele Firewalls es nicht, durch Hintereinanderschaltung
von verschiedenen Firewalls eine erhöhte Sicherheit zu erlangen. Gerade in
größeren Firmen ist dies problematisch, wenn innerhalb der Firma auch
Firewalls eingesetzt werden, z. B. zur Bildung von abgesicherten
Teilnetzen.
- Eine Firewall kann zwar einen Netzübergang sichern, sie hat aber keinen
Einfluß auf die Sicherheit der Kommunikation innerhalb dieser Netze!

_____________________________________________________________________ ..........................................
104

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.71
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.71

Festlegung einer Sicherheitspolitik für eine
Firewall

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Für die Erstellung einer Sicherheitspolitik muß als erstes festgelegt werden,
welche Arten der Kommunikation mit dem äußeren Netz zugelassen werden.
Bei der Auswahl der Kommunikationsanforderungen müssen speziell die
folgenden Fragen beantwortet werden:
- Welche Informationen dürfen durch die Firewall nach außen hindurchbzw. nach innen hereingelassen werden?
- Welche Informationen soll die Firewall verdecken (z. B. die interne
Netzstruktur oder die Benutzernamen)?
- Welche Authentisierungsverfahren sollen innerhalb des zu schützendes
Netzes bzw. für die Firewall benutzt werden (z. B. Einmalpaßwörter oder
Chipkarten)?
- Welche Zugänge werden benötigt (z. B. nur über einen Internet-ServiceProvider oder auch über einen Modempool)?
- Welcher Datendurchsatz ist zu erwarten?
Diensteauswahl
Aus den Kommunikationsanforderungen wird dann abgeleitet, welche Dienste
im zu sichernden Netz erlaubt und welche verboten werden müssen.
Es muß unterschieden werden zwischen denjenigen Diensten, die für die
Benutzer im zu schützenden Netz und denjenigen, die für externe Benutzer
zugelassen werden.
Wenn zum Beispiel E-Mail empfangen werden soll, was im allgemeinen die
Minimalanforderung ist, muß auf der Firewall das SMTP-Protokoll
durchgelassen werden können. Wenn Dateien von externen IT-Systemen
geholt werden sollen, muß FTP vorhanden sein.
In der Sicherheitspolitik muß für jeden Dienst explizit festgelegt werden,
welche Dienste für welche Benutzer und/oder Rechner zugelassen werden
sollen und für welche Dienste Vertraulichkeit und/oder Integrität gewährleistet
werden müssen. Es sollten nur die Dienste zugelassen werden, die unbedingt
notwendig sind. Alle anderen Dienste müssen verboten werden. Dies muß
auch die Voreinstellung sein: Alle Dienste, für die noch keine expliziten
Regeln festgelegt wurden, dürfen nicht zugelassen werden.
Es muß festgelegt werden, ob und welche der übertragenen Nutzinformationen
gefiltert werden sollen (z. B. zur Kontrolle auf Computer-Viren).
Die Sicherheitspolitik sollte so beschaffen sein, daß sie auch zukünftigen
Anforderungen gerecht wird, d. h. es sollte eine ausreichende Anzahl von
Verbindungsmöglichkeiten vorgesehen werden. Jede spätere Änderung muß
streng kontrolliert werden und insbesondere auf Seiteneffekte überprüft
werden.

_____________________________________________________________________ ..........................................
105

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.71
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ausnahmeregelungen, insbesondere für neue Dienste und kurzzeitige
Änderungen (z. B. für Tests), müssen vorgesehen werden.
Es sind Forderungen an die Filter zu stellen, und zwar einmal an die Filter, die
die Informationen der Dienste der Schichten drei und vier des OSISchichtenmodells (IP, ICMP, ARP, TCP und UDP) verwenden, sowie an die
Filter, die die Informationen der Dienste der Anwendungsschicht (z. B.
Telnet, FTP, SMTP, DNS, NNTP, HTTP) verwenden. Einen Überblick, was
für einen sicheren Einsatz der einzelnen Protokolle und Dienste zu beachten
ist, gibt M 5.39 Sicherer Einsatz der Protokolle und Dienste. Darauf
aufbauend müssen Filterregeln formuliert werden (siehe M 2.76 Auswahl und
Implementation geeigneter Filterregeln).
Neben der sorgfältigen Aufstellung und Umsetzung der Filterregeln sind
darüber hinaus folgende organisatorische Regelungen erforderlich:
- Es müssen Verantwortliche sowohl für das Aufstellen als auch für die
Umsetzung und das Testen der Filterregeln benannt werden. Es muß
geklärt werden, wer befugt ist, die Filterregeln z. B. für Tests neuer
Dienste zu verändern.
- Es muß festgelegt werden, welche Informationen protokolliert werden und
wer die Protokolle auswertet. Es müssen sowohl alle korrekt aufgebauten
als auch die abgewiesenen Verbindungen protokolliert werden. Die
Protokollierung muß den datenschutzrechtlichen Bestimmungen
entsprechen.
- Die Benutzer müssen über ihre Rechte, insbesondere auch über den
Umfang der Nutzdaten-Filterung umfassend informiert werden.
- Angriffe auf die Firewall sollten nicht nur erfolgreich verhindert, sondern
auch frühzeitig erkannt werden können. Angriffe können über die
Auswertung der Protokolldateien erkannt werden. Die Firewall sollte aber
auch in der Lage sein, aufgrund von vordefinierten Ereignissen, wie z. B.
häufigen fehlerhaften Paßworteingaben auf einem Application-Gateway
oder Versuchen, verbotene Verbindungen aufzubauen, Warnungen
auszugeben oder evtl. sogar Aktionen auszulösen.
- Es ist zu klären, welche Aktionen bei einem Angriff gestartet werden, ob
z. B. der Angreifer verfolgt werden soll oder ob die Netzverbindungen
nach außen getrennt werden sollen. Da hiermit starke Eingriffe in den
Netzbetrieb verbunden sein können, müssen Verantwortliche bestimmt
sein, die entscheiden können, ob ein Angriff vorliegt und die
entsprechenden Maßnahmen einleiten. Die Aufgaben und Kompetenzen für
die betroffenen Personen und Funktionen müssen eindeutig festgelegt sein.
Folgende Fragen müssen bei der Festlegung der Sicherheitspolitik geklärt
werden:
- Welcher Schaden kann im zu schützenden Netz verursacht werden, wenn
die Firewall überwunden wird? Da es keine absolute Sicherheit geben
kann, muß entschieden werden, ob der maximal auftretende Schaden
tragbar ist oder ob zusätzliche Maßnahmen ergriffen werden müssen.

_____________________________________________________________________ ..........................................
106

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.71
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Welche Restrisiken existieren bei einem ordnungsgemäßen Betrieb der
Firewall? Dies sind z. B. Schwachstellen in den benutzten Geräten und
Betriebssystemen.
- Wie schnell wird ein Angriff auf die Firewall bemerkt?
- Welche Protokoll-Informationen sind auch nach einem erfolgreichen
Angriff noch verfügbar?
- Sind die Benutzer bereit, die Einschränkungen durch die Firewall zu
akzeptieren?

_____________________________________________________________________ ..........................................
107

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.72
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.72

Anforderungen an eine Firewall

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Vor der Beschaffung einer Firewall sollten die folgenden Punkte berücksichtigt werden:
- Die Struktur des zu schützenden Netzes (Rechnernummern, -namen und
Mailadressen) muß verdeckt werden können, damit sich keine Rückschlüsse auf die interne Netzstruktur und die internen Anwender ziehen
lassen. Dies läßt sich z. B. durch den Einsatz eines Application-Gateways
und zweier DNS-Server erreichen.
- Die Firewall sollte in der Lage sein, bestimmte Rechner mit einem geringeren Schutzbedarf gegen Angriffe zu schützen, ohne daß diese Rechner
im zu schützenden Netz stehen müssen. Für diese Rechner brauchen dann
keine benutzerspezifischen Filterregeln festgelegt werden. Dies können
z. B. Informationsserver sein, die an einem dedizierten Interface eines
Paket-Filter oder des Application-Gateways (Multi-Homed Gateway)
angeschlossen sind (siehe auch Abb. 1 in M 2.77 Sichere Anordnung
weiterer Komponenten).
- Die Verwaltung der Komponenten muß zentral über einen vertrauenswürdigen Pfad (z. B. über ein separates Netz oder eine verschlüsselte
Verbindung) erfolgen und übersichtlich sein (z. B. über ein graphisches
Interface auf einem separatem Rechner). Die Verwaltung sollte auf einem
separatem Rechner erfolgen, d. h. die dafür erforderliche ManagementPlattform sollte sich auf einem separatem Rechner befinden, damit auf der
Firewall selber keine komplexe und damit fehleranfällige Software wie XWindows erforderlich ist.
- Empfehlenswert ist eine Firewall-Anordnung, die aus mindestens zwei
getrennten Einheiten besteht. Die Einheiten müssen hintereinander angeordnet sein, so daß für eine Verbindung zwischen den beiden beteiligten
Netzen beide Einheiten passiert werden müssen. Die Einheiten sollten mit
unterschiedlichen Betriebssystemen arbeiten und unterschiedliche Formate
für die Beschreibung der Filterregeln benutzen.
Die beiden Einheiten können z. B. ein Paket-Filter und ein ApplicationGateway sein. Hierdurch wird sichergestellt, daß Fehler, die bei der
Verwaltung einer Komponente gemacht werden, von der richtig konfigurierten anderen Komponente abgefangen werden.

_____________________________________________________________________ ..........................................
108

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.73
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.73

Auswahl eines geeigneten Firewall-Typs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Nachdem eine Sicherheitspolitik für die Firewall festgelegt worden ist, muß
entschieden werden, mit welchen Komponenten die Firewall realisiert werden
soll. Dafür ist eine geeignete Anordnung auszuwählen.
Es gibt beispielsweise die folgenden Anordnungsmöglichkeiten
- Ausschließlicher Einsatz eines Paket-Filters

zu
s c h ü tze n d e s
N e tz

P a c k e t F ilte r
u n s ic h e re s
N e tz

Diese Anordnung besteht ausschließlich aus einem Paket-Filter, der die
Informationen der unteren Schichten filtert und gemäß spezieller Regeln
Pakete weiterleitet oder abweist.
- Dual-homed Gateway

zu
s c h ütze n d e s
N e tz

un s ic h e re s
N e tz
A p p lic a tio n G a te w a y

Diese Anordnung besteht aus einem Application-Gateway, das mit zwei
Netz-Interfaces ausgerüstet ist und als alleiniger Übergang zwischen zwei
Netzen eingesetzt wird. Application-Gateways filtern Informationen auf
Schicht 7 des OSI-Schichtenmodells. Das Dual-homed Gateway muß so
konfiguriert werden, daß keine Pakete ungefiltert passieren können, d. h.
insbesondere, daß IP-Forwarding abgeschaltet werden muß.
- Screened-Subnet
Bei einem Screened-Subnet handelt es sich um ein Teilnetz zwischen
einem zu schützenden Netz und einem externen Netz, in dem FirewallKomponenten für die Kontrolle der Verbindungen und Pakete sorgen.
Ein Screened-Subnet besteht aus einem Application-Gateway und einem
oder zwei Paket-Filtern. Die Paket-Filter befinden sich vor und/oder hinter
dem Gateway und bilden mit diesem ein Teilnetz. Ein Screened-Subnet
kann z. B. ein Dual-homed Gateway enthalten. Die Filterregeln werden so
gestaltet, daß jede Verbindung von innen oder außen über das Gateway
gehen muß.

_____________________________________________________________________ ..........................................
109

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.73
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Folgende Kombinationen sind möglich:

K onfiguration 2:

K onfiguration 1:

zu
schützendes
Netz

Packet Filter

Packet Filter
unsicheres
N etz

zu
schützendes
Netz

Packet Filter

Packet Filter
unsicheres
Netz

ApplicationGateway
ApplicationGateway

K onfiguration 4:

K onfiguration 3:
Packet Filter

zu
schützendes
Netz

unsicheres
Netz

Packet Filter

zu
schützendes
Netz

unsicheres
Netz

ApplicationGateway

K onfiguration 5:
zu
schützendes
Netz

K onfiguration 6:

Packet Filter
unsicheres
Netz

zu
schützendes
Netz

ApplicationG ateway

Packet Filter
unsicheres
Netz

ApplicationGateway

ApplicationG ateway

Im folgenden werden Vor- und Nachteile der jeweiligen Anordnungsmöglichkeiten aufgezeigt.
Ausschließlicher Einsatz eines Paket-Filters
Vorteile:
-

leicht realisierbar, da die Funktionalität von vielen Routern geliefert
wird

-

leicht erweiterbar für neue Dienste

Nachteile:
-

IP-Spoofing u. U. möglich

-

alle Dienste, die gestattet werden sollen, müssen auf allen Rechnern,
die erreicht werden können, sicher sein

-

komplexe Filterregeln

-

keine Testmöglichkeiten, es ist insbesondere nicht möglich
festzustellen, ob die Filterregeln in ihrer Reihenfolge verändert
werden, was bei einigen Routern geschieht, um den Durchsatz zu
steigern

-

keine ausreichende Protokollierungsmöglichkeit

_____________________________________________________________________ ..........................................
110

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.73
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Diese Anordnung kann nur in kleinen Netzen eingesetzt werden, in denen alle
Rechner gegen Angriffe abgesichert sind.
Dual-homed Gateway
Vorteile:
-

umfangreiche Protokollierung möglich

-

interne Netzstruktur wird verdeckt

Nachteile:
-

relativ hoher Preis (da ein leistungsfähiger Rechner mit zwei NetzInterfaces benötigt wird)

-

Probleme bei neuen Diensten

-

die Übernahme des Application-Gateways durch den Angreifer führt
zu einem vollständigen Verlust der Sicherheit

Ein zusätzlicher Schutz läßt sich durch den Einsatz eines Paket-Filters vor
dem Gateway erreichen, wie z. B. durch einen vorhandenen Router. In diesem
Fall müßten Router und Gateway durchbrochen werden, um Zugang zum zu
schützenden Netz zu erhalten.
Screened-Subnet
Vorteile:
-

kein direkter Zugang zum Gateway möglich (bei Konfigurationen 1
und 2)

-

die Struktur des internen Netzes wird verdeckt

-

vereinfachte Regeln für die Paket-Filter

-

zusätzliche Sicherheit durch einen zweiten Paket-Filter (bei
Konfigurationen 1 und 2)

-

durch den Einsatz mehrerer Gateways läßt sich die Verfügbarkeit
steigern

-

umfangreiche Protokollierung möglich

Nachteile:
-

hoher Preis (da ein leistungsfähiger Rechner mit ein oder zwei NetzInterfaces sowie mindestens ein Paket-Filter benötigt wird)

-

wenn in einem Screened-Subnet mit einem Application-Gateway mit
einem Interface die Paket-Filter manipuliert werden (siehe
Konfiguration 2, 4 und 6), ist eine direkte Verbindung unter
Umgehung des Gateways möglich. Dies kann evtl. auch eine
gewünschte Funktionalität sein (z. B. bei neuen Diensten)

Auf Grund der oben beschriebenen Vor- und Nachteile der verschiedenen
Anordnungen kann nur ein Screened-Subnet mit einem Dual-homed Gateway
(Konfiguration 1) empfohlen werden. In diesem Fall befindet sich das

_____________________________________________________________________ ..........................................
111

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.73
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Gateway zwischen dem zu schützenden und dem externen Netz und muß auf
jeden Fall passiert werden.
Auf dem Application-Gateway laufen sogenannte Proxy-Prozesse, die den
Verbindungsaufbau zum Zielrechner durchführen, nachdem eine
Authentisierung des Benutzers stattgefunden hat, und die Daten gemäß den
Informationen der Anwendungsschicht filtern. Verbindungen, für die keine
Proxy-Prozesse existieren, sind nicht möglich.
Die flexiblere, aber unsicherere Lösung eines Application-Gateways mit nur
einem Interface (Konfiguration 2) sollte nur dann benutzt werden, wenn die
höhere Flexiblität unverzichtbar ist.
Die beteiligten Rechner müssen so eingerichtet werden, daß nur die unbedingt
notwendigen Programme auf ihnen laufen (Minimal-System), diese richtig
konfiguriert sind und alle bekannten Schwachstellen beseitigt werden.

_____________________________________________________________________ ..........................................
112

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.74
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.74

Geeignete Auswahl eines Paket-Filters

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Paket-Filter sind Router oder Rechner mit spezieller Software, welche die in
den Schichten drei und vier der TCP/IP Protokollfamilie (IP, ICMP, ARP,
TCP und UDP) vorhandenen Informationen zum Filtern der Pakete benutzen.
Hierzu werden Access- und Deny-Listen benutzt.
Sollte ein Paket-Filter für eine Firewall benötigt werden, so sind bei der
Beschaffung folgende Forderungen zu stellen:
- Die Filterung muß getrennt für jedes Interface möglich sein.
- Eine Filterung muß getrennt für kommende und gehende Pakete möglich
sein.
- Die Filterung muß getrennt nach Quell- und Zieladresse für einzelne
Rechner oder für komplette Teilnetze möglich sein.
- Die Filterung muß getrennt nach Quell- und Zielport möglich sein.
- Die Reihenfolge der Abarbeitung der Filterregeln darf nicht automatisch
vom Paket-Filter verändert werden.
- Die Reihenfolge der Abarbeitung der Filterregeln sollte klar ersichtlich,
d. h. ausreichend dokumentiert, sein.
- Die Eingabe und Kontrolle der Filterregeln muß einfach und übersichtlich
sein, z. B. durch symbolische Angabe von Dienst- und Protokollnamen.
- Bei TCP-Paketen muß eine Unterscheidung, ob eine bestehende Verbindung benutzt wird oder ein Verbindungsaufbau stattfindet, d. h. eine
Unterscheidung zwischen ACK und ACK-losen Paketen, möglich sein.
- Die Protokollierung von IP-Nummer, Dienst, Zeit und Datum für jedes
Paket muß durchführbar sein, wobei auch Einschränkungen auf bestimmte
Pakete (z. B. nur Pakete mit einer speziellen Quell-Adresse) möglich sein
müssen.
- Sämtliche Protokollinformationen müssen an einen externen Host
geschickt werden können.
- Spezielle, einstellbare Ereignisse müssen zu einer unverzüglichen Warnung
führen (z. B. mehrfache fehlerhafte Authentisierungsversuche).
- Im Falle, daß ein Router als Paket-Filter eingesetzt wird, muß es möglich
sein, statische Routingtabellen zu benutzen. Es sei aber darauf hingewiesen, daß Router in der Regel nicht als Paket-Filter eingesetzt werden
sollten, da sie einen sehr umfangreichen Funktionsumfang haben und somit
die Filtereigenschaften oftmals nur als Add-on angeboten werden - mit
entsprechenden Konsequenzen bei der Erstellung und Prüfung der entsprechenden Software.
- Im Falle, daß ein Router als Paket-Filter eingesetzt wird, muß das dynamische Routing so konfigurierbar sein, daß Routing-Pakete (z. B. RIP), die

_____________________________________________________________________ ..........................................
113

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.74
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

das zu schützende Netz betreffen, nur an dem Interface zugelassen werden,
das auch mit dem zu schützenden Netz verbunden ist.
- Pakete mit Source-Routing Informationen müssen standardmäßig verworfen werden können.
- Der Paket-Filter sollte ggf. eine dynamische Paket-Filterung unterstützen.
D. h., daß z. B. bei der Übertragung von UDP-Paketen der entsprechende
Kontext für eine gewisse Zeitspanne gespeichert wird und die zugehörigen
Antwortpakete hindurchgelassen werden.
Dynamische Filter
Ausgehend von der Definition für einen Paket-Filter als Filter, der die Informationen der Schichten drei und vier zur Kontrolle verwendet, zeigen sich
sehr schnell die Grenzen dieses Verfahrens. Während bei TCP (Transmission
Control Protocol) eine Möglichkeit besteht, einen Verbindungsaufbau zu
erkennen und dadurch Verbindungen vom Internet in das zu schützende Netz
zu verbieten, geht dies bei UDP (User Datagram Protocol) nicht mehr. Als
Lösung für dieses Problem werden dynamische Paket-Filter eingesetzt. Wird
ein UDP-Paket vom internen Rechner z. B. zu einem DNS-Server im Internet
geschickt, so speichert der dynamische Paket-Filter die Daten (Quell- und
Zieladresse, Quell- und Zielport) und erzeugt eine neue Erlaubnisregel für die
Antwortpakete. Diese Regel ist nur für eine gewisse einstellbare Zeitspanne
gültig. Kommen keine Antwortpakete, wird sie wieder gelöscht.

_____________________________________________________________________ ..........................................
114

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.75
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.75

Geeignete Auswahl eines Application-Gateway

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Ein Application-Gateway ist ein Rechner, der die in der Anwendungsschicht
vorhandenen Informationen zum Filtern von Verbindungen nutzt.
Dies können z. B. Benutzernamen in Verbindung mit einer starken Authentisierung, spezielle Informationen in den übertragenen Daten (z. B. Kontrolle
auf Computer-Viren) oder Informationen der Anwendungsschicht sein. Ein
Application-Gateway bietet darüber hinaus die Möglichkeit, einen einheitlichen Zugang zum zu schützenden Teilnetz zu schaffen und die Struktur
dieses Netzes zu verdecken. Die auf dem Application-Gateway laufenden
Filterprozesse werden als Proxy-Prozesse bezeichnet.
Sollte ein Application-Gateway für eine Firewall benötigt werden, so sind bei
der Beschaffung folgende Forderungen zu stellen:
- Es müssen alle wesentlichen Protokolle (wie Telnet, FTP, SMTP, DNS,
NNTP, HTTP) der Anwendungsschicht behandelt werden.
- Für jedes unterstützte Protokoll muß eine Filterung nach allen in
Maßnahme M 2.76 Auswahl und Implementation geeigneter Filterregeln
spezifizierten Informationen möglich sein. Insbesondere müssen die Filterregeln benutzerabhängig formulierbar sein, und es muß möglich sein,
mehrere Benutzer zu einer Gruppe zusammenzufassen.
- Eine Filterung nach Inhalten sollte unterstützt werden, damit eine zentrale
Virenprüfung und das Blockieren von aktiven Inhalten möglich ist (siehe
G 5.23 Computer-Viren).
- Bei dem Einsatz eines Application-Gateways sollte keine Änderung der
Software im zu schützenden Netz oder im externen Netz nötig sein.
- Die Eingabe und Kontrolle der Filterregeln muß einfach und übersichtlich
sein.
- Die eingesetzten Programme müssen gut dokumentiert sein.
- Es muß leicht möglich sein, neue Protokolle hinzuzufügen.
- Für jede aufgebaute und abgewiesene Verbindung muß eine Protokollierung von Benutzer-Identifikation, IP-Nummer, Dienst, Zeit und Datum
durchgeführt werden können, wobei auch Einschränkungen auf bestimmte
Verbindungen (z. B. für einen speziellen Benutzer) möglich sein sollten.
- Die Protokollinformationen müssen an einen externen Host geschickt
werden können.
- Spezielle, einstellbare Ereignisse müssen zu einer unverzüglichen Warnung
führen (z. B. mehrfache fehlerhafte Authentisierungsversuche).
- Zur Benutzer-Identifikation müssen starke Authentisierungsmethoden
verwendet werden.
- Vom Application Gateway müssen virtuelle private Netze unterstützt
werden.

_____________________________________________________________________ ..........................................
115

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.76
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.76

Auswahl und Implementation geeigneter
Filterregeln

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Das Aufstellen und die notwendige Aktualisierung der Filterregeln für eine
Firewall ist keine einfache Aufgabe. Der Administrator muß dafür fundierte
Kenntnisse der eingesetzten Protokolle besitzen und entsprechend geschult
werden.
Beim Aufstellen der Filterregeln sollten folgende Punkte beachtet werden:
- Die Regeln sollten so formuliert werden, daß alle Zugänge, die nicht
explizit erlaubt werden, verboten sind.
- Falls es Bedarf für eine benutzerspezifische Authentisierung gibt, muß
geklärt werden, welche Benutzer sich im inneren Netz befinden, welche
Dienste diese anwenden dürfen und welche Authentisierungsverfahren
eingesetzt werden sollen.
- Es müssen alle Rechner, die sich im inneren Netz befinden, berücksichtigt
werden.
- Es muß festgelegt werden, welche Dienste zu welchen Zeiten zur Verfügung stehen sollen. Wenn eine Organisation festgelegte Arbeitszeiten hat,
Mitarbeiter z. B. nur zwischen 7.00 und 19.00 Uhr anwesend sein können,
sollten außerhalb der üblichen Arbeitszeiten auch keine Verbindungen
aufgebaut werden können.
Die Filterregeln sollten in einer Tabelle zusammengefaßt werden, deren eine
Achse die Zielrechnernummern und deren andere Achse die Quellrechnernummern enthält. Die Einträge enthalten dann die erlaubten Portnummern,
dabei ist die obere der Quell-, die untere der Zielport. Paket-Filter können die
Überprüfung der Pakete unmittelbar nach dem Empfang oder vor der Weiterleitung durchführen. Hierbei sollte beachtet werden, daß eine Filterung der in
den Paket-Filter eingehenden Pakete durchgeführt werden sollte. Außerdem
müssen die Paket-Filter so konfiguriert werden, daß als Absenderadresse nur
die Nummern der an dem Interface angeschlossenen Rechner zugelassen
werden. Adressen, die mit den anderen Interfaces verknüpft sind, dürfen nicht
durchgelassen werden. Dies verringert die Gefahr von IP-Spoofing Angriffen.
Beispiel:
Die folgende Tabelle enthält Filterregeln für das interne Interface eines PaketFilters zwischen einem internen Netz und einem Screened-Subnet, also einem
Teilnetz, das sich zwischen dem internen und dem externen Netz befindet und
die Verbindungen zwischen diesen kontrolliert (siehe auch Abb. 1 in M 2.77
Sichere Anordnung weiterer Komponenten).
Die Einträge enthalten die erlaubten Verbindungen, dabei bezeichnet der
obere Eintrag den Quellport und der untere Eintrag den Zielport.

_____________________________________________________________________ ..........................................
116

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.76
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

an Appl. Gateway
von

Screende-Subnet
externen DNSServer

externen MailServer

internem Mail-Server

¶

¶

TCP > 1023
¶¶¶¶¶¶
TCP: 25

internem DNS-Server

¶

UDP: 53
¶¶¶¶¶¶
UDP: 53

¶

¶

¶

¶

¶

¶

¶

¶

¶

IT-System mit
IP-Adresse 1.2.3.5
IT-System mit
IP-Adresse 1.2.3.7
IT-Systeme mit
IP-Adresse 1.2.5.*
IT-Systeme mit
IP-Adresse 1.2.6.*

TCP > 1023
¶¶¶¶¶¶
TCP: 20,21
TCP > 1023
¶¶¶¶¶¶
TCP: 23
TCP > 1023
¶¶¶¶¶¶
TCP: 23, 80
TCP > 1023
¶¶¶¶¶¶
TCP: 80

Dies bedeutet beispielsweise, daß der interne Mail-Server mit TCP von
einem Port mit einer Portnummer > 1023 auf Port 25 (SMTP) des externen
Mail-Servers im Screened-Subnet zugreifen darf. Ports mit einer Portnummer > 1023 werden auch als unprivilegierte Ports bezeichnet, im
Gegensatz zu Ports mit niedrigeren Portnummern, die als privilegiert
bezeichnet werden, da nur privilegierte Benutzer, also solche mit RootBerechtigung, Verbindungen mit diesen Ports aufbauen dürfen.
Diese Tabelle muß dann in entsprechende Filterregeln umgesetzt werden. Dies
ist häufig nicht einfach und muß deshalb sehr genau kontrolliert werden.
Durch regelmäßige Tests muß überprüft werden, daß alle Filterregeln korrekt
umgesetzt worden sind. Insbesondere muß sichergestellt werden, daß nur die
Dienste zugelassen werden, die in der Sicherheitspolitik vorgesehen sind.
Für die Regeln eines Application-Gateways sind analoge Tabellen zu erstellen
und in die entsprechenden Filterregeln umzusetzen.
Beispiel:
Benutzername

Dienst

Befehl

Authentisierung

E. Beispiel

FTP

RETR, STOR

Einmalpaßwort

K. Mustermann

FTP

RETR

Chipkarte

Die Benutzerin Frau Beispiel darf die Befehle RETR und STOR des Dienstes
FTP benutzen, d. h. sie darf über FTP Dateien laden und senden, während
Herr Mustermann nur Dateien laden darf.

_____________________________________________________________________ ..........................................
117

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.77
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.77

Sichere Anordnung weiterer Komponenten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Neben Installation und Betrieb der Firewall müssen auch weitere Komponenten, die der Kommunikation zwischen geschütztem und externem Netz
dienen, sicher angeordnet werden. Dazu gehören z. B. Informationsserver für
die Bereitstellung von Informationen an interne oder externe Benutzer, MailServer und DNS-Server.
Für die Anordnung weiterer Komponenten ist zu unterscheiden, ob diese im
zu schützenden Netz, im Screened-Subnet oder auf der externen Seite der
Firewall aufgestellt werden sollen. Zur besseren Differenzierung wird der
Bereich zwischen dem inneren Paket-Filter und dem Application-Gateway im
folgenden auch als internes Screened-Subnet bezeichnet, der Bereich
zwischen dem Application-Gateway und dem äußeren Paket-Filter als
externes Screened-Subnet.
Externe Zugänge
Weitere externe Zugänge zum zu schützenden Netz, z. B. mit telnet über einen
Modempool, sollten wie Zugänge aus dem unsicheren Netz behandelt werden.
Dies läßt sich erreichen, indem z. B. ein Terminalserver mit angeschlossenen
Modems auf die externe Seite der Firewall gestellt wird, so daß ein Zugang
von dort nur über Telnet zum internen Rechner durchgeführt werden kann.
Beim Einsatz von virtuellen privaten Netzen (VPNs) kann es auch sinnvoll
sein, den notwendigen Zugang über ein weiteres Interface am Application
Gateway zu realisieren.
Es müssen klare Regelungen darüber getroffen werden, daß keine externen
Zugänge unter Umgehung der Firewall geschaffen werden. Diese Regelungen
müssen allen Mitarbeitern bekanntgemacht werden. Es muß sichergestellt
werden, daß sowohl das IT-Sicherheitsmanagement als auch der FirewallAdministrator rechtzeitig über entsprechende Pläne unterrichtet wird, um eine
Einbettung in das IT-Sicherheitskonzept und die Firewall-Sicherheitspolitik zu
gewährleisten.

_____________________________________________________________________ ..........................................
118

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.77
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

multi-homed
Application
Gateway

zu schützendes
Netz

Mailserver

Packet Filter

Packet Filter

unsicheres
Netz

externer
Infoserver
DNS-Server

zentral verwaltet

Abb. 1: Screened-Subnet mit Dual-homed Gateway.
Dargestellt sind funktionale Einheiten, die zum Teil auch in einem Gerät
vereint werden können (siehe Abb. 2), wobei aber auf die dann zusätzlich
auftretenden Sicherheitsprobleme besonders geachtet werden muß. So kann
z. B. das ansonsten sichere Application-Gateway durch die Übernahme der
Funktionen des externen DNS-Servers angreifbar werden, wenn in der
DNS-Software ein Fehler ist.
Anordnung von Informationsservern
Informationsserver, die für die Bereitstellung von Informationen an externe
Benutzer dienen, müssen außerhalb der Firewall stehen und wie andere im
externen Netz vorhandene Server betrachtet werden. Ihre Verwaltung sollte
entweder lokal oder über spezielle zeitlich begrenzte Zugänge vom geschützten Netz erfolgen. Die Daten sollten auf schreibgeschützten Datenträgern
liegen.
Gibt es Daten, die nur für die Benutzer des zu schützenden Netzes erreichbar
sein sollen, ist es sinnvoll, weitere Informationsserver im internen ScreenedSubnet (siehe Abb. 1) einzusetzen. Diese sind dann von außen nicht erreichbar
und gegen Angriffe von innen durch den Paket-Filter geschützt.

_____________________________________________________________________ ..........................................
119

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.77
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................
zu schützendes
Netz

externer Infoserver
&
externer DNS-Server

Packet Filter

Packet Filter

unsicheres
Netz

interner
DNS-Server

Application Gateway
Infoserver

interner
Infoserver

Abb. 2: Screened-Subnet mit Application-Gateway an einem separaten
Router-Interface.
Dargestellt sind funktionale Einheiten, die zum Teil auch in einem Gerät
vereint werden können. Dies ist für den externen Mail- und DNS-Server
angedeutet.
Anordnung der Mail-Server
Ein Mail-Server innerhalb des geschützten Netzes wird zur Verwaltung der
Alias-Datenbank, mit der die Benutzeradressen auf ein einheitliches Format
umgesetzt werden können, für einen evtl. POP-Daemon oder auch als Gateway zum Übergang in ein anderes Mailsystem (z. B. X.400) eingesetzt. Alle
internen Mails werden an diesen Server geschickt und von dort ggf. über einen
externen Mail-Server nach außen weitergeleitet.
Der externe Mail-Server im externen Screened-Subnet stellt die Verbindungen
mit externen Rechnern her und nimmt die Mails von dort entgegen, so daß die
interne Struktur des geschützten Netzes verdeckt wird. Diese Funktion kann
auch vom Application-Gateway wahrgenommen werden.
Durch diese Konfiguration wird erreicht, daß interne Mails nicht in das äußere
Netz gelangen und eine einheitliche Adreßstruktur benutzt werden kann.
zu schützendes
Netz

Packet Filter

Packet Filter

unsicheres
Netz

Dual-homed
Application
Gateway

interne
Mail

interner
Mailserver
kommende Mail

externer
Mailserver
ausgehende Mail

Abb. 3: Anordnung der Mail-Server.
Mails zwischen Rechnern im zu schützenden Netz verlassen das Netz
nicht, da sie vom internen Mail-Server weitergeleitet werden, der auch die

_____________________________________________________________________ ..........................................
120

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.77
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

interne Alias-Datenbank verwaltet. Mails an externe Rechner werden über
das Gateway an den externen Mail-Server geschickt und von dort weitergeleitet. Für Mails von externen Rechnern verweist der MX-Eintrag (vom
externen DNS-Server, siehe Abb. 4) auf den externen Mail-Server. Dieser
schickt die Mails dann an den internen Mail-Server weiter. Die Funktionalität des externen Mail-Servers kann u. U. auch vom Gateway wahrgenommen werden.
Anordnung der DNS-Server
Der Domain Name Service (DNS) dient zur Umsetzung von Rechnernamen in
IP-Nummern und umgekehrt und stellt ferner Informationen über im Netz
vorhandene Rechnersysteme zur Verfügung. DNS-Informationen sollten vor
der Außenwelt, d. h. dem Internet oder anderen externen Netzen, verborgen
werden. Der bekannteste Ansatz zur Umsetzung dieser Forderung geht von
einer speziellen Anordnung zweier DNS-Server (Nameserver) aus. Ein DNSServer im internen Screened-Subnet verdeckt die Struktur des zu schützenden
Netzes und kommuniziert mit einem DNS-Server im externen ScreenedSubnet, um Namen von externen Rechnern umzusetzen. Da DNS-Clients sich
nicht notwendigerweise mit einem DNS-Server auf denselben Rechnern
unterhalten müssen, ist es möglich, beide Prozesse auf unterschiedlichen
Rechnern ablaufen zu lassen.
Der externe DNS-Server muß so konfiguriert werden, daß er behauptet, die
Autorität für die Domäne des zu schützenden Netzes zu sein (PrimaryServer). Natürlich weiß dieses System nur das, was der Außenwelt bekanntgegeben werden soll, also Namen und IP-Nummern des externen MailServers, des Application-Gateways und des externen Informationsservers. Es
handelt sich dann um einen Public-DNS-Server.
Der interne DNS-Server muß auch so konfiguriert werden, daß er behauptet,
die Autorität für die Domain des zu schützenden Netzes darzustellen. Im
Gegensatz zum externen DNS-Server verwaltet dieser Privat-DNS-Server aber
alle internen DNS-Informationen und leitet Suchanfragen interner Rechner
über externe Hosts an den externen DNS-Server weiter.
Alle DNS-Clients einschließlich der auf dem Application-Gateway müssen so
konfiguriert werden, daß sie immer den internen DNS-Server benutzen (z. B.
mittels Einträgen in der Datei /etc/resolv.conf).
Fragt nun ein interner Client nach einem internen Rechner, wird der interne
DNS-Server benutzt. Fragt ein interner Client oder ein Client auf dem Application-Gateway nach einem externen Rechner, wird der interne DNS-Server
befragt, der wiederum den externen DNS-Server befragt, der wiederum das
Internet befragt, das eine Antwort zurückgibt.
Ein externer Client, der nach einem internen Host fragt, erhält die eingeschränkte Liste vom externen DNS-Server.
Der eingesetzte Paket-Filter muß so konfiguriert werden, daß zwischen den
Servern nur der DNS-Dienst gestattet ist, d. h. DNS Port 53 als Quell- und
Zielport. Die Freigabe weiterer Ports (> 1023) ist also nicht nötig.

_____________________________________________________________________ ..........................................
121

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.77
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................
zu schützendes
Netz

Packet Filter

interne
DNS-Abfrage

Packet Filter

unsicheres
Netz

Dual-homed
Application
Gateway

externe
DNS-Abfrage

DNS-Abfrage
des Gateway
privater
DNS-Server

Public
DNS-Server

Abb. 4: Anordnung der DNS-Server.
Der Private-DNS-Server ist der Primary-DNS-Server für das zu schützende
Netz und reicht Anfragen über externe Rechner an den Public-DNS-Server
weiter. Der Client auf dem Gateway ist so konfiguriert, daß zunächst der
Private-DNS-Server gefragt wird, der die Anfrage dann evtl. an den
Public-DNS-Server weiterreicht. Der Public-DNS-Server ist für externe
Rechner der Primary-DNS-Server für das zu schützende Netz, enthält aber
nur die Einträge der Rechner, die außen bekannt sein sollen.

_____________________________________________________________________ ..........................................
122

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.78
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.78

Sicherer Betrieb einer Firewall

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Für einen sicheren Betrieb einer Firewall sind die umgesetzten Sicherheitsmaßnahmen regelmäßig auf ihre korrekte Einhaltung zu überprüfen. Insbesondere müssen die für den Betrieb der Firewall getroffenen organisatorische
Regelungen regelmäßig/sporadisch auf ihre Einhaltung überprüft werden. Es
sollte in zyklischen Abständen kontrolliert werden, ob neue Zugänge unter
Umgehung der Firewall geschaffen wurden.
Durch regelmäßige Tests muß außerdem überprüft werden, daß alle Filterregeln korrekt umgesetzt worden sind. Dabei ist zu testen, daß nur die Dienste
zugelassen werden, die in der Sicherheitspolitik vorgesehen sind.
Falls nachträgliche Änderungen der Sicherheitspolitik erforderlich sind,
müssen diese streng kontrolliert werden und insbesondere auf Seiteneffekte
überprüft werden.
Die bei der Beschaffung an Paket-Filter bzw. an Application-Gateways
gestellten Forderungen sind umzusetzen. Sie sind regelmäßig zu aktualisieren
und auf Vollständigkeit zu prüfen.
Die Defaulteinstellung der Filterregeln und die Anordnung der Komponenten
muß sicherstellen, daß alle Verbindungen, die nicht explizit erlaubt sind,
blockiert werden. Dies muß auch bei einem völligen Ausfall der FirewallKomponenten gelten.
Es muß die Regel "Alles was nicht ausdrücklich erlaubt ist, ist verboten"
realisiert sein. So darf z. B. ein Benutzer, der keinen Eintrag in einer AccessListe hat, keine Möglichkeit haben, Dienste des Internets zu benutzen.
Darüber hinaus sind die folgenden Punkte zu beachten:
- Um ein Mitlesen oder Verändern der Authentisierungsinformationen zu
verhindern, dürfen sich Administrator und Revisor nur über einen vertrauenswürdigen Pfad authentisieren. Dies könnte z. B. direkt über die
Konsole, eine verschlüsselte Verbindung oder ein separates Netz erfolgen.
- Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten
Software durchgeführt werden und im Fehlerfall die Firewall abgeschaltet
werden.
- Die Firewall muß auf ihr Verhalten bei einem Systemabsturz getestet werden. Insbesondere darf kein automatischer Neustart möglich sein, und die
Access-Listen müssen auf einem schreibgeschützten Medium speicherbar
sein. Die Access-Listen sind die wesentlichen Daten für den Betrieb der
Firewall und müssen besonders gesichert werden, damit keine alten oder
fehlerhaften Access-Listen bei einem Neustart benutzt werden, der durch
einen Angreifer provoziert wird.
Bei einem Ausfall der Firewall muß sichergestellt sein, daß in dieser Zeit
keine Netzverbindungen aus dem zu schützenden Netz heraus oder zu
diesem aufgebaut werden können.

_____________________________________________________________________ ..........................................
123

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.78
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Auf den eingesetzten Komponenten dürfen nur Programme, die für die
Funktionsfähigkeit der Firewall nötig sind, vorhanden sein. Der Einsatz
dieser Programme muß ausführlich dokumentiert und begründet werden.
Beispielsweise sollte die Software für die graphische Benutzeroberfläche
entfernt werden sowie alle Treiber, die nicht benötigt werden. Diese sollten
auch aus dem Betriebssystem-Kern entfernt werden. Das Verbleiben von
Software muß dokumentiert und begründet werden.
- Beim Wiedereinspielen von gesicherten Datenbeständen muß darauf
geachtet werden, daß für den sicheren Betrieb der Firewall relevante
Dateien wie Access-Listen, Paßwortdateien oder Filterregeln auf dem
aktuellsten Stand sind.

_____________________________________________________________________ ..........................................
124

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.79
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.79

Festlegung der Verantwortlichkeiten im Bereich
Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation
Vor der Einführung von Standardsoftware müssen eine Reihe von Verantwortlichkeiten geregelt werden. Beispielhaft seien die Verantwortlichkeiten
genannt für die Erstellung eines Anforderungskataloges, die Vorauswahl von
Produkten, das Testen und Freigeben und die Installation.
Nachfolgend wird zum Vergleich aufgezeigt, wie diese Verantwortlichkeiten
sinnvoll verteilt werden können. Da jedoch die Bezeichnungen in den meisten
Organisationen voneinander abweichen, werden vorab einige Instanzen
anhand ihrer Aufgaben definiert, denen anschließend die einzelnen Verantwortlichkeiten zugeordnet werden können:
-

Die Fachabteilung ist der Anwender der Standardsoftware. Sie äußert
ihren Bedarf an neuer Software und gibt damit den Anstoß zu deren
Beschaffung. Sie wird bei Vorauswahl und Test beteiligt, um die
Anforderungen der Anwender einzubringen.

-

Die Behörden-/Unternehmensleitung ist verantwortlich für die
Freigabe von Standardsoftware. Diese Verantwortung wird meist an
den Leiter der Fachabteilung delegiert, womit nach Freigabe die
Verantwortung für den korrekten Einsatz der Standardsoftware auf die
Fachabteilung übergeht.

-

Der IT-Bereich hat die Aufgabe, IT-Lösungen für die Erfüllung der
Aufgaben der Fachabteilung bereitzustellen und den sicheren und
zuverlässigen Betrieb der IT zu gewährleisten.

-

Die Beschaffungsstelle muß die Interoperabilität und Kompatibilität
der zu beschaffenden Standardsoftware sowie die Einhaltung von
Hausstandards und gesetzlichen Vorschriften sicherstellen. Oft gibt es
in den einzelnen Fachabteilungen IT-Koordinatoren, die Teile der
Aufgaben der Beschaffungsstelle für die Fachabteilung beratend
wahrnehmen und evtl. auch die Haushaltsmittel der Fachabteilung
koordinieren.

-

Der Haushalt ist verantwortlich für das Rechnungswesen, die ITBudgetverwaltung und für die Bereitstellung der benötigten Haushaltsmittel.

-

Der IT-Sicherheitsbeauftragte muß überprüfen, ob mit den eingesetzten oder zu beschaffenden Produkte ein angemessenes IT-Sicherheitsniveau gewährleistet werden kann. Im Rahmen des IT-Sicherheitsmanagements (vgl. Kapitel 1) muß er die IT-Sicherheit im
laufenden Betrieb sicherstellen.

-

Der Datenschutzbeauftragte muß die Einhaltung der datenschutzrechtlichen Bestimmungen und eines ausreichenden Schutzes
personenbezogener Daten gewährleisten.

_____________________________________________________________________ ..........................................
125

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.79
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Der Personal- bzw. Betriebsrat muß in vielen Fällen bei der Auswahl neuer Standardsoftware beteiligt werden, insbesondere wenn
damit größere Änderungen im Arbeitsablauf verbunden sind oder
wenn die zu beschaffende Software zur Leistungskontrolle geeignet ist
(siehe M 2.40 Rechtzeitige Beteiligung des Personal- / Betriebsrates).

Im Gesamtprozeß "Standardsoftware" muß für jeden einzelnen Schritt festgelegt werden, welche der zuvor beschriebenen Instanzen für die Durchführung verantwortlich sind und welche Instanzen dabei beteiligt werden
müssen. Eine mögliche sinnvolle Verantwortungsverteilung ist zur Orientierung in nachfolgender Tabelle zusammengefaßt:
verantwortlich
Erstellung des
Anforderungskatalogs

Fachabteilung,
Bereich

zu beteiligen
IT- Beschaffungsstelle, Haushälter,
IT-Sicherheitsbeauftragter,
Datenschutzbeauftragter,
Personal- oder Betriebsrat

Vorauswahl eines Beschaffungsstelle
geeigneten
Produktes

IT-Bereich, Fachabteilung

Testen

Fachabteilung und IT- IT-Sicherheitsbeauftragter,
Bereich
Datenschutzbeauftragter,
Personal- oder Betriebsrat

Freigabe

Behörden/Unternehmensleitung
evtl. delegiert an Leiter
Fachabteilung

Beschaffung

Beschaffungsstelle

Sicherstellen der
Integrität der
Software

IT-Bereich

-

Installation und
Konfiguration

IT-Bereich

-

Versionskontrolle IT-Bereich
und Lizenzverwaltung

-

Deinstallation

IT-Bereich

-

Kontrolle des ITBetriebs

IT-Sicherheitsbeauftragter

-

-

Haushalt

Die getroffenen Zuordnungen sind verbindlich festzuschreiben und deren
Einhaltung ist periodischen Kontrollen zu unterziehen.

_____________________________________________________________________ ..........................................
126

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.79
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Sind alle Mitarbeiter über bestehende Richtlinien und über deren Kontrolle
unterrichtet?
- Werden alle relevanten Stellen (z. B. Personalrat, Haushalt, Datenschutzbeauftragter, ...) entsprechend ihrer Funktion beteiligt?

_____________________________________________________________________ ..........................................
127

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.80

Erstellung eines Anforderungskataloges für
Standardsoftware

Verantwortlich für Initiierung: Leiter Fachabteilung
Verantwortlich für Umsetzung: Fachabteilung, Leiter IT
Zur Lösung einer Aufgabe, die mit IT bearbeitet wird, bietet der Markt meist
eine Vielzahl gleichartiger Standardsoftwareprodukte an. In ihrer Grundfunktionalität vergleichbar, unterscheiden sie sich jedoch in Kriterien wie Anschaffungs- und Betriebskosten, Zusatzfunktionalitäten, Kompatibilität,
Administration, Ergonomie und IT-Sicherheit.
Anforderungskatalog
Für die Auswahl eines geeigneten Produktes muß daher zunächst ein Anforderungskatalog erstellt werden. Der Anforderungskatalog sollte u. a. zu den
folgenden Punkten Aussagen enthalten:
- Funktionale Anforderungen, die das Produkt zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muß. Die für die Fachaufgabe
relevanten Einzelfunktionalitäten sollten hervorgehoben werden.
Verkürzte Beispiele:
-

Textverarbeitung mit den Zusatzfunktionen Einbinden von Graphiken, Makroprogrammierung, Rechtschreibprüfung und Silbentrennung. Makroprogrammierung muß abschaltbar sein, Rechtschreibprüfung muß in Englisch, Französisch und Deutsch verfügbar sein.
Die spezifizierten Textformate müssen im- und exportiert werden
können.

-

Datenbank (Front-End und Back-End) für Multi-User-Betrieb mit
Unterstützung der Standardabfragesprache SQL und graphischer
Bedienoberfläche

-

Terminplaner zur Koordinierung und Kontrolle von Terminen der
Abteilungsangehörigen mit integrierter Terminabstimmung,
automatischem Versand von Einladungen und Aufgaben- und
Prioritäten-Listen, Schnittstelle zum hausinternen Mailprogramm

- IT-Einsatzumgebung, diese wird einerseits beschrieben durch die
Rahmenbedingungen, die durch die vorhandene oder geplante ITEinsatzumgebung vorgegeben werden, und andererseits durch die
Leistungsanforderungen, die durch das Produkt an die Einsatzumgebung
vorgegeben werden.
Verkürzte Beispiele:
-

Vorgegebene IT-Einsatzumgebung: Unter Novell 3.11 vernetzter
PC, 80486-Prozessor, 8 MB Hauptspeicher, 500 MB Festplattenkapazität, Diskettenlaufwerk, CD-ROM-Laufwerk, MS-DOS 6.0,
Produkt darf maximal 50 MB der Festplatte belegen, es muß unter
Windows 3.11 laufen und netztauglich sein.

_____________________________________________________________________ ..........................................
128

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Leistungsanforderungen: Das Textverarbeitungsprogramm X benötigt 16 MB Festplattenplatz, läuft auf einem PC ab 80386-Prozessor,
8 MB Hauptspeicher, Windows 3.11.

- Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität.
Verkürzte Beispiele:
-

Datenbestände aus der vorhandenen Datenbank XYZ müssen übernommen werden können.

-

Die Funktionen A, B, C müssen bei Versionswechseln erhalten bleiben.

-

Der Datenaustausch mit dem Unix-System XYZ muß möglich sein.

- Performanceanforderungen beschreiben die erforderlichen Leistungen
hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden.
Verkürzte Beispiele:
-

Die maximale Antwortzeit bei Ausführung von Funktion X darf 2
Sekunden nicht überschreiten.

-

Die Verschlüsselungsrate sollte auf einem 486 DX 33 mindestens 60
KB/sec betragen.

-

Andere gleichzeitig verarbeitete Prozesse dürfen durch das Produkt
maximal um 30% verlangsamt werden.

- Interoperabilitätsanforderungen, d. h. die Zusammenarbeit mit anderen
Produkten über Plattformgrenzen hinweg muß möglich sein.
Verkürzte Beispiele:
-

Versionen des Textverarbeitungsprogramms sollen für Windows-,
Unix- und Macintosh-Plattformen verfügbar sein. Dokumente sollen
auf einem Betriebssystem erstellt und auf einem anderen weiterverarbeitet werden können.

-

Das Textverarbeitungsprogramm muß mit dem eingesetzten Mailprogramm zusammenarbeiten können.

- Zuverlässigkeitsanforderungen betreffen die Stabilität des Produktes,
also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit.
Verkürzte Beispiele:
-

Fehleingaben des Benutzers müssen erkannt werden und dürfen
nicht zum Programmabbruch oder Systemabsturz führen.

-

Die Datenbank muß über Mechanismen verfügen, die es erlauben,
bei einem Systemabbruch mit Zerstörung der Datenbank alle Transaktionen zu rekonstruieren (Roll-Forward).

_____________________________________________________________________ ..........................................
129

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Konformität zu Standards, dies können internationale Normen, De-factoStandards oder auch Hausstandards sein.
Verkürzte Beispiele:
-

Das Produkt muß der EU-Bildschirmrichtlinie 90/270/EWG entsprechen.

-

Die Implementation eines Token-Ring-LANs muß konform sein zur
Norm ENV 41110.

-

Das Produkt muß dem X/Open-Standard entsprechen.

- Einhaltung von internen Regelungen und gesetzlichen Vorschriften
(z. B. ausreichender Datenschutz bei der Verarbeitung personenbezogener
Daten)
Verkürzte Beispiele:
-

Das Produkt muß den Grundsätzen ordnungsmäßiger DV-gestützter
Buchführungssysteme genügen.

-

Da personenbezogene Daten verarbeitet werden, müssen die Bestimmungen des Bundesdatenschutzgesetzes mit den implementierten
Funktionen erfüllt werden können.

- Anforderungen an die Benutzerfreundlichkeit, die durch die leichte
Bedienbarkeit, Verständlichkeit und Erlernbarkeit gekennzeichnet ist, also
insbesondere durch die Güte der Benutzeroberfläche sowie die Qualität der
Benutzerdokumentation und der Hilfefunktionen.
Verkürzte Beispiele:
-

Eine Online-Hilfefunktion muß implementiert sein.

-

Die Benutzeroberfläche muß so gestaltet sein, daß ungelernte Kräfte
innerhalb von zwei Stunden in die Benutzung eingewiesen werden
können.

-

Die Benutzerdokumentation und die Benutzeroberfläche sollten in
der Landessprache vorliegen.

- Anforderungen an die Wartbarkeit ergeben sich für den Anwender
hauptsächlich aus der Fehlerbehandlung des Produktes.
Verkürzte Beispiele:
-

Der Administrationsaufwand darf nicht zu hoch sein.

-

Der Anbieter muß eine Hotline für Fragen anbieten.

-

Das Produkt muß einfach zu installieren und zu konfigurieren sein.

-

Das Produkt muß einfach zu deinstallieren sein.

- die Obergrenze der Kosten, die durch die Beschaffung dieses Produktes
verursacht würden, werden vorgegeben. Dabei müssen nicht nur die unmittelbaren Beschaffungskosten für das Produkt selber einbezogen werden,
sondern auch Folgekosten, wie z. B. eine Aufrüstung der Hardware, Personalkosten oder notwendige Schulungen.

_____________________________________________________________________ ..........................................
130

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Verkürzte Beispiele:
-

Das Produkt darf maximal 15000.- DM kosten.

-

Die Schulungskosten dürfen 2000.- DM nicht überschreiten

- Aus den Anforderungen an die Dokumentation muß hervorgehen,
welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit)
erforderlich sind.
Verkürzte Beispiele:
-

Die Benutzerdokumentation muß leicht nachvollziehbar und zum
Selbststudium geeignet sein. Die gesamte Funktionalität des Produktes ist zu beschreiben.

-

Die Systemverwalterdokumentation muß Handlungsanweisungen für
mögliche Fehler enthalten.

- Bezüglich der Softwarequalität können Anforderungen gestellt werden,
die von Herstellererklärungen über das eingesetzten Qualitätssicherungsverfahren, über ISO 9000 ff. Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO 12119 reichen.
Verkürzte Beispiele:
-

Der Softwareerstellungsprozeß des Herstellers muß nach ISO 9000
zertifiziert sein.

-

Die Funktionalität des Produktes muß unabhängig gemäß ISO 12119
überprüft worden sein.

- Sollen durch das Produkt IT-Sicherheitsfunktionen erfüllt werden, sind sie
in Form von Sicherheitsanforderungen zu formulieren (vgl. M 4.42
Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung).
Dies wird nachfolgend noch ausführlich erläutert.
Sicherheitsanforderungen
Abhängig davon, ob das Produkt Sicherheitseigenschaften bereitstellen muß,
können im Anforderungskatalog Sicherheitsfunktionen aufgeführt werden.
Typische Sicherheitsfunktionen, die hier in Frage kommen, seien kurz erläutert. Weitere Ausführungen findet man in den ITSEC.
- Identifizierung und Authentisierung
In vielen Produkten wird es Anforderungen geben, diejenigen Benutzer zu
bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die
vom Produkt kontrolliert werden. Dazu muß nicht nur die behauptete
Identität des Benutzers festgestellt, sondern auch die Tatsache nachgeprüft
werden, daß der Benutzer tatsächlich die Person ist, die er zu sein vorgibt.
Dies geschieht, indem der Benutzer dem Produkt Informationen liefert, die
fest mit dem betreffenden Benutzer verknüpft sind.
- Zugriffskontrolle
Bei vielen Produkten wird es erforderlich sein sicherzustellen, daß Benutzer und Prozesse, die für diese Benutzer tätig sind, daran gehindert
werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die

_____________________________________________________________________ ..........................................
131

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem
Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung oder Änderung (einschließlich Löschung) von Informationen geben.
- Beweissicherung
Bei vielen Produkten wird es erforderlich sein sicherzustellen, daß über
Handlungen, die von Benutzern bzw. von Prozessen im Namen solcher
Benutzer ausgeführt werden, Informationen aufgezeichnet werden, damit
die Folgen solcher Handlungen später dem betreffenden Benutzer zugeordnet werden können und der Benutzer für seine Handlungen verantwortlich gemacht werden kann.
- Protokollauswertung
Bei vielen Produkten wird sicherzustellen sein, daß sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen
haben und welche Informationen oder sonstigen Betriebsmittel davon
betroffen waren.
- Unverfälschbarkeit
Bei vielen Produkten wird es erforderlich sein sicherzustellen, daß
bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben
und daß Daten zwischen einzelnen Prozessen ohne Änderungen übertragen
werden.
Daneben müssen auch Funktionen bereitgestellt werden, die es bei der
Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und
Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche
oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu
ändern.
- Zuverlässigkeit
Bei vielen Produkten wird es erforderlich sein sicherzustellen, daß zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem
es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen
sein, daß zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Produkten erforderlich sein
sicherzustellen, daß ein Zugriff in dem erforderlichen Moment möglich ist
und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden.
- Übertragungssicherung
Dieser Begriff umfaßt alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:
-

Authentisierung

-

Zugriffskontrolle

-

Datenvertraulichkeit

_____________________________________________________________________ ..........................................
132

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Datenintegrität

-

Sende- und Empfangsnachweis

Einige dieser Funktionen werden mittels kryptographischer Verfahren
realisiert.
Über die ITSEC hinaus können weitere Sicherheitsanforderungen an Standardsoftware konkretisiert werden.
- Datensicherung
An die Verfügbarkeit der mit dem Produkt verarbeiteten Daten werden
hohe Anforderungen gestellt. Unter diesen Punkt fallen im Produkt integrierte Funktionen, die Datenverlusten vorbeugen sollen wie die automatische Speicherung von Zwischenergebnissen oder die automatische
Erstellung von Sicherungskopien vor der Durchführung größerer Änderungen.
- Verschlüsselung
Verschlüsselung dient der Wahrung der Vertraulichkeit von Daten. Bei
vielen Produkten wird es erforderlich sein, Nutzdaten vor einer Übertragung oder nach der Bearbeitung zu verschlüsseln und sie nach Empfang
oder vor der Weiterverarbeitung zu entschlüsseln. Hierzu ist ein anerkanntes Verschlüsselungsverfahren zu verwenden. Es ist sicherzustellen,
daß die zur Entschlüsselung benötigten Parameter (z. B. Schlüssel) in der
Weise geschützt sind, daß kein Unbefugter Zugang zu diesen Daten besitzt.
- Funktionen zur Wahrung der Datenintegrität
Für Daten, deren Integritätsverlust zu Schäden führen kann, können Funktionen eingesetzt werden, die Fehler erkennen lassen oder sogar mittels
Redundanz korrigieren können. Meist werden Verfahren zur Integritätsprüfung eingesetzt, die absichtliche Manipulationen am Produkt bzw. den
damit erstellten Daten sowie ein unbefugtes Wiedereinspielen von Daten
zuverlässig aufdecken können. Sie basieren auf kryptographischen Verfahren (siehe M 5.36 Verschlüsselung unter Unix und M 4.34 Einsatz von
Verschlüsselung, Checksummen oder Digitalen Signaturen).
- Datenschutzrechtliche Anforderungen
Wenn mit dem Produkt personenbezogene Daten verarbeitet werden sollen,
sind über die genannten Sicherheitsfunktionen hinaus zusätzliche spezielle
technische Anforderungen zu stellen, um den Datenschutzbestimmungen
genügen zu können.
Stärke der Mechanismen
Sicherheitsfunktionen werden durch Mechanismen umgesetzt. Je nach Einsatzzweck müssen diese Mechanismen eine unterschiedliche Stärke besitzen,
mit der sie Angriffe abwehren können. Die erforderliche Stärke der Mechanismen ist im Anforderungskatalog anzugeben. Nach ITSEC unterscheidet
man drei verschiedene Mechanismenstärken:

_____________________________________________________________________ ..........................................
133

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- niedrig: bietet Schutz gegen zufällige unbeabsichtigte Angriffe, z. B.
Bedienungsfehler.
- mittel: bietet Schutz gegen Angreifer mit beschränkten Gelegenheiten
oder Betriebsmitteln.
- hoch:
kann nur von Angreifern überwunden werden, die über sehr gute
Fachkenntnisse, Gelegenheiten und Betriebsmitteln verfügen, wobei ein
solcher erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt wird.
Beispiele für Anforderungen zu Sicherheitseigenschaften
Nachfolgend werden für einige wichtige Sicherheitsfunktionen Beispiele
genannt, aus denen typische Anforderungen an Sicherheitseigenschaften deutlich werden.
Soll das Produkt über einen Identifizierungs- und Authentisierungsmechanismus verfügen, können beispielsweise folgende Anforderungen gestellt
werden:
- Der Zugang darf ausschließlich über eine definierte Schnittstelle erfolgen.
Dabei kann z. B. ein Anmeldemechanismus zum Einsatz kommen, der eine
eindeutige Benutzerkennung und ein Paßwort verlangt. Wird beim Zugang
zum IT-System bereits die Identität des Benutzers sichergestellt, ist eine
anonyme Paßworteingabe ausreichend. Andere Möglichkeiten sind Verfahren, die auf dem Besitz bestimmter "Token" beruhen, wie z. B. einer Chipkarte.
- Das Zugangsverfahren selbst muß die sicherheitskritischen Parameter, wie
Paßwort, Benutzerkennung, usw., sicher verwalten. So dürfen aktuelle Paßwörter nie unverschlüsselt auf den entsprechenden IT-Systemen
gespeichert werden.
- Das Zugangsverfahren muß definiert auf Fehleingaben reagieren. Erfolgt
zum Beispiel dreimal hintereinander eine fehlerhafte Authentisierung, ist
der Zugang zum Produkt zu verwehren oder alternativ sind die zeitlichen
Abstände, nach denen ein weiterer Zugangsversuch erlaubt wird, sukzessiv
zu vergrößern.
- Das Zugangsverfahren muß das Setzen bestimmter Minimalvorgaben für
die sicherheitskritischen Parameter zulassen. So sollte die Mindestlänge
eines Paßwortes sechs Zeichen, die Mindestlänge einer PIN drei Ziffern
betragen. Ggf. ist auch die Syntax für Paßwörter vorzugeben.
Soll das Produkt über eine Zugriffskontrolle verfügen, können beispielsweise
folgende Anforderungen gestellt werden:
- Das Produkt muß verschiedene Benutzer unterscheiden können.
- Das Produkt muß je nach Vorgabe Ressourcen einzelnen autorisierten
Benutzer zuteilen können und Unberechtigten den Zugriff gänzlich verwehren.
- Mittels einer differenzierten Rechtestruktur (lesen, schreiben, ausführen,
ändern, ...) sollte der Zugriff geregelt werden können. Die für die Rechte-

_____________________________________________________________________ ..........................................
134

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

verwaltung relevanten Daten sind manipulationssicher vom Produkt zu verwalten.
Soll das Produkt über eine Protokollierung verfügen, können folgende
Anforderungen sinnvoll sein:
- Der Mindestumfang, den das Produkt protokollieren können muß, sollte
parametrisierbar sein. Beispielsweise sollten folgende Aktionen protokollierbar sein:
-

bei Authentisierung: Benutzerkennung, Datum und Uhrzeit, Erfolg,
...,

-

bei der Zugriffskontrolle: Benutzerkennung, Datum und Uhrzeit,
Erfolg, Art des Zugriffs, was wurde wie geändert, gelesen, geschrieben, ...,

-

Durchführung von Administratortätigkeiten,

-

Auftreten von funktionalen Fehlern.

- Die Protokollierung darf von Unberechtigten nicht deaktivierbar sein. Die
Protokolle selbst dürfen für Unberechtigte weder lesbar noch modifizierbar
sein.
- Die Protokollierung muß übersichtlich, vollständig und korrekt sein.
Soll das Produkt über eine Protokollauswertung verfügen, können folgende
Anforderungen sinnvoll sein:
- Eine Auswertefunktion muß nach den bei der Protokollierung geforderten
Datenarten unterscheiden können (z. B. "Filtern aller unberechtigten
Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum").
Die Auswertefunktion muß auswertbare ("lesbare") Berichte erzeugen, so
daß keine sicherheitskritischen Aktivitäten übersehen werden.
Soll das Produkt über Funktionen zur Unverfälschbarkeit verfügen, könnte
beispielsweise folgende Anforderung gestellt werden:
- Ein Datenbank-Managementsystem muß über Möglichkeiten zur Beschreibung von Regeln bestimmter Beziehungen zwischen den gespeicherten
Daten verfügen (z. B. referentielle Integrität). Außerdem müssen geeignete
Mechanismen existieren, die verhindern, daß es durch Änderungen der
Daten zu Verstößen gegen diese Regeln kommt.
Soll das Produkt über Funktionen zur Datensicherung verfügen, können beispielsweise folgende Anforderungen gestellt werden:
- Es muß konfigurierbar sein, welche Daten wann gesichert werden.
- Es muß eine Option zum Einspielen beliebiger Datensicherungen existieren.
- Die Funktion muß das Sichern von mehreren Generationen ermöglichen.
- Datensicherungen von Zwischenergebnissen aus der laufenden Anwendung
sollen möglich sein.

_____________________________________________________________________ ..........................................
135

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Soll das Produkt über eine Verschlüsselungskomponente verfügen, sind
folgende Anforderungen sinnvoll:
- Der implementierte Verschlüsselungsalgorithmus sollte - beim Einsatz in
Behörden - vom BSI anerkannt sein. Hier empfiehlt sich eine individuelle
Beratung durch das BSI. Außerhalb der Behörden ist bei mittlerem Schutzbedarf der DES geeignet.
- Das Schlüsselmanagement muß mit der Funktionalität des Produktes harmonieren. Dabei sind insbesondere grundsätzliche Unterschiede der Algorithmen zu berücksichtigen:
-

symmetrische Verfahren benutzen einen geheimzuhaltenden Schlüssel für die Ent- und Verschlüsselung,

-

asymmetrische Verfahren benutzen einen öffentlichen Schlüssel für
die Verschlüsselung und einen privaten (geheimzuhaltenden) für die
Entschlüsselung.

- Das Produkt muß die sicherheitskritischen Parameter wie Schlüssel sicher
verwalten. So dürfen Schlüssel (auch mittlerweile nicht mehr benutzte) nie
ungeschützt, das heißt auslesbar, auf den entsprechenden IT-Systemen
abgelegt werden.
Soll das Produkt über Mechanismen zur Integritätsprüfung verfügen, sind
folgende Anforderungen sinnvoll:
- Das Produkt führt bei jedem Programmaufruf einen Integritätscheck durch.
- Bei der Datenübertragung müssen Mechanismen eingesetzt werden, mit
denen absichtliche Manipulationen an den Adreßfeldern und den Nutzdaten
erkannt werden können. Daneben darf die bloße Kenntnis der eingesetzten
Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, unerkannte
Manipulationen an den obengenannten Daten vorzunehmen.
Werden personenbezogene Daten mit dem Produkt verarbeitet, können beispielsweise folgende datenschutzrechtlichen Anforderungen gestellt
werden:
- Das Produkt darf keine freie Abfrage für Datenauswertungen zulassen. Die
Auswertungen von Datensätzen müssen auf bestimmte Kriterien einschränkbar sein.
- Es muß parametrisierbar sein, daß für bestimmte Dateien Änderungen,
Löschungen oder Ausdrucke von personenbezogenen Daten nur nach dem
Vier-Augen-Prinzip möglich sind.
- Die Protokollierung muß parametrisierbar sein, so daß aufgezeichnet
werden kann, wer wann an welchen personenbezogenen Daten welche
Änderungen vorgenommen hat.
- Die Übermittlung personenbezogener Daten muß durch geeignete Stichprobenverfahren festgestellt und überprüft werden können (BDSG, § 10).
Die Art der Stichprobe muß sich individuell einstellen lassen.
- Das Produkt muß das Löschen von personenbezogenen Daten ermöglichen.
Ersatzweise muß das Sperren personenbezogener Daten möglich sein, um

_____________________________________________________________________ ..........................................
136

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

ihre weitere Verarbeitung oder Nutzung einzuschränken bzw. zu
verhindern.
Bewertungsskala
Um einen Vergleich verschiedener Produkte im Sinne einer Nutzwertanalyse
durchführen zu können, müssen Kriterien vorhanden sein, wie die Erfüllung
der einzelnen Anforderungen gewertet wird. Dazu ist es erforderlich, vorab
die Bedeutung der einzelnen Anforderungen für die angestrebte IT-gestützte
Aufgabenerfüllung quantitativ oder qualitativ zu bewerten.
Diese Bewertung kann beispielsweise in drei Stufen vorgenommen werden. In
der ersten Stufe wird festgelegt, welche im Anforderungskatalogs geforderten
Eigenschaften notwendig und welche wünschenswert sind. Wenn eine notwendige Eigenschaft nicht erfüllt ist, wird das Produkt abgelehnt (sogenanntes
K.O.-Kriterium). Das Fehlen einer wünschenswerten Eigenschaft wird zwar
negativ gewertet, dennoch wird aber das Produkt aufgrund dessen nicht zwingend abgelehnt.
Als zweite Stufe wird die Bedeutung der geforderten wünschenswerte Eigenschaft für die Aufgabenerfüllung angegeben. Dies kann z. B. quantitativ mit
Werten zwischen 1 für niedrig und 5 für hoch erfolgen. Notwendige Eigenschaften müssen nicht quantitativ bewertet werden. Ist dies aber aus rechnerischen Gründen erforderlich, müssen sie auf jeden Fall höher bewertet werden
als jede wünschenswerte Eigenschaft (um die Bedeutung einer notwendigen
Eigenschaft hervorzuheben, kann sie z. B. mit 10 bewertet werden).
In der dritten Stufe wird ein Vertrauensanspruch für die Korrektheit Aufgabenerfüllung der geforderten Eigenschaften angegeben (z. B. mit Werten zwischen 1 für niedrig und 5 für hoch). Anhand des Vertrauensanspruchs wird
später entschieden, wie eingehend die Eigenschaft getestet wird. Der Vertrauensanspruch der Sicherheitsmechanismen muß entsprechend ihrer Mechanismenstärke bewertet werden, beispielsweise kombiniert man
- Mechanismenstärke niedrig mit

Vertrauensanspruch 1

- Mechanismenstärke mittel

mit

Vertrauensanspruch 3

- Mechanismenstärke hoch

mit

Vertrauensanspruch 5

Diese Orientierungswerte müssen im Einzelfall verifiziert werden.

Beispiele:
Auszugsweise sollen für einige typische Standardsoftwareprodukte Sicherheitsanforderungen erläutert werden:
Textverarbeitungsprogramm:
Notwendige Sicherheitseigenschaften:
-

Automatische Datensicherung im laufenden Betrieb von Zwischenergebnissen

Wünschenswerte Sicherheitseigenschaften:
-

Paßwortschutz einzelner Dateien

_____________________________________________________________________ ..........................................
137

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Verschlüsselung einzelner Dateien

-

Makroprogrammierung muß abschaltbar sein

Dateikompressionsprogramm:
Notwendige Sicherheitseigenschaften:
-

Im Sinne der Datensicherung dürfen nach Kompression zu
löschende Dateien erst dann vom Kompressionsprogramm gelöscht
werden, wenn die Kompression fehlerfrei abgeschlossen wurde.

-

Vor der Dekomprimierung einer Datei muß deren Integrität überprüft werden, damit z. B. Bitfehler in der komprimierten Datei
erkannt werden.

Wünschenswerte Sicherheitseigenschaften:
-

Paßwortschutz komprimierter Dateien

Terminplaner:
Notwendige Sicherheitseigenschaften:
-

Eine sichere Identifikation und Authentisierung der einzelnen Benutzer muß erzwungen werden, z. B. über Paßwörter.

-

Eine Zugriffskontrolle für die Terminpläne der einzelnen Mitarbeiter
ist erforderlich.

-

Zugriffsrechte müssen für Einzelne, Gruppen und Vorgesetzte
getrennt vergeben werden können.

-

Eine Unterscheidung zwischen Lese- und Schreibrecht muß möglich
sein.

Wünschenswerte Sicherheitseigenschaften:
-

Eine automatisierte Datensicherung in verschlüsselter Form ist vorzusehen.

Reisekostenabrechnungssystem:
Notwendige Sicherheitseigenschaften:
-

Eine sichere Identifikation und Authentisierung der einzelnen Benutzer muß erzwungen werden, z. B. über Paßwörter.

-

Eine Zugriffskontrolle muß vorhanden und auch für einzelne Datensätze einsetzbar sein.

-

Zugriffsrechte müssen für Benutzer, Administrator, Revisor und
Datenschutzbeauftragter getrennt vergeben werden können. Eine
Rollentrennung zwischen Administrator und Revisor muß durchführbar sein.

-

Datensicherungen müssen so durchgeführt werden können, daß sie
verschlüsselt abgelegt werden und nur von Berechtigten wiedereingespielt werden können.

-

Detaillierte Protokollierungsfunktionen müssen verfügbar sein.

_____________________________________________________________________ ..........................................
138

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.80
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Wünschenswerte Sicherheitseigenschaften:
-

Ein optionaler Integritätscheck für zahlungsrelevante Daten sollte
angeboten werden.

Beispiel für eine Bewertungsskala:
Eine Fachabteilung will für Datensicherungszwecke ein Komprimierungsprogramm beschaffen. Nach der Erstellung eines Anforderungskataloges könnten
die dort spezifizierten Eigenschaften wie folgt bewertet werden:
Eigenschaft

notwendig

wünschenswert

Bedeutung

Vertrauensanspruch

korrekte Kompression und
Dekompression

X

10

5

Erkennen von Bitfehlern in
einer komprimierten Datei

X

10

2

Löschung von Dateien nur
nach erfolgreicher Kompression

X

10

3

DOS-PC, 80486, 8 MB

X

10

5

Windows-tauglich

X

2

1

Durchsatz bei 50 MHz über 1
MB/s

X

4

3

Kompressionsrate über 40%
bei Textdateien des
Programms XYZ

X

4

3

Online-Hilfefunktion

X

3

1

10

5

2

5

Maximale Kosten 50.- DM
pro Lizenz
Paßwortschutz für
komprimierte Dateien
(Mechanismenstärke hoch)

X
X

Ergänzende Kontrollfragen:
- Wer wird bei der Erstellung des Anforderungskatalogs beteiligt?
- Wer entscheidet, ob ein Produkt Sicherheitsfunktionen beinhalten muß?
- Gibt es einheitliche Vorgaben, wie eine Nutzwertanalyse aufgebaut sein
muß?

_____________________________________________________________________ ..........................................
139

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.81
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.81

Vorauswahl eines geeigneten Standardsoftwareproduktes

Verantwortlich für Initiierung: Beschaffungsstelle
Verantwortlich für Umsetzung: Beschaffungsstelle, Leiter IT, Fachabteilung
Die Vorauswahl eines Standardsoftwareproduktes orientiert sich an dem durch
die Fachabteilung und den IT-Bereich aufgestellten Anforderungskatalog.
Zunächst sollte die für die Vorauswahl zuständige Stelle eine Marktanalyse
durchführen, bei der anhand des Anforderungskatalogs eine tabellarische
Marktübersicht erarbeitet werden sollte. In dieser Tabelle sollten für die in
Frage kommenden Produkte Aussagen zu den im Anforderungskatalog
festgehaltenen Punkten gemacht werden.
Die Marktübersicht sollte vom IT-Bereich erarbeitet werden, sie kann anhand
von Produktbeschreibungen, Herstelleraussagen, Fachzeitschriften oder
Händlerauskünften erstellt werden. Alternativ ist eine Ausschreibung möglich
und teilweise vorgegeben. Der Anforderungskatalog ist Grundlage einer
Ausschreibung, so daß anhand der eingehenden Angebote eine vergleichbare
Marktübersicht erstellt werden kann.
Anschließend müssen die in der Marktübersicht erfaßten Produkte bzgl. der
Vorgaben des Anforderungskatalogs bewertet werden. Hierzu kann die in
M 2.80 Erstellung eines Anforderungskataloges für Standardsoftware
erarbeitete Bewertungsskala eingesetzt werden. Anhand der vorliegenden
Informationen wird festgestellt, welche der geforderten Eigenschaften des
Produktes voranden sind. Fehlen dem Produkt notwendige Eigenschaften,
wird es verworfen. Über die Bewertung der Bedeutung der einzelnen Eigenschaften jedes Produktes kann eine Summe ermittelt werden. Anhand dieser
Summen kann nun eine Hitliste für die Produkte aus der Vorauswahl erstellt
werden.

Beispiel:
Die im Anforderungskatalog geforderten und bewerteten Eigenschaften für ein
Komprimierungsprogramm werden nun wie folgt gewichtet:

_____________________________________________________________________ ..........................................
140

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.81
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Eigenschaft

Notwen Bedeutu Produkt Produkt Produkt Produkt
ng
1
2
3
4
dig/
Wünsch
enswert

korrekte Kompression
und Dekompression

N

10

j

j

j

j

Erkennen von
Bitfehlern in einer
komprimierten Datei

N

10

j

j

K.O.

j

Löschung von Dateien
nur nach erfolgreicher
Kompression

N

10

j

j

j

j

DOS-PC, 80486, 8 MB

N

10

j

j

j

j

Windows-tauglich

W

2

n

j

j

j

Durchsatz bei 50 MHz
über 1 MB/s

W

4

j

j

j

n

Kompressionsrate über
40% bei Textdateien
des Programms XYZ

W

4

j

j

n

n

Online-Hilfefunktion

W

3

n

n

n

j

Maximale Kosten 50.DM pro Lizenz

N

10

j

j

j

j

Paßwortschutz für
komprimierte Dateien
(Mechanismenstärke
hoch)

W

2

j

j

n

j

65
(=Max.)

60

62

K.O.

57

Bewertung

Als Ergebnis ergibt sich, daß Produkt 3 herausfällt, da eine notwendige
Eigenschaft nicht gegeben ist. Ansonsten wird die Hitliste angeführt von Produkt 2, gefolgt von Produkt 1 und 4.

Die erstellte Hitliste zusammen mit der Marktübersicht sollte dann der
Beschaffungsstelle vorgelegt werden, damit dieser überprüfen kann, inwieweit
die dort aufgeführten Produkte den internen Regelungen und gesetzlichen
Vorgaben entsprechen. Dabei muß ddie Beschaffungsstelle auch darauf
achten, daß die anderen Stellen, deren Vorgaben eingehalten werden müssen,
wie der Datenschutzbeauftragte, der IT-Sicherheitsbeauftragte oder der
Personal- bzw. Betriebsrat, rechtzeitig beteiligt werden.
Es muß entschieden werden, wieviele und welche Kandidaten der Hitliste
getestet werden sollen. Sinnvollerweise sollten die ersten zwei oder drei
Spitzenkandidaten ausgewählt werden und daraufhin getestet werden, ob sie

_____________________________________________________________________ ..........................................
141

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.81
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

die wichtigsten Kriterien des Anforderungskatalogs auch tatsächlich erfüllen.
Dies ist insbesondere für die notwendigen Anforderungen wichtig. Hierfür
sollten Testlizenzen beschafft werden und, wie in M 2.82 Entwicklung eines
Testplans für Standardsoftware und M 2.83 Testen von Standardsoftware
beschrieben, Tests durchgeführt werden.
Neben den Kriterien des Anforderungskatalogs können für die Entscheidung
noch die folgenden Punkte berücksichtigt werden:
- Referenzen
Kann der Hersteller oder Vertreiber für sein Produkt Referenzinstallationen
angeben, so können die dort gemachten Erfahrungen hinterfragt und in die
Produktbeurteilung einbezogen werden.
Liegen externe Testergebnisse oder Qualitätsaussagen für das zu testende
Softwareprodukt vor (z. B. Testergebnisse in Fachzeitschriften, Konformitätstests nach proprietären Standards, Prüfungen und Zertifikate nach einschlägigen Standards und Normen wie ISO 12119), so sollten auch diese
Ergebnisse bei der Vorauswahl berücksichtigt werden.
- Verbreitungsgrad des Produktes
Bei einem hohen Verbreitungsgrad hat der einzelne Anwender wenig oder
keinen Einfluß auf den Hersteller des Produkts, wenn es um die Behebung
von Fehlern oder die Implementation bestimmter Funktionalitäten geht. Er
kann aber davon ausgehen, daß das Produkt weiterentwickelt wird. Oft gibt
es externe Tests, die durch den Hersteller beauftragt oder von Fachzeitschriften durchgeführt wurden. Bei Produkten mit hohem Verbreitungsgrad ist im allgemeinen mehr über Schwachstellen bekannt, so daß
der Anwender davon ausgehen kann, daß die wesentlichen Schwachstellen
bereits bekannt sind, bzw. daß das Wissen über Schwachstellen schnell
verbreitet wird und er nach dem Bekanntwerden Abhilfe schaffen kann.
Bei einem niedrigen Verbreitungsgrad kann ein Anwender mehr Einfluß
auf den Hersteller nehmen. Externe Tests liegen im allgemeinen nicht vor,
da sie für Produkte kleiner Hersteller zu aufwendig und zu teuer sind.
Produkte mit niedrigem Verbreitungsgrad enthalten meist nicht mehr oder
weniger Schwachstellen als solche mit hohem Verbreitungsgrad. Nachteil
ist hier, daß diese evtl. nicht so schnell bekannt werden und damit behoben
werden können. Wenn es sich aber um Sicherheitslücken handelt, sind
diese aber wahrscheinlich auch potentiellen Angreifer nicht bekannt bzw.
keine lohnenden Angriffsziele.
- Wirtschaftlichkeit / Kosten für Kauf, Betrieb, Wartung, Schulung
Vor der Entscheidung für ein Produkt sollte immer die Frage stehen, ob die
Kosten für das Produkt in einem angemessenen Verhältnis zu dem damit
erzielbaren Nutzen stehen. In die unmittelbaren Anschaffungskosten sind
darüber hinaus alle Folgekosten für Betrieb, Wartung und Schulung
einzubeziehen. Dazu muß z. B. geklärt werden, ob die vorhandene Hardware-Plattform aufgerüstet werden muß oder ob für Installation und
Betrieb Schulungen erforderlich sind.

_____________________________________________________________________ ..........................................
142

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.81
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ist dann die Kaufentscheidung für ein Produkt gefallen, sollte der Kauf natürlich beim günstigsten Anbieter getätigt werden. Dieser hat sich evtl. schon bei
der Marktsichtung herauskristallisiert.
Ergänzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Bietet die ausgewählte Software alle im Anforderungskatalog zusammengestellten Funktionen?
- Ist das Produkt kompatibel zu der aktuellen IT-Infrastruktur?
- Welche Folgekosten sind beispielsweise für Schulung und Programmpflege zu erwarten?
- Sind Installation und Betrieb durch vorhandenes Personal möglich, wird
zusätzlicher Personalaufwand erforderlich oder muß externe Fachkompetenz verpflichtet werden?

_____________________________________________________________________ ..........................................
143

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.82
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.82

Entwicklung eines Testplans für Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter Fachabteilung, Leiter IT
Die im nachfolgenden beschriebene Vorgehensweise beim Testen orientiert
sich an den Standardwerken DIN ISO/IEC 12119 "Software-Erzeugnisse,
Qualitätsanforderungen und Prüfbestimmungen", Vorgehensmodell für die
Planung und Durchführung von IT-Vorhaben (V-Modell) und dem Handbuch
für die Bewertung der Sicherheit von Systemen der Informationstechnik
(ITSEM), die als weiterführende Literatur empfohlen werden.
Vor der Entscheidung für ein geeignetes Standardsoftwareprodukt müssen die
nach der Vorauswahl (siehe M 2.81 Vorauswahl eines geeigneten Standardsoftwareproduktes) in die engere Wahl gezogenen Produkte als Testlizenz
beschafft und ausreichend getestet werden. War es aufgrund zeitlicher
Beschränkungen, institutionsinterner Beschaffungsempfehlungen (Einhaltung
von Hausstandards) oder anderen Gründen nicht möglich, daß Produkt vor der
Beschaffung zu testen, müssen auf jeden Fall Tests vor der endgültigen Inbetriebnahme durchgeführt werden. Die Ergebnisse dieser Tests liefern dann die
Grundlage für die Installationsvorschriften und anderer Freigabe-Bedingungen.
Obwohl bereits bei der Vorauswahl eine Überprüfung der notwendigen Anforderungen an das Produkt aufgrund der Herstelleraussagen stattgefunden hat,
kann man nicht davon ausgehen, daß diese Anforderungen auch im gewünschten Maße erfüllt werden. Vielmehr muß nun durch systematisches Testen die
Eignung und Zuverlässigkeit des Produktes auf Grundlage des
Anforderungskataloges überprüft werden, um das geeignetste Produkt auszuwählen.
Dabei bietet es sich an, das Testen in vier Bereiche einzuteilen:
- Eingangsprüfungen (Prüfung auf Computer-Viren, Lauffähigkeit in der
gewünschten IT-Einsatzumgebung, ....),
- funktionale Tests (Überprüfung der funktionalen Anforderungen),
- Tests weiterer funktionaler Eigenschaften (Überprüfung von Kompatibilität, Performance, Interoperabilität, Konformität mit Regelungen oder
Gesetzen, Benutzerfreundlichkeit, Wartbarkeit, Dokumentation), und
- sicherheitsspezifische Tests (Überprüfung der Sicherheitsanforderungen).
Das prinzipielle Vorgehen beim Testen von Standardsoftware zeigt die folgende Abbildung.

_____________________________________________________________________ ..........................................
144

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.82
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Anhand der bei der Vorauswahl erstellten Hitliste sind diejenigen Produkte
auszuwählen, die getestet werden sollen. Anschließend wird ein Testplan
entwickelt.
Dieser umfaßt folgende Inhalte:
- Festlegung der Testinhalte anhand des Anforderungskataloges,
- Überprüfung von Referenzen,
- Festlegung des Gesamtprüfaufwandes,

_____________________________________________________________________ ..........................................
145

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.82
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Zeitplanung einschließlich Prüfaufwand je Testinhalt,
- Festlegung der Testverantwortlichen,
- Testumgebung,
- Inhalt der Testdokumentation,
- Festlegung von Entscheidungskriterien.
Die einzelnen genannten Punkte werden nachfolgend erläutert.

Festlegung der Testinhalte anhand des Anforderungskataloges
Aus dem Anforderungskatalog werden diejenigen Anforderungen ausgewählt,
die überprüft werden sollen. Dies sollten insbesondere diejenigen Eigenschaften sein, die eine große Bedeutung oder einen hohen Vertrauensanspruch
besitzen.
Überprüfung von Referenzen
Bei der Vorauswahl (siehe M 2.81 Vorauswahl eines geeigneten Standardsoftwareproduktes) wurden bereits erste Referenzen über die zu testenden
Produkte eingeholt. Diese können ersatzweise herangezogen werden, wenn
man der jeweiligen externen Testgruppe ausreichendes Vertrauen entgegenbringt.
Wurde für das Produkt ein Zertifikat nach den Kriterien für die Bewertung der
Sicherheit von Systemen der Informationstechnik (ITSEC) oder den Common
Criteria (CC) vergeben, ist anhand des Zertifizierungsreportes zu prüfen,
inwieweit die dort dokumentierten Testergebnisse berücksichtigt werden
können.
Gegebenenfalls können dann eigene Test unterbleiben oder in geringerem
Umfang stattfinden. Die freiwerdenden Kapazitäten können auf andere
Testinhalte verteilt werden.
Festlegung des Gesamtprüfaufwandes
Um den Aufwand für die Tests nicht ausufern zu lassen, sollte vorab der
Gesamtprüfaufwand festgelegt werden, z. B. in Personentagen oder durch
Fristsetzung.
Zeitplanung einschließlich Prüfaufwand je Testinhalt
Beim Testen mehrerer Produkte empfiehlt es sich, diese vergleichend zu
testen. Das heißt, alle Produkte werden von einer Testgruppe bzgl. einer
Anforderung des Anforderungskataloges getestet. Der Prüfaufwand ist damit
für jede Anforderung des Anforderungskataloges festzulegen und wird damit
automatisch gleichmäßig auf alle zu testenden Produkte verteilt. Der Prüfaufwand ergibt sich dabei aus Prüftiefe und Komplexität der Eigenschaft. Die
Prüftiefe der jeweiligen Eigenschaften sollte sich zum einen an ihrem Vertrauensanspruch, das heißt an dem Vertrauen orientieren, das der Korrektheit
dieser Eigenschaft entgegengebracht werden muß. Zum anderen muß aber
auch die Fehleranfälligkeit und Nutzungshäufigkeit der jeweiligen Eigenschaft

_____________________________________________________________________ ..........................................
146

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.82
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

berücksichtigt werden. Ausführlichere Informationen sind der Norm
ISO 12119 zu entnehmen.
Hinweise:
- Für sicherheitsspezifische Anforderungen kann die Prüftiefe entsprechend
der geforderten Mechanismenstärke zusätzlich relativiert werden.
- Der Prüfaufwand für die Eingangsprüfungen sollte gemessen an den
anderen Tests gering sein.
Abschließend ist der Gesamtprüfaufwand entsprechend dem relativen Prüfaufwand der jeweiligen Eigenschaft auf die einzelnen Testabschnitte zu verteilen.
Festlegung der Testverantwortlichen
Für jeden Testinhalt ist nun festzulegen, welche Aufgaben durchzuführen sind
und wer dafür verantwortlich ist. Insbesondere ist zu beachten, daß bei einigen
Testinhalten der Personal- bzw. Betriebsrat, der Datenschutzbeauftragte und
der IT-Sicherheitsbeauftragte zu beteiligen ist.
Testumgebung
Testen ist immer destruktiv, da vorsätzlich nach Fehlern gesucht wird. Aus
diesem Grund muß das Testen immer in einer isolierten Testumgebung erfolgen.
Die Testumgebung sollte nach Möglichkeit ein genaues funktionales Abbild
der Produktionsumgebung sein. In der Regel ist es jedoch nicht wirtschaftlich,
die Produktionsumgebung in vollem Umfang nachzubilden.
Damit für die ausgewählten Produkte gleiche Randbedingungen gegeben sind,
sollte eine Referenztestumgebung definiert werden. Für einzelne Tests kann
diese weiter angepaßt oder eingeschränkt werden.
Die für die einzelnen Prüfungen benötigten Ressourcen (Betriebsmittel, ITInfrastruktur) sind zu spezifizieren. Es sollte im Detail beschrieben werden,
wann und in welchem Umfang sie verfügbar sein müssen.
Wichtig ist, daß alle Betriebssysteme in allen im Produktionsbetrieb eingesetzten Versionen (Releases) in der Testumgebung zur Verfügung stehen. Die
Intention ist dabei die Ermittlung von systembedingten Schwachstellen von
Komponenten der Produktionsumgebung im Zusammenspiel mit dem zu
installierenden Standardsoftwareprodukt. In Ausnahmefällen, wenn sich
Aspekte verallgemeinern lassen, kann auf einzelne Komponenten verzichtet
werden.
Folgende weitere Aspekte sind unbedingt zu beachten und helfen, eine sichere
und geeignete Testumgebung aufzubauen:
- Die Computer-Virenfreiheit der Testumgebung ist durch ein aktuelles
Virensuchprogramm sicherzustellen.
- Die Testumgebung muß frei sein von Seiteneffekten auf den Echtbetrieb.
Um Wechselwirkungen von vornherein zu vermeiden, empfiehlt es sich,
dedizierte IT-Systeme zu installieren.

_____________________________________________________________________ ..........................................
147

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.82
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Die Zugriffsrechte müssen in der Testumgebung derart konfiguriert
werden, wie sie dem Produktionsbetrieb entsprechen.
- Der Zutritt und Zugang zur Testumgebung muß geregelt sein.
- Es muß sichergestellt werden, daß das Produkt genau in der Testumgebung
ermittelten Konfiguration in den Produktionsbetrieb übernommen wird.
Daher ist in der Testumgebung ein geeignetes Verfahren zum Integritätsschutz einzusetzen (digitale Signaturen, Checksummen).
- Die Kosten für den Aufbau der Testumgebung müssen angemessen sein.
Nach Beendigung aller geplanten Tests ist zu entscheiden, ob die Testumgebung abgebaut werden soll. Ggf. sind weitere Tests auch nach der Beschaffung eines Produktes notwendig, so daß es eventuell wirtschaftlich ist, die
Testumgebung vorzuhalten. Vor dem Abbau der Testumgebung sind die
Testdaten zu löschen, falls sie nicht mehr benötigt werden (z. B. für eine
spätere Installation). Druckerzeugnisse sind ordnungsgemäß zu entsorgen,
Programme sind zu deinstallieren. Die Testlizenzen der nicht ausgewählten
Produkte sind zurückzugeben.
Inhalt der Testdokumentation
Im Testplan ist vorzugeben, wie ausführlich die Testdokumentation zu erstellen ist. Hierbei sind die Aspekte der Nachvollziehbarkeit, Reproduzierbarkeit
und Vollständigkeit zu berücksichtigen.
Die Testdokumentation muß Testpläne, -ziele, -verfahren und -ergebnisse enthalten und die Übereinstimmung zwischen den Tests und den spezifizierten
Anforderungen beschreiben. Sämtliche Testaktivitäten sowie die getroffene
Testbewertung (inklusive Entscheidungsargumentation) sind schriftlich festzuhalten. Dazu gehören im einzelnen
- Produktbezeichnung und Beschreibung,
- Testbeginn, -ende und -aufwand,
- Testverantwortliche,
- Konfiguration der Testumgebung,
- Beschreibung der Testfälle,
- Entscheidungskriterien, Testergebnisse und Argumentationsketten, und
- nicht erfüllte Anforderungen des Anforderungskataloges.
Der Testgruppe sollte eine Möglichkeit zur übersichtlichen Dokumentation
und Protokollierung der Testaktivitäten und -ergebnisse zur Verfügung gestellt
werden (z. B. Protokollierungstool, Formblätter o. ä.).
Wird beim Testen ein automatisiertes Werkzeug verwendet, muß die Testdokumentation ausreichende Informationen über dieses Werkzeug und die Art
seines Einsatzes enthalten, damit die Entscheidung nachvollzogen werden
kann.

_____________________________________________________________________ ..........................................
148

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.82
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Festlegung von Entscheidungskriterien
Bei der Bewertung der jeweiligen Testinhalte kann beispielsweise folgende
dreistufige Skala verwendet werden:

Note
0

Entscheidungskriterien
-

Anforderungen sind nicht erfüllt.

oder

1

-

Es wurden nicht tolerierbare Fehler festgestellt, die sich
nicht beheben lassen.

-

Anforderungen sind erfüllt, aber es bestehen Vorbehalte (z.
B. Funktion ist nur eingeschränkt geeignet).

oder

2

-

Es sind geringfügige Fehler festgestellt wurden. Diese
spielen nur eine untergeordnete Rolle, da sie tolerierbare
Auswirkungen auf den Produktionsbetrieb haben oder da sie
nur mit vernachlässigbarer Wahrscheinlichkeit vorkommen
können.

-

Anforderungen sind in vollem Umfang erfüllt.

und
-

Fehler, die ggf. aufgetaucht sind, sind entweder zu beheben
oder haben für den Betrieb keinerlei Bedeutung.

Sind Fehler aufgetaucht, die nicht reproduziert werden können, hat der Prüfer
zu entscheiden, welcher Kategorie (Note) der Fehler zuzuordnen ist.
Sind Fehler aufgetreten, die während des Tests behoben werden können, ist
nach deren Behebung erneut im erforderlichen Umfang zu testen.

Beispiel:
Das Beispiel des Kompressionsprogramms aus M 2.81 Vorauswahl eines
geeigneten Standardsoftwareproduktes wird hier fortgesetzt, um eine Möglichkeit zu beschreiben, den Prüfaufwand für jede Anforderung des Anforderungskataloges festzulegen. Hier wird der Prüfaufwand aus Prüftiefe und
Komplexität abgeleitet. Der Vertrauensanspruch kennzeichnet den Bedarf an
Vertrauen in die Eigenschaft.
Die Nutzungshäufigkeit, Fehleranfälligkeit und Komplexität einer Eigenschaft
werden wie folgt bewertet:
- 1 bedeutet "niedrig",
- 2 bedeutet "mittel",
- 3 bedeutet "hoch".

_____________________________________________________________________ ..........................................
149

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.82
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ein besonderer Fall ist gegeben, wenn eine unveränderbare Eigenschaft des
Produktes betrachtet werden soll, die unabhängig von der Fehleranfälligkeit
oder Nutzungshäufigkeit ist. Für diesen Fall wird der Wert 0 vergeben. Für
das Beispiel des Kompressionsprogramms ergibt sich folgende Tabelle:
in %
Prüfaufwand
Komplexität
Prüftiefe
Nutzungshäufigkeit
Fehleranfälligkeit
Vertrauensanspruch
korrekte Kompression
und Dekompression

5

2

3

10

2

20

23

Erkennen von Bitfehlern
in einer komprimierten
Datei

2

2

1

5

2

10

11

Löschung von Dateien
nur nach erfolgreicher
Kompression

3

2

1

6

1

6

7

DOS-PC, 80486, 8 MB

5

0

0

5

1

5

6

Windows-tauglich

1

0

0

1

1

1

1

Durchsatz bei 50 MHz
über 1 MB/s

3

1

2

6

1

6

7

Kompressionsrate über
40% für Textdateien des
Programms XYZ

3

2

2

7

1

7

8

Online-Hilfefunktion

1

1

2

4

1

4

5

Maximale Kosten 50.DM pro Lizenz

5

0

0

5

1

5

5

Paßwortschutz für komprimierte Dateien (Mechanismenstärke hoch)

5

1

2

8

3

24

27

In diesem Beispiel wurde der Prüfaufwand folgendermaßen definiert:
Prüfaufwand = Komplexität * Prüftiefe,
dabei ist
Prüftiefe = Vertrauensanspruch + Fehleranfälligkeit + Nutzungshäufigkeit

_____________________________________________________________________ ..........................................
150

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.82
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

(Die Prozentzahlen für den Prüfaufwand in der letzten Spalte der Tabelle ergeben sich aus den für den Prüfaufwand errechneten Werten bei Division durch
die Summe dieser Werte.)
Ein Beispiel für eine andere Methode, den Prüfaufwand zu berechnen und die
Prüfergebnisse zu bewerten, findet sich in der Norm ISO 12119. Hier wird
folgende Gewichtung der einzelnen Anforderungen vorgenommen: Bewertung
jedes
Prüfinhaltes
=
(Komplexität
+
Fehleranfälligkeit)
*
(Benutzungshäufigkeit + Wichtigkeit).
Letztendlich muß der Testverantwortliche eine dem Produkt und der Institution adäquate Bewertungsmethode individuell festlegen.
Nach Erstellung des Testplans wird für jeden im Testplan spezifizierten
Testinhalt ein Tester oder eine Testgruppe mit der Durchführung des ihr
zugeteilten Tests beauftragt. Der Testplan ist der Testgruppe zu übergeben
und die für die Einzeltests vorgegebenen Zeiten sind mitzuteilen.
Ergänzende Kontrollfragen:
- Sind alle für die Testdurchführung benötigten Formblätter und Checklisten
erstellt?
- Wurden alle Aufgaben für das Testen zugeteilt?
- Wurden alle Prüfinhalte entsprechend den Vorgaben in Testfälle umgesetzt?

_____________________________________________________________________ ..........................................
151

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.83

Testen von Standardsoftware

Verantwortlich für Initiierung: Leiter Fachabteilung, Leiter IT
Verantwortlich für Umsetzung: Testgruppe
Das Testen von Standardsoftware läßt sich in die Abschnitte Vorbereitung,
Durchführung und Auswertung unterteilen. In diesen Abschnitten sind folgende Aufgaben wahrzunehmen:
Testvorbereitung
- Festlegung der Testmethoden für die Einzeltests (Testarten, -verfahren und
-werkzeuge)
- Generierung von Testdaten und Testfällen
- Aufbau der benötigten Testumgebung
Testdurchführung
- Eingangsprüfungen
- Funktionale Tests
- Tests weiterer funktionaler Eigenschaften
- Sicherheitsspezifische Tests
- Pilotanwendung
Testauswertung
Die einzelnen Aufgaben werden nachfolgend beschrieben.

Testvorbereitung
Festlegung der Testmethoden für die Einzeltests (Testarten, -verfahren
und -werkzeuge)
Methoden zur Durchführung von Tests sind z. B. statistische Analyse, Simulation, Korrektheitsbeweis, symbolische Programmausführung, Review,
Inspektion, Versagensanalyse. Hierbei muß beachtet werden, daß einige dieser
Testmethoden nur bei Vorliegen des Quellcodes durchführbar sind. In der
Vorbereitungsphase muß die geeignete Testmethode ausgewählt und festgelegt werden.
Es muß geklärt werden, welche Verfahren und Werkzeuge zum Testen von
Programmen und zum Prüfen von Dokumenten eingesetzt werden. Typische
Verfahren zum Testen von Programmen sind z. B. Black-Box-Tests, WhiteBox-Tests oder Penetrationstests. Dokumente können z. B. durch informelle
Prüfungen, Reviews oder anhand von Checklisten kontrolliert werden.
Ein Black-Box-Test ist ein Funktionalitätstest ohne Kenntnis der internen
Programmabläufe, bei dem z. B. das Programm mit allen Datenarten für alle
Testfälle mit Fehlerbehandlung und Plausibilitätskontrollen durchlaufen wird.
Bei einem White-Box-Test handelt es sich um einen Funktionalitätstests unter
Offenlegung der internen Programmabläufe, z. B. durch Quellcode-Über-

_____________________________________________________________________ ..........................................
152

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

prüfung oder Tracing. White-Box-Tests gehen in der Regel über den ITGrundschutz hinaus und können für Standardsoftware in der Regel nicht
durchgeführt werden, da der Quellcode vom Hersteller nicht offengelegt wird.
Bei Funktionalitätstests soll der Nachweis erbracht werden soll, daß der
Testinhalt der Spezifikation entspricht. Durch Penetrationstests soll festgestellt
werden, ob bekannte oder vermutete Schwachstellen im praktischen Betrieb
ausgenutzt werden können, beispielsweise durch Manipulationsversuche an
den Sicherheitsmechanismen oder durch Umgehung von Sicherheitsmechanismen durch Manipulationen auf Betriebssystemebene.
Weiterhin ist die Art und Weise der Ergebnissicherung und -auswertung festzuschreiben, insbesondere im Hinblick auf die Wiederholbarkeit von Prüfungen. Es muß geklärt werden, welche Daten während und nach der Prüfung
festzuhalten sind.

Generierung von Testdaten und Testfällen
Die Vorbereitung von Tests umfaßt auch die Generierung von Testdaten.
Methode und Vorgehensweise sind zuvor festzulegen und zu beschrieben.
Für jeden einzelnen Testinhalt muß eine dem Testaufwand angemessene
Anzahl von Testfällen generiert werden. Jede der folgenden Kategorien ist
dabei zu berücksichtigen:
Standardfälle sind Fälle, mit denen die korrekte Verarbeitung der definierten
Funktionalitäten überprüft werden soll. Die eingehenden Daten nennt man
Normalwerte oder Grenzwerte. Normalwerte sind Daten innerhalb, Grenzwerte sind Eckdaten des jeweils gültigen Eingabebereichs.
Fehlerfälle sind Fälle, in denen versucht wird, mögliche Fehlermeldungen des
Programms zu provozieren. Diejenigen Eingabewerte, auf die das Programm
mit vorgegebenen Fehlermeldungen reagieren soll, nennt man Falschwerte.
Ausnahmefälle sind Fälle, bei denen das Programm ausnahmsweise anders
reagieren muß als bei Standardfällen. Es muß daher überprüft werden, ob das
Programm diese Fälle als solche erkennt und korrekt bearbeitet.
Beispiele:
- Wenn die Eingabeparameter zwischen 1 und 365 liegen dürfen, sind Testläufe mit Falschwerten (z. B. 0 oder 1000), den Grenzwerten 1 und 365,
sowie mit Normalwerten zwischen 1 und 365 durchführen.
- Ein Programm zur Terminplanung soll Feiertage berücksichtigen. Ein
Sonderfall ist dann gegeben, wenn ein bestimmter Tag Feiertag in allen
Bundesländern ist, außer in einem. Für dieses Bundesland und für diesen
Tag muß das Programm dann differenziert reagieren.
Ist die Generierung von Testdaten zu aufwendig oder schwierig, können auch
anonymisierte Echtdaten für den Test eingesetzt werden. Aus Gründen des
Vertraulichkeitsschutz müssen Echtdaten unbedingt zuverlässig anonymisiert
werden. Zu beachten bleibt, daß die anonymisierten Echtdaten u. U. nicht alle
Grenzwerte und Ausnahmefälle abdecken, so daß diese gesondert erzeugt
werden müssen.

_____________________________________________________________________ ..........................................
153

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Über die Testdaten hinaus sollten auch alle Arten möglicher Benutzerfehler
betrachtet werden. Problematisch sind insbesondere alle Benutzerreaktionen,
die im Programmablauf nicht vorgesehen und dementsprechend nicht korrekt
abgewiesen werden.

Aufbau der benötigten Testumgebung
Die im Testplan beschriebene Testumgebung muß aufgebaut und die zu
testenden Produkte dort installiert werden. Die eingesetzten Komponenten
sind zu identifizieren und deren Konfiguration ist zu beschreiben. Treten bei
der Installation des Produktes Abweichungen von der beschriebenen Konfiguration auf, so ist dies zu dokumentieren.

Testdurchführung
Die Durchführung der Tests muß anhand des Testplans erfolgen. Jede Aktion
sowie die Testergebnisse müssen ausreichend dokumentiert und bewertet
werden. Insbesondere wenn Fehler auftreten, sind diese derart zu dokumentieren, daß sie reproduziert werden können. Die für den späteren Produktionsbetrieb geeigneten Betriebsparameter müssen ermittelt und für die spätere
Erstellung einer Installationsanweisung festgehalten werden.
Werden zusätzliche Funktionen beim Produkt erkannt, die nicht im Anforderungskatalog aufgeführt, aber trotzdem von Nutzen sein können, so ist hierfür
mindestens ein Kurztest durchzuführen. Zeigt sich, daß diese Funktion von
besonderer Bedeutung für den späteren Betrieb sind, sind diese ausführlich zu
testen. Für den zusätzlich anfallenden Prüfaufwand ist ggf. eine Fristverlängerungen bei den Verantwortlichen zu beantragen. Die Testergebnisse sind in
die Gesamtbewertung mit einzubeziehen.
Zeigt sich bei Bearbeitung einzelner Testinhalte, daß eine oder mehrere
Anforderungen des Anforderungskataloges nicht konkret genug waren, sind
diese gegebenenfalls zu konkretisieren.
Beispiel: Im Anforderungskatalog wird zum Vertraulichkeitsschutz der zu
bearbeitenden Daten Verschlüsselung gefordert. Während des Testens hat sich
gezeigt, daß eine Offline-Verschlüsselung für den Einsatzzweck ungeeignet.
Daher ist der Anforderungskatalog hinsichtlich einer Online-Verschlüsselung
zu ergänzen. (Eine Offline-Verschlüsselung muß vom Anwender angestoßen
und die zu verschlüsselnden Elemente jeweils spezifiziert werden; eine
Online-Verschlüsselung erfolgt transparent für den Anwender mit
voreingestellten Parametern.)

Eingangsprüfungen
Vor allen anderen Tests sind zunächst die folgenden grundlegenden Aspekte
zu testen, da ein Mißerfolg bei diesen Eingangsprüfungen zu direkten
Aktionen oder dem Testabbruch führt:
- Die Computer-Virenfreiheit des Produktes ist durch ein aktuelles Virensuchprogramm zu überprüfen.

_____________________________________________________________________ ..........................................
154

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- In einem Installationstest muß festgestellt werden, ob das Produkt für den
späteren Einsatzzweck einfach, vollständig und nachvollziehbar zu installieren ist. Ebenfalls muß überprüft werden, wie das Produkt vollständig
deinstalliert wird.
- Die Lauffähigkeit des Produktes ist in der geplanten Einsatzumgebung zu
überprüfen; dies beinhaltet insbesondere eine Überprüfung der Bildschirmaufbereitung, der Druckerausgabe, der Mausunterstützung, der
Netzfähigkeit, etc.
- Die Vollständigkeit des Produktes (Programme und Handbücher) ist zu
überprüfen, z. B. durch einen Vergleich mit dem Bestandsverzeichnis, der
Produktbeschreibung oder ähnlichem.
- Es sollten Kurztests von Funktionen des Programms durchgeführt werden,
die nicht explizit in den Anforderungen erwähnt wurden, im Hinblick auf
Funktion, Plausibilität, Fehlerfreiheit, etc.

Funktionale Tests
Die funktionalen Anforderungen, die im Anforderungskatalog an das Produkt
gestellt wurden, sind auf folgende Aspekte zu untersuchen:
- Existenz der Funktion durch Aufruf im Programm und Auswertung der
Programmdokumentationen.
- Fehlerfreiheit bzw. Korrektheit der Funktion
Um die Fehlerfreiheit bzw. Korrektheit der Funktion sicherzustellen, sind
je nach Prüftiefe bei der Untersuchung unterschiedliche Testverfahren wie
Black-Box-Tests, White-Box-Tests oder simulierter Produktionsbetrieb
anzuwenden.
Die in der Vorbereitungsphase erstellten Testdaten und Testfälle werden
im Funktionalitätstest eingesetzt. Bei den Funktionalitätstests ist es notwendig, die Testergebnisse mit den vorgegebenen Anforderungen zu vergleichen. Außerdem ist zu überprüfen, wie das Programm bei fehlerhaften
Eingabeparametern oder fehlerhafter Bedienung reagiert. Die Funktion ist
auch mit den Grenzwerten der Intervalle von Eingabeparametern sowie mit
Ausnahmefällen zu testen. Diese müssen entsprechend erkannt und korrekt
behandelt werden.
- Eignung der Funktion
Die Eignung einer Funktion zeichnet sich dadurch aus, daß die Funktion
-

tatsächlich die Aufgabe im geforderten Umfang und effizient erfüllt
und

-

sich leicht in die üblichen Arbeitsabläufe integrieren läßt.

Ist die Eignung der Funktion nicht offensichtlich, bietet es sich an, dies in
einem simulierten Produktionsbetrieb, aber immer noch in der Testumgebung zu testen.

_____________________________________________________________________ ..........................................
155

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Widerspruchsfreiheit
Die Widerspruchsfreiheit der einzelnen Funktionen ist zu überprüfen und
zwar jeweils zwischen Anforderungskatalog, Dokumentation und Programm. Eventuelle Widersprüche sind zu dokumentieren. Abweichungen
zwischen Dokumentation und Programm sind so zu festzuhalten, daß sie
bei einem späteren Einsatz des Produktes in den Ergänzungen zur Dokumentation aufgenommen werden können.

Tests weiterer funktionaler Eigenschaften
Die im Anforderungskatalog neben den funktionalen und den sicherheitsspezifischen Anforderungen spezifizierten weiteren funktionalen Eigenschaften sind ebenfalls zu überprüfen:
- Performance
Das Laufzeitverhalten sollte für alle geplanten Konfigurationen des
Produktes ermittelt werden. Um die Performance ausreichend zu testen,
sind in der Regel Tests, in denen der Produktionsbetrieb simuliert wird
oder auch Pilotanwendung bei ausgewählten Anwendern sinnvoll. Es muß
festgestellt werden, ob die gestellten Performanceanforderungen erfüllt
sind.
- Zuverlässigkeit
Das Verhalten bei zufälligen oder mutwillig herbeigeführten Systemabstürzen ("Crashtest") ist zu analysieren und es ist festzustellen, welche
Schäden dabei entstehen. Es ist festzuhalten, ob nach Systemabstürzen ein
ordnungsgemäßer und korrekter Wiederanlauf des Produktes möglich ist.
Es ist ebenfalls zu überprüfen, ob ein direkter Zugriff auf Datenbestände
unabhängig von der regulären Programmfunktion erfolgen kann. In vielen
Fällen kann ein solcher Zugriff zu Datenverlusten führen und sollte dann
vom Produkt verhindert werden. Ebenfalls sollte festgehalten werden, ob
das Programm Möglichkeiten unterstützt, "kritische Aktionen" (z. B.
Löschen, Formatieren) rückgängig zu machen.
- Benutzerfreundlichkeit
Ob das Produkt benutzerfreundlich ist, ist in besonderem Maße vom
subjektiven Empfinden der Testperson abhängig. Jedoch können bei der
Beurteilung folgende Aspekte Anhaltspunkte liefern:
-

Technik der Menüoberflächen (Pull-Down-Menüs, Scrolling, Drag
& Drop, etc.),

-

Design der Menüoberflächen (z. B. Einheitlichkeit, Verständlichkeit,
Menüführung),

-

Tastaturbelegung,

-

Fehlermeldungen,

-

problemloses Ansprechen von Schnittstellen (Batchbetrieb, Kommunikation, etc.),

_____________________________________________________________________ ..........................................
156

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Lesbarkeit der Benutzerdokumentation,

-

Hilfefunktionen.

Die Analyse der Benutzerfreundlichkeit muß mögliche Betriebsarten des
Produktes beschreiben, einschließlich des Betriebes nach Bedien- oder
Betriebsfehlern, und ihre Konsequenzen und Folgerungen für die Aufrechterhaltung eines sicheren Betriebes.
- Wartbarkeit
Der personelle und finanzielle Aufwand für die Wartung und Pflege des
Produktes sollte während des Testens ermittelt werden. Dieser kann z. B.
anhand von Referenzen wie anderen Referenzinstallationen oder Tests in
Fachzeitschriften oder anhand des während des Testens ermittelten Installationsaufwandes geschätzt werden. Hierfür muß dokumentiert werden,
wieviele manuelle Eingriffe während der Installation notwendig waren, um
die angestrebte Konfiguration zu erreichen. Sind bereits Erfahrungen mit
Vorgängerversionen des getesteten Produktes gesammelt worden, sollte
hinterfragt werden, wie aufwendig deren Wartung war.
Es sollte nachgefragt werden, inwieweit Support durch den Hersteller oder
Vertreiber angeboten wird und zu welchen Konditionen. Wird vom Hersteller oder Vertreiber eine Hotline angeboten, sollte auch deren Erreichbarkeit und Güte betrachtet werden.
- Dokumentation
Die vorliegende Dokumentation muß daraufhin überprüft werden, ob sie
vollständig, korrekt und widerspruchsfrei ist. Darüber hinaus sollte sie
verständlich, eindeutig, fehlerfrei und übersichtlich sein.
Es muß weiterhin kontrolliert werden, ob sie für eine sichere Verwendung
und Konfiguration ausreicht. Alle sicherheitsspezifischen Funktionen
müssen beschrieben sein.
Darüber hinaus sind als weitere Punkte des Anforderungskatalogs zu testen:
- Kompatibilitätsanforderungen
- Interoperabilität
- Konformität zu Standards
- Einhaltung von internen Regelungen und gesetzlichen Vorschriften
- Softwarequalität

Sicherheitsspezifische Tests
Wurden sicherheitsspezifische Anforderungen an das Produkt gestellt, so sind
zusätzlich zu den vorgenannten Untersuchungen auch folgende Aspekte zu
untersuchen:
- Wirksamkeit und Korrektheit der Sicherheitsfunktionen,
- Stärke der Sicherheitsmechanismen und
- Unumgänglichkeit und Zwangsläufigkeit der Sicherheitsmechanismen.

_____________________________________________________________________ ..........................................
157

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Als Grundlage für eine Sicherheitsuntersuchung könnte beispielsweise das
Handbuch für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEM) herangezogen werden, in dem viele der nachfolgend aufgezeigten Vorgehensweise beschrieben sind. Die weiteren Ausführungen dienen
zur Orientierung und zur Einführung in die Thematik.
Zu Beginn muß durch funktionale Tests zunächst nachgewiesen werden, daß
das Produkt die erforderlichen Sicherheitsfunktionen bereitstellt.
Anschließend ist zu überprüfen, ob alle erforderlichen Sicherheitsmechanismen im Anforderungskatalog genannt wurden, ggf. ist dieser zu ergänzen. Um
die Mindeststärke der Mechanismen zu bestätigen oder zu verwerfen sind
Penetrationstests durchzuführen. Penetrationstests sind nach allen anderen
Tests durchzuführen, da sich aus diesen Tests Hinweise auf potentielle
Schwachstellen ergeben können.
Durch Penetrationstests kann das Testobjekt oder die Testumgebung beschädigt oder beeinträchtigt werden. Damit solche Schäden keine Auswirkungen
haben, sollten vor der Durchführung von Penetrationstests Datensicherungen
gemacht werden.
Penetrationstests können durch Verwendung von Sicherheitskonfigurationsund Protokollierungstools unterstützt werden. Diese Tools untersuchen eine
Systemkonfiguration und suchen nach gemeinsamen Schwachstellen wie etwa
allgemein lesbaren Dateien und fehlenden Paßwörtern.
Mit Penetrationstests soll das Produkt auf Konstruktionsschwachstellen untersucht werden, indem dieselben Methoden angewandt werden, die auch ein
potentieller Angreifer zur Ausnutzung von Schwachstellen benutzen würde,
wie z. B.
- Ändern der vordefinierten Befehlsabfolge,
- Ausführen einer zusätzlichen Funktion,
- Direktes oder indirektes Lesen, Schreiben oder Modifizieren interner
Daten,
- Ausführen von Daten, deren Ausführung nicht vorgesehen ist,
- Verwenden einer Funktion in einem unerwarteten Kontext oder für einen
unerwarteten Zweck,
- Aktivieren der Fehlerüberbrückung,
- Nutzen der Verzögerung zwischen dem Zeitpunkt der Überprüfung und
dem Zeitpunkt der Verwendung,
- Unterbrechen der Abfolge durch Interrupts, oder
- Erzeugen einer unerwarteten Eingabe für eine Funktion.
Die Mechanismenstärken werden anhand der Begriffe Fachkenntnisse, Gelegenheiten und Betriebsmittel definiert, in der ITSEM werden diese näher
erläutert. Beispielsweise können zur Bestimmung der Mechanismenstärke
folgende Regeln angewandt werden:

_____________________________________________________________________ ..........................................
158

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Kann der Mechanismus innerhalb von Minuten von einem Laien allein
überwunden werden, dann kann er nicht einmal als niedrig eingestuft
werden.
- Kann ein erfolgreicher Angriff von jedem bis auf einen Laien innerhalb
von Minuten durchgeführt werden, dann ist der Mechanismus als niedrig
einzustufen.
- Wenn für einen erfolgreichen Angriff ein Experte benötigt wird, der mit
der vorhandenen Ausstattung Tage braucht, dann ist der Mechanismus als
mittel einzustufen.
- Kann der Mechanismus nur von einem Experten mit Sonderausstattung
überwunden werden, der dafür Monate braucht und eine geheime
Absprache mit einem Systemverwalter treffen muß, dann ist er als hoch
einzustufen.
Es muß sichergestellt werden, daß die durchgeführten Tests alle sicherheitsspezifischen Funktionen umfassen. Wichtig ist zu beachten, daß durch Testen
immer nur Fehler oder Abweichungen von den Spezifikationen festgestellt
werden können, niemals jedoch die Abwesenheit von Fehlern.
An einigen Beispielen sollen typische Untersuchungsaspekte aufgezeigt
werden:
Paßwortschutz:
- Gibt es vom Hersteller voreingestellte Paßwörter? Typische Beispiele für
solche Paßwörter sind der Produktname, der Herstellername,
"SUPERVISOR", "ADMINISTRATOR", "USER", "GUEST".
- Welche Datei ändert sich, wenn ein Paßwort geändert wurde? Kann diese
Datei durch eine alte Version aus einer Datensicherung ersetzt werden, um
alte Paßwörter zu aktivieren? Werden die Paßwörter verschlüsselt gespeichert oder sind sie im Klartext auslesbar? Ist es möglich, in dieser Datei
Änderungen vorzunehmen, um neue Paßwörter zu aktivieren?
- Wird der Zugang tatsächlich nach mehreren fehlerhaften Paßworteingaben
gesperrt?
- Werden in Zeitschriften oder Mailboxen Programme angeboten, die die
Paßwörter des untersuchten Produkts ermitteln können? Für einige
Standardapplikationen sind solche Programme erhältlich.
- Wenn Dateien mit Paßwörtern geschützt werden, kann durch einen Vergleich einer Datei vor und nach der Paßwortänderung die Stelle ermittelt
werden, an der das Paßwort gespeichert wird. Ist es möglich, an dieser
Stelle Änderungen oder alte Werte einzugeben, um bekannte Paßwörter zu
aktivieren? Werden die Paßwörter verschlüsselt gespeichert? Wie ist die
Stelle belegt, wenn der Paßwortschutz deaktiviert ist?
- Kann die Paßwort-Prüfroutine unterbrochen werden? Gibt es Tastenkombinationen, mit denen die Paßworteingabe umgangen werden kann?

_____________________________________________________________________ ..........................................
159

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Zugriffsrechte:
- In welchen Dateien werden Zugriffsrechte gespeichert und wie werden sie
geschützt?
- Können Zugriffsrechte von Unberechtigten geändert werden?
- Können Dateien mit alten Zugriffsrechten zurückgespielt werden und
welche Rechte benötigt man dazu?
- Können die Rechte des Administrators so eingeschränkt werden, daß er
keinen Zugriff auf die Nutz- oder Protokolldaten erhält?
Datensicherung:
- Können erstellte Datensicherungen problemlos rekonstruiert werden?
- Können Datensicherungen durch ein Paßwort geschützt werden? Wenn ja,
können die oben dargestellten Untersuchungsansätze für Paßwörter eingesetzt werden.
Verschlüsselung:
- Bietet das Produkt an, Dateien oder Datensicherungen zu verschlüsseln?
- Werden mehrere verschiedene Verschlüsselungsalgorithmen angeboten?
Hierbei ist im allgemeinen folgende Faustregel zu beachten: "Je schneller
ein in Software realisierter Verschlüsselungsalgorithmus ist, um so
unsicherer ist er."
- Wo werden die zur Ver- oder Entschlüsselung genutzten Schlüssel gespeichert?
Bei einer lokalen Speicherung ist zu untersuchen, ob diese Schlüssel
paßwortgeschützt oder mit einem weiteren Schlüssel überschlüsselt
geschützt werden. Bei einem Paßwortschutz sind die obigen Punkte zu
berücksichtigen. Bei einer Überschlüsselung ist zu betrachten, wie der
zugehörige Schlüssel geschützt wird.
Dazu können folgende Punkte betrachtet werden: Welche Datei ändert
sich, wenn ein Schlüssel geändert wurde? Durch den Vergleich dieser
Datei vor und nach der Schlüsseländerung kann die Stelle ermittelt werden,
an der dieser Schlüssel gespeichert wird. Ist es möglich, an dieser Stelle
Änderungen vorzunehmen, um neue Schlüssel zu aktivieren, die dann vom
Anwender genutzt werden, ohne daß dieser die Kompromittierung
bemerkt?
- Gibt es vom Hersteller voreingestellte Schlüssel, die vor der erstmaligen
Benutzung des Programms geändert werden müssen?
- Was passiert, wenn bei der Entschlüsselung ein falscher Schlüssel eingegeben wird?
- Wird nach der Verschlüsselung einer Datei die unverschlüsselte Variante
gelöscht? Wenn ja, wird sie zuverlässig überschrieben? Wird vor der
Löschung überprüft, ob die Verschlüsselung erfolgreich war?

_____________________________________________________________________ ..........................................
160

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Protokollierung:
- Wird der Zugriff auf Protokolldaten für Unbefugte verwehrt?
- Werden die zu protokollierenden Aktivitäten lückenlos aufgezeichnet?
- Hat der Administrator die Möglichkeit aufgrund seiner privilegierten
Rechte, sich unberechtigt und unbemerkt Zugriff auf Protokolldaten zu
verschaffen oder kann er die Protokollierung unbemerkt deaktivieren?
- Wie reagiert das Programm, wenn der Protokollierungsspeicher überläuft?
Darüber hinaus muß festgestellt werden, ob durch das neue Produkt Sicherheitseigenschaften an anderer Stelle unterlaufen werden. Beispiel: das zu
testende Produkt bietet eine Schnittstelle zur Betriebssystemumgebung, das
IT-System war aber vorher so konfiguriert, daß keine solchen Schnittstellen
existierten.

Pilotanwendung
Nach Abschluß aller anderen Tests kann noch eine Pilotanwendung, also ein
Einsatz unter Echtbedingungen, für notwendig gehalten werden.
Erfolgt der Test in der Produktionsumgebung mit Echtdaten, muß vorab durch
eine ausreichende Anzahl von Tests die korrekte und fehlerfreie Funktionsweise des Programms bestätigt worden sein, um die Verfügbarkeit und Integrität der Produktionsumgebung nicht zu gefährden. Dabei kann das Produkt
beispielsweise bei ausgewählten Benutzern installiert werden, die es dann für
einen gewissen Zeitraum im echten Produktionsbetrieb einsetzen.

Testauswertung
Anhand der festgelegten Entscheidungskriterien sind die Testergebnisse zu
bewerten, alle Ergebnisse zusammenzuführen und mit der Testdokumentation
der Beschaffungsstelle bzw. Testverantwortlichen vorzulegen.
Anhand der Testergebnisse sollte ein abschließendes Urteil für ein zu
beschaffendes Produkt gefällt werden. Hat kein Produkt den Test bestanden,
muß überlegt werden, ob eine neue Marktsichtung vorgenommen werden soll,
ob die gestellten Anforderungen zu hoch waren und geändert werden müssen
oder ob von einer Beschaffung zu diesem Zeitpunkt abgesehen werden muß.

Beispiel:
Am Beispiel eines Kompressionsprogramms wird nun eine Möglichkeit
beschrieben, Testergebnisse auszuwerten. Getestet wurden vier Produkte, die
nach der dreistufige Skala aus M 2.82 Entwicklung eines Testplans für
Standardsoftware bewertet wurden.

_____________________________________________________________________ ..........................................
161

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Notwendi
g/
wünschens
wert

Bedeut
ung

korrekte Kompression
und Dekompression

N

10

2

2

j

0

Erkennen von Bitfehlern in einer
komprimierten Datei

N

10

2

2

n

2

Löschung von Dateien
nur nach erfolgreicher
Kompression

N

10

2

2

j

2

DOS-PC, 80486,
8 MB

N

10

2

2

j

2

Windows-tauglich

W

2

0

2

j

2

Durchsatz bei 50 MHz
über 1 MB/s

W

4

2

2

j

2

Kompressionsrate über
40%

W

4

2

1

n

0

Online-Hilfefunktion

W

3

0

0

n

2

Paßwortschutz für
komprimierte Dateien

W

2

2

1

n

2

Bewertung

100

98

K.O.

K.O.

Preisermittlung
(maximale Kosten 50.DM pro Lizenz)

49,DM

25,DM

Eigenschaft

Produkt Produkt Produkt Produkt
1
2
4
3

39,DM

Produkt 3 war bereits in der Vorauswahl gescheitert und wurde daher nicht
getestet.
Produkt 4 scheiterte in dem Testabschnitt "korrekte Kompression und
Dekompression", weil die Erfüllung der Eigenschaft mit 0 bewertet wurde, es
sich dabei aber um ein notwendige Eigenschaft handelt.
Bei der Berechnung der Bewertungspunktzahlen für die Produkte 1 und 2
wurden die Noten als Multiplikatoren für die jeweilige Bedeutungskennzahl
benutzt und schließlich die Summe gebildet:
Produkt 1: 10*2+10*2+10*2+10*2+2*0+4*2+4*2+2*2 = 120
Produkt 2: 10*2+10*2+10*2+10*2+2*2+4*2+4*1+2*1 = 118
Nach der Testauswertung ist somit Produkt 1 auf dem ersten Platz, wird aber
knapp gefolgt von Produkt 2. Die Entscheidung für ein Produkt hat jetzt die

_____________________________________________________________________ ..........................................
162

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.83
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Beschaffungsstelle anhand der Testergebnisse und des daraus resultierenden
Preis-/Leistungsverhältnisses zu treffen.
Ergänzende Kontrollfragen:
- Ist die benutzte Hardware- und Softwarekonfiguration konform zum
Anforderungskatalog?
- Bieten Hersteller oder Vertreiber Unterstützung oder Wartungsdienste bei
der Anwendung des Produktes?
- Sind in der Benutzerdokumentation alle für den Benutzer relevanten
Funktionen vollständig und verständlich beschrieben?
- Enthalten die vorliegenden Dokumentationen Inhaltsverzeichnis, Stichwortverzeichnis und Seitenangaben?
- Sind alle geforderten Funktionen ausführbar und korrekt?
- Ist das Produkt in seiner Einsatzumgebung zuverlässig und robust? Können
unter Grenzbelastungen oder bei Fehlbedienung Daten verfälscht oder
zerstört werden?
- Werden unzulässige und nicht definierte Eingaben nicht wie zulässige verarbeitet?
- Wurden Testdokumentationen entsprechend den Vorgaben angefertigt?

_____________________________________________________________________ ..........................................
163

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.84
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.84

Entscheidung und Entwicklung der Installationsanweisung für Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Beschaffungsstelle, Leiter Fachabteilung, Leiter IT
Nach Abschluß aller Test müssen die Testergebnisse der Beschaffungsstelle
vorgelegt werden. Die Entscheidung für ein Produkt hat jetzt die Beschaffungsstelle unter Beteiligung der Leiter der Fachabteilung und des IT-Bereichs
aufgrund der Testergebnisse und des daraus resultierenden Preis/Leistungsverhältnisses zu treffen. Hierbei ist insbesondere der Erfüllungsgrad
der einzelnen Produkte gegenüber dem Anforderungskatalog in Relation zum
Kaufpreis zu stellen. Auch sollten zusätzliche Funktionen der Produkte, die
nicht im Anforderungskatalog aufgeführt wurden, aber dennoch für den
Einsatz sinnvoll sind, bei der Entscheidung berücksichtigt werden.
Erstellen einer Installationsanweisung
Nach der Entscheidung für ein Produkt muß anschließend für das ausgewählte
Produkt eine Installationsanweisung erstellt werden. Während des Testens
wurde diejenige Konfiguration des Produktes ermittelt, die einen sicheren und
effizienten Produktionsbetrieb erlaubt. Damit soll Benutzerfreundlichkeit,
Ordnungsmäßigkeit und Sicherheit am Arbeitsplatz sichergestellt werden.
Um die geeignete Konfiguration des Produktes im Wirkbetrieb
sicherzustellen, müssen bestimmte Parameter vorgegeben werden. Teilweise
muß dies durch organisatorische Regelungen begleitet werden.
Für einige Eigenschaften eines Produktes wird im folgenden beispielhaft
aufgezeigt, was im Rahmen einer Installationsanweisung vorgegeben werden
kann.
Beispiel:
Benutzerfreundlichkeit:
- Mit dem Produkt sind die Treiber X, Y und Z (Bildschirm, Drucker, Maus,
Netz) zu installieren, um eine für den Benutzer akzeptable
Arbeitsumgebung zu schaffen (Bildschirm flimmerfrei, vernünftige
Druckaufbereitung, etc.).
- Diejenigen Einstellungen, bei denen einzelne Funktionen die größte Verarbeitungsgeschwindigkeit haben, sind vorzugeben, wenn nicht andere Kriterien wie Sicherheit dagegen sprechen (die Größe der Auslagerungsdateien
ist auf mindestens 10 MB festzusetzen, die Option Verifikation ist für die
Datensicherung zu aktivieren, obwohl die Verifikation zusätzlichen
Zeitaufwand erfordert).
Sicherheit:
- Die Parameter für Sicherheitsfunktionen sind voreinzustellen (z. B. die
Mindestlänge von Paßwörtern muß 6 Zeichen betragen, Datensicherungen
sind täglich zu erstellen, die Protokollierung ist im vollen Umfang zu akti-

_____________________________________________________________________ ..........................................
164

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.84
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

vieren, Zugriffsrechte auf personenbezogene Protokolldateien sind nur dem
Datenschutzbeauftragten einzurichten, ...).
- Werden mehrere sicherheitsrelevante Verfahren unterstützt (z. B.
Verschlüsselungsalgorithmus, Hash-Funktionen), sind diejenigen auszuwählen, mit denen ein angemessenes Schutzniveau erreicht wird (als
asymmetrische Verschlüsselung ist RSA mit einer Schlüssellänge von
mindestens 768 Bit einzusetzen, als symmetrische Verschlüsselungsfunktion ist der Triple-DES einzusetzen).
Funktion:
- Nur die Funktionen X, Y, und Z sind zu aktivieren, unerwünschte oder
nicht benötigte Funktionen sind abzuschalten.
- Die Funktion der automatischen Datensicherung ist mit dem Parameter
"alle 10 Minuten" zu aktivieren.
Organisation:
- Die Installation ist vom Administrator durchzuführen.
- Regelungen für den Betrieb müssen erlassen werden (z. B. Datensicherungen sind eigenverantwortlich vom Anwender durchzuführen, Paßwörter
müssen nach 30 Tagen gewechselt werden).
Randbedingungen:
- Die Konfiguration der Plattform, auf der das Standardsoftwareprodukt zum
Einsatz kommen soll, muß insbesondere dann beschrieben und vorgegeben
werden, wenn systembedingte Schwachstellen der Plattform damit beseitigt
werden.
Ergänzende Kontrollfragen:
- Sind in der Installationsanweisung alle Angaben für eine erfolgreiche
Installation enthalten?
- Sind Angaben enthalten, wie das Produkt wieder deinstalliert wird?

_____________________________________________________________________ ..........................................
165

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.85
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.85

Freigabe von Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter Fachabteilung, Leiter IT
Vor der Übernahme der Standardsoftware in den Wirkbetrieb steht die
formelle Freigabe. Verantwortlich für die Freigabe eines Produktes ist die
Behörden- bzw. Unternehmensleitung, sie kann dies aber an die Leitung der
Fachabteilung oder die Leitung des IT-Bereichs delegieren. Die Fachabteilung
kann die durch Behörden- bzw. Unternehmensleitung vorgegebene
Freigaberegelung durch eigene Restriktionen weiter einschränken. Der Einsatz
nicht freigegebener Software ist zu untersagen (siehe M 2.9 Nutzungsverbot
nicht freigegebener Software).
Der Freigabe geht immer der erfolgreiche Abschluß aller notwendigen Tests
voraus (siehe M 2.83 Testen von Standardsoftware). Eine Freigabe darf nicht
erfolgen, wenn während der Tests nicht tolerierbare Fehler, z. B. erhebliche
Sicherheitsmängel, festgestellt wurden.
Für die Freigabe sind Installations- bzw. Konfigurationsvorschriften zu
erarbeiten, deren Detaillierungsgrad davon abhängig ist, ob die Installation
durch die Systemadministration oder den Benutzer vorgenommen werden soll.
Die Installations- bzw. Konfigurationsvorschriften sind Ergebnisse der im
Rahmen der Beschaffung durchgeführten Tests (siehe M 2.83 Testen von
Standardsoftware). Wenn unterschiedliche Konfigurationen zulässig sind,
muß die Auswirkung der einzelnen Konfigurationen auf die Sicherheit
dargelegt werden. Insbesondere muß festgelegt werden, ob für alle oder nur
einige Benutzer Einschränkungen der Produktfunktionalität oder der
Zugriffsrechte vorzunehmen sind. Für die Festlegung dieser Randbedingungen
sind der Personal- bzw. Betriebsrat, der Datenschutzbeauftragter sowie der ITSicherheitsbeauftragte rechtzeitig zu beteiligen.
Die Freigabe sollte in Form einer schriftlichen Freigabeerklärung erfolgen.
In der Freigabeerklärung sollten Aussagen gemacht werden zu den folgenden
Punkten:
- Programmname und Versionsnummer,
- Bezeichnung des IT-Verfahrens, in dem das Produkt eingesetzt werden
soll,
- Bestätigung, daß die eingesetzten IT-Komponenten den fachlichen
Anforderungen entsprechen,
- Datum der Freigabe, Unterschrift des Freigabe-Verantwortlichen,
- Unbedenklichkeitserklärung seitens IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Personal- bzw. Betriebsrat,
- vorgesehener Zeitpunkt des Einsatzes im Wirkbetrieb,
- für welche Benutzer das Produkt freigegeben wird,
- Installationsanweisung, insbesondere an welchen Arbeitsplätzen es mit
welcher Konfiguration installiert wird,

_____________________________________________________________________ ..........................................
166

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.85
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- wer berechtigt ist, es zu installieren,
- wer Zugriff auf die Installationsdatenträger hat und
- welche Schulungen vor Nutzung des Produktes vorzunehmen sind.
Die Freigabeerklärung muß allen Beteiligten zur Kenntnis gegeben werden,
insbesondere sollten bei der Freigabeinstanz, dem IT-Bereich, der Fachabteilung und ggf. beim IT-Anwender Kopien vorhanden sein.
Darüber hinaus ist organisatorisch zu regeln, daß die Freigabe und ggf. die
notwendigen Tests wiederholt werden, wenn sich durch Versionswechsel oder
Patches grundlegende Eigenschaften, insbesondere im Bereich der
Sicherheitsfunktionen, geändert haben. Änderungen der genannten Art sind
dem für die Freigabe des Produktes Verantwortlichen mitzuteilen.
Weiterhin kann festgelegt werden, welche Standardsoftware-Produkte, abhängig vom Einsatzort und -zweck, generell freigegeben werden.
Voraussetzung ist, daß sie zumindest auf Computer-Viren geprüft, daß die
Lizenzfragen geklärt und daß sie registriert sind. Beispiele hierfür wären:
- Demo-Versionen zu Testzwecken, die auf speziellen Rechnern zur Verfügung gestellt werden,
- Public-Domain-Software, die auf speziellen Servern installiert werden,
- Spielprogramme auf speziellen Rechnern, die in Pausenräumen aufgestellt
werden.
Ergänzende Kontrollfragen:
- Wo werden die Freigabeerklärungen verwaltet und hinterlegt?
- Ist eine Installationsanweisung vorhanden?
- Ist sichergestellt, daß sämtliche Software der Freigabeprozedur unterzogen
wird?

_____________________________________________________________________ ..........................................
167

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.86
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.86

Sicherstellen der Integrität von Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT
Es ist sicherzustellen, daß die freigegebene Standardsoftware nur unverändert
installiert werden kann. Damit soll verhindert werden, daß zwischenzeitlich
gewollte oder ungewollte Veränderungen vorgenommen werden können, z. B.
durch Computer-Viren, Bit-Fehler aufgrund technischer Fehler oder
Manipulationen in Konfigurationsdateien.
Die Installation darf daher ausschließlich von Originaldatenträgern bzw. von
numerierten Kopien der Originaldatenträger erfolgen. Eine Alternative zur
lokalen Installation von Datenträgern ist die Installation über ein lokales Netz
von einer dafür freigegebenen Version. Dabei sollte sichergestellt sein, daß
nur berechtigte Personen darauf Zugriff haben.
Von den Originaldatenträgern sollten, falls der Datenumfang (z. B. CD-ROM)
es zuläßt, Sicherungskopien angefertigt werden. Originaldatenträger und alle
Kopien müssen vor unberechtigtem Zugriff geschützt aufbewahrt werden
(siehe M 6.21 Sicherungskopie der eingesetzten Software). Die angefertigten
Kopien sollten numeriert und in Bestandsverzeichnisse aufgenommen werden.
Kopien, die nicht mehr benötigt werden, sind zu löschen. Vor der Installation
muß eine Computer-Virenprüfung durchgeführt werden.
Optional kann über die Originaldatenträger oder über eine während des Tests
installierte Referenzversion eine Checksumme (vgl. M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen) gebildet werden,
anhand derer vor der Installation die Integrität der dafür eingesetzten
Datenträger bzw. der in lokalen Netzen hinterlegten Versionen oder anhand
derer die korrekte Installation überprüft werden kann. Darüber hinaus können
installierten Programme zusätzlich zum Schutz vor unberechtigten
Veränderungen der freigegebenen Konfiguration mit Checksummen versehen
werden. Auf diese Weise können auch Infektionen mit bisher unbekannten
Computer-Viren erkannt werden. Damit kann auch festgestellt werden, ob
eine Vireninfektion vor oder nach der Installation stattgefunden hat.
Ergänzende Kontrollfragen:
- Auf welche Art wird die Integrität der Standardsoftware sichergestellt?
- Werden periodisch Kontrollen durchgeführt, um die Integrität der
installierten Programme zu überprüfen?
- Werden Manipulationsversuche an Programmen und Daten festgestellt?

_____________________________________________________________________ ..........................................
168

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.87
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.87

Installation und Konfiguration von Standardsoftware

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Administrator
Die freigegebene Software wird entsprechend der Installationsanweisung auf
den dafür vorgesehenen IT-Systemen installiert. Die Installationsanweisung
beinhaltet neben den zu installierenden Programmen auch Konfigurationsparameter und die Einrichtung der Hardware- und Softwareumgebung.
Abweichungen von der Installationsanweisung bedürfen der Zustimmung der
Freigabeinstanz.
Wenn die Benutzer die Software selbst installieren sollen, muß ihnen eine
Installationsanweisung zur Verfügung gestellt werden, die eine selbständige
Installation ermöglicht. Mindestens die Pilot-Installation durch einen ausgewählten typischen Benutzer sollte durch die IT-Abteilung begleitet werden,
um die Verständlichkeit der Installationsanweisung zu überprüfen.
Da Standardsoftware für eine Vielzahl von Einsatzfelder entwickelt wird, enthält sie meist mehr Funktionen, als für die Erfüllung der Fachaufgabe benötigt
werden. Damit es zu weniger Problemen und Fehlern bei der Arbeit mit der
Software kommt, sollten nur die tatsächlich benötigten Funktionalitäten installiert werden. Funktionalitäten, die zu Sicherheitsproblemen führen können,
dürfen nicht freigegeben werden.
Sowohl vor als auch nach der Installation von Software sollte eine vollständige Datensicherung durchgeführt werden. Die erste Datensicherung kann bei
nachfolgenden Problemen während der Installation zur Wiederherstellung
eines konsolidierten Aufsetzpunktes verwendet werden. Nach der erfolgreichen Installation sollte erneut eine vollständige Datensicherung durchgeführt werden, damit bei späteren Problemen wieder auf den Zustand nach
der erfolgreichen Installation des Produktes aufgesetzt werden kann.
Die erfolgreiche Installation wird schriftlich an die für die Aufnahme des
Wirkbetriebes zuständige Stelle gemeldet.
Optional kann die Installation durch den Einsatz eines sog. „Delta-Tools”
begleitet werden, das alle Veränderungen in einer IT-Umgebung zwischen
zwei bestimmbaren Zeitpunkten dokumentiert. Diese Dokumentation von
Veränderungen ist insbesondere bei der Deinstallation der Software hilfreich.
Beim Einsatz eines neuen Produktes müssen evtl. Datenbestände übernommen
werden, die mit einem Vorgängerprodukt erzeugt wurden. Hat sich bei den
Tests gezeigt, daß es dabei zu Schwierigkeiten kommen kann, sind
Hilfestellungen für die Benutzer zu erarbeiten oder die Übernahme von alten
Datenbeständen ist zentral durch geschultes Personal durchzuführen.

_____________________________________________________________________ ..........................................
169

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.87
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Welche Regelungen bestehen bezüglich möglicher Abweichungen von der
Installationsanweisung?
- Wie wird der Erfolg einer Installation überprüft?

_____________________________________________________________________ ..........................................
170

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.88
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.88

Lizenzverwaltung und Versionskontrolle von
Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation
Ohne eine geeignete Versionskontrolle und Lizenzkontrolle kommt es erfahrungsgemäß schnell zur Verwendung verschiedenster Versionen auf einem ITSystem oder innerhalb einer Organisationseinheit, von denen evtl. einige ohne
Lizenz benutzt werden.
Auf allen IT-Systemen einer Institution darf ausschließlich lizenzierte Software eingesetzt werden. Diese Regelung muß allen Mitarbeitern bekanntgemacht werden, die Administratoren der verschiedenen IT-Systeme müssen
sicherstellen, daß nur lizenzierte Software eingesetzt wird. Dafür müssen sie
mit geeigneten Werkzeugen zur Lizenzkontrolle ausgestattet werden.
Häufig werden in einer Institution verschiedene Versionen einer Standardsoftware eingesetzt. Im Rahmen der Lizenzkontrolle muß es auch möglich sein,
einen Überblick über alle eingesetzten Versionen zu erhalten. Damit kann
gewährleistet werden, daß alte Versionen durch neuere ersetzt werden, sobald
dies notwendig ist, und daß bei der Rückgabe von Lizenzen alle Versionen
gelöscht werden.
Darüber hinaus sind die verschiedenen Konfigurationen der installierten Software zu dokumentieren. Damit muß es möglich sein, sich einen Überblick zu
verschaffen, an welchem IT-System welche sicherheitsrelevanten Einstellungen eines Standardsoftwareproduktes durch die Freigabe vorgegeben und
welche tatsächlich installiert wurden. Damit kann z. B. schnell geklärt werden,
an welchen Rechnern beim Produkt XYZ die Makro-Programmierung
installiert worden ist und an welchen nicht.
Ergänzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Sind verschiedene
Einsatz?`

Versionen

eines

Standardsoftwareproduktes

im

_____________________________________________________________________ ..........................................
171

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.89
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.89

Deinstallation von Standardsoftware

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Administrator
Bei der Deinstallation von Software müssen alle Dateien entfernt werden, die
für den Betrieb der Software auf dem IT-System angelegt worden sind, und
alle Einträge in Systemdateien, die bezüglich des Produktes vorgenommen
wurden, gelöscht werden. Bei vielen Softwareprodukten werden während der
Installation in diversen Verzeichnissen auf dem IT-System Dateien angelegt
oder bestehende Dateien verändert. Häufig wird der Benutzer nicht einmal
über alle bei der Installation durchgeführten Veränderungen am IT-System
informiert.
Um eine vollständige Deinstallation durchführen zu können, ist es daher hilfreich, die bei der Installation durchgeführten Systemänderungen nachzuhalten,
entweder manuell oder mit Hilfe von speziellen Tools. Wird dies nicht
vorgenommen, kommt es erfahrungsgemäß dazu, daß eine Deinstallation nur
rudimentär stattfindet oder daß sie unterlassen wird aus Furcht, wichtige
Dateien bei der Deinstallation zu löschen.
Ergänzende Kontrollfragen:
- Werden Stichproben durchgeführt, ob bei einem Versionswechsel die
Vorgängerversion vollständig deinstalliert wird?

_____________________________________________________________________ ..........................................
172

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.90
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.90

Überprüfung der Lieferung

Verantwortlich für Initiierung: Leiter IT, Leiter Organisation
Verantwortlich für Umsetzung: Beschaffungsstelle
Nach Eingang einer Lieferung ist anhand der vorhandenen Unterlagen zu
überprüfen,
- ob die Lieferung bestellt wurde,
- für wen sie bestimmt ist,
- ob Transportschäden zu erkennen sind,
- ob sie vollständig ist, d. h. ob einerseits alle bestellten Komponenten und
andererseits alle gemäß Produktbeschreibung zum Lieferumfang des
Produktes gehörenden Komponenten vorhanden sind.
Die Ergebnisse dieser Prüfungen sind in einem Wareneingangsverzeichnis zu
dokumentieren, zusammen mit:
- Produktname und Version,
- Produktart, z. B. Textverarbeitung,
- Lieferumfang, also Beschreibung der einzelnen Komponenten inklusive
Anzahl und Lieferform (Buch, Diskette, CD-ROM, ...),
- Lieferdatum,
- Lieferart,
- wer es in Empfang genommen hat,
- Aufbewahrungsort und
- an wen es weitergegeben wurde.
Für die Durchführung der funktionalen Tests, sowie die anschließende
formelle Freigabe, die Installation und Konfiguration müssen die gelieferten
Produkte an die IT-Abteilung weitergegeben werden.
Werden die Produkte nur vorübergehend eingesetzt oder zur Verfügung
gestellt, z. B. im Rahmen von Tests, müssen zumindest die Seriennummer und
andere produktspezifische Identifizierungsmerkmale in entsprechende
Bestandsverzeichnissen vermerkt werden. Wenn die gelieferten Produkte für
den dauerhaften Verbleib vorgesehen sind, sind sie mit eindeutigen Identifizierungsmerkmalen (z. B. gruppierte fortlaufende Inventarnummern) zu
kennzeichnen. Anschließend müssen sie in ein Bestandsverzeichnis aufgenommen werden. Dieses muß Auskunft geben können über:
- Identifizierungsmerkmale,
- Beschaffungsquellen, Lieferzeiten,
- Verbleib,
- Freigabedatum,
- Installationsdatum und Konfigurationsbesonderheiten und

_____________________________________________________________________ ..........................................
173

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.90
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Wartungsverträge, Wartungsintervalle.
Ergänzende Kontrollfragen:
- Welche Regelungen zum Wareneingang von informationstechnischen
Produkten sind in Kraft?
- Wie wird verfahren, wenn unvollständige Lieferungen festgestellt werden?
- Sind schon häufiger unvollständige Lieferungen auffällig geworden?

_____________________________________________________________________ ..........................................
174

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.91
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.91

Festlegung einer Sicherheitsstrategie für das
Windows NT Client-Server-Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Bevor mit der eigentlichen Konfiguration und Installation von Windows NT
in einem Client-Server-Netz begonnen werden kann, müssen zuerst zwei
grundlegende Überlegungen angestellt werden:
Zunächst muß geklärt werden, welche Dienstleistung das Betriebssystem
erbringen und in welchem Rahmen es diesbezüglich eingesetzt werden soll.
Dies soll anhand einiger Beispiele veranschaulicht werden:
- Das System wird in einem servergestützten PC-Netz als Server für eine
größere Arbeitsgruppe eingesetzt, in der unterschiedliche Rechte vergeben
werden können. Ggf. sollen aufgrund konkreter Anforderungen zusätzlich
Peer-to-Peer-Funktionalitäten in eingeschränkter Form realisiert werden.
Beispielsweise sollen einzelne Drucker über Peer-to-Peer-Funktionalität
gemeinsam benutzt werden können.
- Das System wird als Client in einem servergestützten PC-Netz mit Windows NT Servern eingesetzt, bei dem auf die Peer-to-Peer-Funktionalität
zum Austausch von Daten verzichtet werden kann.
- Das System wird als Client in einem servergestützten PC-Netz mit Novell
Netware Servern eingesetzt.
- Das System wird als Server in einem PC-Netz mit MS-DOS-,
MS-Windows-, WfW- oder Windows 95-Clients eingesetzt.
- Das System wird als Server in einem Netz eingesetzt, in dem ausschließlich Windows NT-Clients vorhanden sind.
Durch die Verwendung von Peer-to-Peer-Funktionalitäten innerhalb eines
Windows NT Netzes können zusätzliche Sicherheitsprobleme entstehen (siehe
dazu auch Kapitel 6.3 Peer-to-Peer-Netz). Deshalb sollte auf die
Verwendung von Peer-to-Peer-Funktionalitäten innerhalb von
Windows NT Netzen verzichtet werden. Peer-to-Peer-Funktionalitäten
sollten höchstens als Übergangslösung eingeschränkt zugelassen werden,
wenn z. B. WfW-Rechner oder nicht-netzfähige Drucker in das Windows NTNetz eingebunden werden sollen.
Anschließend müssen diese Überlegungen in eine Sicherheitsstrategie übersetzt werden.
Dabei zeigt sich, daß je nach bereits vorhandener Systemumgebung und Organisationsstruktur sowie der ggf. vorzusehenden Restriktionen an eventuelle
Peer-to-Peer-Funktionalitäten ein mehr oder weniger großer Aufwand bei der
Entwicklung einer dazu passenden Sicherheitsstrategie notwendig ist.
Es wird nachfolgend eine methodische Vorgehensweise aufgezeigt, mittels
derer eine umfassende Sicherheitsstrategie für ein Client-Server-Netz entwickelt werden kann. Da jedoch Windows NT in verschiedenen Konfigu-

_____________________________________________________________________ ..........................................
175

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.91
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

rationen eingesetzt werden kann, ist für die jeweilige Ausprägung individuell
zu entscheiden, welche der beschriebenen Schritte anzuwenden sind.
Festlegung einer Sicherheitsstrategie für ein Client-Server-Netz
In der Sicherheitsstrategie muß aufgezeigt werden, wie ein Client-Server-Netz
für die jeweilige Organisation sicher aufgebaut, administriert und betrieben
wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen
Strategie vorgestellt:
1.

Definition der Client-Server-Netzstruktur

Im ersten Schritt sind die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen (siehe
M 2.93 Planung des Windows NT Netzes). Nach Möglichkeit sollte auf die
Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese
die Sicherheit des Client-Server-Netzes beinträchtigen können. Sofern sich
dies jedoch nicht vermeiden läßt, sind verbindliche Regelungen für die
Nutzung von Peer-to-Peer-Funktionalitäten zu treffen (siehe M 2.67 Festlegung einer Sicherheitsstrategie für das Peer-to-Peer-Netz).
2.

Regelung der Verantwortlichkeiten

Ein Client-Server-Netz sollte von einem geschulten Netzadministrator nebst
Stellvertreter sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Netz verändern. Sie sind z. B. dafür zuständig, auf den Servern den
entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur
Verfügung zu stellen, damit diese die Vergabe von Datei- und Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnissen bzw.
Anwendungen, den Aufbau von Benutzergruppen und -konten sowie die
Einstellung der Systemrichtlinien für Benutzer, Zugriffskontrolle und Überwachung vornehmen können.
Die Verantwortlichkeiten der einzelnen Benutzer im Client-Server-Netz sind
unter Schritt 11 dargestellt.
3.

Festlegung von Namenskonventionen

Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige
Namen für die Rechner, Benutzergruppen und die Benutzer verwendet
werden.
Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden (siehe M 2.67 Festlegung einer
Sicherheitsstrategie für das Peer-to-Peer-Netz). Sollen keine Rückschlüsse
auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Soll eine freigegebene Ressource
nicht als solche erkennbar sein, ist dem Freigabenamen das Zeichen "$"
anzuhängen. Letzteres empfiehlt sich immer dann, wenn Verzeichnisse nur
zum bilateralen Austausch von Informationen zwischen zwei Anwendern oder
zum Zugriff auf Ressourcen, die nur einzelnen Benutzern bekannt sein sollen,
freigegeben werden.

_____________________________________________________________________ ..........................................
176

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.91
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

4.

Festlegung der Regeln für Benutzerkonten

Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle
bzw. für bestimmte dieser Konten gelten sollen, festgelegt werden. Dies
betrifft insbesondere die Regelungen für Paßwörter und für die Reaktion des
Systems auf fehlerhafte Login-Vorgänge. Die festgelegten Regelungen
können mit Hilfe der Option "Richtlinien" des Benutzer-Managers umgesetzt
werden (siehe M 4.48 Paßwortschutz unter Windows NT).
5.

Einrichtung von Gruppen

Zur Vereinfachung der Administration sollten Benutzerkonten, für die die
gleichen Anforderungen gelten, zu Gruppen zusammengefaßt werden.
Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und
ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht
einzelnen Benutzerkonten zugeordnet. Die Benutzerkonten erben die Rechte
und Berechtigungen der Gruppen, denen sie angehören. So ist es z. B. denkbar, alle Mitarbeiter einer Abteilung in einer Gruppe zusammenzufassen. Eine
Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer
sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist.
6.

Festlegung der Benutzerrechte

Rechte gestatten einem Benutzer die Ausführung bestimmter Aktionen auf
dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer
Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen hat. Wenn sich ein Benutzer bei einem Konto anmeldet, dem die
gewünschten Rechte entweder direkt oder über die Gruppenmitgliedschaft
erteilt wurden, kann er die entsprechenden Aktionen ausführen. Besitzt ein
Benutzer nicht die geeigneten Rechte, so verhindert Windows NT jeden Versuch, die betreffenden Aktionen auszuführen.
Wie schon zuvor dargestellt, sollten Benutzerrechte möglichst nur Gruppen
und nicht einzelnen Benutzern zugeordnet werden.
Windows NT legt bei der Installation Voreinstellungen fest, die in der Regel
für einen sicheren und effizienten Betrieb ausreichend sind. Empfehlenswert
erscheint jedoch, der Gruppe "Jeder" das Recht "System herunterfahren" und
der Gruppe "Jeder" und ggf. der Gruppe "Gäste" das Recht "Lokale Anmeldung" zu entziehen (siehe M 4.50 Strukturierte Systemverwaltung unter
Windows NT).
7.

Festlegung der Vorgaben für Protokollierung

Windows NT stellt sehr ausführliche Möglichkeiten der Protokollierung
sicherheitsrelevanter Ereignisse zur Verfügung, die bei vollständiger Nutzung
in der Lage sind, das System weitgehend mit Auditing zu beschäftigen und
dabei große Mengen an Plattenplatz zu verbrauchen. Dabei kann ein Spektrum
von Ereignisarten aufgezeichnet werden, das sich von systemweiten
Ereignissen, wie zum Beispiel dem Anmelden eines Benutzers bis hin zum
Versuch eines Benutzers, eine bestimmte Datei zu lesen, erstreckt. Sowohl die
erfolgreichen als auch die fehlgeschlagenen Versuche, eine Aktion durchzuführen, lassen sich aufzeichnen. Bei der Konfiguration der Protokollierung
ist jedoch zu beachten, daß ein Mehr an Protokollierung nicht unbedingt auch

_____________________________________________________________________ ..........................................
177

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.91
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

die Sicherheit des überwachten Systems erhöht. Protokolldateien, die nicht
ausgewertet werden oder die aufgrund ihres Umfangs nur mit großem Aufwand auswertbar sind, führen nicht zu einer besseren Kontrolle der Systemabläufe, sondern sind letztlich nutzlos. Aus diesen Gründen sollte die Protokollierung so eingestellt werden, daß sie im Normalfall nur die wirklich
bedeutsamen Ereignisse aufzeichnet (siehe M 4.54 Protokollierung unter
Windows NT).
8.

Regelungen zur Datenspeicherung

Es ist festzulegen, wo Benutzerdaten gespeichert werden (siehe M 2.138
Strukturierte Datenhaltung). So ist denkbar, daß Benutzerdaten nur auf einem
Server abgelegt werden. Eine Datenspeicherung auf der lokalen Festplatte ist
bei diesem Modell nicht erlaubt. Möglich ist aber auch, bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. Nach welcher Strategie
verfahren werden soll, muß an den konketen Umständen des Einzelfalles festgelegt werden. Eine generelle Empfehlung auszusprechen, ist nicht möglich.
9.

Einrichtung von Projektverzeichnissen

Um eine saubere Trennung von Benutzer- und projektspezifischen Daten
untereinander sowie von den Programmen und Daten des Betriebssystems
durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden,
mit der eine projekt- und benutzerbezogene Dateiablage unterstützt wird. So
können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden, unter denen dann die Dateien und Verzeichnisse der Projekte
bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.
10.

Vergabe der Zugriffsrechte

Für die Server ist festzulegen, welche Verzeichnisse und bei Nutzung von
NTFS-Partitionen welche Dateien für den Betrieb freizugeben und welche
Zugriffsrechte ihnen zuzuweisen sind (siehe M 4.53 Restriktive Vergabe von
Zugriffsrechten auf Dateien und Verzeichnissen unter Windows NT). Zusätzlich ist bei Nutzung von Peer-to-Peer-Funktionalitäten auf der Ebene der
Clients zu entscheiden, welche Verzeichnisse für Netzzugriff freizugeben sind
(siehe M 2.94 Freigabe von Verzeichnissen unter Windows NT).
Das zuvor gesagte gilt analog für die Freigabe von Druckern.
11.

Verantwortlichkeiten für Administratoren und Benutzer im ClientServer-Netz

Neben der Wahrnehmung der Netzmanagementaufgaben (siehe Nr. 2) müssen
weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche
Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für
- die Auswertung der Protokolldateien auf den einzelnen Servern oder
Clients,
- die Vergabe von Zugriffsrechten,
- das Hinterlegen und den Wechsel von Paßwörtern und
- die Durchführung von Datensicherungen.

_____________________________________________________________________ ..........................................
178

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.91
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Auch die Endbenutzer müssen in einem Client-Server-Netz bestimmte Verantwortlichkeiten übernehmen, sofern ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. In der Regel beschränken sich diese Verantwortlichkeiten jedoch auf die Vergabe von Zugriffsrechten auf die eigenen
Dateien, sofern diese explizit festgelegt und nicht von Voreinstellungen des
übergeordneten Verzeichnisses übernommen werden.
12.

Schulung

Abschließend muß festgelegt werden, welche Benutzer zu welchen Punkten
geschult werden müssen. Erst nach ausreichender Schulung kann der Wirkbetrieb aufgenommen werden. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von Windows NT gründlich zu
schulen.
Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzern des Client-Server-Netzes mitzuteilen.
Ergänzende Kontrollfragen:
- Wird die Sicherheitsstrategie an Veränderungen im Einsatzumfeld angepaßt?

_____________________________________________________________________ ..........................................
179

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.92
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.92

Durchführung von Sicherheitskontrollen im
Windows NT Client-Server-Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die folgenden Punkte sollten auf der Ebene der Server in einem Windows NT
Client-Server-Netz regelmäßig auf Einhaltung und Effektivität kontrolliert
werden (siehe auch M 4.54 Protokollierung unter Windows NT):
- System-Sicherheits-Einstellungen
Die korrekte Einstellung der sicherheitsrelevanten Einträge in der
Registrierung, d. h. im wesentlichen die Einträge im Bereich
HKEY_LOCAL_MACHINE, ist regelmäßig zu kontrollieren, indem die
Einträge des Sicherheitsprotokolle, die sich auf die Registrierung beziehen,
überprüft werden.
- Benutzung von privilegierten Benutzerkonten
Die Benutzung privilegierter Benutzerkonten, also von Konten mit erweiterten Rechten und Berechtigungen wie etwa Administratoren, ist regelmäßig durch Überprüfung der Einträge im Sicherheitsprotokoll zu überprüfen. Ebenso ist das Protokoll auf Anmeldeversuche auf das Gastbenutzerkonto zu überprüfen.
- Fehlgeschlagene Zugriffsversuche (Berechtigungsverstöße)
Sofern Zugriffe auf Dateien und/oder die Registrierung aufgezeichnet
werden, ist das Sicherheitsprotokoll wöchentlich, bei Bedarf auch öfter, auf
das Vorliegen fehlgeschlagener Zugriffsversuche zu überprüfen. Werden
Berechtigungsverstöße festgestellt, ist die Ursache zu ermitteln.
- Systemintegrität
Die Systemintegrität ist regelmäßig zu überprüfen; insbesondere sind die
Daten der letzten Veränderung sowie die Zugriffsrechte auf die wichtigen
Systemdateien zu überprüfen und mit den Werten, die unmittelbar nach der
Installation des Systems sowie bei der jeweils vorherigen Überprüfung
gegeben waren, zu vergleichen. Da diese Kontrolle mit Hilfe der von
Windows NT gebotenen Möglichkeiten relativ aufwendig ist, sollten hier
geeignete Zusatzwerkzeuge eingesetzt werden, beispielsweise das Shareware-Programm DumpACL oder das mit der Technischen Referenz (dem
"Resource Kit") zu Windows NT ausgelieferte Dienstprogramm WinDiff,
mit dem sich Inhalte von Verzeichnissen und Dateien vergleichen lassen.
- Unbenutzte Benutzerkonten
Es ist sicherzustellen, daß die Konten ehemaliger Beschäftigter sofort
deaktiviert und nach einer geeigneten Übergangszeit (ca. ½ Jahr) vom
System gelöscht werden. Da die Zeit des letzten Anmeldens am System
nicht angezeigt wird, sind zu diesem Zweck nach Möglichkeit alle
Benutzerkonten mit einem Verfallsdatum einzurichten, das in gewissen
Zeitabständen (z. B. jährlich) auf Antrag des Benutzers aktualisiert werden
muß. Inaktive, d. h. abgelaufene, Benutzerkonten sind zu löschen. Die

_____________________________________________________________________ ..........................................
180

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.92
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Eigentümer sind vorab zu informieren. Die Liste der definierten Benutzer
ist regelmäßig zu überprüfen, um sicherzustellen, daß nur aktive Beschäftigte auf dem System arbeiten.
- Gruppenzugehörigkeit
Eine strukturierte Systemadministration setzt voraus, daß Systemrechte
und Objektberechtigungen möglichst nicht an einzelne Benutzer, sondern
an Benutzergruppen vergeben werden. Es ist sicherzustellen, daß bei
Änderungen in den Beschäftigungsverhältnissen die Mitgliedschaft der
einzelnen Benutzer in den Benutzergruppen den organisatorischen Vorgaben angepaßt wird. Daher ist regelmäßig zu prüfen, ob die Mitgliedschaften der Benutzer in den verschiedenen Benutzergruppen noch dem
aktuellen Stand entspricht. Weiterhin ist bei der Veränderung der
Gruppenmitgliedschaft eines Benutzers zu prüfen, ob dies zu einer Anhäufung von Benutzerrechten führt. Insbesondere ist in regelmäßigen Abständen zu überprüfen, ob die Zuweisung von Sonderrechten an Gruppen oder
einzelne Benutzer noch den aktuellen organisatorischen Vorgaben entsprechen.
- Berechtigungskontrolle
Es ist sicherzustellen, daß die Eigentümer von Dateien und Verzeichnissen
ihre Verpflichtung verstehen, anderen Benutzern nur dann Zugriff zu
gewähren, wenn dies erforderlich ist. Mit dem Datei-Manager bzw.
Explorer ist regelmäßig zu überprüfen, daß auf sensitive Daten nicht zu
weitgehende Berechtigungen vergeben wurden. Kritisch sind insbesondere
Berechtigungen für die Gruppen "Jeder" und "Gäste" bzw. "DomänenGäste". Sofern temporäre Berechtigungen zum Einsatz kommen, ist
sicherzustellen, daß dies nur dann geschieht, wenn es erforderlich ist, und
daß diese Berechtigungen sorgfältig überwacht werden.
Es sind Prozeduren bzw. Verfahren zu entwickeln für den Fall, daß Abweichungen von den festgelegten Einstellungen auftreten. Diese Prozeduren
müssen folgende Punkte enthalten:
- wer wird wann informiert,
- Begründung für die eventuelle Wahl abweichender Einstellungen und
Angabe, ob hierdurch möglicherweise ein Sicherheitslücke entsteht,
- Schritte zur Behebung der Sicherheitslücke,
- Schritte zur Identifizierung der Ursache der Sicherheitslücke.
Die Durchführung der hier beschriebenen Kontrollen auf der Ebene von
Clients sollte nur dann durchgeführt werden, wenn sichergestellt ist, daß damit
keine unzulässigen Leistungskontrollen der Benutzer dieser Clients verbunden
sind und wenn die datenschutzrechtlich korrekte Behandlung der ProtokollInformationen gewährleistet werden kann.
Ergänzende Kontrollfragen:
- Werden Unregelmäßigkeiten dem Netzadministrator bekanntgegeben?
- Werden Abweichungen der Sicherheitseinstellungen vom zulässigen Wert
unverzüglich korrigiert?
- Werden die möglichen Konsequenzen solcher Abweichungen analysiert?

_____________________________________________________________________ ..........................................
181

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.93
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.93

Planung des Windows NT Netzes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Windows NT kann in einem Netz in verschiedenen Konfigurationen eingesetzt werden. Um die Vor- und Nachteile der einzelnen Einsatzarten
abschätzen und nachvollziehen zu können, muß zunächst kurz auf das Sicherheitssystem von Windows NT eingegangen werden. Grundsätzlich behält das
Betriebssystem die Kontrolle über alle Ressourcen. Ein Benutzer kann nur
dann auf Ressourcen zugreifen, wenn er die dazu notwendigen Rechte und
Berechtigungen hat. Der Zugang zum System ist nur über ein gültiges
Benutzerkonto möglich, das mittels Paßwort geschützt werden kann. Durch
die Sicherheitskontenverwaltung (SAM - Security Account Manager) werden
die Informationen über Benutzer- und Gruppenkonten in der Security Account
Database, die häufig auch als SAM-Datenbank bezeichnet wird, verwaltet.
Das Betriebssystem generiert bei der Anmeldung eines Benutzers für diesen
unter Berücksichtigung der Eintragungen in der SAM-Datenbank ein AccessToken. Der Sicherheitskontrollmonitor (Security Reference Monitor) überprüft anhand dieses Tokens, ob der Benutzer die Berechtigung hat, auf
bestimmte Objekte zuzugreifen, und ob er das Recht hat, die angeforderten
Aktionen durchzuführen (beispielsweise eine Datei löschen oder das System
herunterfahren).
Windows NT unterstützt die Arbeit im Netz mit folgenden Konzepten:
1.

Arbeitsgruppen

Rechner können zu Arbeitsgruppen zusammengefaßt werden und im Rahmen
des Peer-to-Peer Konzeptes über das Netz Ressourcen gemeinsam nutzen
(siehe dazu auch Kapitel 6.3 Peer-to-Peer-Netz).
Jeder Rechner in einem solchen Netz kann gleichzeitig sowohl als Server als
auch als Workstation benutzt werden. Realisiert wird dies durch Freigabe von
Ressourcen auf den einzelnen Rechnern. Jede Windows NT Workstation, die
in einer Arbeitsgruppe eingesetzt wird, verwaltet ihre eigene SAM-Datenbank
und damit auch eigene Benutzer- und Gruppenkonten. Die Eintragungen in
dieser Datenbank können von keinem anderen Rechner der Arbeitsgruppe
benutzt werden. Dies hat zur Folge, daß eine zentrale Administration nicht
möglich ist. Für den Zugriff auf freigegebene Ressourcen wird in der Regel
ein Paßwort benötigt.
Besonders nachteilig wirkt sich bei diesem Konzept aus, daß keine ausreichende Kontrolle über die Rechte der einzelnen Benutzer möglich ist. Die
Einrichtung von Arbeitsgruppen sollte daher möglichst vermieden werden.
2.

Netz mit dediziertem Server

Hierbei handelt es sich um ein Netz mit Client-Server-Struktur. Es wird dabei
festgelegt, welche Rechner als Server und welche Rechner als Clients fungieren. Server können Verzeichnisse und/oder Drucker freigeben bzw. Anwendungen wie z. B. Mail, Schedule+, Fax global zur Verfügung stellen. Clients
können hingegen nur die von Servern zur Verfügung gestellten Ressourcen
nutzen.

_____________________________________________________________________ ..........................................
182

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.93
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ein NT-Rechner kann mit dem Betriebssystem "Windows NT Server" oder
"Windows NT Workstation" betrieben werden. In kleinen Netzen kann auch
eine Lizenzversion "Windows NT Workstation" als Server betrieben werden.
Zu beachten ist aber, daß sich aufgrund der lizenzrechtlichen Einschränkung
nicht mehr als 10 Benutzer gleichzeitig über das Netz auf diesem Rechner
anmelden dürfen. Reicht dies nicht aus, muß Windows NT Server installiert
werden. Auf Servern unter dem Betriebssystem Windows NT sollten generell
keine normalen Benutzer arbeiten. Die Clients müssen nicht zwingend unter
Windows NT betrieben werden.
Der Vorteil dieses Konzeptes liegt in der Zentralisierung der Datenhaltung
und -verwaltung. Sofern in einem solchen Netz nur ein Server zum Einsatz
kommt, ist für die Arbeit im Netz auch nur auf diesem Rechner je Benutzer
ein Konto anzulegen. Für die Benutzung von Ressourcen oder Diensten des
Servers über das Netz ist lediglich die Anmeldung des Benutzers an diesem
einen Rechner notwendig. Für kleinere Netze kann der Einsatz dieses Konzeptes durchaus wirtschaftlich sinnvoll sein.
Sofern jedoch die Kapazität eines Servers nicht mehr ausreicht, um den
jeweiligen Anforderungen hinsichtlich Geschwindigkeit und Plattenspeicherplatz zu genügen, nimmt der Verwaltungsaufwand erheblich zu, wenn ein oder
mehrere Server dem Netz hinzugefügt werden. Sollen alle Benutzer das Recht
erhalten, auf alle Server über das Netz zuzugreifen, müssen die
Benutzerkonten auf jedem einzelnen Server eingerichtet und gepflegt werden.
3.

Domänen-Konzept

Eine Domäne unter Windows NT ist eine Gruppe von Rechnern, die über eine
gemeinsame Sicherheits- und Benutzerkontendatenbank (SAM-Datenbank)
verfügt. Für den Benutzer bedeutet dies, daß er sich nur einmal an der
Domäne anmelden muß. Danach stehen ihm sämtliche für ihn freigegebene
Ressourcen zur Verfügung, unabhängig davon, auf welchem Server sich diese
befinden.
Ein Server der Domäne unter dem Betriebssystem Windows NT Server dient
als primärer Domänencontroller (PDC). Daneben kann die Domäne einen oder
mehrere Backup Domänencontroller (BDC), Mitgliedsserver, d. h. Server
ohne Domänencontrollerfunktionalität (siehe auch weiter unten) und Windows
NT Workstations enthalten. Außerdem können zu einer Domäne
Arbeitsstationen mit anderen Betriebssystemen wie z. B. Windows für Workgroups, Windows 95 oder MS-DOS gehören.
Die Entscheidung, ob ein Server als primärer Domänencontroller, als Backup
Domänencontroller oder als Mitgliedsserver fungieren soll, muß vor der
Installation getroffen werden, da später eine Änderung ohne Neuinstallation
nicht mehr möglich ist. Zum besseren Verständnis soll zunächst näher auf die
verschiedenen Serverarten einer Domäne eingegangen werden:
a)

Primärer Domänencontroller (PDC)

Ein Server einer Windows NT Domäne muß zwingend als primärer
Domänencontroller eingerichtet werden. Der Einsatz des Betriebssystems
Windows NT Server ist zwingend, da die Workstation-Version diese Funktionalität nicht enthält. Auf dem PDC wird die zentrale Benutzerkontendaten-

_____________________________________________________________________ ..........................................
183

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.93
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

bank (SAM-Datenbank) für die Domäne verwaltet. Alle Änderungen können
nur an dieser Datenbank mit Hilfe des Benutzermanagers für Domänen
durchgeführt werden. Außerdem werden die Benutzeranmeldungen vom
primären Domänencontroller bearbeitet.
b)

Backup Domänencontroller (BDC)

Andere Server der Domäne können als Backup Domänencontroller eingerichtet werden. Auch hier ist der Einsatz des Betriebssystems Windows NT Server
zwingend. Auf jeden Backup Domänencontroller wird automatisch eine Readonly-Kopie der Benutzerdatenbank der Domäne repliziert. Die
Synchronisation erfolgt regelmäßig. Auch Backup Domänencontroller können
Benutzeranmeldungen für die Domäne bearbeiten. Dadurch ist es gerade bei
einer großen Anzahl von Benutzern möglich, die durch die Benutzeranmeldungen entstehende Last auf mehrere Server zu verteilen.
Jede Domäne sollte möglichst über mindestens einen Backup Domänencontroller verfügen, um die Verwaltung der Domäne bei Ausfall des primären
Domänencontrollers sicherzustellen. In einem solchen Fall ist es möglich, den
Backup Domänencontroller zum primären Domänencontroller hochzustufen.
Sofern kein Backup Domänencontroller eingerichtet wurde, kann einer
Domäne durch Neuinstallation kein neuer primärer Domänencontroller hinzugefügt werden.
Wenn die Server der Domäne auf verschiedene über WAN-Verbindungen
zusammengeschaltete Liegenschaften verteilt sind, sollte in jeder Liegenschaft
wenigstens ein Backup Domänencontroller installiert sein.
c)

Mitgliedsserver (Memberserver)

Hierbei handelt es sich um Server, die weder als primärer noch als Backup
Domänencontroller eingerichtet wurden. Diese Server verfügen über keine
Kopien der Benutzerkontendatenbank der Domäne. Die Benutzeranmeldung
für die Domäne kann von einem solchen Server daher nicht bearbeitet werden.
Folgende Gründe sprechen dafür, einen Server als Mitgliedsserver in die
Domäne einzufügen:
-

Ein Server hat zeitkritische Aufgaben durchzuführen oder es müssen
auf diesem Rechner umfangreiche Applikationen ausgeführt werden, so
daß der Aufwand von Benutzeranmeldungen nicht akzeptabel ist.

-

Ein Server soll in naher Zukunft in eine andere Domäne eingefügt
werden. Dies ist dann einfacher möglich, als wenn er als Backup
Domänencontroller konfiguriert wäre.

Wesentlicher Ansatz des Domänenkonzeptes ist es, daß alle Benutzerkonten
für jede Domäne nur einmal definiert werden müssen. Die Verwaltung erfolgt
in der zentralen Benutzerdatenbank auf dem primären Domänencontroller. Für
die Benutzer bedeutet dies, daß sie sich bei der Benutzeranmeldung nur
gegenüber dieser Datenbank authentisieren müssen. Danach können sie auf
alle Objekte und Ressourcen der Domäne zugreifen, sofern sie die entsprechenden Berechtigungen besitzen. Dabei spielt keine Rolle, auf welchem
Server sich diese Objekte und Ressourcen befinden. Arbeitet der Benutzer auf
einem Rechner unter dem Betriebssystem Windows NT Workstation, genügt

_____________________________________________________________________ ..........................................
184

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.93
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

die Benutzeranmeldung gegenüber der zentralen Benutzerdatenbank, um auch
auf diesen Rechner Zugang zu erhalten.
Organisation von Domänen
Innerhalb eines Netzes können mehrere Domänen eingerichtet werden; jede
muß dabei aber über einen eindeutigen Namen verfügen. Jede Domäne verwaltet ihre eigene zentrale SAM-Datenbank. Die jeweiligen Benutzer- und
Gruppenkonten sind daher auch nur in der Domäne gültig, in der sie definiert
wurden.
Es kann aber innerhalb eines Netzes die Notwendigkeit bestehen, daß
Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen
müssen. Hierzu gibt es den Mechanismus der Vertrauensbeziehungen
zwischen Domänen.
Dabei unterscheidet man zwischen vertrauten Domänen (Trusted Domains)
und vertrauenden Domänen (Trusting Domains). Den Benutzerkonten und
globalen Gruppen der vertrauten Domäne können in der vertrauenden Domäne
Rechte und Berechtigungen zugewiesen werden, wodurch auch der Zugriff auf
freigegebene Ressourcen möglich wird.
Es sind folgende Domänen-Modelle möglich:
a)

Single-Domänen-Modell

Dies ist das einfachste Domänen-Modell, da in einem Netz hierbei nur eine
einzige Domäne existiert. Daher besteht nicht die Notwendigkeit, Vertrauensbeziehungen zu verwalten. Im gesamten Netz existiert hierbei nur eine einzige
SAM-Datenbank, über die die Verwaltung erfolgt. Eine Abwandlung dieses
Modells liegt vor, wenn in einem Netz mehrere Einzeldomänen eingerichtet
wurden, zwischen denen keine Vertrauensbeziehungen definiert wurden.
Hierbei verwaltet jede Domäne ihre eigene SAM-Datenbank und ihre eigenen
Benutzer- und Gruppenkonten. Das Single-Domänen-Modell eignet sich
besonders gut für Netze mit wenigen Benutzern (ca. 200 bis 300) und wenigen
Computerkonten. Nachteilig ist bei diesem Modell, daß die Performance bei
steigender Benutzer und Gruppenanzahl abnimmt. Außerdem ist eine
Gruppierung der Ressourcen nach Organisationseinheiten in dem Sinne, daß
ein Server z. B. für eine Abteilung reserviert ist, nicht möglich.
b)

Master-Domänen-Modell

Kennzeichen dieses Modells ist, daß ein Netz in mehrere Domänen eingeteilt
wird, wobei eine Domäne zentral alle Benutzer- und Gruppenkonten verwaltet. Diese Domäne wird Master-Domäne genannt. In den anderen Domänen
werden die Ressourcen zusammengefaßt. Die Ressourcen-Domänen vertrauen
dabei der Domäne mit den Benutzerkonten. Folgende Abbildung zeigt das
Master-Domänen-Modell:

_____________________________________________________________________ ..........................................
185

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.93
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

MasterDomäne

Trust

Trust

Trust

Ressourcen-Domänen
Dieses Domänen-Modell läßt sich nach Angaben von Microsoft bis zu einer
Zahl von ca. 15.000 Benutzern einsetzen. Besonders geeignet ist dieses
Modell, wenn eine Organisation aus mehreren Abteilungen besteht und alle
Abteilungen ihre eigenen Ressourcen verwalten sollen, wobei die Benutzeradministration zentral erfolgt. Es ist bei diesem Domänen-Modell möglich, für
die Administration der Ressourcen-Domänen jeweils einen eigenen
Administrator zu benennen. Außerdem ist ein zentrales Sicherheitsmanagement möglich.
c)

Multiple-Master-Domänen

Dieses Modell besteht aus mehreren Master-Domänen, die sich gegenseitig
vertrauen. Die Benutzer- und Gruppenkonten werden in diesen MasterDomänen geführt. Darüber hinaus existieren Ressourcen-Domänen, die
einseitig allen Master-Domänen vertrauen. Die folgende Abbildung zeigt das
Modell der Multiple-Master-Domänen:

MasterDomäne 1

MasterDomäne 2

MasterDomäne 3

Ressourcen-Domänen

_____________________________________________________________________ ..........................................
186

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.93
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Die explizite Vertrauensbeziehung zwischen Domäne 1 und Domäne 3 ist
nötig, da Vertrauensstellungen nicht transitiv sind; d. h. vertrauen sich
Domäne 1 und Domäne 2 sowie Domäne 2 und Domäne 3 gegenseitig, folgt
nicht daraus, daß sich auch Domäne 1 und 3 gegenseitig vertrauen.
Multiple-Master-Domänen-Konzepte kommen häufig zum Einsatz, wenn die
Benutzerzahl größer als 15.000 ist. Außerdem läßt es dieses Konzept zu, ein
Netz nach Hauptabteilungen aufzuteilen und die Ressourcen durch die einzelnen Abteilungen verwalten zu lassen. Dazu wird je Hauptabteilung eine
Master-Domäne eingerichtet. Die Benutzer einer Hauptabteilung erhalten ihre
Benutzerkonten in der Master-Domäne. Die Ressourcen werden durch die
Abteilungen in den Ressourcen-Domänen verwaltet. Auch ist es möglich, ein
Netz nach Standorten zu organisieren. Hierbei wird für jeden Standort eine
Master-Domäne und für jede Abteilung eine Ressourcen-Domäne eingerichtet.
Dieses Domänen-Modell ist skalierbar, wobei die Größe einer Organisation
keine Grenze setzt. Es besteht die Möglichkeit eines zentralen Sicherheitsmanagements, und globale Gruppen und Benutzerkonten brauchen
organisationsweit nur einmal eingerichtet zu werden.
Es sei abschließend darauf hingewiesen, daß dieses Modell große Disziplin
bei der Administration und sorgfältige Planung benötigt. Besondere Sorgfalt
ist auf die Definition der Vertrauensbeziehungen zu legen. Außerdem muß
zwingend verhindert werden, daß in den Ressourcen-Domänen Benutzerkonten eingerichtet werden.
d)

Complete-Trust-Modell (Vertrauensverbund)

Bei diesem Modell bestehen gegenseitige Vertrauensbeziehungen zwischen
allen Domänen eines Netzes. In jeder Domäne werden sowohl Ressourcen als
auch Benutzer- und Gruppenkonten verwaltet. Ein Complete-Trust-Modell ist
in folgender Abbildung dargestellt:

Domäne A

Domäne B

Domäne C

Domäne D

_____________________________________________________________________ ..........................................
187

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.93
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bei diesem Modell ist es möglich, den Abteilungen einer Organisation sowohl
die Verwaltung der Benutzerkonten als auch die Verwaltung der Ressourcen
zu überlassen. Es wird keine zentrale Abteilung zur Verwaltung benötigt. Das
Modell ist mit jeder Anzahl von Benutzern skalierbar. Dieses Modell hat aber
auch erhebliche Nachteile. So ist die Kontrolle, ob die Sicherheitspolitik eingehalten wird, schwierig. Dies erschwert es, ein zentrales Sicherheitsmanagement aufzubauen. Außerdem ist es schwierig, die Tätigkeit der einzelnen Administratoren zu koordinieren. Wenn ein Netz sehr viele Domänen
umfaßt, sind sehr viele Vertrauensbeziehungen zu verwalten, was letztlich
unübersichtlich ist.
Es können keine globalen Aussagen dazu gemacht werden, welches der
beschriebenen Domänen-Modelle in einer Organisation Anwendung finden
sollte. Dies kann nur in Abhängigkeit von der physischen und logischen
Netzstruktur sowie der Verteilung von Daten, Anwendungen und Benutzern
im Netz spezifisch festgelegt werden. Die Bestimmung der optimalen
Domänenstruktur bedarf daher einer detaillierten Analyse, die für umfangreiche Netze aufwendig werden kann und ggf. durch Planungssoftware zu
unterstützen ist.
Ergänzende Kontrollfragen:
- Ist die gewählte Netzstruktur einschließlich eventueller Vertrauensbeziehungen zwischen Domänen dokumentiert?
- Wird sie an Veränderungen im Einsatzumfeld angepaßt?

_____________________________________________________________________ ..........................................
188

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.94
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.94

Freigabe von Verzeichnissen unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Unter Windows NT werden verschiedene Ebenen der Zugriffskontrolle auf
Ressourcen unterschieden. Es gibt Zugriffsberechtigungen auf Freigabeebene
und auf Verzeichnis- und Dateiebene (sog. NTFS-Berechtigungen). Die
Zugriffsberechtigungen auf Verzeichnis- und Dateiebene stehen nur auf
Datenträgern mit NTFS-Dateisystem zur Verfügung und werden ausführlich
in M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und
Verzeichnisse unter Windows NT behandelt.
Die Freigabe von Verzeichnissen auf Servern ist notwendig, um Benutzern
den Zugriff über das Netz auf diese Ressourcen zu ermöglichen. Ohne die
Einrichtung einer entsprechenden Freigabe ist ein Netzzugriff auf ein
Verzeichnis nicht möglich. Dies gilt selbst dann, wenn entsprechende NTFSBerechtigungen vergeben wurden.
Es ist auf allen Rechnern unter dem Betriebssystem Windows NT, d. h.
sowohl auf Domänencontrollern als auch auf Servern und Workstations
(Clients) möglich, Verzeichnisse freizugeben. Üblicherweise sollten
Verzeichnisse aber nur auf Domänencontrollern und Servern freigegeben
werden. Verzeichnisfreigaben bzw. die Freigabe einzelner Laufwerke auf
Workstations (Clients) erfolgen im Rahmen der Peer-to-Peer-Funktionalität
(siehe M 5.37 Einschränkung der Peer-to-Peer-Funktionalität bei Nutzung
von WfW, Windows 95 oder Windows NT in einem servergestützten Netz) und
sollten die absolute Ausnahme bleiben, da dies zu unüberschaubaren
Rechtestrukturen und ggf. sogar zum Unterlaufen der allgemeinen Sicherheitsvorgaben führen kann.
Ein Verzeichnis kann unter dem Betriebssystem Windows NT u. a. mit dem
"Windows NT Explorer", über das Desktop-Symbol "Arbeitsplatz" oder mit
dem Kommando "NET SHARE" freigegeben werden. Die Freigabe eines
Verzeichnisses bezeichnet man auch als Einrichtung eines Shares. Im
Windows NT Explorer oder im Desktop-Symbol "Arbeitsplatz" erfolgt die
Freigabe eines Verzeichnisses über die Karte "Freigabe". Sie ist über den
Menüpunkt "Eigenschaften" des Kontextmenüs erreichbar. Die Freigabe wird
eingerichtet, indem die Option "Freigegeben als" angeklickt wird. Danach
kann ein Freigabename mit einer maximalen Länge von 12 Zeichen eingegeben werden. Standardmäßig vergibt Windows NT den Namen des
Verzeichnisses als Freigabenamen. Zur Erleichterung der Administration kann
in dem Feld "Kommentar" eine kurze, prägnante Beschreibung zu der
Freigabe eingegeben werden. Unter der Option "Benutzerbegrenzung" kann
angegeben werden, wieviele Benutzer gleichzeitig auf die Freigabe zugreifen
dürfen. Die standardmäßige Einstellung ist "Maximum erlaubt", d. h. die
Anzahl ist nicht limitiert, und sollte beibehalten werden. Zur Lizenzkontrolle
ist dieses Merkmal nur bedingt geeignet, da nur die Anzahl von Clients
gezählt wird, die sich mit der Freigabe verbunden haben. Den Benutzern, die
über das Netz auf diese Freigabe zugreifen sollen, muß eine entsprechende
Freigabeberechtigung erteilt werden. Dies erfolgt über die Zugriffskontrolliste, die nach Wahl des Feldes "Berechtigungen" durch das System

_____________________________________________________________________ ..........................................
189

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.94
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

geöffnet wird. Das Symbol des freigegebenen Verzeichnisses wird im
"Windows NT Explorer" oder im Desktopsymbol "Arbeitsplatz" mit einer
Hand unterlegt, um anzuzeigen, daß es freigegeben wurde.
Das Recht, Verzeichnisse freizugeben sowie die Freigabeberechtigungen zu
verwalten, haben nur Mitglieder der Gruppen "Administratoren" und "ServerOperatoren" auf Domänencontrollern bzw. Mitglieder der Gruppen
"Administratoren" und "Hauptbenutzer" auf Windows NT-Workstations und
Mitgliedsservern.
Unter Windows NT gibt es folgende Freigabeberechtigungen: "Kein Zugriff",
"Lesen", "Ändern" und "Vollzugriff". Die Aktionen, die die einzelnen Freigabeberechtigungen ermöglichen, ergeben sich aus folgender Tabelle:
Kein
Zugriff
Anzeigen von Unterverzeichnissen
und Dateinamen
Anzeigen von Dateiinhalt und
Dateiattributen
Programm ausführen
Wechsel in ein Unterverzeichnis
Einrichten von Unterverzeichnissen
und Hinzufügen von Dateien
Ändern der Dateiattribute
Löschen von Unterverzeichnissen
und Dateien
Zugriffsberechtigungen ändern (hat
nur für Verzeichnisse Relevanz, die
sich auf NTFS-Datenträgern
befinden)
Besitzübernahme (hat nur für Verzeichnisse Relevanz, die sich auf
NTFS-Datenträgern befinden)

Lesen

Ändern

X

X

Vollzugriff
X

X

X

X

X
X

X
X
X

X
X
X

X
X

X
X
X

X

Freigaben können nur für Verzeichnisse, nicht aber für Dateien definiert
werden. Freigabeberechtigungen gelten nur für Zugriffe über das Netz, d. h.
sie haben keine Bedeutung für Benutzer, die lokal an dem Rechner arbeiten
dürfen, auf dem ein Verzeichnis freigegeben wurde. Außerdem gelten Freigabeberechtigungen nur in einheitlicher Form für alle Dateien und Unterverzeichnisse eines freigegebenen Verzeichnisses. Zwar ist es möglich, innerhalb eines freigegebenen Verzeichnisses auch ein Unterverzeichnis freizugeben und dabei auch abweichende Freigabeberechtigungen einzustellen, dies
ist dann jedoch eine neue Freigabe mit folgenden Konsequenzen: Verbindet
sich der Benutzer mit dem freigegebenen Verzeichnis, so gelten für ihn die
dort festgelegten Freigabeberechtigungen für alle Dateien und Unterverzeichnisse. Daran ändert sich auch nichts, wenn ein Unterverzeichnis
gesondert freigegeben wurde. Verbindet sich der Benutzer hingegen direkt mit
dem Unterverzeichnis, so gelten die dort eingerichteten Freigabeberechtigungen.

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
190

M 2.94
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Beispiel:
Gegeben
sei
folgende
Verzeichnisstruktur:
D:\ABTEILUNG\REFERAT. Eine Freigabe auf das Verzeichnis ABTEILUNG
mit Berechtigung "Vollzugriff" und eine weitere Freigabe auf das Unterverzeichnis REFERAT mit Berechtigung "Lesen" werden eingerichtet.
Verbindet sich der Benutzer mit dem Verzeichnis D:\ABTEILUNG, so kann er
sowohl Dateien in diesem Verzeichnis, als auch Dateien im Unterverzeichnis
D:\ABTEILUNG\REFERAT u. a. lesen, schreiben und löschen. Verbindet sich
der
Benutzer
hingegen
direkt
mit
dem
Verzeichnis
D:\ABTEILUNG\REFERAT, so kann er die in diesem Verzeichnis stehenden
Verzeichnisse nur lesen. Sofern wie im vorstehenden Beispiel Restriktionen
auf ein Unterverzeichnis gewünscht werden, kann dies nicht durch Freigabeberechtigungen sondern nur über die sog. NTFS-Berechtigungen erreicht
werden (siehe M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien
und Verzeichnisse unter Windows NT).
Wird ein Verzeichnis freigegeben, das sich auf einem NTFS-Datenträger
befindet, gelten neben der Freigabeberechtigung auch die NTFS-Berechtigungen auf dieses Verzeichnis und die enthaltenen Dateien und Unterverzeichnisse. Dabei gilt die jeweils restriktivere Berechtigung. Besitzt ein
Benutzer beispielsweise die Freigabeberechtigung "Lesen" für das freigegebene Verzeichnis, andererseits aber nur die NTFS-Berechtigung "Anzeigen"
für dieses Verzeichnis, so ist sein Zugriffsrecht auf "Anzeigen" beschränkt.
Über die NTFS-Berechtigung ist es daher möglich, Zugriffsrechte individuell
auch auf Dateien und Unterverzeichnisse zu vergeben (näheres siehe M 4.53).
Freigabeberechtigungen durch Gruppenzugehörigkeiten sind kumulativ, d. h.
ist ein Benutzer Mitglied in verschiedenen Gruppen, denen unterschiedliche
Freigabeberechtigungen auf ein Verzeichnis eingeräumt wurden, so gilt für
diesen Benutzer die weitestgehende Berechtigung. Von dieser Regel gibt es
allerdings eine Ausnahme: Die Freigabeberechtigung "Kein Zugriff" dominiert alle anderen Freigabeberechtigungen.
Beispiel: Gegeben sei die Freigabe D:\ERGEBNISSE. Benutzer Meyer ist
Mitglied der Gruppe A und der Gruppe B. Die Gruppe A erhält die Berechtigung "Lesen", die Gruppe B die Berechtigung "Vollzugriff" auf die o. g.
Freigabe. In diesem Fall ist für den Benutzer Meyer die Freigabeberechtigung
"Vollzugriff" maßgebend. Nimmt man den Benutzer Meyer noch in der
Gruppe C auf, für die auf die Freigabe D:\ERGEBNISSE die Freigabeberechtigung "Kein Zugriff" vergeben wurde, so ist es dem Benutzer Meyer verwehrt, Zugriff über das Netz auf dieses Verzeichnis zu nehmen. Ist dies nicht
gewünscht, kann der Administrator nur überprüfen, welchen Gruppen auf die
Ressource die Freigabeberechtigung "Kein Zugriff" erteilt wurde und in
welcher dieser Gruppen der betroffene Benutzer Mitglied ist. Der Benutzer ist
dann aus der entsprechenden Gruppe zu entfernen.
Weiterhin ist zu beachten, daß Windows NT grundsätzlich die Wurzelverzeichnisse aller Platten sowie das Windows-Verzeichnis %SystemRoot%
(in der Regel C:\WINNT) für administrative Zugriffe freigibt. Die Zugriffsrechte auf diese speziellen Freigaben sind nicht veränderbar und auf die
Benutzergruppe "Administratoren" eingeschränkt. Diese Freigaben sind nicht
direkt sichtbar, da sie Freigabenamen der Form "Plattenname$", also z. B.
"C$" bzw. den Namen "ADMIN$" haben.

_____________________________________________________________________ ..........................................
191

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.94
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Dadurch besteht die Gefahr, daß
- jemand Administratorkennung und Paßwort ausprobieren kann oder
- ein Administrator jederzeit unbemerkt auf Benutzerrechner zugreifen kann.
Falls diese Eigenschaft zur Erleichterung der Workstation-Betreuung
gewünscht ist, ist zu überlegen, ob ein Administrator für alle von ihm betreuten Workstations dasselbe Administrator-Paßwort verwenden soll. Dies läßt
sich zwar leichter merken, führt aber dazu, daß ein Angreifer auf alle Workstations zugreifen kann, wenn er dieses eine Paßwort herausgefunden hat.
Falls diese Zugriffsmöglichkeiten nicht gewünscht sind, z. B. weil der
Administrator nicht auf lokale Benutzerdaten zugreifen können soll, sollte
über den Benutzer-Manager, unter Richtlinien - Benutzerrechte das Recht
“Zugriff auf diesen Computer vom Netz” für Administratoren gesperrt
werden.
Windows NT vergibt bei jeder Freigabe standardmäßig die Freigabeberechtigung "Vollzugriff" für die Gruppe "Jeder". Dies ist insbesondere für
Verzeichnisse, die sich auf Datenträgern ohne NTFS-Dateisystem befinden,
nicht akzeptabel, da es hier außer den Freigabeberechtigungen keine andere
Möglichkeit der Vergabe von Rechten und damit der Zugriffskontrolle gibt.
Die Gruppe "Jeder" muß daher aus der Zugriffskontrolliste entfernt und durch
die Gruppen und ggf. einzelnen Benutzer ersetzt werden, die auf das freigegebene Verzeichnis Zugriff nehmen sollen. Dabei sind dann auch entsprechende Freigabeberechtigungen zu vergeben.
Auch bei Verzeichnissen, die sich auf NTFS-Datenträgern befinden, sollte im
Falle der Freigabe die Gruppe "Jeder" aus der Zugriffskontrolliste entfernt
werden. Denkbar ist hier aber die Aufnahme der Gruppe "Benutzer" mit der
Vergabe der Zugriffsberechtigung "Vollzugriff". Die individuelle Vergabe
von Zugriffsberechtigungen auf das Verzeichnis bzw. auf enthaltene Dateien
und Unterverzeichnisse erfolgt dann auf der Ebene der NTFS-Berechtigungen
(siehe M 4.53).
Ergänzende Kontrollfragen:
- Ist dokumentiert, welche Verzeichnisse auf welchen Rechnern für den
Netzzugriff freigegeben sind?
- Ist die Gruppe "Jeder" in den freigegebenen Verzeichnissen, die sich auf
Datenträgern ohne NTFS-Dateisystem befinden, entfernt und durch die
Gruppen und ggf. einzelnen Benutzer, die auf das jeweilige freigegebene
Verzeichnis über das Netz zugreifen dürfen, ersetzt worden?
- Werden die vorhandenen Freigaben an Veränderungen im Einsatzumfeld
angepaßt?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
192

M 2.95
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.95

Beschaffung geeigneter Schutzschränke

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Beschaffungsstelle
Schutzschränke können ihren Inhalt gegen die Einwirkung von Feuer bzw.
gegen unbefugten Zugriff schützen. Je nach angestrebter Schutzwirkung sind
bei der Auswahl geeigneter Schutzschränke folgende Hinweise zu beachten:
- Schutz gegen Feuereinwirkung:
Bei Schutzschränken unterscheidet man bezüglich Schutz gegen Feuereinwirkung die Güteklassen S60 und S120 nach VDMA 24991 Teil 1. In
diesen Güteklassen werden die Schutzschränke darauf geprüft, ob in ihnen
bis zu einer Beflammungszeit von 60 bzw. 120 Minuten während eines
normierten Testes für die geschützten Datenträger verträgliche
Temperaturen erhalten bleiben. Durch Zusätze in der Klassifizierung
werden die zu schützenden Datenträger bezeichnet. Die Kürzel bedeuten
im einzelnen:
P

= Papier aller Art

D

= Datenträger (z. B. Magnetbänder, Filme)

DIS = Disketten, Magnetbandkassetten einschließlich aller anderen
Datenträger.
Die Unterschiede zwischen den Klassen liegen in der Isolationsleistung,
die bei DIS-Schränken am höchsten ist.
Für den IT-Grundschutz sollten bei Schutz gegen Feuer Schutzschränke
der Güteklasse aS60 ausreichend sein. Zu beachten bleibt, daß Serverschränke damit ein Schutz gegen Feuer für einen gewissen Zeitraum
bieten, so daß Datenträger nicht zerstört werden, jedoch ist im Brandfall
davon auszugehen, daß der Betrieb des Servers nicht aufrechterhalten
werden kann.
Bei Schutzschränken, die zum Schutz vor Feuer und Rauch dienen, sollte
eine Vorrichtung zum automatischen Schließen der Türen im Brandfall
vorgesehen werden. Die Schließung sollte lokal durch Rauchgasmelder
und/oder extern durch ein Signal einer Brandmeldeanlage (soweit vorhanden) ausgelöst werden können.
- Schutz gegen unbefugten Zugriff:
Der Schutzwert gegen unbefugten Zugriff wird neben der mechanischen
Festigkeit des Schutzschrankes entscheidend durch die Güte des Schlosses
beeinflußt. Für den IT-Grundschutz sollten Wertschränke nach RAL-RG
627 geeignet sein.
Sind Zugriffsschutz und Brandschutz in Kombination erforderlich, so
können Datensicherungsschränke nach RAL-RG 626/9 verwendet werden.
Weitere relevante Normen und Informationen sind VDMA 24992 für Stahlschränke und RAL-RG 627 für Wertschränke. Hilfestellung bei der Bewertung des Widerstandswertes verschiedener Schutzschränke gibt das

_____________________________________________________________________ ..........................................
193

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.95
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

VDMA-Einheitsblatt 24990, in dem Sicherheitsmerkmale von Schutzschränken kurz beschrieben werden.
Bei der Auswahl von Schutzschränken ist auch die zulässige Deckenbelastung
am Aufstellungsort zu berücksichtigen.
Nach diesen Auswahlkriterien für den Schutzwert des Schutzschrankes ist als
nächstes die Ausstattung des Schrankes bedarfsgerecht festzulegen. Dazu
sollte vor der Beschaffung eines Schutzschrankes festgelegt werden, welche
Geräte bzw. welche Arten von Datenträgern in ihm aufbewahrt werden sollen.
Die Innenausstattung des Schutzschrankes ist dieser Festlegung angemessen
auszuwählen. Nachrüstungen sind in der Regel schwierig, da der Schutzwert
des Schrankes und seine spezifische Zulassung beeinträchtigt werden können.
Es sollte auch Raum für zukünftige Erweiterungen mit eingeplant werden.
In Serverschränken sollte außer für den Server und eine Tastatur auch Platz
für einen Bildschirm und weitere Peripheriegeräte wie z. B. Bandlaufwerke
vorgesehen werden, damit Administrationsarbeiten vor Ort durchgeführt
werden können. Dazu ist zu beachten, daß die Ausstattung ergonomisch
gewählt ist, damit Administrationsarbeiten am Server ungehindert durchgeführt werden können. So ist zum Beispiel ein ausziehbarer Boden für die
Tastatur wünschenswert, der in einer Höhe angebracht wird, daß der
Administrator seine Arbeiten sitzend durchführen kann. Je nach Nutzung des
Schrankes können auch eine Klimatisierung und/oder eine USV-Versorgung
erforderlich sein. Die entsprechenden Geräte sollten dann im Schrank mit
untergebracht werden. Andernfalls muß zumindest eine Lüftung vorhanden
sein. Die Ausstattung des Schrankes mit einem lokal arbeitenden Brandfrüherkennungssystem, das im Brandfall die Stromzufuhr der Geräte unterbricht (auf der Eingangs- und der Ausgangsseite der USV, sofern diese vorhanden ist), ist empfehlenswert.
Nicht im gleichen Schrank untergebracht werden sollten Backup-Datenträger
und Protokolldrucker. Backup-Datenträger würden im Falle einer
Beschädigung des Servers vermutlich ebenfalls beschädigt. Die
Protokollierung der Aktionen am Server dient auch zur Kontrolle des
Administrators. Es ist also nicht sinnvoll, ihm, ggf. sogar als Einzigem,
Zugriff auf die Protokollausdrucke zu gewähren.
Ergänzende Kontrollfragen:
- Welche Schutzfunktionen soll der Schrank erfüllen?
- Werden diese durch den ausgewählten Schrank erfüllt?
- Welcher der genannten Güteklassen entspricht der Schutzschrank?
- Ist die Konsole des Servers nur für den Administrator zugänglich?
- Ist der Schutzschrank ausreichend dimensioniert?
- Wurden unautorisierte Änderungen am Schutzschrank durchgeführt?

_____________________________________________________________________ ..........................................
194

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.96
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.96

Verschluß von Schutzschränken

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Generell sind Schutzschränke bei Nichtbenutzung zu verschließen. Werden
Arbeiten, die ein Öffnen des Schutzschrankes erfordern, unterbrochen, so ist
auch bei kurzfristigem Verlassen des Raumes der Schutzschrank zu verschließen. Bei Verwendung von Codeschlössern sind diese jedesmal zu verwerfen.
Ergänzende Kontrollfragen:
- Wird sporadisch überprüft, daß unbenutzte Schutzschränke verschlossen
sind?

_____________________________________________________________________ ..........................................
195

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.97
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.97

Korrekter Umgang mit Codeschlösser

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Werden Schutzschränke mit mechanischen oder elektronischen Codeschlössern verwendet, so muß der Code für diese Schlösser geändert werden:
- nach der Beschaffung,
- bei Wechsel des Benutzers,
- nach Öffnung in Abwesenheit des Benutzers,
- wenn der Verdacht besteht, daß der Code einem Unbefugten bekannt
wurde und
- mindestens einmal alle zwölf Monate.
Der Code darf nicht aus leicht zu ermittelnden Zahlen (z. B. persönliche
Daten, arithmetische Reihen) bestehen.
Die jeweils gültigen Codes von Codeschlössern sind aufzuzeichnen und gesichert zu hinterlegen (vgl. M 2.22 Hinterlegen des Paßwortes in analoger
Anwendung). Zu beachten ist, daß eine Hinterlegung im zugehörigen Schutzschrank sinnlos ist.
Wenn der Schutzschrank neben einem Codeschloß ein weiteres Schloß besitzt,
so ist abzuwägen, ob Code und Schlüssel gemeinsam hinterlegt werden, was
im Notfall einen schnelleren Zugriff erlauben würde, oder getrennt hinterlegt
werden, so daß es für einen Angreifer schwieriger ist, sich Zugriff zu
verschaffen.
Ergänzende Kontrollfragen:
- Wird der Schloßcode nach den o. g. Ereignissen gewechselt?
- Wann wurde der Schloßcode zum letzten Mal gewechselt?
- Wird der Code der Codeschlösser hinterlegt?
- Wo und wie wird er hinterlegt?
- Wo werden evtl. vorhandene Reserveschlüssel zum Schrank aufbewahrt?

_____________________________________________________________________ ..........................................
196

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.98
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.98

Sichere Installation von Novell Netware Servern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Im Vorfeld der Installation sowie bei der Einrichtung eines Novell Netware
Servers sollten die folgenden Aspekte beachtet werden, um eine möglichst
reibungslose und sichere Installation gewährleisten zu können.
Dokumentation der Installation
Die Installation von Novell Netware Servern sollte nachvollziehbar dokumentiert werden, damit im Vertretungsfall sowohl Außenstehende wie auch Neueinsteiger diese nach kurzer Einarbeitungszeit verstehen und nachvollziehen
können.
In der Dokumentation sollte insbesondere die Parametrisierung des Servers
(Netzeinbindung, Treiber), zusätzliche NLMs (Netware Loadable Modules,
z. B. zur Datensicherung) und deren Konfiguration, sowie die eingespielten
Patches aufgeführt werden. Weiterhin sollte die Installation und Einbindung
zusätzlicher Hardware (z. B. Netzdrucker, Bandlaufwerke) ausführlich dokumentiert werden.
Desweiteren sollte die Dokumentation eine detaillierte Beschreibung der
Server-Hardware und der installierten Peripheriegeräte (z. B. Netzdrucker)
beinhalten. In Abhängigkeit der Komplexität des Novell-Netzes ist der Einsatz
von Administrationstools für Dokumentations- und Revisionszwecke
erstrebenswert.
Die zur Installation und Konfiguration eines Novell Netware Servers
erforderliche Software sollte vollständig an einem gesicherten Ort hinterlegt
werden, um im Bedarfsfall unnötige Verzögerungen zu vermeiden. Dies sollte
insbesondere bei den aufzuspielenden Patches des Netzbetriebssystems,
zusätzlichen NLMs sowie den einzusetzenden Treibern beachtet werden.
Das Laden des NLM-Utilities SYS:SYSTEM\CONLOG.NLM bewirkt, daß alle
Meldungen, die am Monitor des Servers erscheinen, gleichzeitig in die Datei
SYS:ETC\CONSOLE.LOG umgeleitet werden. Dieses NLM sollte bereits in
der Startdatei AUTOEXEC.NCF geladen werden, um Fehler, die in der Startphase des Servers gemeldet werden, nachvollziehen zu können.
Hardwareausstattung
Bei der Festlegung der erforderlichen Hauptspeicherkapazität (RAM) von
Novell Netware Servern ist neben der Festplattenkapazität, den eingesetzten
Betriebssystemen der Novell Netware Clients auch die RAMSpeicherbelegung durch zusätzlich geladene NLMs zu berücksichtigen.
Hinsichtlich der Festplattenkapazität beim Einrichten einzelner Volumes auf
einem Novell Netware Server ist insbesondere das SYS: Volume ausreichend
zu dimensionieren, da alle Netware Prozesse standardmäßig auf diesem
Volume ausgeführt werden. Eine zu kleine Dimensionierung des SYS: Volumes kann unter Umständen dazu führen, daß nach einer gewissen Betriebszeit
temporäre Prozesse, wie z. B. Druckjobs, die Kapazitäten des Volumes

_____________________________________________________________________ ..........................................
197

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.98
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

erschöpfen und somit einen vermeidbaren ABEND (Abnormal End - Absturz
des Servers) hervorrufen.
Anforderungen an die Verfügbarkeit
Zur Erhöhung der Verfügbarkeit von Novell Netware Servern bzw. der
gespeicherten Daten stellt das Netzbetriebssystem Novell Netware 3.x drei
hierarchische Fehlertolerierungsstufen (System Fault Tolerance Level) zur
Verfügung, die nachfolgend kurz aufgezeigt werden. Jede der hier
aufgezeigten Fehlertolerierungsstufen beinhaltet dabei die Funktionalitäten der
vorherigen Stufe.
- SFT I (System Fault Tolerance I)
Novell Netware 3.x unterstützt standardmäßig SFT I. Hierbei werden
Datenverluste aufgrund physikalischer Festplattenfehler verhindert. Nach
einem Schreibzugriff auf eine Datei erfolgt ein Vergleich zwischen den
veränderten Daten auf der Festplatte mit den Originaldaten, die sich noch
im Arbeitsspeicher des Novell Netware Servers befinden. Ist dieses
Ergebnis fehlerhaft, so wird der entsprechende Sektor der Festplatte als
defekt markiert und für zukünftige Zugriffe gesperrt.
Weiterhin werden die Daten des Arbeitsspeichers im Anschluß in dem
zuvor beschriebenen Fehlerfall in den sogenannten ”Hot Fix Bereich” der
Festplatte umgeleitet, für den Novell Netware standardmäßig zwei Prozent
der Festplattenkapazität beansprucht.
- SFT II (System Fault Tolerance II)
Die Fehlertolerierung der Stufe II (SFT II) kann auf zwei unterschiedliche
Arten realisiert werden.
-

Disk Mirroring
Beim Disk Mirroring werden an einen Festplattencontroller des Servers zwei identische Festplatten angeschlossen. Die zu speichernden
Daten werden gleichzeitig auf beiden Festplatten gespeichert. Fällt
eine der Festplatten durch einen Fehler aus, wird ohne Ausfallzeit
und Datenverlust mit der zweiten Festplatte weitergearbeitet.

-

Disk Duplexing
Beim Disk Duplexing werden zwei Festplatten und zwei Festplattencontroller von gleicher Art bzw. Größe im File Server installiert.
Disk Duplexing gewährleistet somit eine Fortführung des Betriebes
nicht nur beim Ausfall einer Festplatte, sondern auch beim Ausfall
eines Festplattencontrollers.

- SFT III (System Fault Tolerance III)
SFT III stellt die höchste Stufe der Toleranz gegen im Betrieb auftretende
Hardware-Fehler dar. Zwei identische Novell Netware Server arbeiten
hierbei gleichzeitig und parallel im Netz.
Die beiden Novell Netware Server sind hierbei durch ein eigenes Hochgeschwindigkeitsnetz miteinander verbunden. Fällt einer der beiden Server

_____________________________________________________________________ ..........................................
198

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.98
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

aus, so wird der Netzbetrieb, fast ohne Zeit- und Datenverlust, durch den
zweiten Novell Netware Server weitergeführt.
Die Entscheidung, ob zusätzlich zur Stufe SFT I weitere Maßnahmen (SFT II,
SFT III) ergriffen werden müssen, ist abhängig vom angestrebten Grad der
Verfügbarkeit des Netzes.
Notstromversorgung
Durch den Einsatz einer Notstromversorgung (UPS=Unterbrechungsfreie
Stromversorgung) können die Folgen eines plötzlichen Stromausfalles abgefangen werden. Novell Netware unterstützt den Einsatz geeigneter Geräte
durch das sogenannte UPS-Monitoring. Im Falle eines plötzlichen
Stromausfalles wird der File Server am Ende der Überbrückungszeit der UPS
geregelt heruntergefahren, d. h. die sich im Cache des Servers befindlichen
Daten werden auf die Festplatten übertragen, Verbindungen zum Server
ordnungsgemäß terminiert sowie die Serverprozesse geregelt beendet.
Ergänzende Kontrollfragen:
- Genügt die Dokumentation auch dem Vertretungsfall des Administrators?
- Wie wurde die Auswahl des SFT-Levels begründet?

_____________________________________________________________________ ..........................................
199

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.99
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.99

Sichere Einrichtung von Novell Netware Servern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die im Lieferumfang von Novell Netware 3.x enthaltenen Sicherheitsfeatures
sind nach dem erstmaligen Start der Datei SERVER.EXE nicht automatisch
aktiviert, sondern müssen, jeweils einzeln durch die Systemadministration
installiert und konfiguriert werden.
Mit Hilfe des Programms SYS:PUBLIC\SETPASS.EXE sollte der Supervisor
nach dem erstmaligen Login sofort ein Paßwort für diesen Account vergeben.
Der standardmäßig vorhandene Guest-Account sollte ebenfalls mit einem Paßwort versehen werden. Wird der Guest-Account im späteren Betrieb nicht
benötigt, so sollte er entfernt werden.
Mittels DISABLE LOGIN (Serverkonsole) sollten während der Einrichtungsphase unautorisierte Login-Versuche unterbunden werden.
Mit Hilfe des Novell Utilities SYS:PUBLIC\SYSCON.EXE können im
Anschluß, unter dem Menüpunkt Supervisor Options die meisten der Novell
Sicherheitsmechanismen installiert und konfiguriert werden. Hierbei ist zu
beachten, daß die unter Default Time Restrictions vorgenommenen Einstellungen nur dann für alle Accounts des Novell Netware Servers Gültigkeit
haben, wenn diese Einstellungen vor der Einrichtung von Benutzern und
Gruppen getroffen werden.
Nachfolgend werden sicherheitsrelevante Menüpunkte aufgeführt.
Default Account Balance/Restrictions
Mit Hilfe dieses Menüpunktes werden folgende Sicherheitseinstellungen auf
dem Novell Netware Server aktiviert.
- Account has Expiration Date: Hiermit kann die Gültigkeitsdauer eines
Accounts zeitlich limitiert werden. Da ein Account normalerweise auf
Dauer angelegt ist, wird dieses Feature im Regelfall nur für einen Guest
Account aktiviert.
- Limit Concurrent Connections: Hierdurch kann die Anzahl der gleichzeitigen Verbindungen eines Accounts zu dem Novell Netware Server
limitiert werden. Im Regelfall sollte hierbei der Wert ”Eins” gewählt
werden.
- Create Home Directory for User: Optionale Erstellung eines persönlichen Verzeichnisses für jeden Benutzer. Es sollte die Option ”Yes”
gewählt werden.
- Require Password: Require Password installiert die Paßwortabfrage für
jeden Benutzer und bietet bei Aktivierung die Möglichkeit, Paßwortregeln
zu installieren. Für Require Password sollte die Option ”Yes” gewählt
werden.
- Minimum Password Lenght: Hierbei wird die erforderliche Mindestlänge
eines Paßwortes eingestellt. Die Mindestlänge eines Paßwortes sollte
hierbei sechs Zeichen sein (s. u. M 2.11 Regelungen für den Paßwort-

_____________________________________________________________________ ..........................................
200

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.99
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

gebrauch). Wird die erforderliche Mindestlänge auf weniger als fünf
Zeichen eingestellt, so wird dieses beim Ausführen von
SYS:\SYSTEM\SECURITY.EXE angezeigt (s. M 2.101 Revision von Novell
Netware Servern).
- Force Periodic Password Changes: Durch die Einstellung ”Yes” wird
festgelegt, daß die Benutzer ihre Paßwörter regelmäßig ändern müssen.
Dies sollte der Regelfall sein.
- Days Between Password Changes: Unter diesem Menüpunkt wird die
generelle Gültigkeitsdauer von Paßwörtern festgelegt. Die Gültigkeitsdauer
von Paßwörtern muß für das jeweilige System festgelegt werden.
Hinweis: Ist die Gültigkeitsdauer des Paßwortes auf einen Wert eingestellt,
der mehr als 60 Tage beträgt, so wird dieses durch das Novell Utility
SYS:SYSTEM\SECURITY.EXE "beanstandet".
- Limit Grace Logins: Grace Logins (”Gnaden-Logins”) sind die Logins,
die nach Ablauf der Gültigkeitsdauer eines Paßwortes erfolgen. Die Anzahl
der Grace Logins sollte durch die Einstellung ”Yes” grundsätzlich limitiert
werden.
- Grace Logins Allowed: Die Anzahl der erlaubten Grace Logins sollte auf
den Wert ”Eins” eingestellt werden, damit ein Benutzer, dessen Paßwort
ungültig geworden ist, dieses sofort ändern muß.
- Require Unique Passwords: Die Aktivierung der Paßworthistorie
(REQUIRE UNIQUE PASSWORDS) hat zur Folge, daß die letzten neun
Paßwörter eines Accounts mit dem neu eingegebenen Paßwort verglichen
werden und bei Übereinstimmung das neue Paßwort durch den Novell Netware Server zurückgewiesen wird.
- Account Balance: Novell Netware Accounting Funktion
- Allow Unlimited Credit: Novell Netware Accounting Funktion
- Low Balance Limit: Novell Netware Accounting Funktion

_____________________________________________________________________ ..........................................
201

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.99
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bild: Menü SYS:PUBLIC\SYSCON.EXE
ce/Restrictions"

"Default

Account

Balan-

Default Time Restrictions
Mit Hilfe der Time Restrictions werden die erlaubten Arbeitszeiten für
Accounts auf einem Novell Netware Server definiert. Außerhalb der hier festgelegten Zeiten, die im Regelfall den üblichen Arbeitszeiten entsprechen
sollten, ist es keinem Benutzer gestattet, sich am Novell Netware Server
anzumelden.
Hinweis: Für die standardmäßig installierten Accounts Supervisor und Guest
ist der Netware-Default-Wert (keine Zeitbeschränkungen) eingestellt. Es ist
empfehlenswert, zumindest den Guest-Account mit Hilfe von
SYS:PUBLIC\SYSCON.EXE (User Information - Time Restrictions) hinsichtlich der erlaubten Zugriffszeiten einzuschränken.
Nachträgliche Änderungen der "Default Time Restrictions" bei der Einrichtung bzw. Pflege von Benutzer Accounts haben keine Auswirkungen auf die
erlaubten Zugangszeiten bereits eingerichteter Benutzer. Abweichende
Zugangszeiten
einzelner
Benutzer
müssen
mit
Hilfe
von
SYS:\PUBLIC\SYSCON.EXE (User Information – Time Restrictions) eingerichtet werden.
Edit System AUTOEXEC File
Durch die Server Startdatei AUTOEXEC.NCF werden die Parameter (z. B.
Volumes, NLMs, zusätzliche Protokolle etc.) eines Novell Netware Servers
konfiguriert.
Weiterhin können in der AUTOEXEC.NCF zusätzliche Sicherheitseinstellungen vorgenommen werden.
Das Novell Netware Konsolenkommando SECURE CONSOLE, das in die
AUTOEXEC.NCF eingebunden sein sollte, bewirkt dabei, daß NLMs nur noch
aus dem Serververzeichnis SYS:SYSTEM gestartet werden können, sowie die
Deaktivierung des Novell Netware Debuggers. Weiterhin wird durch
SECURE CONSOLE das DOS aus dem Hauptspeicher des Novell Netware
Servers entfernt, sowie die definierten Serversuchpfade außer Kraft gesetzt,
die zudem nicht erneut definiert werden können.
File Server Console Operators
Mit Hilfe des Menüutilities SYS:\PUBLIC\FCONSOLE.EXE kann, ausgehend
von einer Workstation, die begrenzte Kontrolle über einen Novell Netware
Server übernommen werden.
Der File Server Operator, der neben der ausdrücklichen Berechtigung zur
Nutzung von SYS:\PUBLIC\FCONSOLE.EXE keine weiteren Privilegien
benötigt, kann hiermit Konsolennachrichten an die Benutzer versenden, den
Novell Netware Server wechseln sowie den Server herunterfahren. Weiterhin
können Statusanzeigen des Novell Netware Servers eingesehen und verändert
werden (Datum, Uhrzeit, etc.) sowie Informationen zu den aktuellen Verbindungen eingesehen werden. Das Programm SYS:\PUBLIC\FCONSOLE.EXE
kann standardmäßig durch den Supervisor bzw. einen äquivalenten Account

_____________________________________________________________________ ..........................................
202

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.99
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

aufgerufen werden. Andere Benutzer sollten auf diese Dateien keine Rechte
besitzen.

Bild: Menü SYS:PUBLIC\FCONSOLE.EXE

Intruder Detection/Lockout
Durch die Aktivierung des "Detect Intruders" werden unautorisierte LoginVersuche am Novell Netware Server erkannt und die hiervon betroffenen
Accounts ggf. gesperrt.
Die Aktivierung des "Detect Intruders" sowie die weitere Parametrisierung
dieses Menüpunktes beugt somit einer "Brute Force Attacke" unter Novell
Netware vor.
Incorrect Login Attempts gibt hierbei die Anzahl der zulässigen Login Fehlversuche an; üblicherweise sollte hierbei der Wert ”Drei” eingestellt werden.
Mit Hilfe von Bad Login Count Retention Time kann die zeitliche Zurückverfolgung von fehlgeschlagenen Login-Versuchen eines Accounts aktiviert
werden. Übersteigt die Anzahl der Login-Fehlversuche eines Accounts
innerhalb des definierten Zeitraumes den unter Incorrect Login Attempts
eingestellten Wert, so wird der Benutzer Account auf dem Novell Netware
Server gesperrt.
Der Menüpunkt Lock Account After Detection sollte auf "Yes" eingestellt
sein, um einen Account, der die Anzahl der ungültigen Login Versuche überschritten hat, zu sperren.
Der Zeitwert für Length of Account Lockout sollte keinesfalls zu gering
gewählt werden (> 1 Stunde) um sicherzustellen, daß die Ursache für einen
Intruder Lockout durch die Systemadministration und den betroffenen Benutzer aufgeklärt werden kann.

_____________________________________________________________________ ..........................................
203

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.99
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bild: Menü SYS:PUBLIC\SYSCON.EXE "Supervisor Options - Intruder
Detection Logout"
System Login Script
In dem System Login Script werden die Einstellungen vorgenommen, die für
alle Benutzer nach deren Anmeldung auf dem Novell Netware Server existieren sollen. Das System Login Script wird, im Gegensatz zum User Login
Script, für jeden Benutzer des Novell Netware Servers ausgeführt. Es ist daher
sinnvoll, die Einstellungen, die für alle Benutzer des Novell Netware Servers
gelten sollen, wie z. B. Laufwerkzuordnungen oder der Aufruf von externen
Programmen, im System Login Script des Novell Netware Servers
einzustellen.
Soll vermieden werden, daß ein Benutzer durch Verwendung des eigenen
UER-Login-Scripts die Standardeinstellungen verändert, muß beim Verlassen
des System-Login-Scripts der Befehl EXIT aufgenommen werden
Hinweis: Weiterhin ist für jeden Benutzer ein User-Login-Script zu erstellen.
Dies ist erforderlich, da jeder Benutzer über das Zugriffsrecht "Create" im
Verzeichnis SYS:MAIL verfügt. Einem Benutzer ohne User-Login-Script kann
daher in seinem SYS:MAIL-Verzeichnis eine Datei LOGIN erzeugt werden,
die Schadfunktionen ausführen kann.
View File Server Error Log
Das File Server Error Log ist das Fehlerprotokoll eines Novell Netware Servers. In ihm werden alle Fehler und Warnmeldungen des Servers gespeichert
und können durch den Supervisor ausgewertet werden.

_____________________________________________________________________ ..........................................
204

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.99
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bild: Menü SYS:PUBLIC\SYSCON.EXE "Supervisor Options - File Server
Error Log"
Workgroup Managers
Ein Arbeitsgruppenverwalter (Workgroup Manager) ist ein eingeschränkter
Supervisor Account, der das Recht zum Erstellen und Löschen von Bindery
Objekten (Benutzer, Benutzergruppen, Druckerwarteschlangen) sowie deren
Verwaltung hat. Die Rechte, die ein Arbeitsgruppenverwalter hierbei einsetzt
bzw. an Benutzer und Benutzergruppen weitergeben darf, richten sich nach
den durch den Supervisor zugestandenen Rechten.
Arbeitsgruppenverwalter können keine neuen Arbeitsgruppenverwalter oder
einen Benutzer einrichten, dessen Sicherheitsstufe ”Supervisor-äquivalent” ist,
es sei denn, der Arbeitsgruppenverwalter verfügt über Supervisor-äquivalente
Rechte.
Station Restrictions
Mit Hilfe des Menüpunktes Station Restrictions können die Netzadressen festgelegt werden, von denen aus sich ein Benutzer am Novell Netware Server
anmelden darf. Informationen über die jeweilige Adresse einer Workstation
im Netz lassen sich z. B. mit SYS:PUBLIC\USERLIST.EXE /A in Erfahrung
bringen. Die Festlegung von erlaubten Netzadressen ist insbesondere für den
Supervisor bzw. für äquivalente Accounts empfehlenswert. Dieses sollte
jedoch vor Ort, je nach Gegebenheit, entschieden werden.
Standardisierte Einrichtung von Benutzern und Benutzergruppen
Neben der Einrichtung von Benutzern unter Einsatz des Menü-Utilities
SYS:PUBLIC\SYSCON.EXE besteht zudem die Möglichkeit, Benutzer mit
Hilfe
der
Utilities
SYS:\PUBLIC\MAKEUSER.EXE
und
SYS:\PUBLIC\USERDEF.EXE einzurichten.
Diese eignen sich besonders für die gleichzeitige Einrichtung einer größeren
Anzahl von Benutzern.

_____________________________________________________________________ ..........................................
205

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.99
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

SYS:\PUBLIC\MAKEUSER.EXE erzeugt eine Art Batch-Datei, mit deren
Hilfe mehrere Benutzer mit unterschiedlichen Rechten eingerichtet werden
können.
SYS:\PUBLIC\USERDEF.EXE dient zur Einrichtung mehrerer Benutzer mit
gleichen Rechten. Zu diesem Zweck wird eine Schablone (Template) erstellt,
in der eingetragen wird, nach welchen Vorgaben die Benutzer einzurichten
sind.
Diese Menü-Utilities sollten insbesondere in größeren Netzen aus Gründen
einer vereinfachten und einheitlichen Administration eingesetzt werden.

_____________________________________________________________________ ..........................................
206

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.100
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.100

Sicherer Betrieb von Novell Netware Servern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der sichere Betrieb eines Novell Netware Netzes setzt verschiedene Aktionen
voraus, die nachfolgend beschrieben werden.
Vergabe von Zugriffsrechten auf Verzeichnisse und Dateien
Die Vergabe von Zugriffsrechten (Trustee Assignments) auf Verzeichnisse
und Dateien von Novell Netware Servern spielt eine zentrale Rolle für die
Sicherheit eines Novell Netware Servers.
Zugriffsrechte werden im Gegensatz zur Vergabe von Attributen einzelnen
Benutzern bzw. Benutzergruppen zugewiesen.
Verzeichnisse und Dateien können über die Steuerung der Zugriffsrechte
aufgabenbezogen zugewiesen werden. Hierdurch kann sichergestellt werden,
daß Benutzergruppen bzw. Benutzer nur die Zugriffsrechte auf Verzeichnisse
und Dateien haben, die sie zur Durchführung ihrer Aufgaben benötigen.
Aus Gründen der Übersichtlichkeit, einer vereinfachten Administration sowie
einer verbesserten Revisionsfähigkeit sollte die Vergabe von Zugriffsrechten
vorrangig über die Zuweisung von Rechten an Benutzergruppen erfolgen.
Um die versehentliche Freigabe von Verzeichnissen durch einen Benutzer zu
verhindern, sollte die Systemadministration Benutzergruppen und Benutzern
in den ihnen zugewiesenen Verzeichnissen die Rechte ”Supervisory” (S) und
”Access Control” (A) nicht erteilen.
Werden ausgewählten Verzeichnissen oder Dateien mit Hilfe von NetwareAttributen bestimmte Eigenschaften (z. B. schreibgeschützte Dateien) zugewiesen, so sollte beachtet werden, daß Benutzer, die das Zugriffsrecht
”Modify (M)” auf die entsprechenden Verzeichnisse und Dateien besitzen, in
der Lage sind, diese Attribute zu verändern. Daher sollte der Kreis der
Benutzer mit diesem Zugriffsrecht eingeschränkt werden (s. u. Vergabe von
Netware-Attributen auf Verzeichnisse und Dateien).
Vergabe von Netware-Attributen auf Verzeichnisse und Dateien
Neben der Benutzer- bzw. gruppenbezogenen Erteilung von Zugriffsrechten
auf Verzeichnisse und Dateien kann durch die Vergabe von Netware-Attributen auf Verzeichnisse und Dateien die Datensicherheit erhöht werden.
Attribute sind immer verzeichnis- bzw. dateibezogen, d. h. sie sind unabhängig von den zugewiesenen Zugriffsrechten und gelten für alle Benutzer
einschließlich des Supervisors.
Benutzer, denen das Zugriffsrecht ”Modify (M)” auf die in Frage kommenden
Verzeichnisse und Dateien eingeräumt wurde, können die vergebenen
Netware-Attribute ändern und somit jede Aktion, die sich aus ihren effektiven
Rechten ergibt, ausführen.
Die Sicherheit durch den Einsatz von Netware-Attributen stellt sich somit als
ein Subsystem in der Verzeichnis- und Dateisicherheit dar.

_____________________________________________________________________ ..........................................
207

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.100
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bei der Vergabe von Netware-Attributen auf Verzeichnisse und Dateien
sollten die folgenden Eigenschaften von Netware-Attributen beachtet werden.
- Verzeichnis-Attribute:
Hidden (H): Das Verzeichnis wird als versteckt gekennzeichnet; es
erscheint weder in einem Inhaltsverzeichnis unter DOS, noch kann es
gelöscht oder kopiert werden.
System (Sy): Das Verzeichnis (z. B. SYS:SYSTEM\DELETED.SAV) wird
vom System benutzt; es erscheint ebenfalls nicht in einem Inhaltsverzeichnis unter DOS und kann weder kopiert noch gelöscht werden.
Rename Inhibit (R): Das Verzeichnis kann nicht umbenannt werden.
Delete Inhibit (D): Das Verzeichnis kann nicht gelöscht werden.
Purge (P): Das Verzeichnis sowie die in ihm befindlichen Dateien werden
beim Löschen sofort, auch physikalisch, gelöscht. Eine Wiederherstellung
des Verzeichnisses mit Hilfe von SYS:\PUBLIC\SALVAGE.EXE ist nicht
möglich.
- Datei Attribute:
Read write (Rw): Auf die Datei ist sowohl Lese- wie auch Schreibzugriff
möglich.
Read only (Ro): Die Datei kann nur gelesen werden. Ein Schreibzugriff ist
nicht möglich. Um Datenverluste bei einer gemeinsamen Benutzung zu
vermeiden, sollten diese Dateien ebenfalls das Attribut ”Shareable” (S)
besitzen.
Ausführbare Programmdateien (*.exe, *.com) sollten mit dem Attribut
”Read only” versehen werden, um einem möglichen Befall durch
Computer-Viren vorzubeugen.
Shareable (S): Diese Dateien können von mehreren Benutzern gleichzeitig
benutzt werden. Dateien, die mit dem Attribut ”Shareable” versehen
worden sind, sollten gleichzeitig das Attribut ”Read Only” (RO) besitzen.
Das Attribut ”Shareable” ist nur relevant für Programme, die Dateien nicht
netzfähig öffnen.
Purge (P): Dateien mit dem Attribut ”Purge” werden beim Löschen nicht
nur logisch, sondern sofort physikalisch gelöscht. Dies hat zur Folge, daß
die
Datei
nicht
wiederhergestellt
werden
kann
(SYS:PUBLIC\SALVAGE.EXE).
In diesem Zusammenhang wird darauf hingewiesen, daß die physikalische
Löschung von Dateien nicht nur durch das Netware-Attribut ”Purge”
erfolgen kann. Wenn das sichere Löschen von Verzeichnissen und Dateien
gewünscht wird, dann kann hierzu das Netware Programm
SYS:PUBLIC\PURGE.EXE eingesetzt werden.
Transactional (T): Dateien mit diesem Attribut unterliegen der Transaktionskontrolle von Novell Netware. Als Transaktion wird hier eine
zusammenhängende Folge von Veränderungen in einer oder mehreren
Dateien verstanden. Das Setzen dieses Attributes bewirkt, daß nur voll-

_____________________________________________________________________ ..........................................
208

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.100
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

ständig durchgeführte Transaktionen in den Datenbestand der Datei übernommen werden. Transaktionen, die unkorrekt abgebrochen wurden,
werden von Novell Netware rückgängig gemacht.
Archive needed (A): Die so durch Novell Netware gekennzeichneten
Dateien sind seit der letzten Datensicherung inhaltlich verändert oder neu
auf dem Novell Netware Server aufgespielt worden. Datensicherungssoftware kann somit bei einer sequentiellen Datensicherung erkennen, daß
die Datei erneut gesichert werden muß.
Copy Inhibit (C): Derartige Dateien können nicht kopiert werden. Dieses
Netware-Attribut gilt allerdings nur für APPLE Macintosh Workstations.
Delete Inhibit (D): Die Datei kann nicht gelöscht werden.
Rename Inhibit (R): Die Datei kann nicht umbenannt werden.
Execute Only (X): Ausführbare Programmdateien (*.EXE, *.COM), die
mit diesem Attribut versehen werden, können ausschließlich ausgeführt
oder gelöscht werden. Ein Kopieren der Datei ist nicht möglich.
Hidden (H): Die Datei wird als versteckt gekennzeichnet. Sie erscheint
nicht in einem Inhaltsverzeichnis unter DOS und kann weder kopiert noch
gelöscht werden.
System (S): Die Datei (z. B. Bindery Dateien -NET$OBJ.SYS,
NET$PROP.SYS, NET$VAL.SYS) wird vom Netzbetriebssystem verwendet; sie erscheint ebenfalls nicht in einem Inhaltsverzeichnis unter DOS
und kann weder kopiert noch gelöscht werden.
Sicherung wichtiger Systemdateien
Die Server Startdateien AUTOEXEC.NCF und STARTUP.NCF sollten, in
ihrer jeweils aktuellen Fassung, durch den Systemadministrator auf Diskette
gesichert werden und vor unbefugtem Zugriff gesichert hinterlegt werden. Es
ist sinnvoll, diese Dateien durch Kommentierungszeilen zu ergänzen, damit
beim Auftreten von Problemen die jeweils eingestellten Parameter nachvollzogen werden können.
Weiterhin sollte die Bindery
(NET$OBJ.SYS,
NET$PROP.SYS,
NET$VAL.SYS) eines Novell Netware Servers regelmäßig mit Hilfe des
Programms SYS:SYSTEM\BINDFIX.EXE gesichert werden. Die gesicherte
Bindery (SYS:SYSTEM\*.OLD) sollte im Anschluß auf einen Datenträger
gesichert und vor unbefugten Zugriff geschützt hinterlegt werden.
Nach der Ausführung von SYS:SYSTEM\BINDFIX.EXE sollte die Integrität
der neuen Bindery auf jeden Fall getestet werden. Im Zweifelsfalle kann die
alte Bindery durch SYS:SYSTEM\BINDREST.EXE wiederhergestellt werden.
Da
die
aktuelle
Bindery
während
der
Ausführung
von
SYS:SYSTEM\BINDFIX.EXE dem Zugriff der Benutzer entzogen wird, sollte
aus Gründen der Betriebssicherheit bei der Sicherung der Bindery eines
Novell Netware Servers außer dem Supervisor bzw. dem Supervisor-äquivalenten Benutzer kein Benutzer auf dem Novell Netware Server eingeloggt
sein.

_____________________________________________________________________ ..........................................
209

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.100
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Eingeschränkte Nutzung des Supervisor Account bzw. eines Supervisoräquivalenten Account
Der Account des Supervisors sollte bei der täglichen Administrationsarbeit
nicht verwendet werden, sondern nur in Notfällen benutzt werden. Um
dennoch die Systemadministration zu gewährleisten, sollte daher für jeden
Benutzer mit der Netwaresicherheitsstufe ”Supervisor” ein Supervisor-äquivalenter Account eingerichtet werden, mit dem die Systemadministration
normalerweise erfolgt. Werden die Administrationsarbeiten nicht hauptamtlich wahrgenommen, so sollten für die nichtadministrativen Aufgaben
zusätzlich aufgabenbezogene Accounts eingerichtet werden.
Der Account des Supervisors bzw. eines Supervisor-äquivalenten Account
sollte weiterhin nur auf hierzu definierten Workstations verwendet werden, da
die Integrität anderer Workstations u. U. durch Benutzer manipuliert sein
könnte.
Delegierung der Systemverwaltung
In größeren Netzen (mehrere Novell Netware Server oder verschiedene
Liegenschaften) bzw. bei einer größeren Anzahl von Benutzern empfiehlt es
sich, bestimmte Aufgaben der Systemadministration zu delegieren. Novell
Netware 3.x bietet hierzu die Möglichkeit, Benutzer zu User-AccountManagern bzw. Workgroup-Managern zu bestimmen.
User-Account-Manager können die Benutzer und Gruppen verwalten, die
ihnen vom Systemverwalter zugewiesen wurden. Dabei sind sie in der Lage,
neben der Änderung der Benutzerdaten (Paßwort, Benutzungszeiten usw.) alle
Rechte, über die sie selbst verfügen, weiter zu geben. Desweiteren kann der
User-Account-Manager einzelne Benutzer einer Gruppe zuweisen. Dabei
müssen sowohl die Gruppen als auch die Benutzer vom entsprechenden UserAccount-Manager verwaltet werden. Der User-Account-Manager ist nicht in
der Lage neue Benutzer oder Gruppen einzurichten. Allerdings kann er ihm
zugewiesene Benutzer oder Gruppen löschen.
Ein Workgroup-Manager hat alle Rechte eines User-Account-Managers.
Darüber hinaus ist er in der Lage, neue Benutzer und Gruppen einzurichten.
Eine weitere Aufgabe des Workgroup-Managers ist das Einrichten von
Druckerwarteschlangen.
Nutzung von NCP-Paket-Signatur
Die Kommunikation eines Novell Netware Clients mit einem Novell NetwareServer wird durch das Netware Core Protokoll (NCP) gesteuert. Client und
Server tauschen hierbei einzelne Pakete aus, in denen die Daten enthalten
sind. Ein potentieller Angreifer kann diese Pakete mittels spezieller
Programme (siehe G 5.58 "Hacking Novell Netware") überwachen und die
Datenpakete höher privilegierter Benutzer manipulieren.
Um dieser Bedrohung entgegenzuwirken, wurde die Paket-Signatur entwikkelt. Bei der Anmeldung eines Benutzers am Server wird ein geheimer
Schlüssel ermittelt. Wann immer die Workstation daraufhin eine Anfrage über
NCP an den Server sendet, wird diese mit einer Signatur versehen, die aus
dem geheimen Schlüssel und der Signatur des vorherigen Pakets gebildet
wird. Diese Signatur wird an das betreffende Paket angehängt und zum Server

_____________________________________________________________________ ..........................................
210

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.100
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

gesandt. Bevor die eigentliche Anfrage bearbeitet wird, verifiziert der Server
die Paket-Signatur.
Durch die Option Set NCP Packet Signature -Wert- kann die Paket-Signatur
am Server aktiviert werden.
Es sind folgende NCP-Paket-Signatur Level möglich:
Wert "0":

Es findet keine NCP-Paket-Signatur statt.

Wert "1":

Der Novell Netware Server arbeitet auf Anforderung des Clients
mit der NCP-Paket-Signatur.

Wert "2":

Der Novell Netware Server fordert vom Client NCP-PaketSignatur an. Sollte der Client dieses nicht realisieren können, so
wird die Kommunikation zwischen Client und Novell Netware
Server trotzdem zugelassen.

Wert "3": Die NCP-Paket-Signatur ist zwingend vorgeschrieben.
Zur Gewährleistung der IT-Sicherheit sollte die NCP-Paket-Signatur mit dem
Wert ”3” gewählt werden. Da sich jedoch die Netzlast beim Einsatz der NCPPaket-Signatur um bis zu 30% erhöht, sollte im Vorfeld des Einsatzes geklärt
werden, ob die Performance hierdurch nicht unzumutbar eingeschränkt wird.
Beschränkung des nutzbaren Festplattenspeichers
Mit Hilfe des Programms SYS:PUBLIC\DSPACE.EXE sollte der auf einem
Volume oder einem Verzeichnis zur Verfügung stehende Festplattenspeicher
limitiert werden, da erfahrungsgemäß die Inanspruchnahme des zur Verfügung stehenden Festplattenspeichers mit der Kapazität des Festplattenspeichers steigt.
Alternativ hierzu kann auch, soweit eingerichtet, die Kapazität des jeweiligen
persönlichen Verzeichnis eines Benutzers beschränkt werden, wenn für die
Arbeitsdaten eigene Verzeichnisse eingerichtet wurden.
Sperrung von nicht benötigten Programmen
Die meisten der unter SYS:PUBLIC bereitgestellten Novell Netware
Programme werden durch die Netware-Benutzer im Regelfall nicht benötigt,
da viele der Funktionen (Druckerkonfigurationen, Änderung des Paßwortes,
Laufwerkszuweisungen) durch die Client- Software gehandhabt werden
können. Aus diesem Grund sowie der meist ungewohnten Handhabung der
Novell Netware Dienstprogramme empfiehlt es sich, nicht benötigte
Programme in das Verzeichnis SYS:SYSTEM zu verschieben. Insbesondere
das Programm SYS:PUBLIC\RENDIR.EXE sollte wegen der erkannten
Gefährdung (G 5.54 Vorsätzliches Herbeiführen eines Abnormal End) den
Benutzern nicht zur Verfügung gestellt werden.
Keinesfalls sollten, wie oftmals beobachtet, die unter SYS:SYSTEM gespeicherten Programme in das Verzeichnis SYS:PUBLIC verlagert werden.
Information über Patches von Novell Netware
Im Verlauf der Entwicklung des Netzbetriebssystems Novell Netware 3.x
haben sich diverse Schwachstellen bzw. Unzulänglichkeiten herausgestellt,
die durch den Hersteller mit Hilfe von sogenannten Patches größtenteils

_____________________________________________________________________ ..........................................
211

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.100
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

behoben wurden. Diese Patches werden durch den Hersteller im Internet zur
Verfügung
gestellt
(http://www.novell.com,
ftp.novell.com
bzw.
http://www.novell.de, ftp.novell.de). Informationen über die Funktionalität
sowie das ggf. erforderliche Einspielen der zur Verfügung gestellten Patches
können daher Schwachstellen im laufenden Produktionsbetrieb beseitigen.
Insbesondere zusätzlich installierte Softwareprodukte, wie z. B. zur Datensicherung, erfordern oftmals einen bestimmten Patchlevel des Netzbetriebssystems. Hierbei ist jedoch zu beachten, daß die angebotenen Patches keineswegs blind aufgespielt werden sollten, sondern nur im Bedarfsfall ("never
change a running system") sowie nach gründlicher Information.
Soweit vorhanden, sollten diese Patches zunächst auf einer Testkonfiguration
ausgetestet werden.
Im Internet (Usenet) ist, neben den internationalen Diskussionsforen zum
Thema
Novell
Netware
(z. Z.
comp.os.netware.announce,
comp.os.netware.misc, comp.os.netware.security, bit.listserv.novell), für die
deutschsprachigen Benutzer ein deutsches Novell Forum (z. Z.
de.comp.sys.novell) vorhanden, in dem einige versierte Novelladminstratoren
aktiv sind, die oftmals auch die schwierigsten Probleme zu lösen helfen.
Außerdem werden zu den im Internet am häufigsten gestellten Fragen Dateien
(sogenannte FAQs - Frequently Asked Questions) zur Verfügung gestellt, die
die häufigsten Probleme thematisieren und Lösungen anbieten.
Patches und Informationen über Novell Netware werden darüber hinaus auch
über andere Anbieter von Netzdiensten, wie z. B. Compuserve, Fidonet und
Mailboxen bereitgestellt.
Für die Richtigkeit und Vollständigkeit der jeweiligen Informationen in den
Usenet Diskussionsforen sowie in den FAQs kann an dieser Stelle jedoch
keine Garantie gegeben werden. Es sei darauf hingewiesen, daß eine vollständige Beschreibung des aufgetretenen Problems, sowie eine Beschreibung
der jeweiligen Konfiguration des Netzes (Client, Server) besonders vorteilhaft
bei der Hilfesuche im Internet (Usenet) ist.
Schwierigkeiten während des Netzbetriebes können darüber hinaus oftmals
durch die Nachfrage bei dem Verkäufer des Netzbetriebssystems oder im
Informationsaustausch mit Kollegen behoben werden; wobei auch hier die
Problemlösung durch eine vollständige Konfigurationsbeschreibung erleichtert wird.
Prüfung auf Computer-Viren
Computer-Viren, die sich in den auf einem Novell Netware Server
gespeicherten Programmen und Dateien befinden, können, aufgrund der zentralen Verteilung durch den Novell Netware Server an die Workstations,
erhebliche Schäden im Netzverbund hervorrufen.
Aus diesem Grund sollten die Programme und Dateien eines Novell Netware
Servers regelmäßig mit einem aktuellen Virensuchprogramm auf evtl.
vorhandene Computer-Viren überprüft werden.
Zu diesem Zweck empfiehlt es sich einen speziellen Benutzer-Account auf
dem Novell Netware Server einzurichten, der über die Zugriffsrechte "Read"
(R) und "File Scan" (F) auf alle Dateien des Servers verfügt. Die Prüfung auf

_____________________________________________________________________ ..........................................
212

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.100
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Computer-Viren sollte keinesfalls mit den Rechten des Supervisors, bzw.
Supervisor-äquivalenten Rechten durchgeführt werden, da ein ComputerViren-Checkprogramm, welches selbst mit einem Computer-Virus infiziert ist,
diesen auf alle Programme und Dateien des Novell Netware Servers übertragen würde.
Die Benutzer bzw. Benutzergruppen sollten auf die Verzeichnisse und Dateien
mit ausführbarem Programmcode lediglich die effektiven Rechte "Read" (R)
und "File scan" (F) erhalten, zudem sollten ausführbare Programme mit dem
Netware-Attribut "Read only" (RO) versehen werden.

_____________________________________________________________________ ..........................................
213

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.101
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.101

Revision von Novell Netware Servern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die vollständige Revision eines Novell Netware 3.x Servers dürfte in der
Praxis im Rahmen IT-Grundschutz kaum möglich sein. Folgende
Revisionsansätze sollten dennoch beachtet werden:
Durch das Programm SYS:SYSTEM\SECURITY.EXE werden die BinderyDateien eines Novell Netware Servers auf die nachfolgenden Sicherheitsschwachstellen hin untersucht und die erkannten Schwachstellen aufgelistet.
No password assigned
Benutzer, die kein Paßwort für das Login auf dem Novell Netware Server
benötigen, werden aufgelistet.
Insecure passwords
Hierbei wird die Bindery des Novell Netware Servers auf mehrere Aspekte
hin untersucht.
Zum einen werden die Benutzer angezeigt, deren Paßwort gleich dem
Anmeldenamen auf dem Novell Netware Server ist; weiterhin werden alle
Benutzer aufgeführt, deren Paßwort weniger als fünf Zeichen lang sein darf.
Es wird weiterhin für jeden Benutzer geprüft, ob die Gültigkeitsdauer eines
Paßwortes mehr als 60 Tage beträgt und ob eine unbegrenzte Anzahl von
"Frei-Anmeldungen" (Grace Logins) möglich ist.
Supervisor equivalence
SYS:SYSTEM\SECURITY.EXE überprüft die Bindery eines Novell Netware
Servers dahingehend, ob Benutzer die Sicherheitstufe "Supervisor"
(Supervisor equivalence) auf dem Novell Netware Server haben, und führt
diese auf.
Root directory privileges
Aufgrund der nach "unten" gerichteten Vererbung von Zugriffsrechten werden
alle Benutzer eines Novell Netware Servers dahingehend geprüft, ob sie
Zugriffsrechte im Hauptverzeichnis (Volume Ebene) haben.
Login scripts
Es werden alle Benutzer ermittelt, die über kein eigenes Login Script (User
Login Script) verfügen.
Da alle Benutzer, um elektronische Nachrichten austauschen zu können, standardmäßig über das Zugriffsrecht "Create" in dem Verzeichnis SYS:MAIL
verfügen, könnte ein "Angreifer" einem Benutzer, der über kein User Login
Script verfügt, in dessen SYS:MAIL\ Verzeichnis eine Datei LOGIN (UserLogin-Script) kopieren, mit dem dessen Novell Netware Umgebung verändert
würde.

_____________________________________________________________________ ..........................................
214

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.101
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Excessive rights
Novell Netware 3.x stellt im Rahmen der Installation standardmäßig mehrere
Verzeichnisse zur Verfügung (SYS:SYSTEM, SYS:PUBLIC, SYS:LOGIN).
SYS:SYSTEM\SECURITY.EXE überprüft die Bindery des Novell Netware
Servers, ob Benutzer in diesen Verzeichnissen größere Rechte haben, als die
standardmäßig vorgegebenen. Weiterhin werden die SYS:MAIL Verzeichnisse
aller Benutzer auf das alleinige Verfügungsrecht (Ausnahme "Create" für die
Gruppe "Everyone") des jeweiligen Inhabers geprüft.
Ergänzende Kontrollfragen:
- Wann wurde die letzte Revision durchgeführt?
- In welchen Intervallen erfolgt eine Revision?

_____________________________________________________________________ ..........................................
215

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.102
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.102

Verzicht auf die Aktivierung der Remote
Console

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Das Netzbetriebssystem Novell Netware ermöglicht mittels des Programmes
SYS:\SYSTEM\RCONSOLE.EXE die Fernsteuerung der Novell Netware
Serverkonsole durch eine Workstation. Der Novell Netware Server wird
hierzu in der AUTOEXEC.NCF durch das Laden von REMOTE.NLM mit dem
dazugehörenden Paßwort und RSPX.NLM eingerichtet. Dabei muß vermieden
werden, daß das Paßwort im Klartext in der AUTOEXEC.NCF enthalten ist.
Dazu kann nach Ausführen des Programms REMOTE.NLM der Befehl
REMOTE ENCRYPT an der Serverkonsole eingegeben werden. Das dann
abgefragte Paßwort wird verschlüsselt und auf Wunsch mit dem
dazugehörigen Befehl in der Datei LDREMOTE.NCF abgelegt. Der Befehl in
der Datei LDREMOTE.NCF sieht z. B. wie folgt aus:
LOAD REMOTE -E 0613BB68060099
Netzanalyse-Tools, sogenannte Sniffer, können die Daten, die zwischen der
Workstation und dem Novell Netware Server ausgetauscht werden, auslesen
und speichern. Hierzu gehört auch das verschlüsselte Paßwort, welches zur
Fernsteuerung des Novell Netware Servers eingegeben werden muß. Spezielle
Software ist in der Lage, das verschlüsselte Paßwort zu entschlüsseln.
Unbefugte können hierdurch in die Lage versetzt werden, mittels der
Fernsteuerung Zugriff auf die Konsole des Novell Netware Servers zu
erlangen.
Um zudem zu verhindern, daß Remote-Sitzungen mit Netzanalyse-Tools
aufgezeichnet und danach einfach wieder ins Netz eingespielt werden können,
sollte darauf geachtet werden, daß Signaturen bei den RSPX-Paketen aktiviert
sind. Dies kann überprüft werden, indem der Befehl RSPX an der Konsole des
Servers ausgeführt wird. Die Antwort sollte wie folgt aussehen:
RSPX Packet Signatures:
All packets must contain signatures.
Sollten hier keine Signaturen aktiviert sein, kann dies durch den Befehl RSPX
SIGNATURES ON veranlaßt werden. Da diese Funktion erst ab Netware 3.12
unterstützt wird, sollte unbedingt auf die aktuelle Netware Version
zurückgegriffen werden.
Soweit die örtlichen Gegebenheiten und die betrieblichen Abläufe dieses
zulassen, sollte aus Sicherheitserwägungen auf die Fernsteuerung von Novell
Netware Servern verzichtet werden.
Generell gilt jedoch, wenn C2-Sicherheit umgesetzt werden soll (siehe auch
M 4.102 C2-Sicherheit unter Novell 4.11), dann darf das Programm
SYS:\SYSTEM\RCONSOLE.EXE nicht eingesetzt werden.

_____________________________________________________________________ ..........................................
216

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.103
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.103

Einrichten von Benutzerprofilen unter
Windows 95

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Unter Windows 95 besteht die Möglichkeit, durch Einrichten von Benutzerprofilen eine Benutzertrennung durchzuführen. Diese Trennung dient jedoch
(wenn nicht durch Systemrichtlinien eine Einschränkung erfolgt, vgl. M 2.104
Systemrichtlinien zur Einschränkung der Nutzungsmöglichkeiten von
Windows 95) ausschließlich dazu, benutzerspezifische Einstellungen zu
konservieren und damit für den jeweiligen Benutzer eine individuelle
Arbeitsumgebung zu erhalten, die er nach seinen Bedürfnissen und Erfordernissen anpassen kann. Ein Windows 95-Anmeldepaßwort wird erst nach
Aktivieren der Benutzerprofile obligatorisch. Für dieses Paßwort gelten im
übrigen dieselben Überlegungen wie für WfW-Anmeldepaßwörter (vgl.
M 4.46 Nutzung des Anmeldepaßwortes unter WfW und Windows 95).
Die den Benutzer betreffenden Einstellungen werden in einem Verzeichnis
C:\WINDOWS\PROFILES\Benutzername gespeichert.
Benutzerprofile sollten auf einem nicht vernetzten Windows 95-Rechner
immer dann aktiviert werden, wenn unerfahrenen Benutzern das Navigieren
unter Windows 95 erleichtert werden soll. Dies ist ebenfalls sinnvoll, wenn
eine Benutzertrennung, wenn auch nicht unter Sicherheitsgesichtspunkten, so
doch aus organisatorischen oder prinzipiellen Gründen gewünscht wird.
Dazu öffnet man die Programmgruppe SYSTEMSTEUERUNG, dann die
Schaltfläche KENNWÖRTER und kann anschließend die Benutzerprofile
aktivieren bzw. deaktivieren.

_____________________________________________________________________ ..........................................
217

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.103
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Hinweis: In Novell Netware- oder Windows NT-Netzen können verpflichtende Benutzerprofile angelegt werden, indem das entsprechende Profil in
einem dem Benutzer zugeordneten Netzverzeichnis zugriffsgeschützt gespeichert wird. Dieses Profil hat den Namen USER.MAN und wird bei jeder
Anmeldung am Server automatisch geladen (vgl. M 4.51 Benutzerprofile zur
Einschränkung der Nutzungsmöglichkeiten von Windows NT).
Ergänzende Kontrollfragen:
- Sollen an dem Windows 95 Rechner mehrere Benutzer arbeiten?
- Ist eine Benutzertrennung unter Sicherheitsgesichtspunkten oder aus
organisatorischen bzw. prinzipiellen Gründen sinnvoll?

_____________________________________________________________________ ..........................................
218

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.104
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.104

Systemrichtlinien zur Einschränkung der
Nutzungsmöglichkeiten von Windows 95

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Soll unerfahrenen Benutzern das Navigieren unter Windows 95 erleichtert
werden oder ist aus betrieblicher Sicht die Einschränkung bestimmter
Ressourcen notwendig, so kann unter Windows 95 mit sogenannten Systemrichtlinien die Benutzerumgebung benutzerspezifisch mit bestimmten
Restriktionen versehen werden. Jedoch sollte berücksichtigt werden, daß
Benutzer gegenüber dem IT-System möglicherweise eine abweisende Haltung
einnehmen, wenn Einschränkungen nicht unmittelbar einsichtig sind. Eine
Einschränkung sollte also nur dann erfolgen, wenn sie tatsächlich notwendig
ist oder wenn sie vom Benutzer nicht bemerkt wird.
Sobald Systemrichtlinien aktiviert sind, wird beim Starten von Windows 95
überprüft, ob benutzerspezifische Einschränkungen für den aktuellen Benutzer
eingerichtet wurden. Ist dies der Fall, werden diese geladen. Ist dies nicht der
Fall, werden die Einschränkungen für den Standardbenutzer herangezogen. Im
folgenden werden zunächst die prinzipiellen Einschränkungen beschrieben,
die mit den Systemrichtlinien eingestellt werden können. Anschließend wird
aufgezeigt, wie diese mittels des Systemrichtlinieneditors (POLEDIT.EXE)
angelegt und aktiviert werden können.
Die wesentlichen mit Systemrichtlinien einzustellenden Restriktionen für
einen nicht vernetzten Windows 95-Rechner sind:
- Der Zugriff auf die Systemsteuerung kann bezüglich der Optionen
ANZEIGE, NETZWERK, KENNWÖRTER, DRUCKEREINSTELLUNGEN
und SYSTEM eingeschränkt werden. Die jeweiligen Optionen können zum
Teil vollständig deaktiviert oder auf einzelne Registerkarten beschränkt
werden.
Wesentlich bei diesen Optionen sind folgende Punkte:
-

Es können Vorgaben für Bildschirmfarben unter Ergonomiegesichtspunkten gemacht werden.

-

Es kann vorgesehen werden, eigene Kennwörter durch den Benutzer
ändern zu lassen.

-

Druckerkonfiguration und Hardware-Einstellungen lassen sich fest
vorgeben.

- Der Zugriff auf einzelne Funktionen der Benutzeroberfläche kann eingeschränkt werden. Beispielsweise können die Befehle AUSFÜHREN,
SUCHEN und BEENDEN entfernt werden. Damit wird zum Beispiel verhindert, daß Benutzer nach sicherheitsrelevanten Dateien oder Programmen
suchen und diese dann ggf. ausführen. Die Laufwerke lassen sich aus dem
ARBEITSPLATZ und für den EXPLORER (dem früheren Dateimanager)
ausblenden. Partitionen (Laufwerke) können dann ggf. nur noch aus
Anwendungen heraus gewechselt werden, da standardmäßig nur die StartPartition (z. B. C:\) zur Verfügung steht.

_____________________________________________________________________ ..........................................
219

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.104
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Der Programmstart von ausführbaren Dateien kann eingeschränkt und die
DOS-Eingabeaufforderung deaktiviert werden. Die für den einzelnen
Benutzer erlaubten Anwendungen lassen sich explizit vorgeben (z. B.
WINWORD.EXE, EXCEL.EXE und EXPLORER.EXE)
Zusätzlich kann für den Rechner gefordert werden, daß die Windows 95Anmeldekennwörter sowohl aus Buchstaben als auch aus Sonderzeichen oder
Zahlen bestehen müssen und welche Mindestlänge sie aufweisen sollen.
Programme, die beim Systemstart ausgeführt werden sollen, lassen sich ebenfalls vorgeben.
Im folgenden wird in einzelnen Schritten gezeigt, wie Systemrichtlinien angelegt und aktiviert werden können und welche Restriktionen für einen nicht
vernetzten Windows 95-Rechner Sicherheit bieten:
1. Anlegen einer Systemrichtliniendatei
Mit Hilfe des Systemrichtlinieneditors wird eine Systemrichtliniendatei
erzeugt. Ihr Name ist zwar beliebig, jedoch wird an dieser Stelle der Einfachheit halber der Name CONFIG.POL gewählt. Dazu wird das Programm
POLEDIT.EXE aufgerufen, eine neue Datei angelegt und diese unter dem
Namen CONFIG.POL abgespeichert. Diese Datei enthält automatisch Einträge für den Standardbenutzer und den Standardcomputer, die im nächsten
Schritt ggf. einzuschränken sind. Für den Administrator sind ebenfalls Einträge für den Computer und den Benutzer anzulegen (im Menü BEARBEITEN
mit BENUTZER HINZUFÜGEN und COMPUTER HINZUFÜGEN), die im
dritten Schritt zu spezifizieren sind.

2. Definition einer Richtlinie für den Standardbenutzer und Standardcomputer
Öffnet man mit dem Systemrichtlinieneditor die Einstellungen für den
Standardbenutzer, so kann man menügeführt die entsprechenden sicherheitsrelevanten Einträge vornehmen.

_____________________________________________________________________ ..........................................
220

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.104
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Beispielsweise:

Für einen Standardbenutzer sollten folgende Restriktionen eingestellt
werden:
Systemsteuerung
- Der Zugriff auf die Registerkarte BILDSCHIRMSCHONER sollte dann
deaktiviert werden, wenn der Benutzer die Bildschirmsperre nicht deaktivieren können soll. In diesem Fall ist ihm allerdings die Möglichkeit zu
geben, das Bildschirmpaßwort zu ändern. Dazu darf die SYSTEMSTEUERUNG (s. u.) nicht vollständig und bei der Option KENNWÖRTER
die Registerkarte KENNWORT ÄNDERN nicht deaktiviert sein.
- Damit der Benutzer die Systemrichtlinien nicht deaktivieren kann, ist
zwingend die Registerkarte BENUTZERPROFILE für die Systemsteuerungsoption KENNWÖRTER auszublenden.
- Die Einstellungen für die Hardware-Konfiguration sind vorzunehmen und
der Zugriff auf die Register und Schaltflächen für die Systemsteuerungsoption SYSTEM maximal zu beschränken, damit fehlerhafte Konfigurationen durch den Benutzer vermieden werden, die die Verfügbarkeit oder
Leistungsfähigkeit des Rechners einschränken können.

_____________________________________________________________________ ..........................................
221

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.104
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Shell-Zugriffsbeschränkungen
- Der Befehl AUSFÜHREN sollte deaktiviert werden, wenn verhindert
werden soll, daß bestimmte Programme unter Angaben von Optionen
gestartet werden können.
- Die SYSTEM- und DRUCKERSTEUERUNG kann vollständig deaktiviert
werden, wenn man die Option ORDNER UNTER "EINSTELLUNGEN" IM
MENÜ "START" ENTFERNEN aktiviert. Dies ist immer dann notwendig,
wenn dem Benutzer jegliche Möglichkeit genommen werden soll, Systemoder Druckereinstellungen zu ändern. Damit der Benutzer sein Bildschirmpaßwort ändern kann, ist unter der Systemsteuerungsoption
ANZEIGE die Registerkarte BILDSCHIRMSCHONER (s. o.) freizugeben.
Der Benutzer kann dann durch Klicken mit der rechten Maustaste auf den
Desktop über EIGENSCHAFTEN auf die Bildschirmsperre zugreifen.
- Soll die Benutzung des EXPLORERS nicht erlaubt sein, so ist die Option
LAUFWERKE IM FENSTER “ARBEITSPLATZ” AUSBLENDEN zu aktivieren, da der EXPLORER über den ARBEITSPLATZ gestartet werden
kann, selbst wenn die Nutzung explizit verboten wurde.
System-Zugriffsbeschränkungen
- Die Option PROGRAMME ZUM BEARBEITEN DER REGISTRIERUNG
DEAKTIVIEREN ist zu wählen.
Hinweis: Diese Option betrifft nur den Registrierungseditor
(REGEDIT.EXE). Mit dem Systemrichtlinien-Editor (POLEDIT.EXE) läßt
sich die lokale Registrierung nach wie vor bearbeiten. Dieses Programm
sollte daher von der Festplatte gelöscht werden.
- Es sollten nur zugelassene Anwendungen ausführbar sein.
Es sind diejenigen Anwendungen, wie etwa WINWORD.EXE,
ACCESS.EXE, EXPLORER.EXE, einzutragen, die der Benutzer ausführen
können soll.
- Die MS-DOS-Eingabeaufforderung ist zu deaktivieren.
- Ggf. sind Single-Mode-Anwendungen für MS-DOS zu deaktivieren.
Falls einige DOS-Anwendungen unter Windows 95 aufgerufen werden
sollen, der Benutzer aber nicht auf die DOS-Ebene gelangen soll, ist die
DOS-Eingabeaufforderung zu aktivieren, jedoch sind bei den zugelassene
Anwendungen für Windows nur diejenigen zu nennen, die benötigt
werden. Die COMMAND.COM darf dann dort nicht genannt werden.
Für einen Standardcomputer sollten folgende Restriktionen eingestellt
werden:
Netzwerk
- Unter KENNWÖRTER ist ein alphanumerisches Windows-Anmeldekennwort und eine Mindestlänge von sechs Zeichen zu fordern.
- Unter UPDATE ist REMOTE-UPDATE nicht zu deaktivieren, da sonst die
Systemrichtlininen nicht geladen werden.

_____________________________________________________________________ ..........................................
222

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.104
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

System
- Die BENUTZERPROFILE sind zu aktivieren.
3. Definition einer Richtlinie für den Administrator
In einer Richtlinie für den Administrator sollten keine der obigen Restriktionen gesetzt werden. Hierfür ist ein eigener Benutzer unter Windows 95
sowie ein Benutzer und Computer mittels Systemrichtlinien einzurichten, da
sonst für ihn die über den Standardbenutzer eingestellten Einschränkungen
gelten. Das dazugehörige Paßwort darf nur dem Administrator und seinem
Vertreter bekannt sein.
Diese Richtlinie ist ebenfalls in der Datei CONFIG.POL abzulegen.
4. Definition von Richtlinien für einzelne Benutzer basierend auf dem
Standardbenutzer und Standardcomputer
Werden weitere Benutzer benötigt, deren Restriktionen sich von den unter 1.
spezifizierten unterscheiden sollen, so sind analog zu 1. diese Richtlinien
zusätzlich in der Datei CONFIG.POL einzurichten. Dazu kopiert man das
Standardprofil, gibt diesem den Namen des betreffenden Benutzers und stellt
die Restriktionen wie unter 1. für diesen Benutzer ein.
5. Aktivieren der Richtlinien
Beim Einrichten der Systemrichtlinien durch den Administrator ist besondere
Vorsicht und Aufmerksamkeit geboten, da sehr leicht inkonsistente Systemzustände eingestellt werden können, die ein Arbeiten mit dem Rechner verhindern. Das Betriebssystem wäre neu zu installieren. Die Systemrichtlinien
sollten also nur dann aktiviert werden, wenn die Richtlinien mit äußerster
Sorgfalt definiert wurden.
Dazu öffnet der Administrator mit dem Systemrichtlinieneditor
(POLEDIT.EXE) die lokale Registrierung und setzt dort für den LOKALEN
COMPUTER unter der Option NETZWERK-UPDATE den Schalter REMOTEUPDATE. Als Update-Modus muß INTERAKTIV gewählt werden. Der Pfad
für die oben definierte CONFIG.POL ist ebenfalls anzugeben.
Die notwendigen Einstellungen können von besonders erfahrenen Administratoren auch mit dem Registrierungseditor (Programm REGEDIT.EXE)
vorgenommen werden.
Darüber hinaus sind in der Programmgruppe SYSTEMSTEUERUNG mit der
Schaltfläche KENNWÖRTER die Benutzerprofile zu aktivieren.
Ergänzende Kontrollfragen:
- Ist die Einschränkung der Benutzerumgebung aus betrieblicher Sicht notwendig?
- Ist die Einschränkung bestimmter Ressourcen notwendig?

_____________________________________________________________________ ..........................................
223

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.105
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.105

Beschaffung von TK-Anlagen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Haustechnik, Beschaffungsstelle
Bei der Beschaffung neuer TK-Anlagen besteht die Möglichkeit, diese von
vornherein so auszugestalten, daß im späteren Betrieb mit geringem
personellen und organisatorischen Zusatzaufwand ein hohes Maß an
Sicherheit erreicht werden kann. Hierfür muß in erster Linie auf
- das Vorhandensein geeigneter Funktionalitäten für die Anlagenadministration,
- ausreichende Protokollmechanismen und Auswerte-Tools sowie
- die Revisionsfähigkeit der TK-Anlage
geachtet werden. Für den Bereich der Bundesbehörden wurden entsprechende
Anforderungen vom Bundesamt für Sicherheit in der Informationstechnik
(BSI) in Zusammenarbeit mit dem Zentralverband der Elektrotechnik- und
Elektronikindustrie (ZVEI) erarbeitet und in der Broschüre
Sicherheitsanforderungen an TK-Anlagen
- Empfehlungen für den Bereich der Bundesbehörden zusammengefaßt. Diese Empfehlungen sind aus Sicht des BSI auch auf andere
Bereich der Verwaltung und der Privatwirtschaft übertragbar.
Die Broschüre befindet sich auf der CD-ROM zum IT-Grundschutzhandbuch:
..\HILFSMI\TK.DOC

_____________________________________________________________________ ..........................................
224

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.106
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.106

Auswahl geeigneter ISDN-Karten in der
Beschaffung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle
Bei der Beschaffung von ISDN-Karten besteht die Möglichkeit, diese von
vornherein
so
auszuwählen,
daß
im
späteren
Betrieb
Sicherheitsfunktionalitäten nicht teuer hinzugekauft werden müssen.
Erforderliche Sicherheitsfunktionalitäten sollten bereits auf der Karte
vorhanden sein oder durch mitgelieferte Kommunikationssoftware und
Treiberprogramme realisiert werden können.
Mögliche Kriterien für die Auswahl geeigneter ISDN-Karten sind:
-

Fähigkeit zur Durchführung einer Authentisierung über PAP und CHAP
(Password Authentikation Protocol und Challenge Handshake Authentication Protocol, RFC 1994),

- Vorhandensein eines Verschlüsselungsverfahrens (symmetrisch/asymmetrisch) in Hard- oder Software,
-

Möglichkeit der Auswertung von CLIP-Rufnummern (Calling Line
Identification Presentation) zur Authentisierung,

-

Möglichkeit des Führens einer Rufnummerntabelle für das Durchführen
eines Callbacks,

-

Möglichkeit der Protokollierung nicht erfolgreicher Verbindungsaufbauten
(Ablehnung aufgrund falscher Rufnummern- oder PAP/CHAPAuthentisierung).

Außerdem sind die ISDN-Karten auf Funktionalitäten hin zu untersuchen, die
für einen sicheren Betrieb nicht vorhanden sein dürfen, oder falls sie dennoch
vorhanden sind, zumindest durch Konfiguration eine Deaktivierung herbeigeführt werden kann. Hierzu zählt z. B. die "Remote-Control"-Funktionalität,
die einen direkten Kommunikationsaufbau zum IT-System aus dem
öffentlichen Netz zuläßt.
Beachtet werden sollte, daß sowohl im Bereich der IT-Systeme, die mit ISDNKarten ausgestattet werden sollen, als auch im Bereich der
Netzkoppelelemente (z. B. ISDN-Router) ISDN-Karten mit möglichst
gleichen Sicherheitsfunktionalitäten eingesetzt werden. Ist dies nicht
gewährleistet, entfalten Sicherheitsfunktionalitäten, die auf beiden Seiten
erforderlich sind, nicht die gewünschte Wirkung.
Ergänzende Kontrollfrage:
- Sind der Beschaffungsstelle diese ergänzenden Anforderungen an ISDNKarten bekannt?

_____________________________________________________________________ ..........................................
225

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.107
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.107

Dokumentation der ISDN-Karten-Konfiguration

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Je nach Einsatzgebiet ergeben sich für eine ISDN-Karte nahezu beliebig
komplexe Konfigurationseinstellungen. Für das Sicherstellen eines geordneten
Wiederanlaufs (z. B. nach Austausch einer ISDN-Karte oder deren
Kommunikationssoftware) wird empfohlen, mindestens die folgenden Einstellungen zu dokumentieren:
- Typenbezeichnung der eingesetzten Karte und Seriennummer,
- Rufnummer(n) für den Kommunikationsaufbau und eine evtl. durchzuführende Authentisierung,
- Verwendetes D-Kanal-Protokoll (1TR6, EDSS-1 etc.),
- Verwendetes B-Kanal-Protokoll (X.25, PPP, TCP/IP, Bittransparent etc.),
- Stand der verwendeten CAPI-Version,
- Stand der verwendeten Treiber-Software,
- Art der Datenkompression, wenn verwendet,
- Art der Authentisierung (z. B. PAP/CHAP), wenn verwendet.
Beim Einsatz von Authentisierungsverfahren, die auf dem Besitz eines
gemeinsamen Geheimnisses (z. B. Paßwort) beruhen, kann auch dieses
Geheimnis dokumentiert werden. Beachtet werden muß dann allerdings, daß
die erstellte Dokumentation nur einem eingeschränkten Personenkreis
zugänglich gemacht werden darf, um das Bekanntwerden des Geheimnisses zu
verhindern.
Ergänzende Kontrollfrage:
- Sind in der Dokumentation Paßwörter beschrieben? Wird die Dokumentation sicher aufbewahrt?

_____________________________________________________________________ ..........................................
226

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.108
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.108

Verzicht auf Fernwartung der ISDN-Netzkoppelelemente

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Verzicht auf Fernwartung ist eine wirkungsvolle Maßnahme, um Externe
an Manipulationen an ISDN-Routern und IT-Systemen mit ISDN-Karten zu
hindern.
Bei IT-Systemen mit ISDN-Karte sollte überprüft werden, ob die verwendete
Kommunikationssoftware “Remote-Control”-Funktionalitäten bietet. Hierdurch kann das betreffende IT-System über das öffentliche ISDN angerufen
werden, die ISDN-Karte nimmt den Anruf entgegen und der Anrufende
bedient das IT-System so, als ob es “vor Ort” wäre. Diese Funktionalität ist zu
deaktivieren.
Bei ISDN-Routern sollte die Fernwartung über reservierte Bandbreiten (oder
reservierte ISDN-Rufnummern) deaktiviert werden, da hier i. d. R. eine nur
über ein Paßwort geschützte Verbindung zur Management Information Base
des Routers hergestellt wird, in der nahezu alle Konfigurationseinstellungen
vorgenommen werden können.
Ergänzende Kontrollfragen:
- Welche Gründe sprechen für und welche gegen den Verzicht der Fernwartung?
- Wurde die Entscheidung über die Fernwartung herbeigeführt?

_____________________________________________________________________ ..........................................
227

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.109
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.109

Rechtevergabe für den Fernzugriff

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der externe Zugriff auf ein Unternehmensnetz muß hinsichtlich der eingeräumten Rechte auf das erforderlich Maß eingeschränkt werden. Über die in
M 2.8 Vergabe von Zugriffsrechten beschriebenen Anforderungen ist weiterhin zu berücksichtigen, daß die Rechtevergabe für den Fernzugriff noch
restriktiver zu handhaben ist.
Beispielsweise müssen für einen Telearbeitsplatz nicht zwingend Zugriffsrechte auf Verzeichnisse mit Software bestehen (siehe G 5.62 Mißbrauch von
Ressourcen über abgesetzte IT-Systeme).
Ergänzende Kontrollfrage:
- Wann wurden die für den Fernzugriff eingeräumten Rechte zuletzt überprüft?

_____________________________________________________________________ ..........................................
228

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.110
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.110

Datenschutzaspekte bei der Protokollierung

Verantwortlich für Initiierung: Leiter IT, Datenschutzbeauftragter
Verantwortlich für Umsetzung: Administrator, Datenschutzbeauftragter
Unter Protokollierung beim Betrieb von IT-Systemen ist im datenschutzrechtlichen Sinn die Erstellung von manuellen oder automatisierten Aufzeichnungen zu verstehen, aus denen sich die Fragen beantworten lassen:
"Wer hat wann mit welchen Mitteln was veranlaßt bzw. worauf zugegriffen?"
Außerdem müssen sich Systemzustände ableiten lassen: "Wer hatte von wann
bis wann welche Zugriffsrechte?"
Art und Umfang von Protokollierungen hängen vom allgemeinen Datenschutzrecht und auch von bereichsspezifischen Regelungen ab.
Die Protokollierung der Administrationsaktivitäten entspricht einer Systemüberwachung, während die Protokollierung der Benutzeraktivitäten im
wesentlichen der Verfahrensüberwachung dient. Dementsprechend finden sich
die Anforderungen an die Art und den Umfang der systemorientierten
Protokollierung überwiegend im allgemeinen Datenschutzrecht, während die
verfahrensorientierte Protokollierung oft durch bereichsspezifische Regelungen definiert wird. Beispiele für verfahrensorientierte Protokollierung sind
u. a. Meldegesetze, Polizeigesetze, Verfassungsschutzgesetze.
Mindestanforderungen an die Protokollierung
Bei der Administration von IT-Systemen sind die folgenden Aktivitäten vollständig zu protokollieren:
- Systemgenerierung und Modifikation von Systemparametern
Da auf dieser Ebene in der Regel keine systemgesteuerten Protokolle
erzeugt werden, bedarf es entsprechender detaillierter manueller
Aufzeichnungen, die mit der Systemdokumentation korrespondieren
sollten.
- Einrichten von Benutzern
Wem von wann bis wann durch wen das Recht eingeräumt worden ist, das
betreffende IT-System zu benutzen, ist vollständig zu protokollieren. Für
diese Protokolle sollten längerfristige Aufbewahrungszeiträume vorgesehen werden, da sie Grundlage praktisch jeder Revisionsmaßnahme sind.
- Erstellung von Rechteprofilen
Im Rahmen der Protokollierung der Benutzerverwaltung kommt es insbesondere auch darauf an aufzuzeichnen, wer die Anweisung zur Einrichtung
bestimmter Benutzerrechte erteilt hat (siehe auch M 2.31 Dokumentation
der zugelassenen Benutzer und Rechteprofile).
- Einspielen und Änderung von Anwendungssoftware
Die Protokolle repräsentieren das Ergebnis der Programm- und Verfahrensfreigaben.

_____________________________________________________________________ ..........................................
229

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.110
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Änderungen an der Dateiorganisation
Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten, die sich
bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben,
kommt einer vollständigen Protokollierung eine besondere Bedeutung zu
(vgl. z. B. Datenbankmanagement).
- Durchführung von Datensicherungsmaßnahmen
Da derartige Maßnahmen (Backup, Restore) mit der Anfertigung von
Kopien bzw. dem Überschreiben von Datenbeständen verbunden sind und
häufig in "Ausnahmesituationen" durchgeführt werden, besteht eine
erhöhte Notwendigkeit zur Protokollierung.
- Sonstiger Aufruf von Administrations-Tools
Die Benutzung aller Administrations-Tools ist zu protokollieren, um feststellen zu können, ob Unbefugte sich Systemadministrator-Rechte erschlichen haben.
- Versuche unbefugten Einloggens und Überschreitung von Befugnissen
Geht man von einer wirksamen Authentisierungsprozedur und sachgerechten Befugniszuweisungen aus, kommt der vollständigen Protokollierung aller "auffälligen Abnormalitäten" beim Einloggen und der Benutzung
von Hard- und Software-Komponenten eine zentrale Bedeutung zu.
Benutzer in diesem Sinne ist auch der Systemadministrator.
Bei der Verarbeitung von personenbezogenen Daten sind folgende Benutzeraktivitäten in Abhängigkeit von der Sensibilität der Verfahren bzw. Daten
vollständig bzw. selektiv zu protokollieren:
- Eingabe von Daten
Die sogenannte Eingabekontrolle erfolgt grundsätzlich verfahrensorientiert
(z. B. Protokollierung in Akten, soweit vorhanden, Protokollierung direkt
im Datenbestand, sofern keine Akten geführt werden). Auch wenn man
davon ausgeht, daß Befugnisüberschreitungen anderweitig protokolliert
werden, dürfte eine vollständige Protokollierung von Dateneingaben als
Regelfall angesehen werden müssen.
- Datenübermittlungen
Nur soweit nicht gesetzlich eine vollständige Protokollierung vorgeschrieben ist, kann eine selektive Protokollierung als ausreichend angesehen
werden.
- Benutzung von automatisierten Abrufverfahren
In der Regel dürfte eine vollständige Protokollierung der Abrufe und der
Gründe der Abrufe (Vorgang, Aktenzeichen etc.) erforderlich sein, um
unbefugte Kenntnisnahme im Rahmen der grundsätzlich eingeräumten
Zugriffsrechte aufdecken zu können.
- Löschung von Daten
Die Durchführung der Löschung ist zu protokollieren.

_____________________________________________________________________ ..........................................
230

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.110
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Aufruf von Programmen
Dies kann erforderlich sein bei besonders "sensiblen" Programmen, die
z. B. nur zu bestimmten Zeiten oder Anlässen benutzt werden dürfen.
Deshalb ist in diesen Fällen eine vollständige Protokollierung angezeigt.
Die Protokollierung dient auch der Entlastung der befugten Benutzer
(Nachweis des ausschließlich befugten Aufrufs der Programme).
Zweckbindung bei der Nutzung von Protokolldaten
Protokolldaten unterliegen aufgrund der nahezu übereinstimmenden Regelungen im Datenschutzrecht des Bundes und der Länder einer besonderen engen
Zweckbindung (z. B. § 14 Abs. 4 und § 31 BDSG, § 13 Abs. 5 HDSG). Sie
dürfen nur zu den Zwecken genutzt werden, die Anlaß für ihre Speicherung
waren. Dies sind in der Regel die in einem Sicherheitskonzept festgelegten
allgemeinen Kontrollen, die in den meisten Datenschutzgesetzen geforderte
"Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden" (vgl.
z. B. § 18 Abs. 2 BDSG, § 8 Abs. 3 LDSG-SH) und die Kontrollen durch
interne oder externe Datenschutzbeauftragte. Nur in Ausnahmefällen lassen
die bereichsspezifischen Regelungen die Nutzung dieser Daten für andere
Zwecke, z. B. zur Strafverfolgung, zu.
Aufbewahrungsdauer
Soweit nicht bereichsspezifische Regelungen etwas anderes vorsehen, richtet
sich die Aufbewahrungsdauer der Protokolle nach den allgemeinen
Löschungsregeln der Datenschutzgesetze. Maßstab ist die "Erforderlichkeit
zur Aufgabenerfüllung". Gibt es keinen zwingenden Grund für das weitere
Vorhalten von Protokolldateien, besteht eine Löschungspflicht (vgl. z. B. § 20
Abs. 2 BDSG).
Als Anhaltspunkte können dienen:
- die Wahrscheinlichkeit, daß Unregelmäßigkeiten (noch) offenbar werden
können und
- die Möglichkeit, die Gründe von Unregelmäßigkeiten anhand der Protokolle und anderer Unterlagen aufdecken zu können.
Erfahrungsgemäß sollte eine Frist von einem Jahr nicht überschritten werden.
Soweit Protokolle zum Zwecke gezielter Kontrollen angefertigt werden,
kommen kürzere Speicherungsfristen in Betracht. In der Regel reicht eine
Aufbewahrung bis zur tatsächlichen Kontrolle aus. Auch hier sind die
bereichsspezifischen Vorschriften zu beachten.
Technische und organisatorische Rahmenbedingungen
Die Effektivität der Protokollierung und ihre Auswertung im Rahmen von
Kontrollen hängt im entscheidenden Maße von den technischen und organisatorischen Rahmenbedingungen ab. In diesem Zusammenhang sollten folgende
Aspekte Berücksichtigung finden:
- Es sollte ein Revisionskonzept erstellt werden, das den Zweck der Protokolle und deren Kontrollen sowie Schutzmechanismen für die Rechte der
Mitarbeiter und der sonstigen betroffenen Personen klar definiert.

_____________________________________________________________________ ..........................................
231

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.110
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Die Zwangsläufigkeit und damit die Vollständigkeit der Protokolle muß
ebenso gewährleistet werden wie die Manipulationssicherheit der Einträge
in Protokolldateien.
- Entsprechend der Zweckbindung der Datenbestände müssen wirksame
Zugriffsbeschränkungen realisiert werden.
- Die Protokolle müssen so gestaltet sein, daß eine effektive Überprüfung
möglich ist. Dazu gehört auch eine IT-Unterstützung der Auswertung.
- Die Auswertungsmöglichkeiten sollten vorab abgestimmt und festgelegt
sein.
- Kontrollen sollten so zeitnah durchgeführt werden, daß bei aufgedeckten
Verstößen noch Schäden abgewendet sowie Konsequenzen gezogen
werden können. Kontrollen müssen rechtzeitig vor dem Ablauf von
Löschungsfristen von Protokolldateien stattfinden.
- Kontrollen sollten nach dem 4-Augen-Prinzip erfolgen.
- Es sollte vorab definiert werden, welche Konsequenzen sich aus Verstößen
ergeben, die durch die Kontrolle von Protokollen aufgedeckt werden.
- Die Mitarbeiter sollten darüber informiert sein, daß Kontrollen durchgeführt werden, ggf. auch unangekündigt.
- Für Routinekontrollen sollten automatisierte Verfahren (z. B. watch dogs)
verwendet werden.
- Personal- bzw. Betriebsräte sollten bei der Erarbeitung des Revisionskonzeptes und bei der Festlegung der Auswertungsmöglichkeiten der Protokolle beteiligt werden.

_____________________________________________________________________ ..........................................
232

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.111
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.111

Bereithalten von Handbüchern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement
Bei der Beschaffung von Informationstechnik, egal ob es sich um Hardware
oder Software handelt, müssen die zugehörigen Handbücher und technischen
Referenzen in ausreichender Anzahl mitbeschafft werden.
Im Lieferumfang von IT-Produkten ist zunehmend keine weiterführende
Dokumentation mehr enthalten, sondern es werden neben Online-Hilfen nur
noch Installationshilfen und einführende Texte mitgeliefert. Dieser eingeschränkte Umfang an Dokumentationshilfen ist insbesondere bei auftretenden
Fehlern unzureichend. Es ist daher darauf zu achten, daß die erforderlichen
Handbücher, technische Referenzen und Fehlerkataloge zusätzlich beschafft
werden. Hierbei muß nicht ausschließlich auf die vom Hersteller angebotene
Literatur zurückgegriffen werden.
Alle Handbücher zu einem IT-Produkt müssen jederzeit in der Anwendungsumgebung verfügbar sein. Beispielweise müssen die Handbücher zu einem
Server-Betriebssystem bei diesem Server aufbewahrt werden, und nicht in
einer evtl. geschlossenen Bibliothek. Bei der Notfallplanung ist der Zugriff auf
diese Literatur einzuplanen (siehe M 6.3 Erstellung eines Notfall-Handbuches).
Kontrollfragen:
- Welche Handbücher gibt es zu den eingesetzten IT-Produkten?
- Wo werden die Handbücher verwahrt? Sind sie jederzeit verfügbar?

_____________________________________________________________________ ..........................................
233

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.112
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.112

Regelung des Akten- und Datenträgertransports
zwischen häuslichem Arbeitsplatz und
Institution

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Mitarbeiter
Damit der Austausch von Akten und Datenträgern zwischen häuslichem
Arbeitsplatz und Institution sicher vollzogen werden kann, ist eine Regelung
über Art und Weise des Austauschs aufzustellen. Darin sollten zumindest
folgende Punkte betrachtet bzw. geregelt werden:
- welche Akten/Datenträger über welchen Transportweg (Postweg, Kurier,
Paketdienst, ...) ausgetauscht werden dürfen (vgl. M 5.23 Auswahl einer
geeigneten Versandart),
- welche Schutzmaßnahmen sind beim Transport zu beachten. Beispiele
dazu sind:
- geschlossener Behälter,
- Versandtasche,
- Einschreiben,
- Wertbrief,
- Begleitschreiben und
- Versiegelung.
- welche Akten/Datenträger nur persönlich transportiert werden dürfen.
Da Schriftstücke, Dokumente und Akten oftmals Unikate sind, muß bei der
Auswahl eines geeigneten Aktenaustauschverfahrens beachtet werden,
welchen Schaden der Verlust bedeuten würde. Hingegen kann beim Datenträgeraustausch vorab eine Datensicherung erfolgen.
Ergänzende Kontrollfragen:
- Sind betroffene Mitarbeiter darüber informiert, wie Akten- und Datenträger
zu transportieren sind?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
234

M 2.113
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.113

Regelungen für Telearbeit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
Personal

Leiter

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte
Da es bisher kein "Telearbeitsgesetz" mit eigenständigen gesetzlichen
Regelungen gibt, sollten einige Punkte entweder durch Tarifverträge,
Betriebsvereinbarungen oder zusätzlich zum Arbeitsvertrag getroffene
individuelle Vereinbarungen zwischen Telearbeiter und Arbeitgeber geklärt
werden. Darin sollten unter anderem die Punkte "Freiwilligkeit der Teilnahme
an der Telearbeit", "Mehrarbeit und Zuschläge", "Aufwendungen für Fahrten
zwischen Betrieb und häuslicher Wohnung", "Aufwendungen z. B. für Strom
und Heizung", "Haftung (bei Diebstahl oder Beschädigung der IT, aber auch
bei Arbeitsunfall oder Berufskrankheit)" und "Beendigung der Telearbeit"
geklärt bzw. geregelt werden.
Im Sinne der IT-Sicherheit sollten zusätzlich folgende Punkte behandelt
werden:
- Arbeitszeitregelung: die Verteilung der Arbeitszeiten auf Tätigkeiten in
der Institution und am häuslichen Arbeitsplatz muß geregelt sein und feste
Zeiten der Erreichbarkeit am häuslichen Arbeitsplatz müssen festgelegt
werden.
- Reaktionszeiten: es sollte geregelt werden, in welchen Abständen aktuelle
Informationen eingeholt werden (z. B. wie häufig E-Mails gelesen werden)
und wie schnell darauf reagiert werden sollte.
- Arbeitsmittel: es kann festgeschrieben werden, welche Arbeitsmittel der
Telearbeiter einsetzen kann und welche nicht genutzt werden dürfen (z. B.
nicht freigegebene Software). So kann ein E-Mail-Anschluß zur Verfügung
gestellt werden, aber die Nutzung von anderen Internet-Diensten wird
untersagt. Weiterhin kann die Benutzung von Disketten (Gefahr von
Computer-Viren) untersagt werden, wenn der Telearbeitsrechner dies nicht
erfordert.
- Datensicherung: der Telearbeiter ist zu verpflichten, regelmäßig eine
Datensicherung durchzuführen. Darüber hinaus sollte vereinbart werden,
daß jeweils eine Generation der Datensicherung bei der Institution zur
Unterstützung der Verfügbarkeit hinterlegt wird.
- IT-Sicherheitsmaßnahmen: der Telearbeiter ist zu verpflichten, die für
die Telearbeit notwendigen IT-Sicherheitsmaßnahmen zu beachten und zu
realisieren. Die umzusetzenden IT-Sicherheitsmaßnahmen sind dem
Telearbeiter in schriftlicher Form zu übergeben.
- Datenschutz: der Telearbeiter ist auf die Einhaltung einschlägiger Datenschutzvorschriften zu verpflichten sowie auf die notwendigen Maßnahmen
bei der Bearbeitung von personenbezogenen Daten am häuslichen Arbeitsplatz hinzuweisen.

_____________________________________________________________________ ..........................................
235

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.113
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Datenkommunikation: es muß festgelegt werden, welche Daten auf
welchem Weg übertragen bzw. welche Daten nicht oder nur verschlüsselt
elektronisch übermittelt werden dürfen.
- Aktentransport: die Art und Absicherung des Aktentransports zwischen
häuslichem Arbeitsplatz und Institution ist zu regeln.
- Meldeweg: der Telearbeiter ist zu verpflichten, IT-sicherheitsrelevante
Vorkommnisse unverzüglich an eine zu bestimmende Stelle in der
Institution zu melden.
- Zutrittsrecht zum häuslichen Arbeitsplatz: für die Durchführung von
Kontrollen und für die Verfügbarkeit von Akten und Daten im
Vertretungsfall kann ein Zutrittsrecht zum häuslichen Arbeitsplatz (ggf.
mit vorheriger Anmeldung) vereinbart werden.
Ergänzende Kontrollfragen:
- Ist dem Telearbeiter der vereinbarte Rahmen seiner Tätigkeit bekannt?
- Wird dem Telearbeiter ein Informationsblatt darüber ausgehändigt?
- Wird dem Telearbeiter ein Merkblatt ausgehändigt, in dem die von ihm zu
beachtenden IT-Sicherheitsmaßnahmen erläutert werden? Wann wurde das
Merkblatt zuletzt aktualisiert?

_____________________________________________________________________ ..........................................
236

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.114
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.114

Informationsfluß zwischen Telearbeiter und
Institution

Verantwortlich für Initiierung: Vorgesetzte, Telearbeiter
Verantwortlich für Umsetzung: Vorgesetzte, Telearbeiter
Damit der Telearbeiter nicht vom betrieblichen Geschehen abgeschnitten
wird, sollte der Vorgesetzte einen regelmäßigen Informationsaustausch
zwischen dem Telearbeiter und den Arbeitskollegen ermöglichen. Dies ist
wichtig, damit der Telearbeiter auch zukünftig über Planungen und Zielsetzungen in seinem Arbeitsbereich informiert ist, damit Frustrationen vermieden und ein positives Telearbeitsklima geschaffen wird und erhalten
bleibt.
Die Beteiligung der Telearbeiter an Umlaufverfahren für Hausmitteilungen,
einschlägige Informationen und Zeitschriften ist zu regeln. Dies stellt dann ein
Problem dar, wenn der Telearbeiter ausschließlich zu Hause arbeitet. Eine
Lösung wäre eventuell das Einscannen wichtiger Schriftstücke, um sie dann
dem Telearbeiter per E-Mail zuzustellen. Zusätzlich ist der Telearbeiter über
Änderungen von IT-Sicherheitsmaßnahmen zu unterrichten.
Weiterhin müssen die Arbeitskollegen über die Anwesenheits- und Erreichbarkeitszeiten und die E-Mail-Adresse bzw. Telefonnummer des Telearbeiters
in Kenntnis gesetzt werden.
Folgende Punkte müssen darüber hinaus bei der Telearbeit geklärt werden:
- Wer ist Ansprechpartner bei technischen und/oder organisatorischen bei
Problemen in der Telearbeit?
- Wem müssen Sicherheitsvorkommnisse mitgeteilt werden?
- Wie erfolgt die Aufgabenzuteilung?
- Wie erfolgt die Übergabe der Arbeitsergebnisse?
Treten technisch-organisatorische Probleme auf, müssen diese vom Telearbeiter unverzüglich der Institution gemeldet werden.
Ergänzende Kontrollfragen:
- Wie erfährt der Telearbeiter dienstliche Informationen?
- Wem meldet ein Telearbeiter Sicherheitsvorkommnisse?
- Gibt es einen Ansprechpartner (unabhängig vom Vorgesetzten) für die
Telearbeiter?

_____________________________________________________________________ ..........................................
237

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.115
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.115

Betreuungs- und Wartungskonzept für Telearbeitsplätze

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Administrator, Telearbeiter
Für die Telearbeitsplätze muß ein spezielles Betreuungs- und Wartungskonzept erstellt werden, das folgende Punkte vorsieht:
- Benennen von probelembezogenen Ansprechpartnern für den
Benutzerservice: an diese Stelle wendet sich der Telearbeiter bei Software- und Hardwareproblemen. Der Benutzerservice versucht (auch telefonisch) kurzfristig Hilfestellung zu leisten bzw. leitet Wartungs- und
Reparaturarbeiten ein.
- Wartungstermine: die Termine für vor Ort durchzuführende Wartungsarbeiten sollten frühzeitig bekanntgegeben werden, damit die Telearbeiter
zu diesen Zeiten den Zutritt zum häuslichen Arbeitsplatz gewährleisten
können.
- Einführung von Standard-Telearbeitsrechnern: es sollten alle Telearbeiter einer Institution einen definierten Standard-Telearbeitsrechner
haben, damit Problemlösungen für den Benutzerservice erleichtert werden.
Dies erleichtert ebenso den konzeptionellen und administrativen Aufwand
für den Aufbau eines sicheren Telearbeitsrechners.
- Fernwartung: falls der Telearbeitsrechner über Fernwartung administriert
und gewartet werden kann, sind die notwendigen Sicherheitsmaßnahmen
sowie die erforderlichen online-Zeiten zu vereinbaren. Insbesondere ist ein
Sicherungsverfahren festzulegen, um den Mißbrauch eines Fernwartungszugangs zu verhindern (vgl. M 5.33 Absicherung der per Modem durchgeführten Fernwartung).
- Transport der IT: es sollte aus Gründen der Haftung festgelegt werden,
wer autorisiert ist, die IT zwischen Institution und häuslichen Arbeitsplatz
des Telearbeiters zu transportieren.
Weitere Regelungen können der Maßnahme M 2.4 Regelungen für Wartungsund Reparaturarbeiten entnommen werden.
Ergänzende Kontrollfragen:
- Sind dem Telearbeiter die Ansprechpartner für Hard- und Softwareprobleme bekannt?
- Ist dem Benutzer-Service die Konfiguration eines Standard-Telearbeitsrechner bekannt?
- Ist dem Benutzer-Service die Adresse des Telearbeiters bekannt, damit er
schnell vor Ort helfen kann?

_____________________________________________________________________ ..........................................
238

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.116
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.116

Geregelte Nutzung der Kommunikationsmöglichkeiten

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Telearbeiter
Grundsätzlich verfügt ein Telearbeitsrechner über elektronische Kommunikationsmöglichkeiten. Im Sinne der IT-Sicherheit muß geregelt werden, auf
welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt
werden dürfen. Grundsätzlich sollte die private Nutzung der Kommunikationsmöglichkeiten untersagt werden.
Zu klären sind zumindest folgende Punkte:
- Datenflußkontrolle
-

Welche Dienste dürfen zur Datenübertragung genutzt werden?

-

Welche Dienste dürfen explizit nicht genutzt werden?

-

Welche Informationen dürfen an wen versendet werden?

-

Welcher Schriftverkehr darf über E-Mail abgewickelt werden?

-

Falls der Telearbeitsrechner ein Fax-Modem besitzt oder wenn am
Telearbeitsplatz ein Faxgerät vorhanden ist, so ist zu klären, welche
Informationen per Fax an wen übermittelt werden dürfen.

-

Der elektronische Versand welcher Informationen bedarf der vorherigen Zustimmung der Institution?

- Informationsgewinnung
-

Welche elektronischen Dienstleistungen (Datenbankabfragen, elektronische Recherchen) dürfen vom Telearbeitsrechner aus in
Anspruch genommen werden? Beispielsweise können aus der Art
der Abfragen u. U. Rückschlüsse auf Unternehmensstrategien gezogen werden.

-

Welches Budget steht für elektronische Dienstleistungen zur Verfügung?

- IT-Sicherheitsmaßnahmen
-

Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden?

-

Für welche Daten ist eine Löschung nach erfolgreicher Übertragung
notwendig? Dies kann beispielsweise für personenbezogene Daten
gelten.

-

Von welchen Daten soll trotz der erfolgreichen Übertragung eine
Kopie der Daten auf dem Telearbeitsrechner verbleiben?

-

Wird vor Versand oder nach Erhalt von Daten ein Computer-VirenCheck der Daten durchgeführt?

-

Für welche Datenübertragung eine Protokollierung erfolgen soll?
Falls eine automatische Protokollierung nicht möglich sein sollte, ist

_____________________________________________________________________ ..........................................
239

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.116
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

festzulegen, ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist.
- Internet-Nutzung
-

Wird die Nutzung von Internet-Dienst generell verboten?

-

Welche Art von Daten darf aus dem Internet geladen werden?
Werden Daten von fremden Servern geladen, so besteht die Gefahr,
daß Computer-Viren importiert werden.

-

Welche Optionen dürfen im Internet-Browser aktiviert werden?

-

Welche Sicherungsverfahren sollen im Internet-Browser aktiviert
werden?

-

Ist die Zustimmung der Institution erforderlich, wenn der Telearbeiter sich am Informationsaustausch mittels News-Gruppen
beteiligen will? Ggf. ist eine anonyme Nutzung erforderlich.

- Unterschriftenregelung
-

Ist eine Unterschriftenregelung für die Kommunikation vorgesehen?

-

Werden gesetzkonforme digitale Signaturen eingesetzt?

-

Werden andere Authentisierungsverfahren für den Schriftverkehr
genutzt?

Ergänzende Kontrollfragen:
- Ist der Telearbeiter über die Regelungen bzgl. der Nutzung der Kommunikationsmöglichkeiten informiert?
- Bestätigt der Telearbeiter die Belehrung über die Nutzung der Kommunikationsmöglichkeiten durch eine Unterschrift?

_____________________________________________________________________ ..........................................
240

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.117
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.117

Regelung der Zugriffsmöglichkeiten des
Telearbeiters

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, IT-Leiter
Verantwortlich für Umsetzung: Administrator, Vorgesetzte
Erfordert die Telearbeit den Zugriff auf die IT der Institution (zum Beispiel
auf einen Server), muß zuvor festgelegt werden, welche Objekte (Daten, IT)
der Telearbeiter tatsächlich für die Erfüllung seiner Aufgaben benötigt. Entsprechend sind die notwendigen Rechte wie Lese- und Schreibrechte auf diese
Objekte zuzuweisen. Auf Objekte, die der Telearbeiter für seine Aufgabenwahrnehmung nicht braucht, sollte er auch nicht zugreifen können. Dies
gilt sowohl für den Zugriff auf Daten wie auf in der Institution verfügbare IT.
Damit soll erreicht werden, daß der Schaden, der aufgrund eines HackerAngriffs auf den Kommunikationsrechner entstehen kann, minimiert wird. Für
die Erteilung der Zugangs- und Zugriffsrechte siehe M 2.7 Vergabe von
Zugangsberechtigungen und M 2.8 Vergabe von Zugriffsrechten.
Ergänzende Kontrollfragen:
- Ist dem Administrator bekannt, auf welche Objekte der Telearbeiter
zugreifen darf?
- Welche Voraussetzungen müssen vor einer Vergabe oder Änderungen von
Zugriffsrechten erfüllt sein?
- Ist der Server so administriert, daß der Telearbeiter nur auf die erlaubten
Objekte zugreifen kann?

_____________________________________________________________________ ..........................................
241

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.118
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.118

Festlegung einer Sicherheitspolitik für E-MailNutzung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Bevor E-Mail-Systeme für die Nutzung freigeben werden, sollte festgelegt
werden, für welchen Einsatzzweck E-Mail vorgesehen ist. Abhängig davon,
wofür E-Mail eingesetzt werden soll, differieren auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten sowie des eingesetzten E-Mail-Programms. Es muß geklärt werden,
ob über E-Mail ausschließlich unverbindliche oder informelle Informationen
weitergegeben werden sollen oder ob einige oder sogar alle der bisher
schriftlich bearbeiteten Geschäftsvorfälle nun per E-Mail durchgeführt werden
sollen. Bei letzterem ist zu klären, wie Anmerkungen an Vorgängen wie
Verfügungen, Abzeichnungen oder Schlußzeichnungen, die bisher handschriftlich angebracht wurden, elektronisch abgebildet werden sollen.
Die Institution muß eine Sicherheitspolitik festlegen, in der folgende Punkte
beschrieben sind:
- wer einen E-Mail-Anschluß erhält,
- die Regelungen, die von den Mail-Administratoren und den E-MailBenutzern zu beachten sind,
- bis zu welchem Vertraulichkeits- bzw. Integritätsanspruch Informationen
per E-Mail versandt werden dürfen,
- welche Handbücher beschafft werden,
- wie die Benutzer geschult werden und
- wie jederzeit technische Hilfestellung für die Benutzer gewährleistet wird.
Durch organisatorische Regelungen oder durch die technische Umsetzung sind
dabei insbesondere die folgenden Punkte zum ordnungsgemäßen Dateitransfer
zu gewährleisten:
- Die E-Mail-Progamme der Benutzer müssen durch den Administrator so
vorkonfiguriert sein, daß ohne weiteres Zutun der Benutzer maximale
Sicherheit erreicht werden kann (siehe auch M 5.57 Sichere Konfiguration
der Mail-Clients).
- Die Übermittlung von Daten darf erst nach erfolgreicher Identifizierung
und Authentisierung des Senders beim Übertragungssystem möglich sein.
- Die Benutzer müssen vor erstmaliger Nutzung von E-Mail in die Handhabung der relevanten Applikationen eingewiesen werden. Die organisationsinternen Benutzerregelungen zu Dateiübermittlung muß ihnen
bekannt sein.
- Zur Beschreibung des Absenders werden bei E-Mails sogenannte Signatures (Absenderangaben) an das Ende der E-Mail angefügt. Der Inhalt
einer Signature sollte dem eines Briefkopfs ähneln, also Name, Organisationsbezeichnung und Telefonnummer u. ä. enthalten. Eine Signature

_____________________________________________________________________ ..........................................
242

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.118
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

sollte nicht zu umfangreich sein, da dies nur unnötig Übertragungszeit und
Speicherplatz kostet. Die Behörde bzw. das Unternehmen sollte einen
Standard für die einheitliche Gestaltung von Signatures festlegen.
- Von den eingesetzten Sicherheitsmechanismen hängt es ab, bis zu welchem
Vertraulichkeits- bzw. Integritätsanspruch Dateien per E-Mail versandt
werden dürfen. Es sollte geregelt werden, ob und wann übertragene
Dateien verschlüsselt bzw. digital signiert werden müssen (siehe auch
M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen
Signaturen). Es ist zentral festzulegen, welche Applikationen für die Verschlüsselung bzw. den Einsatz von Digitalen Signaturen von den
Benutzern zu verwenden sind. Diese müssen den Benutzern zur Verfügung
gestellt werden, die wiederum in deren Anwendung unterwiesen werden
müssen.
- Es sollte vor der Einführung elektronischer Kommunikationssysteme festgelegt werden, unter welchen Bedingungen ein- oder ausgehende E-Mails
zusätzlich ausgedruckt werden müssen.
- Die Dateiübertragung kann (optional) dokumentiert werden. Für jede
stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer
wann welche Informationen erhalten hat. Bei der Übertragung personenbezogener Daten sind die gesetzlichen Vorgaben zur Protokollierung zu
beachten.
E-Mails, die intern versandt werden, dürfen das interne Netz nicht verlassen.
Dies ist durch die entsprechenden administrativen Maßnahmen sicherzustellen. Beispielsweise sollte die Übertragung von E-Mails zwischen verschiedenen Liegenschaften einer Organisation über eigene Standleitungen und
nicht über das Internet erfolgen.
Grundsätzlich sollten Nachrichten, die an interne Adressen verschickt wurden,
nicht an externe Adressen weitergeleitet werden. Sollen hiervon Ausnahmen
gemacht werden, sind alle Mitarbeiter darüber zu informieren. Beispielsweise
kann für Außendienstmitarbeiter oder andere Mitarbeiter, die viel unterwegs
sind, die E-Mails an externe Zugriffspunkte weitergeleitet werden.
Ergänzende Kontrollfragen:
- Existiert eine Sicherheitspolitik für die E-Mail-Nutzung?
- An wen können sich die Benutzer bei Fragen zur E-Mail-Nutzung wenden?

_____________________________________________________________________ ..........................................
243

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.119
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.119

Regelung für den Einsatz von E-Mail

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Sollen zwischen zwei oder mehreren Kommunikationspartnern Daten elektronisch ausgetauscht werden, so müssen diese zum ordnungsgemäßen Austausch
folgende Punkte beachten:
- Die Adressierung von E-Mail muß eindeutig erfolgen, um eine fehlerhafte
Zustellung zu vermeiden. Innerhalb einer Organisation sollten Adressbücher und Verteilerlisten gepflegt werden, um die Korrektheit der
gebräuchlichsten Adressen sicherzustellen. Durch den Versand von Testnachrichten an neue E-Mail-Adressen ist die korrekte Zustellung von
Nachrichten zu prüfen.
- Wenn eine E-Mail an mehrere Empfänger geschickt wird, sollten hierfür
nicht der "CC"-Eintrag benutzt werden, da hierdurch jeder Empfänger die
komplette Empfängerliste sehen kann. Stattdessen sollten Verteilerlisten
oder die "BCC"-Option benutzt werden. BCC steht für Blind Carbon Copy;
hier eingetragene weitere Empfänger werden den anderen Empfänger nicht
angezeigt.
- Für alle nach außen gehenden E-Mails ist eine Signature zu verwenden.
- Die Betreffangabe (Subject) des Kommunikationssystems sollte immer
ausgefüllt werden, z. B. entsprechend der Betreffangabe in einem
Anschreiben.
- Die Korrektheit der durchgeführten Datenübertragung sollte überprüft
werden. Die Empfängerseite sollte den korrekten Empfang überprüfen und
der Senderseite bestätigen.
- Verwendung residenter Virenscanner für ein- bzw. ausgehende Dateien.
Vor dem Absenden bzw. vor der Dateiübermittlung sind die ausgehenden
Dateien explizit auf Computer-Viren zu überprüfen.
- Erfolgt über die E-Mail noch eine Dateiübertragung, so sollten die folgenden Informationen an den Empfänger zusätzlich übermittelt werden:
-

Art der Datei (z. B. Word Perfect 5.0),

-

Kurzbeschreibung für den Inhalt der Datei,

-

Hinweis, daß Dateien auf Computer-Viren überprüft sind,

-

ggf. Art des verwendeten Packprogramms (z. B. PKZIP)

-

ggf. Art der eingesetzten Software für Verschlüsselung bzw. Digitale
Signatur.

Jedoch sollte nicht vermerkt werden,
-

welches Paßwort für die eventuell geschützten Informationen vergeben wurde,

-

welche Schlüssel ggf. für eine Verschlüsselung der Informationen
verwendet wurde.

_____________________________________________________________________ ..........................................
244

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.119
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bei den meisten E-Mail-Systemen werden die Informationen unverschlüsselt
über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihren Empfänger erreichen.
Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch
der Versender einer E-Mail hat meistens die Möglichkeit, seine Absenderadresse (From) beliebig einzutragen, so daß man sich nur nach Rückfrage
oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders
sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders
durch Rückfrage oder - besser noch - durch den Einsatz von Verschlüsselung
und/oder Digitalen Signaturen überprüft werden. Grundsätzlich gilt, daß man
sich nicht auf die Echtheit der Absenderangabe verlassen kann.
Beim Anschluß an E-Mail-Systeme ist mehrfach täglich zu überprüfen, ob
neue E-Mails eingegangen sind. Bei längerer Abwesenheit sollte eine Vertretungsregelung getroffen werden, beispielsweise können eingehende
E-Mails an einen Vertreter weitergeleitet werden.
Da in vielen Fällen nicht vorhergesagt werden kann, welchen Mail-Client ein
Mail-Empfänger benutzt und welche Software und Betriebssysteme auf dem
Transportweg eingesetzt werden, müssen die Benutzer darüber informiert sein,
daß sie sowohl für den Nachrichtentext (Mailbody) als auch für Attachments
eine 7-Bit-ASCII-Darstellung verwenden sollten. Für den Nachrichtentext
sollte daher auf nationale Sonderzeichen wie Umlaute und "ß" verzichtet
werden. Attachments sollten im Zweifelsfall in 7-Bit-ASCII-Darstellung
umgewandelt werden, z. B. mit uuencode.
Alle Regelungen und Bedienungshinweise zum Einsatz von E-Mail sind
schriftlich zu fixieren und sollten den Mitarbeitern jederzeit zur Verfügung
stehen. Ein entsprechendes Muster ist der dem IT-Grundschutzhandbuch
beiliegenden CD-ROM zu entnehmen.
Die Benutzer müssen vor dem Einsatz von Kommunikationsdiensten wie
E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere
müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen beim Versenden bzw. Empfangen von E-Mail sensibilisiert
werden.
Zur Vermeidung von Überlastung durch E-Mail sind die Mitarbeiter über
potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teilnahme an E-Mail-Kettenbriefen wie vor der Abonnierung umfangreicher
Mailinglisten gewarnt werden.
Benutzer müssen darüber informiert werden, daß Dateien, deren Inhalt Anstoß
erregen könnte, weder verschickt noch auf Informationsservern eingestellt
werden noch nachgefragt werden sollten. Außerdem sollten Benutzer darauf
verpflichtet werden, daß bei der Nutzung von Kommunikationsdiensten
- die fahrlässige oder gar vorsätzliche Unterbrechung des laufenden Betriebes unter allen Umständen vermieden werden muß. Zu unterlassen sind
insbesondere Versuche, ohne Autorisierung Zugang zu Netzdiensten
- welcher Art auch immer - zu erhalten, Informationen, die über die Netze
verfügbar sind, zu verändern, in die individuelle Arbeitsumgebung eines

_____________________________________________________________________ ..........................................
245

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.119
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Netznutzers einzugreifen oder unabsichtlich erhaltene Angaben über
Rechner und Personen weiterzugeben.
- die Verbreitung von für die Allgemeinheit irrelevanten Informationen
unterlassen werden muß. Die Belastung der Netze durch ungezielte und
übermäßige Verbreitung von Informationen sollte vermieden werden.
- die Verbreitung von redundanten Informationen vermieden werden sollte.
Ergänzende Kontrollfragen:
- Sind Regelungen für die Dateiübertragung bzw. den Nachrichtenaustausch
mit Externen festgelegt worden?

_____________________________________________________________________ ..........................................
246

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.120
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.120

Einrichtung einer Poststelle

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Zum reibungslosen Ablauf des E-Mail-Dienstes muß ein Postmaster benannt
werden, der folgende Aufgaben wahrnimmt:
- Bereitstellen der Maildienste auf lokaler Ebene,
- Pflege der Adreßtabellen,
- Überprüfung, ob die externen Kommunikationsverbindungen funktionieren,
- Anlaufstelle bei Mailproblemen für Endbenutzer sowie für die Betreiber
von Gateway- und Relaydiensten.
Alle unzustellbaren E-Mails und alle Fehlermeldungen müssen an den Postmaster weitergeleitet werden, der versuchen sollte die Fehlerquellen zu beheben. E-Mail, die unzustellbar bleibt, muß nach Ablauf einer vordefinierten
Frist an den Absender mit einer entsprechenden Fehlermeldung zurückgeschickt werden.
Daneben müssen je nach Organisationsstruktur und -größe ein oder mehrere
Verantwortliche für die Pflege der angebotenen Kommunikationsdienste
benannt werden. Neben dem Serverbetrieb wie Mail-, News- oder FTP-Server
müssen auch die von den Benutzer eingesetzten Kommunikationsclients
betreut werden.
Alle Betreuer bzw. deren Vertreter sollten jederzeit von den Benutzern telefonisch erreicht werden könnten.
Ergänzende Kontrollfragen:
- Wer ist der verantwortliche Postmaster?
- Wo laufen fehlerhaft adressierte E-Mails auf?

_____________________________________________________________________ ..........................................
247

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.121
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.121

Regelmäßiges Löschen von E-Mails

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
E-Mails sollten nicht unnötig lange im Posteingang gespeichert werden. Sie
sollten entweder nach dem Lesen gelöscht werden oder in Benutzerverzeichnissen gespeichert werden, wenn sie erhalten bleiben sollen. Wenn im Posteingang zu viele E-Mails archiviert werden, kann es passieren, daß das ITSystem, das diesen verwaltet (der Mail-Server bzw. Mail-Client), aus
Speicherplatzmangel neu ankommende E-Mails abweist.
Benutzer müssen andererseits darüber informiert sein, daß eine E-Mail, die sie
selber über ihre Mailanwendung gelöscht haben, dadurch meistens nicht
unwiederbringlich gelöscht ist. Viele Mailprogramme löschen E-Mails nicht
sofort, sondern transferieren sie in spezielle Ordner. Benutzer müssen darauf
hingewiesen werden, wie sie E-Mails auf ihren Clients vollständig löschen
können.
Daneben können E-Mails nach dem Löschen auf den Clients trotzdem noch
auf Mail-Servern vorhanden sein. Viele Internetprovider und Administratoren
archivieren die ein- und ausgehenden E-Mails. Viele Mailanwendungen
löschen E-Mails nicht, sondern verschieben sie in einen "Papierkorb"-Bereich,
der dann ebenfalls gelöscht werden muß.
Die Benutzer müssen wissen, daß die Vertraulichkeit einer E-Mail nur durch
Verschlüsselung gewährleistet werden kann, und daß sie sich nicht auf
"schnelles Löschen" nach dem Empfang verlassen können.
Ergänzende Kontrollfragen:
- Wissen Benutzer, wie sie ihre E-Mail löschen können?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
248

M 2.122
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.122

Einheitliche E-Mail-Adressen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
E-Mail-Adressen sollten aufgrund von klaren Regelungen vergeben werden.
Dabei ist es sinnvoll, Namenskonventionen für die personenbezogenen
E-Mail-Adressen festzulegen, die an die Benutzernamen auf den verwendeten
IT-Systeme angelehnt sind (z. B. E-Mail-Adresse = die ersten 8 Zeichen des
Nachnamens). Die Benutzernamen auf IT-Systemen, die von außerhalb des
geschützten Netzes erreicht werden können, sollten nicht aus den E-MailAdressen unmittelbar ableitbar sein, um mögliche Angriffe auf BenutzerAccounts zu erschweren. Wichtig ist, daß die Adressen nicht häufig geändert
werden und daß sie weder zu lang noch zu kompliziert aufgebaut sind. Insbesondere ist darauf zu achten, daß keine Nicht-ASCII-Zeichen wie Umlaute
innerhalb von E-Mail-Adressen verwendet werden.
Um Angriffe zu erschweren, Werbe-E-Mail zu vermeiden bzw. um möglichst
wenig Information nach außen weiterzugeben, kann es sinnvoll sein, statt
benutzer- und organisationsbezogenen E-Mail-Adressen wie nachname@organisation.de schwer erratbare E-Mail-Adressen zu verwenden. Dies
macht aber auch die Adreßweitergabe unbequemer und kann die Kommunikation mit Externen erschweren.
Wenn E-Mail-Adressen geändert werden oder wegfallen, ist darauf zu achten,
daß zumindest für eine Übergangszeit E-Mail, die noch an diese Adressen
gerichtet ist, an die jetzt aktuellen Adressen weitergeleitet wird.
Neben personenbezogenen E-Mail-Adressen können auch organisations- bzw.
funktionsbezogene E-Mail-Adressen eingerichtet werden, um unabhängig von
Personen die Zustellung zur richtigen Organisationseinheit zu garantieren.
Dies ist insbesondere bei zentralen Anlaufstellen wichtig.
Ergänzende Kontrollfragen:
- Wie ist die Vergabe von E-Mail-Adressen geregelt?

_____________________________________________________________________ ..........................................
249

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.123
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.123

Auswahl eines Mailproviders

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Vor der Auswahl eines Mailproviders sollten sich die Verantwortlichen über
die beim Provider geltenden Regelungen informieren, beispielsweise ob er
Obergrenzen für den Umfang von E-Mails beim Empfang oder Versand
gesetzt hat, ob E-Mails gefiltert werden, und wenn ja, nach welchen Regeln.
Man sollte sich vom Mailprovider dokumentieren lassen, daß deren MailServer sicher betrieben wird, also die in M 5.56 Sicherer Betrieb eines MailServers beschriebenen Anforderungen erfüllt sind.
Beim Mailprovider sind Daten über die Benutzer für Abrechnungszwecke
gespeichert (Name, Adresse, Benutzer-Kennung, Bankverbindung) ebenso
wie Verbindungsdaten und für eine je nach Provider kürzere oder längere
Zeitspanne auch die übertragenen Inhalte.
Die Anwender sollten sich bei ihrem Mailprovider erkundigen, welche Daten
wie lange über sie gespeichert werden. Bei der Auswahl von Providern sollte
berücksichtigt werden, daß deutsche Betreiber den einschlägigen datenschutzrechtlichen Regelungen für die Verarbeitung dieser Daten unterliegen.
Die Benutzer können durch den Einsatz von Verschlüsselung verhindern, daß
der Provider die Inhalte der übertragenen Informationen mitlesen kann.
Große Provider mit großem eigenem Netz haben den Vorteil, daß E-Mail, die
nur innerhalb dieses Netzes ausgetauscht wird, sicherer vor Manipulationen ist
als bei Weiterleitung über das Internet.
Bei Providern, die ihren Hauptsitz im Ausland haben, wird häufig auch alle
E-Mail über dieses Land geroutet. Beispielsweise werden bei AOL und
Compuserve alle E-Mails über die USA weitergeleitet. Dieser Punkt sollte
berücksichtigt werden, wenn man sich Gedanken darüber macht, über wie
viele Gateways die E-Mail weiterverteilt wird, also wer sie beispielsweise
mitlesen kann.
Ergänzende Kontrollfragen:
- Nach welchen Kriterien ist der Mailprovider ausgewählt worden?
- Welche Sicherheitsmechanismen werden beim Mailprovider umgesetzt?
- Nach welchen Kriterien werden die E-Mails beim Mailprovider gefiltert?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
250

M 2.124
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.124

Geeignete Auswahl einer Datenbank-Software

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Bei der Beschaffung neuer Datenbank-Software besteht die Möglichkeit, diese
von vornherein so auszuwählen, daß im späteren Betrieb mit nur geringem
personellen und organisatorischen Zusatzaufwand ein hohes Maß an
Sicherheit erreicht werden kann.
Zu Beginn muß der Einsatzbereich und Verwendungszweck des Datenbanksystems geklärt werden, um die Anforderungen bezüglich der Verfügbarkeit,
der Integrität und der Vertraulichkeit formulieren zu können. Weiterhin sind
die Anforderungen hinsichtlich der zu verarbeitenden Datenmengen, der
Verarbeitungsgeschwindigkeit und des Durchsatzes zu quantifizieren. Daraus
leiten sich die zu erfüllenden Eigenschaften für die zu beschaffende Datenbank-Software ab, wie z. B. Verfügbarkeit für bestimmte Hardware-Plattformen bzw. Betriebssysteme oder Umfang von notwendigen Sicherheitsmechanismen. In diesem Planungsstadium kann bereits erkannt werden, ob
und in welchem Maße für den späteren Betrieb des Datenbanksystems Hardware nach- bzw. umgerüstet werden muß. Anhand der Verfügbarkeitsanforderungen sind auch die benötigten Überwachungsmöglichkeiten zu
definieren, d. h. es muß festgelegt werden, welche Datenbankzustände in
welcher Form erkennbar sein sollen (z. B. durch eine Protokollierung in einer
Datei), sowie die Art der Benachrichtigung verantwortlicher Personen bzw.
Personengruppen über kritische Zustände der Datenbank (z. B. durch eine
Meldung an der Konsole).
Für die Beschaffung einer Datenbank-Software sollten insbesondere die
folgenden Punkte berücksichtigt werden:
- Die Datenbank-Software muß über eigene geeignete Mechanismen zur
Identifikation und Authentisierung der Benutzer verfügen (siehe M 2.128
Zugangskontrolle einer Datenbank).
- Die Datenbank-Software muß über geeignete Mechanismen zur Ressourcenbeschränkung verfügen (siehe M 4.73 Festlegung von Obergrenzen).
- Falls in der Datenbank vertrauliche Daten verwaltet werden sollen, so muß
einem unberechtigten Zugriff vorgebeugt werden können. Die zu beschaffende Datenbank-Software muß in diesem Fall entsprechende Zugriffskontrollmechanismen zur Verfügung stellen (siehe M 2.129 Zugriffskontrolle
einer Datenbank).
Es sollte auch die Zusammenfassung mehrerer Benutzer mit gleichen
Zugriffsrechten zu Gruppen möglich sein. Eine Unterscheidung zwischen
der Gruppe der Administratoren und der Gruppe der Benutzer ist dabei
obligatorisch. Weiterhin sollte eine Trennung von verschiedenen
Administrator-Rollen unterstützt werden (siehe M 2.131 Aufteilung von
Administrationstätigkeiten bei Datenbanksystemen).
- Es gibt Datenbanken mit unterschiedlich starken Zugriffsschutzmechanismen. Ähnliche Sicherheitsmechanismen können dabei auch in unterschiedlicher Granularität angeboten werden. Im Vorfeld ist zu klären, welcher

_____________________________________________________________________ ..........................................
251

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.124
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Zugriffsschutz erforderlich ist und welche Datenbank-Software den definierten Sicherheitsanforderungen entspricht. Maßgeblich hierfür sind die
Möglichkeiten, Zugriffsrechte auf Datenbankobjekte und die Daten selbst
einzuschränken.
Beispiele:
-

Den Anwendern kann das Recht entzogen werden, Datenbankobjekte (z. B. Tabellen) anzulegen oder zu modifizieren.

-

Die Anwender können zwar eine lesende Zugriffsberechtigung auf
eine Tabelle erhalten, gleichzeitig können aber modifizierende
Zugriffsrechte ausgeschlossen werden.

-

Für bestimmte Tabellen oder bestimmte Felder einer Tabelle kann
der Zugriff je nach Anwender verboten werden.

-

Anwender erhalten keinerlei Zugriffsberechtigungen auf Datensätze
mit bestimmten Merkmalen (z. B. ein Sachbearbeiter aus Bonn hat
keinen Zugriff auf die Daten eines Sachbearbeiters aus Köln).

- Einige Hersteller bieten sowohl die Möglichkeit der Definition von
Gruppen als auch die von Rollen an. Dadurch kann eine differenziertere
Zugriffskontrolle auf die Datenbankobjekte realisiert werden. Im Vorfeld
sind die diesbezüglichen Anforderungen zu klären und mit den zur Auswahl stehenden Datenbank-Softwareprodukten abzugleichen.
- Die Datenbank-Software muß ebenfalls hinsichtlich ihrer Überwachungsund Kontrollmechanismen überprüft werden. Die diesbezüglichen Anforderungen müssen definiert und mit den Leistungsprofilen der Produkte
abgeglichen werden (Beispiele siehe M 2.133 Kontrolle der Protokolldateien eines Datenbanksystems bzw. M 2.126 Erstellung eines Datenbanksicherheitskonzeptes).
- Es muß geprüft werden, ob die Datenbank-Software eine Rollentrennung
zwischen Administrator und Revisor unterstützt. Es muß möglich sein, die
Rolle eines Revisors einzurichten, der als einziger in der Lage ist, die
Protokolldateien auszuwerten und zu löschen. Dies verhindert potentielle
Manipulationen durch den Datenbank-Administrator.
- Zum Schutz der Datenbankintegrität muß die Datenbank-Software über ein
vollständiges Transaktionssystem verfügen, welches dem ACID-Prinzip
genügt. Diese Anforderung wird heutzutage von allen wesentlichen relationalen DBMSen erfüllt.
- Es müssen Mechanismen zur Datensicherung der Datenbank vorhanden
sein (siehe M 6.49 Datensicherung einer Datenbank).
Im Vorfeld muß in diesem Zusammenhang geklärt werden, welche Möglichkeiten hinsichtlich der Datensicherung die Datenbank-Software zur
Verfügung stellen muß. So wird beispielsweise eine partielle Datenbanksicherung nicht für alle am Markt erhältlichen Produkte angeboten. Im
konkreten Fall gilt es also zu prüfen, ob das erstellte Datensicherungskonzept mit den zur Verfügung stehenden Mechanismen auch umgesetzt
werden kann.

_____________________________________________________________________ ..........................................
252

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.124
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Anhand dieser Kriterien müssen die zur Auswahl stehenden Datenbanksysteme geprüft und bewertet werden. Es ist dann diejenige Software auszuwählen, die die spezifischen Anforderungen am besten erfüllt. Weitergehende
Anforderungen müssen entweder durch Zusatzprodukte oder durch Eigenentwicklung abgedeckt werden. Es sollte jedoch schon vor der Beschaffung
abgeklärt werden, zu welcher Datenbank-Software welche Zusatzprodukte
verfügbar sind, um nicht auf teure Eigenentwicklungen zurückgreifen zu
müssen.
Von den meisten Datenbankmanagementsystemen sind in der Regel mehrere
unterschiedliche Versionen auf dem Markt erhältlich. Dabei unterscheiden
sich auch die einzelnen Versionen desselben DBMS in ihrer Funktionalität,
u. a. auch in sicherheitsrelevanten Bereichen. Der starke Wettbewerb führt
dazu, daß einige Hersteller auch noch nicht vollausgereifte Software ausliefern, bei der dann mit Fehlern und eingeschränkter Funktionalität gerechnet
werden muß.
In einer Testphase sollte deshalb überprüft werden, ob die ausgewählte Datenbank-Software die erforderlichen Funktionen in der vorgegebenen Einsatzumgebung auch erfüllt. Dies gilt insbesondere für die Anforderungen an die Performance und die benötigten Mechanismen zur Notfallvorsorge.
Vor der Beschaffung sollten auch Erfahrungen aus vergleichbaren Installationen herangezogen werden.
Ergänzende Kontrollfragen:
- Wurden die Anforderungen an die Datenbank-Software formuliert und
dokumentiert?
- Wurde eine Bewertung der relevanten Datenbanksysteme anhand dieser
Anforderungen durchgeführt?

_____________________________________________________________________ ..........................................
253

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.125
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.125

Installation und Konfiguration einer Datenbank

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Grundsätzlich muß zwischen der Erstinstallation einer Datenbank-Software
und der Installation auf bestehenden Datenbanksystemen unterschieden
werden.
Da bei der erstmaligen Installation einer Datenbank-Software noch keine
Benutzer auf die Datenbank zugreifen wollen und auch noch keine Altdaten
vorhanden sind (es sei denn in anderen Datenbanksystemen), gestaltet sich
dies relativ unproblematisch und stört den normalen IT-Betrieb kaum.
Für Installationen auf bestehenden Systemen sollten dagegen die Arbeiten
wenn möglich außerhalb der regulären Arbeitszeiten erfolgen, um Behinderungen des normalen IT-Betriebs weitestgehend zu minimieren. In jedem Fall
sollten die Benutzer über bevorstehende Arbeiten informiert werden, um sie
auf eventuell mögliche Störungen oder längere Antwortzeiten hinzuweisen.
Die Installation und Konfiguration einer Datenbank gliedert sich in die folgenden Aktivitäten:
1.

Installation der Datenbank-Software

Vor der Installation der Datenbank-Software ist zu überprüfen, ob das ITSystem entsprechend der Planung vorbereitet wurde, z. B. genügend
Speicherplatz zur Verfügung steht und die notwendigen Betriebssystemeinstellungen vorgenommen wurden.
Bei der Installation der Datenbank-Software sind die Installationsanweisungen
des Herstellers zu befolgen. Wenn möglich, sollten die vom Hersteller
vorgeschlagenen Default-Einstellungen übernommen werden. Dies gilt vor
allem für technische Parameter, die z. B. die Größe verschiedener interner
Tabellen des DBMS steuern. Für Parameter, die sich auf sicherheitsrelevante
Eigenschaften beziehen, muß u. U. von den vorgegebenen Werten abgewichen
werden.
Die Installation der Datenbank-Software ist geeignet zu dokumentieren. Dies
gilt insbesondere für Abweichungen von den vom Hersteller vorgeschlagenen
Default-Einstellungen, die ausführlich zu begründen sind.
Sollen vom Hersteller angebotene optionale Funktionalitäten genutzt werden,
so ist während der Installation darauf zu achten, daß sie auch entsprechend
eingerichtet werden.
Alle Tätigkeiten in diesem Schritt werden vom fachlich übergreifenden
Administrator durchgeführt.
2.

Erstellen der Datenbank

Bereits bei der Erstellung der Datenbank sind Parameter anzugeben, die später
während des Betriebs des Datenbanksystems nicht mehr geändert werden
können. Die Bedeutung dieser Parameter und die geeignete Auswahl ihrer
Werte werden in den Installationsunterlagen und Handbüchern des Herstellers
ausführlich erläutert und sind dort entsprechend nachzulesen.

_____________________________________________________________________ ..........................................
254

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.125
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Dem Installationshandbuch bzw. Administrationshandbuch sind außerdem
Hinweise über eventuell erforderliche Nacharbeiten nach der Erstellung der
Datenbank zu entnehmen.
Auch dieser Vorgang ist im Rahmen einer Dokumentation festzuhalten.
Alle Tätigkeiten in diesem Schritt werden vom fachlich übergreifenden
Administrator durchgeführt, wobei ihm die anwendungsspezifischen
Administratoren beratend zur Seite stehen müssen (z. B. um die Größe der
Datenbank festlegen zu können).
3.

Konfiguration der Datenbank

Im dritten Schritt ist das Benutzer- und Gruppenkonzept sowie das ggf. zum
Einsatz kommende Rollenkonzept umzusetzen. Dazu erstellt der fachlich
übergreifende Administrator die einzelnen Berechtigungsprofile und legt alle
Gruppen sowie die administrativen Benutzerkennungen (für die anwendungsspezifischen Administratoren) an. Dabei sind die in M 2.132 Regelung für die
Einrichtung von Datenbankbenutzern/-benutzergruppen festgelegten Regelungen anzuwenden und zu überprüfen. Hängen die entsprechenden Zugriffsberechtigungen von einzelnen Datenbankobjekten ab, können diese natürlich
erst dann definiert werden, wenn die Datenbankobjekte auch existieren (siehe
Schritt 4).
Falls die Datenbank-Software eine Verteilung der Daten auf mehrere Dateien
oder Festplatten unterstützt, sind zusätzliche Parametereinstellungen vorzunehmen, die das Anlegen dieser Dateien respektive der zugehörigen
Speicherbereiche festlegen.
Alle vorgenommenen Einstellungen sind detailliert zu dokumentieren (siehe
M 2.25 Dokumentation der Systemkonfiguration).
Alle Tätigkeiten in diesem Schritt werden vom fachlich übergreifenden
Administrator durchgeführt.
4.

Erstellen und Konfigurieren von Datenbankobjekten

Gemäß des Datenbanksicherheitskonzeptes (siehe M 2.126 Erstellung eines
Datenbanksicherheitskonzeptes) werden im letzten Schritt die Datenbankobjekte der einzelnen Anwendungen angelegt. Dieser Vorgang sollte wenn
möglich durch den Einsatz von Skripten automatisiert und protokolliert
werden. Nach Anlage der Datenbankobjekte sind die notwendigen Zugriffsberechtigungen für Rollen, Gruppen und Benutzer zu ergänzen. Ebenso
können jetzt die konkreten Benutzer anhand der existierenden Berechtigungsprofile erstellt werden.
Alle Tätigkeiten in diesem Schritt werden von den anwendungsspezifischen
Administratoren durchgeführt.

_____________________________________________________________________ ..........................................
255

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.125
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Werden die Benutzer über die bevorstehende Installation informiert?
- Sind vor Erstellen der Datenbank alle erforderlichen Parameter und deren
Werte bekannt, die während der Installation benötigt werden?
- Sind alle Nacharbeiten bekannt, die nach der Erstellung der Datenbank
durchgeführt werden müssen?
- Wurde der Installationsvorgang, die Erstellung und Konfiguration der
Datenbank sowie der Datenbankobjekte dokumentiert?

_____________________________________________________________________ ..........................................
256

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.126
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.126

Erstellung eines Datenbanksicherheitskonzeptes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Da eine zentrale Datenhaltung über einen längeren Zeitraum hinweg einen
zentralen und kritischen Aspekt des Informationsmanagements einer Behörde
bzw. eines Unternehmens darstellt, kommt der Erstellung eines Datenbankkonzeptes eine besondere Bedeutung zu. Ein Datenbankkonzept beschäftigt
sich mit den notwendigen Vorarbeiten zum eigentlichen Betrieb der Datenbank und sollte deshalb immer ein Datenbanksicherheitskonzept enthalten,
welches auch den laufenden Betrieb untersucht.
Werden die Daten nicht ausreichend geschützt, kann es zu einem Verlust der
Vertraulichkeit, Verfügbarkeit oder der Integrität kommen. Um diesem vorzubeugen, ist es unumgänglich, ein schlüssiges Datenbanksicherheitskonzept
zu erstellen.
Um die Sicherheit einer Datenbank zu gewährleisten, muß ein geeignetes
Datenbankmanagementsystem (DBMS) eingesetzt werden. Damit ein DBMS
effektiven Schutz bieten kann, müssen folgende grundlegende Bedingungen
erfüllt sein. Das DBMS muß
- auf einer umfassenden Sicherheitspolitik aufsetzen,
- im IT-Sicherheitskonzept der Organisation eingebettet sein,
- korrekt installiert und
- korrekt administriert werden.
Direkte Zugriffe auf die Datenbank (z. B. über SQL-Interpreter wie
SQL*Plus) dürfen nur für administrative Nutzer zugelassen werden, um
Manipulationen an den Daten bzw. Datenbankobjekten (z. B. Tabellen und
Indizes) zu verhindern. Datenbankobjekte dürfen ausschließlich über spezielle
Kennungen kontrolliert modifiziert werden. Dementsprechend muß das
DBMS über ein geeignetes Zugriffs- und Zugangskonzept verfügen (siehe
M 2.129 Zugriffskontrolle einer Datenbank und M 2.128 Zugangskontrolle
einer Datenbank). Benutzer-Kennungen, die nur über eine Anwendung
Datenmodifikationen durchführen können, dürfen keinen direkten Zugang zur
Datenbank erhalten, während Kennungen zur Verwaltung der Datenbankobjekte der kontrollierte direkte Zugriff erlaubt sein muß.
Weiterhin müssen folgende wichtige Aspekte in einem Datenbanksicherheitskonzept geregelt werden:
- Die physische Speicherung bzw. Spiegelung der Datenbankdateien (z. B.
der DBMS-Software, der Datenbank an sich oder der Protokolldateien)
sowie deren Verteilung ist festzulegen, um z. B. die Verfügbarkeit und
Ausfallsicherheit zu erhöhen. Aus Sicherheitsgründen sollten gespiegelte
Kontrolldateien beispielsweise auf verschiedenen Festplatten abgelegt sein.
Der Ausfall einer Platte bedeutet dann nicht gleichzeitig den Verlust aller
Kontrolldateien. Falls die Datenbankobjekte einer Anwendung in eigenen
Datendateien abgelegt werden, so sollte man bei der Verteilung der

_____________________________________________________________________ ..........................................
257

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.126
Bemerkungen
_____________________________________________________________________ ..........................................

Datendateien darauf achten, daß bei einem Ausfall einer Festplatte nicht
alle Anwendungen betroffen sind.
Beispiel:
Eine Datenbank verwaltet die Daten zweier Anwendungen, mit jeweils
einer Datendatei für die Tabellen und Indizes. Die Datendateien können
beliebig auf vier Festplatten verteilt werden.
Eine ungünstige Verteilung der Datendateien sieht folgendermaßen aus:
Festplatte 1:

Ablage der Datendateien für die Indizes beider Anwendungen

Festplatte 2:

Ablage der Datendateien für die Tabellen der ersten
Anwendung

Festplatte 3:

Ablage der Datendateien für die Tabellen der zweiten
Anwendung

Festplatte 4:

-

Bei einem Ausfall der ersten Festplatte wären somit beide Anwendungen
betroffen und könnten nicht mehr genutzt werden.
Eine günstigere Verteilung der Datendateien erhält man dagegen so:
Festplatte 1:

Ablage der Datendateien für die Indizes der ersten
Anwendung

Festplatte 2:

Ablage der Datendateien für die Tabellen der ersten
Anwendung

Festplatte 3:

Ablage der Datendateien für die Indizes der zweiten
Anwendung

Festplatte 4:

Ablage der Datendateien für die Tabellen der zweiten
Anwendung

Bei einem Ausfall einer beliebigen Festplatte wäre immer nur eine
Anwendung betroffen.
- Es muß eine regelmäßige Prüfung des tatsächlich anfallenden Datenvolumens bzw. des Zuwachses des Datenvolumens im späteren laufenden
Betrieb durchgeführt werden, um den benötigten Speicherplatz auch für
zukünftige Bedürfnisse geeignet dimensionieren zu können.
- Geeignete Mechanismen zur Datensicherung müssen angewendet werden
(siehe M 6.49 Datensicherung einer Datenbank).
- Der Einsatz von Überwachungs- und Kontrollmechanismen ist festzulegen,
d. h. ob und in welchem Umfang Datenbankaktivitäten protokolliert
werden sollen. Hier stellt sich u. a. die Frage, ob beispielsweise nur der
Zeitpunkt einer Datenmodifikation festgehalten wird, oder ob auch die
Modifikation selbst protokolliert werden soll (siehe M 2.133 Kontrolle der
Protokolldateien eines Datenbanksystems).
Für die Konzeption und den Betrieb eines Datenbanksystems muß geeignetes
Personal zur Verfügung stehen. Der zeitliche Aufwand für den Betrieb eines

_____________________________________________________________________ ..........................................
258

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.126
Bemerkungen
_____________________________________________________________________ ..........................................

Datenbanksystems darf nicht unterschätzt werden. Alleine die Auswertung der
angefallenen Protokolldaten nimmt erfahrungsgemäß viel Zeit in Anspruch.
Ein Datenbank-Administrator muß fundierte Kenntnisse über die eingesetzte
DBMS-Software besitzen und auch entsprechend geschult werden.
Ergänzende Kontrollfragen:
- Wurden die Sicherheitsziele für den Einsatz eines Datenbanksystems formuliert und dokumentiert?
- Ist ein direkter Zugriff auf die Datenbanken über eine interaktive Abfragesprache ausgeschlossen?

_____________________________________________________________________ ..........................................
259

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.127
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.127

Inferenzprävention

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Zum Schutz personenbezogener und anderer vertraulicher Daten eines Datenbanksystems ist grundsätzlich jedem Benutzer nur der Zugriff auf diejenigen
Daten zu gestatten, die für seine Tätigkeiten notwendig sind. Alle anderen
Informationen, die sich zusätzlich in der Datenbank befinden, sind vor ihm zu
verbergen.
Zu diesem Zweck müssen die Zugriffsberechtigungen auf Tabellen bis hin zu
deren Feldern definiert werden können. Dies kann mittels Verwendung von
Views und Grants durchgeführt werden (vgl. M 2.129 Zugriffskontrolle einer
Datenbank). Damit ist es einem Benutzer nur möglich, die für ihn bestimmten
Daten einzusehen und zu verarbeiten. Stellt er Datenbankabfragen, die auf
andere Informationen zugreifen wollen, werden diese vom DBMS zurückgewiesen.
Im Zusammenhang mit statistischen Datenbanken, die Daten über Personengruppen, Bevölkerungsschichten oder ähnliches enthalten, treten dagegen
andere Schutzanforderungen auf. In einer statistischen Datenbank unterliegen
die einzelnen, personenbezogenen Einträge dem Datenschutz, statistische
Informationen sind jedoch allen Benutzern zugänglich.
Hier gilt es zu verhindern, daß aus Kenntnissen über die Daten einer Gruppe
auf die Daten eines individuellen Mitglieds dieser Gruppe geschlossen werden
kann. Es muß außerdem verhindert werden, daß durch das Wissen der in der
Datenbank gespeicherten Informationen bzw. der Ablagestrukturen der Daten
in der Datenbank die Anonymität dieser Daten durch entsprechend formulierte
Datenbankabfragen umgangen werden kann (z. B. wenn die Ergebnismenge
einer Datenbankabfrage nur einen Datensatz beinhaltet). Diese Problematik
wird Inferenzproblem, der Schutz vor solchen Techniken Inferenzprävention
genannt.
Auch wenn die Daten einer statistischen Datenbank anonymisiert sind, kann
durch Inferenztechniken der Personenbezug zu bestimmten Datensätzen
wiederhergestellt werden. Eine Zurückweisung bestimmter Anfragen (z. B.
Anfragen mit nur einem oder wenigen Ergebnistupeln) reicht im allgemeinen
nicht aus, da auch die Verweigerung einer Antwort durch das DBMS Informationen beinhalten kann.
Durch das Erstellen verschiedener Statistiken kann die Anonymität der Daten
ebenfalls verloren gehen. Ein solcher indirekter Angriff zielt darauf ab, aus
mehreren Statistiken Rückschlüsse auf die persönlichen Daten eines einzelnen
Individuums ziehen zu können. Eine Schutzmaßnahme ist in diesem Fall, die
Freigabe von sogenannten sensitiven Statistiken nicht zu erlauben, was als
unterdrückte Inferenzprävention bezeichnet wird. Eine weitere Möglichkeit ist
die Verzerrung solcher Statistiken durch kontrolliertes Runden (gleiche
Statistiken sind gleich zu runden) oder die Beschränkung auf statistisch relevante Teilmengen mit der Auflage, daß gleiche Anfragen immer Bezug auf die
gleichen Teilmengen nehmen. Dieses Verfahren wird als verzerrende
Inferenzprävention bezeichnet.

_____________________________________________________________________ ..........................................
260

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.127
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Werden weitergehende Anforderungen an die Vertraulichkeit der Daten
gestellt, ist deren Verschlüsselung erforderlich (vergleiche M 4.72 DatenbankVerschlüsselung).
Ergänzende Kontrollfragen:
- Wurden die Vertraulichkeitsanforderungen an das Datenbanksystem erfaßt
und dokumentiert?
- Sind die vertraulichen Daten ausreichend vor unbefugtem Zugriff
geschützt?

_____________________________________________________________________ ..........................................
261

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.128
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.128

Zugangskontrolle einer Datenbank

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Datenbank-Software muß über geeignete Mechanismen zur Identifikation
und Authentisierung der Benutzer verfügen, um eine wirkungsvolle Zugangskontrolle zu gewährleisten (siehe M 2.132 Regelung für die Einrichtung von
Datenbankbenutzern/ -benutzergruppen).
Generell sollte man für normale Benutzer den Zugang zu einer Produktionsdatenbank über einen interaktiven SQL-Interpreter unterbinden. Auf solche
Datenbanken sollte ausschließlich ein indirekter Zugang über die entsprechenden Anwendungen möglich sein. Die einzige Ausnahme bilden hier
Datenbankkennungen zu Administrationszwecken.
Remote-Zugänge zu Datenbanken sollten äußerst restriktiv gehandhabt
werden. Ist diese Art des Zugangs nicht zwingend erforderlich, so sind diese
zu unterbinden. Ansonsten sollte nur denjenigen Benutzern ein RemoteZugang ermöglicht werden, die diesen auch tatsächlich benötigen. Andere
Benutzer dürfen nicht in der Lage sein, sich selbst einen Remote-Zugang zu
verschaffen. Keinesfalls darf ein Remote-Zugang ohne Angabe einer gültigen
Benutzerkennung und Eingabe eines Paßwortes möglich sein.
Ergänzende Kontrollfragen:
- Werden die Kennungen einzelner Benutzer zur Zugangskontrolle direkt
verwaltet? Falls ja, aus welchem Grund erfolgt keine Verwaltung über
Gruppen?
- Gibt es Benutzerkennungen, die direkten Zugang zu einer Datenbank
haben? Falls ja, aus welchem Grund haben sie direkten Zugang?
- Wurden die Möglichkeiten des Remote-Zugangs für die derzeit im Einsatz
befindlichen Datenbanken geprüft und ggf. deaktiviert?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
262

M 2.129
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.129

Zugriffskontrolle einer Datenbank

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um einen wirkungsvollen Schutz der Vertraulichkeit und Integrität der Daten
einer Datenbank zu erreichen, müssen eine Reihe von Maßnahmen umgesetzt
werden. Neben einer Zugangskontrolle der Datenbank, die in M 2.128
Zugangskontrolle einer Datenbank beschrieben wird, sind dies im wesentlichen die folgenden Möglichkeiten der Zugriffskontrolle:
- Schutz der Datenbankobjekte
Es sollte eine logische Zuordnung der Datenbankobjekte, also der Tabellen, Indizes, Datenbankprozeduren, etc., zu den Anwendungen erfolgen,
die diese Objekte benutzen. Die daraus entstehenden Gruppen von Datenbankobjekten je Anwendung werden eigens hierfür einzurichtenden
Kennungen zugeordnet. Damit können die Zugriffsberechtigungen der
Datenbankobjekte so eingestellt werden, daß nur über diese speziellen
Kennungen eine Modifikation der Objekte stattfinden kann. Greifen
mehrere Anwendungen auf dieselben Datenbankobjekte zu, sollten diese
als eigene Gruppe isoliert werden.
Werden beispielsweise die Daten zweier Anwendungen A und B in der
Datenbank verwaltet, so legt man zwei Datenbankkennungen AnwA und
AnwB an. Alle Datenbankobjekte, die eindeutig der Anwendung A zugeordnet werden können, werden mit der Datenbankkennung AnwA angelegt
und verwaltet. Analog wird mit den Datenbankobjekten von Anwendung B
verfahren.
Ein Beispiel für ein zentrales Datenbankobjekt, das von beiden Anwendungen benutzt wird, sei eine Tabelle, die alle ansteuerbaren Drucker
beinhaltet. Datenbankobjekte dieser Kategorie sollten nicht einer Kennung
der Anwendungen (AnwA oder AnwB) zugeordnet werden, statt dessen
sollten solche Datenbankobjekte unter einer eigenen Kennung (z. B.
Druck) zusammengefaßt und mit dieser zentralen Kennung verwaltet
werden.
Diese speziellen Kennungen sind nicht personenbezogen. Statt dessen
erhalten eigens hierfür autorisierte Personen (z. B. der Datenbankadministrator oder der Administrator der zugehörigen Anwendung) das
Paßwort der benötigten Kennung, falls Modifikationen an den Datenbankobjekten vorgenommen werden müssen.
- Schutz der Daten
Durch eine Definition von Views können spezielle Benutzer-Sichten
erzeugt werden, so daß die Daten der Datenbank nach bestimmten Kriterien sichtbar gemacht bzw. unsichtbar gehalten werden. Über einen View
wird explizit festgelegt, welche Felder aus einer oder mehreren Tabellen
ein Benutzer zu sehen bekommt. Durch die restriktive Vergabe von
Zugriffsrechten (den im folgenden beschriebenen Grants) auf solche Views
können vertrauliche Daten vor unberechtigtem Zugriff geschützt werden.

_____________________________________________________________________ ..........................................
263

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.129
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Es müssen Zugriffsrechte (Grants) auf Tabellen, Views oder sogar einzelne
Felder einer Tabelle vergeben werden. Diese Rechte sind immer an
bestimmte Benutzer, Rollen oder Benutzergruppen gebunden. Zugriffsrechte sollten jedoch immer für Benutzergruppen oder Rollen und nicht für
einzelne Personen vergeben werden, da dies sonst bei einer großen Anzahl
von Benutzern zu einem hohen administrativen Aufwand führt. Es können
Zugriffsberechtigungen lesender (read), ändernder (update), löschender
(delete) oder neu einfügender (insert) Art unterschieden werden. Mit der
Vergabe von Zugriffsberechtigungen sollte so sparsam wie möglich
umgegangen werden, da man sonst sehr schnell den Überblick über die
aktuellen Zugriffsrechte verliert und damit Sicherheitslücken geschaffen
werden. Insbesondere sollte die Möglichkeit, Rechte an alle zu vergeben
(GRANT ... TO PUBLIC), nicht genutzt werden.
Im allgemeinen ist es nur dem Besitzer eines Datenbankobjektes erlaubt,
Zugriffsberechtigungen an andere Benutzer weiterzugeben. Einige Datenbanksysteme stellen jedoch die Möglichkeit zur Verfügung, daß der
Besitzer eines Datenbankobjektes auch das Recht, Zugriffsrechte weiterzugeben, an andere Benutzer vergeben kann. Von dieser Möglichkeit sollte
nur in begründeten Ausnahmefällen Gebrauch gemacht werden, da man auf
diese Weise die Kontrolle über den Zugriff auf die Daten bzw. die
Datenbankobjekte verliert.
- Restriktiver Datenzugriff über Anwendungen
Anwendungen sollten einen restriktiven Zugriff auf die Daten unterstützen,
d. h. in Abhängigkeit der Benutzerkennung und der Gruppenzugehörigkeit
sollten nur diejenigen Funktionalitäten und Daten zur Verfügung gestellt
werden, die ein Benutzer für die Ausführung seiner Aufgaben benötigt.
Eine Form der Realisierung ist hier die Verwendung von sogenannten
Stored Procedures.
Stored Procedures sind Abfolgen von SQL-Anweisungen, die in der
Datenbank voroptimiert gespeichert werden. Beim Aufruf einer Stored
Procedure müssen nur ihr Name und eventuelle Parameter angegeben
werden, um die dahinterstehenden SQL-Anweisungen auszuführen. Dies
hat zum einen den Vorteil, daß nicht die gesamten SQL-Anweisungen zum
Datenbankserver übertragen werden müssen, was bei komplexeren Operationen die Netzbelastung vermindert. Zum anderen kann das Datenbanksystem die SQL-Anweisungen in einer optimierten Form ablegen, so
daß sie schneller ausgeführt werden. Die stärkste Einschränkung bei der
Rechtevergabe ist die Vergabe von Zugriffsrechten auf Stored Procedures
statt auf Tabellen oder Views. Wenn Zugriffsrechte nur auf Stored
Procedures vergeben werden, können die Benutzer nur die von den Datenbankverantwortlichen ausgewählten Operationen ausführen.
Beispiele:
1. In MS Access können verschiedene Berechtigungen vergeben werden, die
sich entweder auf die Datenbank selbst (Öffnen/Ausführen, Exklusiv,
Verwalten) oder auf die Tabellen und Abfragen beziehen (Daten lesen,
Daten aktualisieren, Daten löschen, Daten einfügen). Diese Berechtigungen
können dann unterschiedlichen Benutzern oder Benutzergruppen zuge-

_____________________________________________________________________ ..........................................
264

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.129
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

ordnet werden. Standardmäßig sind bei MS Access die Gruppen "Administratoren" und "Benutzer" eingerichtet, wobei die Gruppe "Benutzer" die
Berechtigungen "Daten lesen" und "Daten aktualisieren" für Tabellen und
Abfragen und die Berechtigung "Öffnen/Ausführen" für Datenbanken
enthält. Für eine detailliertere Kontrolle der Zugriffsrechte können eigene
Gruppen definiert werden, an die unterschiedliche Berechtigungen
vergeben werden können. Dies kann im Menü Extras unter Zugriffsrechte
und Benutzer und Gruppenkonten durchgeführt werden.
2. In einer Oracle-Datenbank kann mit dem folgendem Kommando die
Gruppe "Abteilung_1" erstellt werden:
CREATE ROLE Abteilung_1 IDENTIFIED BY <Paßwort>;
Im folgenden Beispiel wird der Gruppe "Abteilung_1" die Berechtigung
erteilt, eine Verbindung zur Datenbank herzustellen sowie eine Session zu
eröffnen:
GRANT CONNECT, CREATE SESSION TO Abteilung_1;
Im folgenden Beispiel würde derselben Gruppe die Berechtigung gegeben,
ein SELECT auf die Tabelle "Test" durchzuführen:
GRANT SELECT ON Test TO Abteilung_1;
Im folgenden Beispiel würde dieser Gruppe die Berechtigung erteilt, für
die Spalte "Kommentar" der Tabelle "Test" Änderungen durchzuführen:
GRANT UPDATE (Kommentar) ON Test TO Abteilung_1;
3. Ein Beispiel für eine Stored Procedure unter Oracle mit PL/SQL Anweisungen sieht wie folgt aus:
PROCEDURE Example (PArtikelnr IN NUMBER, PPreis OUT
NUMBER) IS
BEGIN
BEGIN <<Block>>
SELECT preis INTO PPreis
FROM TabB
WHERE artikelnr=PArtikelnr
END Block;
END;
Die Prozedur "Example" liest aus der Tabelle TabB den Preis eines
Artikels nach Angabe der Artikelnummer. Mitarbeiter, die auf die Tabelle
TabB ausschließlich mit dieser Methode zugreifen können sollen, erhalten
nur das Nutzungsrecht für die Stored Procedure und keinerlei Rechte auf
die Tabelle. Damit werden z. B. auch zeitaufwendige Suchoperationen
verhindert.
Ergänzende Kontrollfragen:
- Wurden die Datenbankobjekte vor unberechtigtem Zugriff geschützt?
- Wurden Views für die einzelnen Benutzer definiert und dokumentiert?
- Wurden Zugriffsrechte auf die Daten vergeben und dokumentiert?

_____________________________________________________________________ ..........................................
265

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.130
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.130

Gewährleistung der Datenbankintegrität

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Verantwortliche der einzelnen
IT-Anwendungen
Die Integritätssicherung und -überwachung in einer Datenbank soll die
Korrektheit der zugehörigen Daten bzw. einen korrekten Zustand der Datenbank gewährleisten. Die folgenden Techniken sind zur Vermeidung inkorrekter Daten bzw. Zustände innerhalb einer Datenbank zu beachten:
- Zugriffskontrolle
Damit ist der Schutz der betreffenden Datenbank vor unautorisiertem
Zugriff mittels der Vergabe von Zugriffsrechten gemeint, wie in M 2.129
Zugriffskontrolle einer Datenbank beschrieben. Damit wird dem manipulativen Ändern von Daten bzw. Datenbankobjekten (wie z. B. Tabellen)
vorgebeugt.
Verantwortlich für die Umsetzung der Zugriffskontrolle ist der Datenbankadministrator.
Auf eine detaillierte Ausführung wird an dieser Stelle verzichtet und statt
dessen auf die Maßnahme M 2.129 Zugriffskontrolle einer Datenbank
verwiesen
- Synchronisationskontrolle
Die Synchronisationskontrolle dient der Verhinderung von Inkonsistenzen,
die durch einen parallelen Zugriff auf denselben Datenbestand entstehen
können. Es gibt dazu verschiedene Techniken, wie z. B. das Sperren von
Datenbankobjekten (Locking) oder die Vergabe von Zeitstempeln
(Timestamps).
Verantwortlich für die Umsetzung sind die Verantwortlichen der ITAnwendungen, insofern ein zusätzlicher Mechanismus zur Verfügung
gestellt werden muß, der über die Möglichkeiten des DBMS hinausgeht.
Auf eine detaillierte Ausführung wird verzichtet, da im allgemeinen jedes
DBMS eine Synchronisationskontrolle durchführt. Vom Einsatz eines
DBMS, welches dies nicht leisten kann, wird dringend abgeraten.
- Integritätskontrolle
Hierunter fällt die Vermeidung semantischer Fehler bzw. semantisch
unsinniger Zustände der Datenbank durch Einhaltung und Überwachung
der geforderten Integritätsbedingungen. Diese können sich auf einzelne
Relationen beziehen oder mehrere Relationen miteinander in Beziehung
setzen (referentielle Integrität). Beispiele sind die Angabe eines Primärschlüssels für eine Relation, die Definition von Wertebereichen zu den
einzelnen Attributen oder die Formulierung spezieller Bedingungen mittels
einer assertion-Klausel.
Dies kann durch das DBMS automatisch mittels eines Monitors überprüft
werden, der z. B. durch die Verwendung von Triggern oder Stored
Procedures realisiert werden kann. Damit sind prinzipiell beliebige Trans-

_____________________________________________________________________ ..........................................
266

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.130
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

aktionen möglich, jedoch werden diejenigen vom DBMS zurückgewiesen,
die die Datenbank-Konsistenz verletzen würden.
Verantwortlich für die Umsetzung sind die Verantwortlichen der ITAnwendungen respektive der fachliche Administrator, falls es sich um eine
Umsetzung der Integritätsbedingungen in Form von Relationen,
Primärschlüsseln oder allgemeinen Datenbankobjekten handelt.
Im Rahmen der Konzeption einer IT-Anwendung sind zu erstellen
-

ein Datenmodell, welches neben den Datenbankobjekten auch deren
Beziehungen untereinander abbildet, und

-

ein Fachkonzept, welches u. a. Bedingungen beschreibt, unter denen
Daten manipuliert werden dürfen.

Im Rahmen der Realisierung einer IT-Anwendung sind die folgenden
Punkte zu beachten:
-

Die konkrete Umsetzung des in der konzeptionellen Phase definierten Datenmodells muß festgelegt werden. Hierzu gehören die
Definition und Anlage von Tabellen, Indizes, Wertebereichen usw.

-

Die Definition von Triggern oder Stored Procedures erfolgt im
Rahmen der Realisierung des Fachkonzepts. Trigger und Stored
Procedures können dabei sowohl innerhalb der Anwendung (in den
Programmen), als auch der Datenbank (für Tabellen) Verwendung
finden. Trigger, die auf Datenbankebene eingesetzt werden, wirken
unabhängig von darüberliegenden Anwendungen und sind aus
diesem Grund zentral zu verwalten.
Beispiel: Trigger 'Update' für eine Tabelle:
Immer wenn ein Datensatz der Tabelle geändert wird, dann sind die
für den Trigger definierten Anweisungen auszuführen. Eine dieser
Anweisungen kann der Aufruf einer Stored Procedure sein.

Im Rahmen von Anwendungen kann eine Integritätssicherung durch einen
geeigneten Einsatz von Commit bzw. Rollback für das Betätigen bzw. Widerrufen von Transaktionen realisiert werden.
Ergänzende Kontrollfragen:
- Werden alle oben angegebenen Techniken zur Integritätssicherung eingesetzt?
- Wurden die Integritätsbedingungen mit den Verantwortlichen der einzelnen IT-Anwendungen abgestimmt?

_____________________________________________________________________ ..........................................
267

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.131
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.131

Aufteilung von Administrationstätigkeiten bei
Datenbanksystemen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Um einen geordneten Betrieb von Datenbanksystemen zu ermöglichen, sind
Administratoren zu bestimmen. Diesen obliegt neben allgemeinen Administrationsarbeiten insbesondere die Benutzerverwaltung einschließlich der
Verwaltung der Zugriffsrechte. Zusätzlich sind sie für die Sicherheitsbelange
der betreuten Datenbanksysteme zuständig.
Neben den in M 2.26 Ernennung eines Administrators und eines Vertreters
und M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters
genannten Maßnahmen sind speziell für Datenbanksysteme folgende Dinge zu
beachten.
Es sollten grundsätzlich zwei verschiedene Administrator-Rollen unterschieden werden:
- die fachlich übergreifende Administration der Datenbank-Software und
- die Administration der anwendungsspezifischen Belange.
Diese beiden Aufgaben sollten von verschiedenen Personen durchgeführt
werden, um eine Trennung der anwendungsspezifischen und fachlich übergreifenden Administration einer Datenbank zu erreichen.
Der grundsätzliche Betrieb des DBMS, die Durchführung der Datensicherungen oder die Archivierung von Datenbeständen sind beispielsweise Bestandteil der fachlich übergreifenden Datenbankadministration.
Bei der anwendungsspezifischen Administration werden dagegen die Erfordernisse der einzelnen Anwendungen an die Datenbank bearbeitet. Dies kann
z. B. die Verwaltung der zugehörigen Datenbankobjekte, die Unterstützung
der Benutzer bei Problemen bzw. Fragen oder die Verwaltung der entsprechenden Datenbankkennungen beinhalten. Letzteres ist allerdings nur dann
möglich, wenn die Verwaltung der Datenbankennungen je Anwendung über
ein entsprechendes Berechtigungskonzept durch die Datenbank-Software
unterstützt wird, also von den fachlich übergreifenden Berechtigungen
getrennt werden kann.
Der fachlich übergreifende Administrator richtet die für die anwendungsspezifischen Belange zuständigen Administratorkennungen mit den zugehörigen
Berechtigungen ein. Dazu gehört insbesondere das Recht, Datenbanken anzulegen. Die Rechtevergabe für die einzelnen Benutzer sollte dagegen für jede
anwendungsspezifische Datenbank getrennt durchgeführt werden und zwar
vom jeweils zuständigen anwendungsspezifischen Administrator.

_____________________________________________________________________ ..........................................
268

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.131
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Sind die Administrator-Rollen getrennt worden?
- Welche Administratoren sind für die fachlich übergreifende Administration
der Datenbank-Software und welche für die Administration der
anwendungsspezifischen Belange benannt worden?
- Wie ist die Zusammenarbeit zwischen den Administratoren geregelt? Sind
deren Aufgaben und Zuständigkeitsbereiche schriftlich fixiert?

_____________________________________________________________________ ..........................................
269

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.132
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.132

Regelung für die Einrichtung von Datenbankbenutzern/ -benutzergruppen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für die Einrichtung von Benutzern/Benutzergruppen in einer Datenbank
bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten
(siehe M 2.129 Zugriffskontrolle einer Datenbank) und für die Sicherstellung
eines geordneten und überwachbaren Betriebsablaufs. Im allgemeinen erhält
dazu jeder Datenbankbenutzer eine interne Datenbankkennung, über die ihn
das Datenbanksystem identifiziert. Damit können nur autorisierte Personen
auf die Datenbank zugreifen.
In Anlehnung an M 2.30 Regelung für die Einrichtung von Benutzern /
Benutzergruppen sollte ein Formblatt existieren, um von jedem Benutzer bzw.
für jede Benutzergruppe zunächst die erforderlichen Daten abzufragen:
- Name, Vorname,
- Vorschlag für die Benutzerkennung (wenn nicht durch Konventionen vorgegeben),
- Organisationseinheit,
- Erreichbarkeit (z. B. Telefon, Raum),
- ggf. Projekt,
- ggf. Anwendungen, die benutzt werden sollen und auf das Datenbanksystem zugreifen,
- ggf. Angaben über die geplante Tätigkeit im Datenbanksystem und die
dazu erforderlichen Rechte sowie die Dauer der Tätigkeit,
- ggf. Restriktionen auf Zeiten, Zugriffsberechtigungen (für bestimmte
Tabellen, Views etc.), eingeschränkte Benutzerumgebung,
- ggf. Zustimmung von Vorgesetzten.
Es sollte eine begrenzte Anzahl von Rechteprofilen festgelegt werden. Ein
neuer Benutzer wird dann einem oder mehreren Profilen zugeordnet und erhält
damit genau die für seine Tätigkeit erforderlichen Rechte. Dabei sind die
datenbankspezifischen Möglichkeiten bei der Einrichtung von Benutzern und
Gruppen zu beachten. Es ist sinnvoll, Namenskonventionen für die Benutzerund Gruppenkennungen festzulegen (z. B. Benutzer-ID = Kürzel
Organisationseinheit || lfd. Nummer).
Dabei können Benutzer-, Rollen- und Gruppenprofile benutzt werden. Soweit
möglich, sollten jedoch keine benutzerspezifischen Profile verwendet werden,
da dies bei einer großen Anzahl von Benutzern zu einem hohen administrativen Aufwand führt. Bei der Definition von Gruppenprofilen muß man
zwischen restriktiven und großzügigen Berechtigungsprofilen abwägen.
Werden die Gruppenprofile zu restriktiv gehandhabt, muß eine große Anzahl
von Gruppen verwaltet werden, was zu einem hohen administrativen Aufwand
führt. Werden die Gruppenprofile dagegen zu großzügig definiert, kann es zu

_____________________________________________________________________ ..........................................
270

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.132
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Redundanzen zwischen verschiedenen Gruppen kommen oder zur
Einräumung von unnötig umfangreichen Rechten, was wiederum zur Verletzung der Vertraulichkeit von Daten führen kann.
In der Regel muß jedem Benutzer eine eigene Datenbankkennung zugeordnet
sein, es dürfen nicht mehrere Benutzer unter derselben Kennung arbeiten.
Normalerweise besteht zwischen der Datenbankkennung und der Benutzerkennung des zugrundeliegenden Betriebssystems keine Verbindung. Einige
Hersteller bieten in ihrer Datenbank-Software jedoch die Möglichkeit an, die
Betriebssystemkennung in das Datenbanksystem zu übernehmen. Dies erspart
den Anwendern eine Paßwortabfrage für den Zugang zur Datenbank, falls
diese sich bereits mit Ihrer eigenen Betriebssystemkennung angemeldet haben.
So können beispielsweise unter Oracle sogenannte OPS$-Kennungen verwendet werden. Eine solche Kennung setzt sich aus dem Präfix "OPS$" und
der Betriebssystemkennung des Anwenders zusammen. Nur wenn sich ein
Anwender mit seiner Betriebssystemkennung am Datenbanksystem anmeldet,
wird kein Paßwort vom DBMS abgefragt. Meldet sich der Anwender dagegen
unter einer anderen Kennung an, so erfolgt eine Paßwortabfrage.
Diese Möglichkeit beinhaltet allerdings die Gefahr, daß bei einer Schutzverletzung auf Betriebssystemebene (z. B. das Knacken des entsprechenden
Paßwortes) der Zugriff auf die Datenbank nicht mehr verhindert werden kann.
Der Schutz der Datenbank ist demnach stark von der Sicherheit des
zugrundeliegenden Betriebssystems abhängig. Dabei handelt es sich im
allgemeinen nicht um das üblicherweise sichere Betriebssystem des Datenbank-Servers, sondern um das eines Clients, der unter Umständen wesentlich
schwächer geschützt ist. Deshalb wird von der Verwendung dieser Möglichkeit abgeraten, statt dessen sollte bei der Forderung nach einer einfachen
Handhabung für die Benutzer (Stichwort Single-Sign-On) der Einsatz eines
Zusatzproduktes zur zentralen Benutzerverwaltung für den gesamten ITBetrieb erwogen werden (z. B. ISM Access Master von Bull). Aber auch hier
müssen die konkreten Sicherheitsanforderungen mit dem entsprechenden
Zusatzprodukt abgeglichen werden.
Ergänzende Kontrollfragen:
- Welche organisatorischen Regelungen zur Einrichtung von Datenbankbenutzern bzw. -benutzergruppen gibt es?
- Wurden Namenskonventionen für die Benutzer- und Gruppenkennungen
festgelegt?
- Wurden Rechteprofile angelegt?

_____________________________________________________________________ ..........................................
271

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.133
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.133

Kontrolle der Protokolldateien eines
Datenbanksystems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Revisor
Die in einem Datenbanksystem mögliche Protokollierung bzw. Auditierung ist
in einem sinnvollen Umfang zu aktivieren. Werden zuviele Ereignisse
protokolliert, wird die Performance der Datenbank negativ beeinflußt und die
Protokolldateien wachsen stark an. Es muß also immer zwischen dem
Bedürfnis, möglichst viele Informationen zur Sicherheit der Datenbank zu
sammeln, und der Möglichkeit, diese Informationen zu speichern und auszuwerten, abgewogen werden.
Dabei sind insbesondere folgende Vorkommnisse von Interesse:
- Anmeldezeiten und -dauer der Benutzer,
- Anzahl der Verbindungen zur Datenbank,
- fehlgeschlagene bzw. abgewiesene Verbindungsversuche,
- Auftreten von Deadlocks innerhalb des Datenbanksystems,
- I/O-Statistik für jeden Benutzer,
- Zugriffe auf die Systemtabellen (siehe auch M 4.69 Regelmäßiger Sicherheitscheck der Datenbank),
- Erzeugung neuer Datenbankobjekte und
- Datenmodifikationen (evtl. mit Datum, Uhrzeit und Benutzer).
Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme allerdings nur dann wirksam, wenn die protokollierten Daten auch
ausgewertet werden. Daher sind die Protokolldateien in regelmäßigen
Abständen durch einen Revisor auszuwerten. Ist es organisatorisch oder
technisch nicht möglich, einen unabhängigen Revisor mit der Auswertung der
Protokolldateien zu betrauen, ist eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich.
Die Protokolldaten müssen regelmäßig gelöscht werden, um ein übermäßiges
Anwachsen der Protokolldateien zu verhindern. Sie dürfen allerdings nur dann
gelöscht werden, wenn die Protokolldateien vorher ausgewertet und
kontrolliert wurden. Dies kann manuell oder automatisch geschehen, falls
entsprechende Werkzeuge zur Verfügung stehen.
Weiterhin ist der Zugriff auf die Protokolldateien strikt zu beschränken.
Einerseits muß verhindert werden, daß Angreifer ihre Aktionen durch nachträgliche Änderung der Protokolldateien verbergen können, andererseits
könnten über die gezielte Auswertung von Protokolldateien Leistungsprofile
der Benutzer erstellt werden. Deshalb dürfen beispielsweise Änderungen
überhaupt nicht vorgenommen werden können und lesender Zugriff darf nur
den Revisoren gestattet werden.
Um die Auswertung der Protokolldaten zu vereinfachen, können vom Datenbank-Administrator zusätzliche Tools eingesetzt werden, die eine automa-

_____________________________________________________________________ ..........................................
272

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.133
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

tisierte Überwachung durchführen. Solche Produkte können beispielweise die
Log-Dateien von Datenbanksystemen nach vorgegebenen Mustern auswerten
und bei Bedarf einen Alarm erzeugen.
Weitere Maßnahmen, die in diesem Zusammenhang beachtet werden müssen,
sind in M 2.64 Kontrolle der Protokolldateien zu finden.
Ergänzende Kontrollfragen:
- Wer wertet die Protokolldateien aus? Findet das Vier-Augen-Prinzip
Anwendung?
- Können die Aktivitäten des Administrators ausreichend kontrolliert
werden?
- Wird das IT-Sicherheitsmanagement bei Auffälligkeiten unterrichtet?

_____________________________________________________________________ ..........................................
273

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.134
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.134

Richtlinien für Datenbank-Anfragen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Anwendungsentwickler
Die relationale Datenbanksprache SQL (Standard Query Language) ist eine
international standardisierte Sprache für relationale Datenbanksysteme, die
eine weite Verbreitung erfahren hat und in den meisten DBMS implementiert
ist. Mittels SQL können sowohl Modifikationen der Daten (UPDATE,
INSERT, DELETE), als auch der Datenbankobjekte formuliert (CREATE,
ALTER, DROP) sowie Informationen abgefragt werden (SELECT). Um einen
sicheren Betrieb eines Datenbanksystems zu gewährleisten, sollten die
folgenden Grundsätze in einer Richtlinie für Datenbank-Anfragen beschrieben
sein.
- SQL-Anfragen sollten so exakt wie möglich formuliert werden. Dies gilt
insbesondere für SQL-Anfragen, die aus Anwendungen heraus gestellt
werden. So führt beispielsweise die SQL-Anweisung
SELECT * FROM <Tabelle> WHERE <Bedingung>
bei Änderungen des Tabellenschemas (Hinzufügen bzw. Löschen von Feldern oder Vertauschen der Reihenfolge von Feldern) unweigerlich zu
Fehlern oder sogar zu einem Absturz der zugehörigen Anwendung.
- Felder sollten immer explizit angegeben werden. Damit ist sichergestellt,
daß die Daten in der erwarteten Reihenfolge zur Verfügung stehen und
beispielsweise nur diejenigen Daten selektiert werden, die man tatsächlich
benötigt.
Beispiel:
Eine Tabelle besteht aus den folgenden Feldern (mit den zugehörigen
Datentypen):
Artikelnummer

NUMBER(10)

Nettopreis

NUMBER(10,2)

Artikelbezeichnung

VARCHAR(30)

Verwendungszweck VARCHAR(200)
Es wird das neue Feld "Bestellnummer" vom Typ NUMBER(8) hinzugefügt. Das Feld wird aus Gründen der optimalen Speicherausnutzung nicht
am Ende, sondern an die zweite Stelle der Tabelle plaziert. Die neue
Tabelle sieht also wie folgt aus:
Artikelnummer

NUMBER(10)

Bestellnummer

NUMBER(8)

Nettopreis

NUMBER(10,2)

Artikelbezeichnung

VARCHAR(30)

Verwendungszweck VARCHAR(200)

_____________________________________________________________________ ..........................................
274

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.134
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

In einem solchen Fall würde eine SELECT-*-Anweisung in einer Anwendung im schlimmsten Fall zu einem Absturz führen, da die Daten automatisch in der angegebenen Feldreihenfolge selektiert werden. Im obigen
Beispiel würde dann nicht nur das Problem auftreten, daß die Tabelle um
ein Feld ergänzt wurde (dessen Daten zusätzlich selektiert würden),
sondern, daß durch die Veränderung der Feldreihenfolge die Daten nicht
mehr in der ursprünglichen Reihenfolge selektiert würden. Dies führt
unweigerlich zu Typkonflikten und einem möglichen Programmabsturz.
- Für einschränkende Datenbankanfragen (WHERE-Klausel) ist die Reihenfolge der angegebenen Selektionsbedingungen von großer Bedeutung. Die
WHERE-Klausel sollte so formuliert werden, daß als erstes diejenige
Bedingung angegeben wird, die die kleinstmögliche Ergebnismenge
selektiert und erst zum Schluß die Bedingung greift, die die größte Ergebnismenge liefern würde. Auf diese Weise wird die Performance des
Datenbanksystems optimiert, da sich durch die geschickte Anordnung der
Selektionsbedingungen der Suchvorgang erheblich verkürzen läßt. Das
gleiche gilt analog für Datenbankanfragen, die über mehrere Tabellen
hinweg formuliert werden (sogenannte Joins).
Es sei an dieser Stelle erwähnt, daß Datenbankmanagementsysteme bereits
häufig Datenbankanfragen selbständig optimieren. Oft werden sogar
mehrere Optimierungsstrategien zur Auswahl angeboten, die über verschiedene Parameter ausgewählt werden können. Werden diese sogenannten Optimizer vom DBMS verwendet, kann dies allerdings dazu führen,
daß sorgfältig formulierte Datenbankabfragen intern vom DBMS nicht in
der erwarteten Art und Weise abgearbeitet werden.
In diesem Zusammenhang bieten einige Datenbankmanagementsysteme
die Möglichkeit, die Abarbeitung von Datenbankanfragen zu untersuchen
(z. B. in Oracle mit EXPLAIN oder für Ingres mittels SETOEP). Desweiteren besteht die Möglichkeit, über sogenannte HINTS in der Datenbankanfrage deren Abarbeitung explizit zu definieren und somit den
Optimizer im Prinzip auszuschalten. Von dieser Möglichkeit sollte allerdings so wenig wie möglich Gebrauch gemacht werden.
Welche Optimizer das DBMS unterstützt sowie deren Vor- und Nachteile
sind in den Handbüchern des DBMS normalerweise dokumentiert. Falls
mehrere Optimizer zur Auswahl stehen, sollte beim Administrator nachgefragt werden, welcher Optimizer eingesetzt wird.
- Im Falle von Joins sollte zusätzlich beachtet werden, daß die Zuordnung
von Feldern zu den Tabellen eindeutig erfolgt.
Beispiel:
TabA:

ID
Herstellernr.

NUMBER(4)
NUMBER(6)

TabB:

ID
Artikelnr.
Preis
Bezeichnung

NUMBER(4)
NUMBER(10)
NUMBER(10,2)
VARCHAR(30)

_____________________________________________________________________ ..........................................
275

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.134
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

SELECT TabA.ID, TabB.Bezeichnung, TabB.Preis
FROM

TabA, TabB

WHERE TabA.ID=TabB.ID
Das Feld "ID" ist in beiden Tabellen vorhanden und muß deshalb bei der
Datenbankanfrage explizit mit dem zugehörigen Tabellennamen angegeben
werden. Andernfalls ist die Eindeutigkeit der Auswahl nicht mehr
sichergestellt und die Datenbankanfrage wird mit einer entsprechenden
Fehlermeldung abgebrochen.
Alle anderen Felder sind in diesem Fall eindeutig zuordenbar. Eine
explizite Angabe des zugehörigen Tabellennamens für jedes Feld wird von
SQL nicht gefordert. Trotzdem sollten für die einzelnen Felder die eindeutige Zuordnung zur Tabelle erfolgen, wie im obigen Beispiel für die
Felder "Preis" und "Bezeichnung" der Tabelle TabB. Nur so können
unvorhergesehene Probleme vermieden werden.
Das Hinzufügen eines Feldes "Bezeichnung" für TabA würde im obigen
Beispiel zu keinen Problemen führen. Dies wäre jedoch nicht der Fall,
wenn die SQL-Anweisung die Zuordnung der Felder zu den Tabellen nicht
explizit beinhalten würde. Es wäre nicht mehr eindeutig, ob das Feld
"Bezeichnung" von TabA oder TabB selektiert werden soll, da beide
Tabellen nach der Änderung von TabA ein Feld mit diesem Namen haben.
Die SQL-Anweisung würde mit einer Fehlermeldung abgebrochen.
- Existieren Views auf Tabellen, so sollten diese auch für die Formulierung
von Datenbankanfragen benutzt werden.
- Alle Datenbanktransaktionen sollten explizit mit einem COMMIT bestätigt
werden. Falls das DBMS ein automatisches COMMIT unterstützt, sollte
dieses nicht aktiviert werden, da es sonst u. U. zu ungewollten
Inkonsistenzen in der Datenbank kommen kann.
Beispiel: Mehrere einzelne Modifikationen gehören logisch zusammen,
werden aber automatisch durch ein COMMIT bestätigt. Kommt es nun zu
einem unkontrollierten Abbruch der Transaktion und infolgedessen zu
einem Rollback, sind die zuerst ausgeführten Operationen bereits bestätigt
und verbleiben in der Datenbank, während der Rest noch gar nicht durchgeführt werden konnte.
- Zur Vermeidung von Sperrkonflikten oder gar Deadlocks ist für jede fachliche Datenbank eine Sperrstrategie festzulegen (z. B. hierarchisches
Sperren oder explizites Sperren aller Tabellen am Anfang der Transaktion).
- Anwendungsentwickler sollten nach jeder SQL-Anweisung den Fehlerstatus prüfen, so daß die Anwendung so früh wie möglich auf eingetretene
Fehler reagieren kann.
- Falls das DBMS bestimmte systemspezifische Kommandos unterstützt, mit
denen beispielsweise die Protokollierung ausgeschaltet oder das LockingVerfahren verändert werden kann, sollten die Berechtigungen für diese
Kommandos den Benutzern entzogen werden. Hier ist also im Vorfeld
genau zu klären, welche systemspezifischen Einstellungen bzw.

_____________________________________________________________________ ..........................................
276

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.134
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Kommandos von den Benutzern bzw. den Anwendungsentwicklern geändert bzw. benutzt werden dürfen.
- Bei der Entwicklung von Anwendungen sollten alle Datenbankzugriffe in
einem Modul oder einem bestimmten Teil des Programmcodes zusammengefaßt werden, da sonst zur Überprüfung der obigen Grundsätze der
gesamte Programmcode des Anwendungssystems herangezogen werden
müßte. Hierdurch wird die Wartung und Pflege des Anwendungssystems,
z. B. bei Änderungen des Datenmodells, erleichtert.
Ergänzende Kontrollfragen:
- Sind Richtlinien für Datenbank-Anfragen erstellt worden?
- Sind den Anwendungsentwicklern die Richtlinien für Datenbank-Anfragen
bekannt?
- Wie wird die Einhaltung dieser Richtlinien überprüft?

_____________________________________________________________________ ..........................................
277

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.135
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.135

Gesicherte Datenübernahme in eine Datenbank

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In vielen Datenbanksystemen besteht aus Anwendungssicht die Notwendigkeit, Daten aus anderen Systemen zu übernehmen. Dabei lassen sich prinzipiell die beiden folgenden Kategorien unterscheiden:
- Erst- oder Altdatenübernahme
Dies betrifft die Übernahme von Daten aus Altsystemen, wenn beispielsweise ein neues Datenbanksystem beschafft wurde und produktiv eingesetzt werden soll. Hierbei ist insbesondere sicherzustellen, daß
-

die Daten in einem Format vorliegen, das in die Zieldatenbank
übernommen werden kann,

-

die Daten vollständig sind, d. h. für alle Felder, die in der Zieldatenbank gefüllt werden sollen, müssen Daten zur Übernahme zur Verfügung gestellt werden, und

-

die Konsistenz und Datenintegrität der Datenbank gewährleistet ist.

Im Vorfeld der Datenübernahme ist ein Konzept zu erstellen, wie die zu
übernehmenden Daten aufbereitet werden müssen und wie die Übernahme
konkret durchgeführt werden soll. Weiterhin ist unbedingt eine Komplettsicherung der Altdaten vorzunehmen. Erfolgt die Datenübernahme in
mehreren Schritten, sollte vor jedem einzelnen Schritt eine unabhängige
Datensicherung durchgeführt werden.
- Regelmäßige Datenübernahme
Befinden sich in der Zieldatenbank bei einer Datenübernahme bereits
Daten, die nicht verändert werden dürfen, oder werden in regelmäßigen
Zeitabständen Daten in eine Datenbank übernommen, so
-

ist vor der Datenübernahme eine Komplettsicherung der Datenbank
durchzuführen,

-

sollte die Datenübernahme wenn möglich außerhalb der regulären
Betriebszeiten stattfinden,

-

müssen die betroffenen Benutzer von der bevorstehenden Datenübernahme rechtzeitig informiert werden, insbesondere dann, wenn
mit Einschränkungen hinsichtlich der Verfügbarkeit oder des
Antwortzeitverhaltens zu rechnen ist,

-

ist vor der ersten Datenübernahme ein Konzept zu erstellen, wie die
zu übernehmenden Daten aufbereitet werden müssen bzw. wie die
Übernahme konkret durchzuführen ist. Insbesondere muß in diesem
Konzept berücksichtigt werden, wie Konflikte zwischen den bereits
existierenden Daten in der Zieldatenbank und den zu übernehmenden Daten vermieden werden, d. h. inwieweit die Integrität und
Konsistenz der Zieldatenbank gewahrt bleibt. Desweiteren sind

_____________________________________________________________________ ..........................................
278

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.135
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Vorkehrungen zu treffen, um eine mehrfache Übernahme der gleichen Daten zu verhindern.
Vor der Durchführung einer Datenübernahme ist festzulegen, was beim Auftreten von Fehlern zu unternehmen ist. Dies beinhaltet z. B., ob beim Auftreten eines fehlerhaften Datensatzes mit dem nächsten Satz fortgefahren werden
kann, oder ob die komplette Datenübernahme abgebrochen werden muß.
Weiterhin ist festzulegen, wie die Datenübernahme nach einem Abbruch
wieder aufgesetzt wird.
Ergänzende Kontrollfragen:
- Wurde ein Konzept zur Datenübernahme erstellt?
- Erfolgt vor einer Datenübernahme eine Komplettsicherung der Datenbank?
- Werden die Benutzer bei einer Datenübernahme rechtzeitig und umfassend
informiert?

_____________________________________________________________________ ..........................................
279

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.136
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.136

Einhaltung von Regelungen bzgl. Arbeitsplatz
und Arbeitsumgebung

Verantwortlich für Initiierung: Leiter Haustechnik, Personalrat/Betriebsrat
Verantwortlich für Umsetzung: Vorgesetzte, Personalrat/Betriebsrat, Mitarbeiter
Am häuslichen Arbeitsplatz müssen dieselben Vorschriften und Richtlinien
bezüglich der Gestaltung des Arbeitsplatzes (z. B. Einrichtung eines Bildschirmarbeitsplatzes) und der Arbeitsumgebung gelten wie in der Institution.
Dies sollte in Absprache mit dem Telearbeiter durch den in der Institution
Verantwortlichen für den Arbeits- und Gesundheitsschutz, dem IT-Sicherheitsbeauftragten, dem Datenschutzbeauftragten sowie dem Betriebs- bzw.
Personalrat und dem direkten Vorgesetzten des Telearbeiters begutachtet
werden können.

_____________________________________________________________________ ..........................................
280

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.137
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.137

Beschaffung eines geeigneten Datensicherungssystems

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Administrator
Ein Großteil der Fehler, die beim Erstellen oder Restaurieren einer Datensicherung auftreten, sind Fehlbedienungen. Daher sollte bei der Beschaffung
eines Datensicherungssystem nicht allein auf seine Leistungsfähigkeit geachtet
werden, sondern auch auf seine Bedienbarkeit und insbesondere auf seine
Toleranz gegenüber Benutzerfehlern.
Bei der Auswahl von Sicherungssoftware sollte darauf geachtet werden, daß
sie die folgenden Anforderungen erfüllt:
- Die Datensicherungssoftware sollte ein falsches Medium ebenso wie ein
beschädigtes Medium im Sicherungslaufwerk erkennen können.
- Sie sollte mit der vorhandenen Hardware problemlos zusammenarbeiten.
- Es sollte möglich sein, Sicherungen automatisch zu vorwählbaren Zeiten
bzw. in einstellbaren Intervallen durchführen zu lassen, ohne daß hierzu
manuelle Eingriffe (außer dem eventuell notwendigen Bereitstellen von
Sicherungsdatenträgern) erforderlich wären.
- Es sollte möglich sein, einen oder mehrere ausgewählte Benutzer automatisch über das Sicherungsergebnis und eventuelle Fehlermeldungen per EMail oder ähnliche Mechanismen zu informieren. Die Durchführung von
Datensicherungen inklusive des Sicherungsergebnisses und möglicher
Fehlermeldungen sollten in einer Protokolldatei abgespeichert werden.
- Die Sicherungssoftware sollte die Sicherung des Backup-Mediums durch
ein Paßwort, oder noch besser durch Verschlüsselung unterstützen.
Weiterhin sollte sie in der Lage sein, die gesicherten Daten in komprimierter Form abzuspeichern.
- Durch Vorgabe geeigneter Include- und Exclude-Listen bei der Datei- und
Verzeichnisauswahl sollte genau spezifiziert werden können, welche Daten
zu sichern sind und welche nicht. Es sollte möglich sein, diese Listen zu
Sicherungsprofilen zusammenzufassen, abzuspeichern und für spätere
Sicherungsläufe wieder zu benutzen.
- Es sollte möglich sein, die zu sichernden Daten in Abhängigkeit vom
Datum ihrer Erstellung bzw. ihrer letzten Modifikation auszuwählen.
- Die Sicherungssoftware sollte die Erzeugung logischer und physischer
Vollkopien sowie inkrementeller Kopien (Änderungssicherungen) unterstützen.
- Die zu sichernden Daten sollten auch auf Festplatten und Netzlaufwerken
abgespeichert werden können.
- Die Sicherungssoftware sollte in der Lage sein, nach der Sicherung einen
automatischen Vergleich der gesicherten Daten mit dem Original durchzuführen und nach der Wiederherstellung von Daten einen entsprechenden

_____________________________________________________________________ ..........................................
281

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.137
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Vergleich zwischen den rekonstruierten Daten und dem Inhalt des
Sicherungsdatenträgers durchzuführen.
- Bei der Wiederherstellung von Dateien sollte es möglich sein auszuwählen,
ob die Dateien am ursprünglichen Ort oder auf einer anderen Platte bzw. in
einem anderen Verzeichnis wiederhergestellt werden. Ebenso sollte es
möglich sein, das Verhalten der Software für den Fall zu steuern, daß am
Zielort schon eine Datei gleichen Namens vorhanden ist. Dabei sollte man
wählen können, ob diese Datei immer, nie oder nur in dem Fall, daß sie
älter als die zu rekonstruierende Datei ist, überschrieben wird, oder daß in
diesem Fall eine explizite Anfrage erfolgt.
Falls mit dem eingesetzten Programm die Datensicherung durch Paßwort
geschützt werden kann, sollte diese Option genutzt werden. Das Paßwort ist
dann gesichert zu hinterlegen (siehe M 2.22 Hinterlegen des Paßwortes).
Bei den meisten Betriebssystemen werden Programme für Datensicherungen
mitgeliefert. Nicht alle erfüllen allerdings die Ansprüche an Produkte für professionelle und komfortable Datensicherungen. Stehen aber keine solchen
Produkte zur Verfügung, so sollten die systemzugehörigen Programme verwendet werden.

_____________________________________________________________________ ..........................................
282

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.138
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.138

Strukturierte Datenhaltung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Eine schlecht strukturierte Datenhaltung kann zu einer Vielzahl von Problemen führen. Alle IT-Benutzer sind daher darauf hinzuweisen, wie eine gut
strukturierte und übersichtliche Datenhaltung aussehen sollte. Auf allen
Servern sollten entsprechende Strukturen durch die Administratoren vorgegeben werden. Dies ist ohnehin Voraussetzung, um eine differenzierte Vergabe von Zugriffsrechten realisieren zu können.
Programm- und Arbeitsdateien sollten immer in getrennten Bereichen gespeichert werden. Dies sorgt für eine bessere Übersicht und erleichtert auch die
Durchführung von Datensicherungen und die Sicherstellung des korrekten
Zugriffsschutzes. Bei den meisten Applikationsprogrammen ändern sich nach
der Installation keine oder nur sehr wenige Konfigurationsdateien. Soweit
möglich, sollten alle Dateien, die sich regelmäßig ändern, in gesonderten Verzeichnissen abgespeichert werden, damit nur diese in die regelmäßigen
Datensicherungen mitaufgenommen werden müssen.

Programme und Applikationsdateien trennen

Bei einer sauberen Trennung von Programmen und Daten reicht es, die Daten
in die regelmäßigen Datensicherungen aufzunehmen. Wichtig ist es, die
Arbeitsdateien sorgfältig gesichert zu haben, diese können dann notfalls auch
auf anderen Systemen weiterverarbeitet werden.
Bei vernetzten Systemen stellt sich außerdem die Frage, welche Programme
bzw. Dateien auf den lokalen Festplatten oder auf einem Netzserver abgelegt
werden sollten. Beides hat Vor- und Nachteile und muss sowohl von der
organisatorischen Struktur als auch von der eingesetzten Hard- und Software
abhängig gemacht werden. So sollten z. B. Dateien mit hohen Verfügbarkeitsansprüchen zusammen mit den zugehörigen Applikationsprogrammen
besser auf den Arbeitsplatzrechnern gehalten werden als auch einem Netzserver. Dann muss allerdings auch die entsprechende Notfallvorsorge für diese
Arbeitsplatzrechner betrieben werden.
Es sollten aufgaben- oder projektbezogene Verzeichnisse eingerichtet werden,
um die Zuordnung von Dateien zu erleichtern. Es sollten möglichst wenig
Daten in personenbezogenen Verzeichnissen abgelegt werden.

aufgaben- oder projektbezogene Verzeichnisse

Um zu verhindern, dass für die weitere Arbeit grundlegenden Dateien wie
Briefvorlagen, Formularen, Projektplänen o. Ä. unterschiedliche Versionsstände existieren, sollten diese zentral verwaltet werden. Sie sollten beispielsweise auf einem Server so vorgehalten werden, dass jeder lesend darauf
zugreifen kann, aber es sollte für jede solche Datei jeweils nur eine Person
geben, die sie verändern darf.
Wie auf einem Server durch Verzeichnisvorgaben Daten strukturiert werden
könnten, wird in dem folgenden Beispiel gezeigt:

_____________________________________________________________________ ..........................................
283

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.138
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

\
\bin
\bin\program1
\bin\program2
\bin\program3
\user
\user\user1
\user\user2
\projekte
\projekte\p1
\projekte\p1\texte
\projekte\p1\bilder
\projekte\p2
\projekte\p2\projektplan
\projekte\p2\teilprojekt1
\projekte\p2\teilprojekt2
\projekte\p2\teilprojekt3
\projekte\p2\ergebnis
\vordrucke
Es sollte regelmäßig überprüft werden,

Verzeichnisse regelmäßig aufräumen

- ob Daten aus dem Produktionssystem entfernt werden können, weil sie
archiviert oder gelöscht werden können,
- ob Zugriffsrechte entzogen werden können, weil Mitarbeiter die Projektgruppe verlassen haben,
- ob auf allen IT-Systemen die aktuellsten Versionen von Formularen, Vorlagen, etc. gespeichert sind.
Dies ist durch die Benutzer für deren IT-Systeme bzw. die von ihnen verwalteten Verzeichnisse und von den Administratoren der Server regelmäßig zu
überprüfen. Diese Prüfungen sollten mindestens vierteljährlich durchgeführt
werden, da sonst die Kenntnisse über Inhalt und Herkunft der Dateien wieder
aus den Gedächtnissen der Mitarbeiter verschwunden sind.
Ergänzende Kontrollfragen:
- Werden ausschließlich aufgaben- bzw. projektbezogene Verzeichnisse für
die Datenhaltung benutzt?
- Wann wurde zuletzt überprüft, ob alte Dateien gelöscht bzw. archiviert
werden können?

_____________________________________________________________________ ..........................................
284

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.139
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.139

Ist-Aufnahme der aktuellen Netzsituation

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrators
Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für eine
gezielte Sicherheitsanalyse des bestehenden Netzes. Sie ist ebenso erforderlich
für die Erweiterung eines bestehenden Netzes. Bei der Planung von Netzen
sind die im folgenden beschriebenen Punkte bei der Konzeption zu
berücksichtigen.
Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z. T. aufeinander aufbauen, notwendig:
- Netztopographie,
- Netztopologie,
- verwendete Netzprotokolle,
- Kommunikationsübergänge im LAN und zum WAN sowie
- Netzperformance und Verkehrsfluß.
In den einzelnen Schritten ist im wesentlichen folgendes festzuhalten:
Ist-Aufnahme der Netztopographie
Für die Ist-Aufnahme der Netztopographie ist die physikalische Struktur des
Netzes zu erfassen. Dabei ist es sinnvoll, sich an den räumlichen Verhältnissen zu orientieren, unter denen das Netz aufgebaut wird. Es ist ein Plan zu
erstellen bzw. fortzuschreiben, der
- die aktuelle Kabelführung,
- die Standorte aller Netzteilnehmer, insbesondere der verwendeten aktiven
Netzkomponenten,
- die verwendeten Kabeltypen sowie
- die festgelegten Anforderungen an den Schutz von Kabeln (M 1.22 Materielle Sicherung von Leitungen und Verteilern)
enthält. Zur Pflege dieses Planes ist es sinnvoll, ein entsprechendes Tool zur
Unterstützung einzusetzen (z. B. CAD-Programme, spezielle Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools o. ä.). Eine konsequente Aktualisierung dieser Pläne bei Umbauten oder
Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vgl. auch M 1.11 Lagepläne der Versorgungsleitungen und M 5.4 Dokumentation und Kennzeichnung der Verkabelung).
Ist-Aufnahme der Netztopologie
Für die Ist-Aufnahme der Netztopologie ist die logische Struktur des Netzes
zu betrachten. Dazu ist es notwendig, die Segmentierung der einzelnen OSISchichten und ggf. die VLAN-Struktur zu erfassen.
Anhand der Darstellung der Netztopologie muß feststellbar sein, über welche
aktiven Netzkomponenten eine Verbindung zwischen zwei beliebigen End-

_____________________________________________________________________ ..........................................
285

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.139
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

geräten aufgebaut werden kann. Zusätzlich sind die Konfigurationen der
aktiven Netzkomponenten zu dokumentieren, die zur Bildung der Segmente
verwendet werden. Dies können bei logischer Segmentierung die Konfigurationsdateien sein, bei physikalischer Segmentierung die konkrete Konfiguration der Netzkomponenten.
Ist-Aufnahme der verwendeten Netzprotokolle
Bezogen auf die gewählte Segmentierung des Netzes, sind die in den einzelnen Segmenten verwendeten Netzprotokolle und die hierfür notwendigen
Konfigurationen (z. B. die MAC-Adressen, die IP-Adressen und die Subnetzmasken für das IP-Protokoll) festzustellen und zu dokumentieren. Hier
sollte auch dokumentiert werden, welche Dienste zugelassen sind (z. B.
HTTP, SMTP, Telnet) und welche Dienst nach welchen Kriterien gefiltert
werden.
Ist-Aufnahme von Kommunikationsübergängen im LAN und WAN
Die Kommunikationsübergänge im LAN und WAN sind, soweit sie nicht in
der bereits erstellten Dokumentation enthalten sind, zu beschreiben. Für jeden
Kommunikationsübergang zwischen zwei Netzen ist zu beschreiben,
- welche Übertragungsstrecken (z. B. Funkstrecke für eine LAN/LANKopplung) hierfür eingesetzt werden,
- welche Kommunikationspartner und -dienste in welche Richtung hierüber
zugelassen sind, und
- wer für die technische Umsetzung zuständig ist.
Hierzu gehört auch die Dokumentation der verwendeten WAN-Protokolle
(z. B. ISDN, X.25). Bei einem Einsatz einer Firewall (siehe Kapitel 7.3 Firewall) ist zusätzlich deren Konfiguration (z. B. Filterregeln) zu dokumentieren.
Ist-Aufnahme der Netzperformance und des Verkehrsflusses
Es ist eine Messung der Netzperformance und eine Analyse des Verkehrsflusses in und zwischen den Segmenten oder Teilnetzen durchzuführen. Für
jedes eingesetzte Netzprotokoll müssen die entsprechenden Messungen erfolgen.
Bei jeder Änderung der Netzsituation sind die zuletzt durchgeführten Ist-Aufnahmen zu wiederholen. Die im Rahmen der Ist-Aufnahmen erstellte Dokumentation ist so aufzubewahren, daß sie einerseits vor unbefugtem Zugriff
geschützt ist, aber andererseits für das Sicherheitsmanagement oder die
Administratoren jederzeit verfügbar ist.
Ergänzende Kontrollfragen:
- Werden regelmäßig Performance-Messungen und Verkehrsfluß-Analysen
durchgeführt und ausgewertet?
- Wird die erstellte Dokumentation laufend aktualisiert?
- Ist die Dokumentation auch für Dritte verständlich und nachvollziehbar?

_____________________________________________________________________ ..........................................
286

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.140
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.140

Analyse der aktuellen Netzsituation

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach M 2.139
Ist-Aufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der Beurteilung der
eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit,
Integrität bzw. Verfügbarkeit notwendig. Da dies ein komplexes Gebiet ist,
das neben tiefgehenden Kenntnissen in allen genannten Bereichen auch viel
Zeit erfordert, kann es zur Analyse der aktuellen Netzsituation hilfreich sein,
externe Berater hinzuzuziehen. Im Bereich der deutschen Bundesverwaltung
kann hier das BSI Hilfestellung leisten.
Eine Analyse der aktuellen Netzsituation besteht im wesentlichen aus einer
Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse.
Eine Strukturanalyse besteht aus einer Analyse der nach M 2.139 IstAufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die
Strukturanalyse muß von einem Analyseteam durchgeführt werden, das in der
Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder
auch herleiten zu können. Als Ergebnis muß das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse
bereits konzeptionelle Schwächen des Netzes identifizieren.
Eine erfolgreich durchgeführte Strukturanalyse ist unbedingte Voraussetzung
für die sich anschließende detaillierte Schutzbedarfsfeststellung bzw. der
Schwachstellenanalyse.
Detaillierte Schutzbedarfsfeststellung
An die Strukturanalyse schließt sich eine Schutzbedarfsfeststellung an, die
über die in Kapitel 2 genannte hinausgeht. Hier werden zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten berücksichtigt. Hierzu ist es notwendig festzustellen, welche Anforderungen aufgrund der verschiedenen IT-Verfahren
bestehen und wie diese auf die gegebene Netzsegmentierung Einfluß nehmen.
Als Ergebnis muß erkenntlich sein, in welchen Netzsegmenten besondere
Sicherheitsanforderungen bestehen.
Analyse von Schwachstellen im Netz
Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der
Schwachpunkte des Netzes. Hierzu gehört insbesondere bei entsprechenden
Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (Single-Point-of-Failures). Weiterhin müssen die
Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit,
Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte
Segmentierung hinsichtlich Bandbreite und Performance geeignet ist (anhand

_____________________________________________________________________ ..........................................
287

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.140
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

der Ergebnisse der Verkehrsflußanalyse aus M 2.139 Ist-Aufnahme der
aktuellen Netzsituation).
Beispielhafte Schwachstelle: Die Performance- und Verkehrsflußanalyse
zeigt eine überlastete aktive Netzkomponente. Für den betreffenden
Kommunikationsweg wurden im Rahmen der Schutzbedarfsfeststellung hohe
Anforderungen an die Verfügbarkeit und damit auch an die Performance festgestellt. Diese Schwachstelle erfordert eine Anpassung der Segmentierung des
Netzes oder den Austausch der Netzkomponente gegen ein leistungsfähigeres
Modell (siehe M 5.61 Geeignete physikalische Segmentierung, M 5.62
Geeignete logische Segmentierung, M 5.1 Auswahl einer geeigneten Backbone-Technologie und M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung).
Ergänzende Kontrollfragen:
- Ist die aktuelle Netzsituation hinreichend dokumentiert?
- Steht ausreichendes "Know How" für eine Sicherheitsanalyse der Netzsituation zur Verfügung?
- Sind die Anforderungen bezüglich der Vertraulichkeit, Verfügbarkeit und
Integrität des Netzes und der Daten definiert und dokumentiert?

_____________________________________________________________________ ..........................................
288

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.141
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.141

Entwicklung eines Netzkonzeptes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und
Performance), Vertraulichkeit und Integrität zu genügen, muß der Aufbau, die
Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden.
Hierzu dient die Erstellung eines Netzkonzeptes.
Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und
einen konzeptionellen Teil:
Analyse
Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu
verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.
Im ersten Fall sind vorab die Maßnahmen M 2.139 Ist-Aufnahme der aktuellen
Netzsituation und M 2.140 Analyse der Netzsituation zu bearbeiten. Im
zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen
an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung
des zukünftigen Netzes durchzuführen.
Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu
erwartende Daten- und Verkehrsfluß zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung
des zukünftigen Netzes beeinflussen muß. Die notwendigen logischen bzw.
physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur
LAN/LAN-Kopplung oder über ein WAN zu ermitteln.
Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten
oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so daß diesen Anforderungen (z. B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes
Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf
einer IT-Anwendung die zukünftige Segmentierung des Netzes.
Schließlich muß versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter
Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um
dem festgestellten Schutzbedarf gerecht zu werden.
Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören
sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen
und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen.
Die Ergebnisse sind entsprechend zu dokumentieren.
Konzeption
Unter den oben genannten Gesichtspunkten, anhand einer Planung, die
zukünftige Anforderungen (z. B. hinsichtlich Bandbreite) mit einbezieht,
sowie unter Berücksichtigung der örtlichen Gegebenheiten, sind die Netz-

_____________________________________________________________________ ..........................................
289

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.141
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

struktur und die zu beachtenden Randbedingungen nach den folgenden
Schritten zu entwickeln und im Konzept festzuhalten.
Die Erstellung eines Netzkonzeptes erfolgt analog M 2.139 Ist-Aufnahme der
aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden
Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend
ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse
der Schritte gegenseitig, so daß eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muß.
1. Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen Segmentierung
2. Konzeption der verwendeten Netzprotokolle
3. Konzeption von Kommunikationsübergängen im LAN und WAN
In den einzelnen Schritten sind im wesentlichen die folgenden Tätigkeiten
auszuführen:
Schritt 1 - Konzeption der Netztopographie und Netztopologie
Basierend auf der Analysesituation (s. o.) und den konkreten baulichen Gegebenheiten muß eine geeignete Netztopographie und Netztopologie ausgewählt
werden (siehe hierzu M 5.60 Auswahl einer geeigneten Backbone-Technologie, M 5.2 Auswahl einer geeigneten Netz-Topographie und M 5.3 Auswahl
geeigneter Kabeltypen aus kommunikationstechnischer Sicht). Aber auch
zukünftige Anforderungen wie Skalierbarkeit müssen hier Berücksichtigung
finden. Die so erstellte Konzeption muß dokumentiert werden
(Verkabelungspläne usw.).
Ausgehend von den ermittelten Anforderungen und dem zu erwartenden bzw.
ermittelten Datenfluß muß bei der Konzeption der Netztopographie und topologie eine geeignete physikalische und logische Segmentierung durchgeführt werden (siehe M 5.61 Geeignete physikalische Segmentierung, M 5.62
Geeignete logische Segmentierung und M 5.13 Geeigneter Einsatz von
Elementen zur Netzkopplung).
Schritt 2 - Konzeption der Netzprotokolle
In diesem Schritt sind die einzusetzenden Netzprotokolle auszuwählen und
diese entsprechend zu konzipieren. Hierzu gehört beispielsweise für das IPProtokoll die Erstellung eines Adressierungsschemas und die Teilnetzbildung.
Für die Auswahl der Netzprotokolle ist zu beachten, daß diese durch die
Netztopologie und die geplanten oder vorhandenen aktiven Netzkomponenten
unterstützt werden können.
Schritt 3 - Konzeption der Kommunikationsübergänge im LAN und
WAN
Bezogen auf den ermittelten Datenfluß über Kommunikationsübergänge hinweg und die Anforderungen bezüglich der Sicherheit und Verfügbarkeit
können in diesem Schritt die Kommunikationsübergänge konzipiert werden.
Hierzu gehört die Auswahl geeigneter Koppelelemente (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung) aber auch die sichere Konfiguration derselben (siehe Kapitel 7.3 Firewall und M 4.82 Sichere Konfiguration der aktiven Netzkomponenten).

_____________________________________________________________________ ..........................................
290

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.141
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Weitere Schritte
Ausgehend von dem erstellten Netzkonzept können nun die Maßnahmen zur
Erstellung eines Netzmanagementkonzeptes durchgeführt werden (siehe
M 2.143 Entwicklung eines Netzmanagementkonzeptes, M 2.144 Geeignete
Auswahl eines Netzmanagement-Protokolls und M 2.145 Anforderungen an
ein Netzmanagement-Tool) und ein Realisierungsplan nach M 2.142 Entwicklung eines Netz-Realisierungsplanes ausgearbeitet werden.

_____________________________________________________________________ ..........................................
291

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.142
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.142

Entwicklung eines Netz-Realisierungsplans

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für die Erstellung eines Netz-Realisierungsplans ist zu unterscheiden, ob es
sich um einen vollständigen Neuaufbau des Netzes, um eine Veränderung der
bestehenden Konzeption und/oder eine Erweiterung handelt.
Bei einer vollständigen Neuplanung sind anhand der entwickelten Netzkonzeption (vgl. M 2.141 Entwicklung eines Netzkonzeptes) die notwendigen
Schritte abzuleiten. Dabei erfolgt nach abgeschlossener Planung der Aufbau
des Netzes über das Verlegen der notwendigen Kommunikationskabel, das
Einrichten von Räumen für die technische Infrastrukur, das Installieren der
versorgenden technischen Infrastruktur, die Integration der notwendigen
Koppelelemente (Bridges, Switches, Router etc.), das Einrichten der Netzmanagementstationen, den Einbau der entsprechenden Netzadapater in den
Endgeräten, bis hin zur Konfiguration dieser Endgeräte.
Soll ein bestehendes Netz verändert oder erweitert werden, ist in einem
Soll/Ist-Vergleich das nach M 2.141 Entwicklung eines Netzkonzeptes erarbeitete Netzkonzept mit der vorhandenen Situation nach M 2.139 Ist-Aufnahme
der aktuellen Netzsituation zu vergleichen. Ausgehend von Differenzen kann
unter Berücksichtigung der o. g. Maßnahmen ein Realisierungsplan für die
sogenannte Netzmigration erstellt werden. Dabei ist zu berücksichtigen, daß
der Realisierungsaufwand um so größer ist, je mehr das Netzkonzept vom IstZustand abweicht.
Beispielhafte Migration eines "Shared Ethernet" zu einem "Switched
Fast-Ethernet"
Eine Migration von einer Netztopologie zu einer anderen erfolgt im allgemeinen stufenweise. Im folgenden ist beispielhaft eine solche Migration von
einem "Shared Ethernet" auf ein Fast-Ethernet mit Switching-Technologie
skizziert. Für eine Umsetzung in der Praxis müssen allerdings die Randbedingungen genau geprüft und entsprechend ein eigenes Migrationskonzept
erstellt werden.
- Migrationsschritt 1
Im ersten Migrationsschritt kann das existierende Backbone durch ein FastEthernet-Backbone ersetzt oder ggf. neu aufgebaut werden. Der Anschluß
der verbleibenden Shared Ethernet-Segmente erfolgt über die Netzkomponenten des Backbones, die dementsprechend auch Standard-Ethernet unterstützen müssen.
- Migrationsschritt 2
Aufbau einer strukturierten Verkabelung, d. h. es wird von einem Standard-Ethernet mit Stichleitung zu einem Verkabelungskonzept übergegangen, bei dem jeder Arbeitsplatz sternförmig an einen Verteilerraum angebunden wird, ohne die topologische Busstruktur aufzugeben.

_____________________________________________________________________ ..........................................
292

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.142
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Migrationsschritt 3
Die Anbindung der Server erfolgt zentral an einen Switch mit FastEthernet Anschlüssen (Installation einer sogenannten Serverfarm).
- Migrationsschritt 4
Anwender, die eine hohe Bandbreite benötigen, werden durch Austausch
der entsprechenden Schnittstellen ebenfalls mit Fast-Ethernet angeschlossen.
- Migrationsschritt 5
Migration der verbleibenden Ethernet-Segmente zu einem vollständig
geswitchten System. Hierzu können beispielsweise Ethernet-Switches an
die Fast-Ethernet-Switches des Backbones angebunden werden.

_____________________________________________________________________ ..........................................
293

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.143
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.143

Entwicklung eines Netzmanagementkonzeptes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die in einem lokalen Netz zusammengefaßten vielfältigen IT-Systeme, wie
z. B. Serversysteme, Endgeräte, Drucker, aktive Netzkomponenten usw.,
sollten auf Netzebene an einer geeigneten Stelle zentral administriert und
überwacht werden können. Eine zentrale Administration der Netzkomponenten ist dabei einer dezentralen vorzuziehen, da in diesem Fall Administrationsaufwände verringert und Anforderungen an die Sicherheit zentral
definiert und kontrolliert werden können. In erster Linie wird ein zentrales
Netzmanagement verwendet, um die Verfügbarkeit und Integrität des Netzes
sowie die Integrität und Vertraulichkeit der übermittelten Daten zu gewährleisten. Diese Aufgabe hat eine hohe Komplexität und sollte durch den Einsatz
eines Netzmanagement-Tools unterstützt werden.
Vor der Beschaffung und dem Betrieb eines solchen NetzmanagementSystems ist im ersten Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement formuliert und angemessene
Maßnahmen für den Fehler- oder Alarmfall vorgeschlagen werden. Dabei sind
insbesondere die folgenden Bestandteile eines Netzmanagementkonzeptes bei
der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang
darzustellen.
- Performance-Messungen zur Netzanalyse (siehe M 2.140 Analyse der
aktuellen Netzsituation),
- Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten,
- Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten,
- Generierung von Trouble-Tickets und Eskalation bei Netzproblemen
(Hierüber kann eine Anbindung an Systemmanagement- und User-HelpDesksysteme bzw. an externe Nachrichtenübermittler, z. B. Pager, Fax
usw., erfolgen.),
- Protokollierung und Audit (Online und/oder Offline),
- Einbindung eventuell vorhandener proprietärer Systeme bzw. von
Systemen mit unterschiedlichen Managementprotokollen (z. B. im Telekommunikationsbereich),
- Konfigurationsmanagement aller im Einsatz befindlichen IT-Systeme
(siehe u. a. M 4.82 Sichere Konfiguration der aktiven Netzkomponenten),
- Verteilter Zugriff auf die Netzmanagementfunktionalitäten (Für die
Administration oder für das Audit kann ein Remotezugriff auf die Netzmanagementfunktionalitäten notwendig sein. Hier ist insbesondere eine
sorgfältige Definition und Vergabe der Zugriffsrechte notwendig.).
Die konkreten Anforderungen an ein Netzmanagement-Tool sind in M 2.145
Anforderungen an ein Netzmanagement-Tool beschrieben. Diese müssen eine
Umsetzung des Netzmanagementkonzeptes ermöglichen.

_____________________________________________________________________ ..........................................
294

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.143
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wurden alle Sicherheitsanforderungen an das Netzmanagement formuliert
und dokumentiert?

_____________________________________________________________________ ..........................................
295

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.144
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.144

Geeignete Auswahl eines NetzmanagementProtokolls

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Als Standardprotokolle für Netzmanagement gelten derzeit:
- SNMP (Simple Network Management Protocol), SNMP ist in RFC 1157
beschrieben, Request for Comment (RFC) ist die Bezeichnung für einen in
der Internet-Society etablierten Standard.
- CMIP (Common Management Information Protocol), CMIP ist in der ITUT-Norm X.711 bzw. in ISO/IEC 9596-1 beschrieben.
Im folgenden werden die wesentlichen Vor- und Nachteile der beiden Protokolle als Entscheidungshilfe bei der Auswahl eines Netzmanagement-Protokolls aufgezeigt.
SNMP
Für SNMP sind zwei Komponenten definiert, Manager und Agent. In einem
lokalen Netz werden ein oder eventuell mehrere Manager und je ein Agent pro
IT-System, das mit SNMP überwacht bzw. konfiguriert werden soll,
installiert. Die Agenten sammeln über diese Systeme Informationen und legen
sie in einer MIB (Management Information Base) ab. Sie tauschen mit dem
Manager über ein verbindungsloses Protokoll Nachrichten aus, so daß SNMP
an kein bestimmtes Transportprotokoll gebunden ist. Es wird jedoch heute
üblicherweise auf UDP/IP implementiert. Andere Implementationen sind
jedoch ebenfalls möglich und vorhanden (z. B. über OSI, AppleTalk,
SPX/IPX). SNMP gibt es in verschiedenen Versionen. Neben der Urversion
SNMPv1 sind derzeit auch in geringem Umfang verschiedene Ausprägungen
der Version 2 (SNMPv2) im Einsatz (RFC 1901-1908).
SNMP ist ein sehr einfaches Protokoll, das fünf Nachrichtentypen kennt.
Damit tauschen Manager und Agenten die sogenannten Managementinformationen aus, die hier im wesentlichen aus Werten von Statusvariablen
bestehen, die im Managementagenten vorgehalten werden und den jeweiligen
Zustand des zugehörigen verwalteten Objektes beschreiben. Welche
Statusvariablen (Name und Typ) in den einzelnen Agenten existieren, ist in
der Managementdatenbank (MIB) beschrieben. Dabei ist die Information
hierarchisch organisiert, und jedem Wert ist eine eindeutige Identifikationsnummer zugeordnet, die auf den Variablen damit eine eindeutige Reihenfolge
definiert. Die Nachrichtentypen sind im Einzelnen:
1. GetRequest: wird vom Manager an Agenten geschickt, um von ihnen den
Wert einer oder mehrerer Statusvariablen abzufragen.
2. GetNextRequest: wird vom Manager an Agenten geschickt, um von ihnen
den Wert oder die nächsten Werte gemäß der Reihenfolge der Variablen in
der MIB abzufragen.
3. SetRequest: wird vom Manager an Agenten geschickt, um dort den Wert
einer Variablen zu setzen.

_____________________________________________________________________ ..........................................
296

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.144
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

4. GetResponse: wird vom Agenten zum Manager geschickt, um die angefragten Werte zu senden oder das Setzen eines Variablenwertes zu bestätigen.
5. Trap: wird vom Agenten verwendet, um den Manager über Ausnahmeereignisse zu informieren. Das Senden einer Trap-Nachricht erfolgt, im
Gegensatz zur GetResponse-Nachricht, ohne vorherige Anfrage vom
Manager.
Die wesentlichen Vor- und Nachteile sind:
+ SNMP zeichnet sich durch ein einfaches Design und damit auch durch eine
einfache Implementation aus. Dies reduziert die Fehleranfälligkeit und
verbessert die Stabilität des Protokolls.
+ SNMP ist sehr weit verbreitet und gilt als ein De-Facto-Standard. Dadurch
wird es durch fast jedes Produkt im Netz- und Systemtechnikumfeld
unterstützt.
+ Das Protokoll kann sehr einfach an zukünftige Bedürfnisse angepaßt
werden. Aus diesem Grund und der oben genannten weiten Verbreitung
von SNMP kann es als sehr zukunftssicheres Protokoll (Investitionsschutz)
bezeichnet werden.
+ Es handelt sich um ein verbindungsloses, einfaches Protokoll auf Transportebene. Damit ist die Performance der Übertragung der SNMP-Pakete
im Netz besser als beim verbindungsorientierten CMIP.
- Der Einsatz von SNMP birgt Sicherheitsrisiken, die es u. U. einem Angreifer ermöglichen, weitgehende Informationen über die System- und Netzumgebung zu erhalten. Insbesondere existiert, abgesehen von den
Community-Namen (die bei SNMP die Möglichkeit zur Bildung von
Gruppen und einen rudimentären Paßwortschutz bieten), kein echter
Paßwortschutz beim Zugriff auf die Netzkomponenten.
- Aufgrund der Einfachheit des Protokolls und der verfügbaren Möglichkeiten weist SNMP Schwächen im Umgang mit sehr großen oder stark
expandierenden Netzen auf.
- Die Performance der Version 1 bei aufwendigeren MIB-Abfragen ist
ungenügend, da immer der gesamte MIB-Baum angegeben werden muß.
Einer der großen Nachteile der Version 1 des SNMP liegt in der fehlenden
Unterstützung einer Authentisierung beim Zugriff auf die überwachten
Komponenten. Diese Nachteile gleicht die Version 2 von SNMP zum Teil aus,
zusätzlich wurde die Performance bei der Abfrage der MIBs erhöht.
Allerdings gibt es auch in SNMPv2 bezüglich der unterstützten Sicherheit
unterschiedliche Varianten. Erst die Versionen SNMPv2* und SNMPv2u
bieten die Möglichkeit einer symmetrischen benutzerbasierten Authentisierung, während SNMPv2c weiterhin auf Communities aufbaut. Communities
werden in SNMP zum einen genutzt, um die einzelnen Netzkomponenten zu
Bereichen zusammenzufassen, und zum anderen als Paßwortersatz beim
Zugriff auf diese. Hinzu kommt in SNMPv2* die Möglichkeit der Datenverschlüsselung nach dem Data Encryption Standard im Cipher Block Chaining
Modus (DES-CBC). Aufgrund der unterschiedlichen Varianten innerhalb von

_____________________________________________________________________ ..........................................
297

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.144
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

SNMPv2 ist derzeit die Unsicherheit bei den Herstellern von Netzkomponenten und Netzmanagementsystemen groß, so daß Implementierungen nach
SNMPv2 noch nicht flächendeckend anzutreffen und nur eingeschränkt
interoperabel sind.
Die unterschiedlichen Ausprägungen von SNMPv2 sollen in der nächsten
SNMP-Version (SNMPv3) konsolidiert werden. Die Verabschiedung von
SNMPv3 ist zur Zeit in Arbeit, aber noch nicht abgeschlossen.
Aus den oben genannten Gründen kann im Sinne des IT-Grundschutzes
bislang nur der Einsatz von SNMPv1 empfohlen werden. Werden weitergehende Anforderungen an die Sicherheit des Netzmanagement-Protokolls
bzw. an die Sicherheitsmechanismen des Netzes gestellt, muß entweder
SNMPv2u oder SNMPv2* mit benutzerbasierter Authentisierung oder CMIP
eingesetzt werden. Prinzipiell läßt sich festhalten, daß Vertraulichkeits- bzw.
Authentizitätsaspekte bei den neueren Versionen von SNMP stärker berücksichtigt werden, Bandbreitenverluste dabei jedoch in Kauf zu nehmen sind.
CMIP
CMIP setzt im Gegensatz zu SNMP auf einem implementierten OSI-Protokollstapel (die OSI-Schichten 1 bis 3 sind als Protokollstapel implementiert)
auf und arbeitet damit auch verbindungsorientiert. Hierdurch wird die Verwendung des CMIP auf Komponenten eingeschränkt, die die notwendigen
Hard- und Softwarevoraussetzungen für die Implementation eines vollständigen OSI-Stapels bieten. Aufgrund der hohen Anforderungen, die diese
Implementation stellt, wurde auch ein "CMIP Over TCP/IP" (CMOT) definiert (RFC 1189). Hierdurch wird es möglich, CMIP auch in reinen TCP/IPNetzen zu betreiben.
Eines der Ziele bei der Entwicklung des CMIP war es, ein objektorientiertes
Management zu entwickeln. CMIP ist dementsprechend konsequent objektorientiert aufgebaut. Im CMIP übernimmt eine CMIP-Maschine (CMIPM) die
Aufgaben, die unter SNMP der Manager durchführt. An diese CMIPM, die
wie der SNMP-Manager als Software realisiert ist, werden von den Agenten
der zu verwaltenden Objekte Service-Requests zur Einleitung verschiedener
Aktionen geschickt und umgekehrt versendet die CMIPM CMIP-Nachrichten
an die Agenten der zu verwaltenden Objekte. Die zu verwaltenden Objekte
werden nach den Grundsätzen des objektorientierten Ansatzes in mehreren
Bäumen verwaltet, die zueinander verschiedene Relationen und Zugriffsarten
aufweisen.
Das CMIP ist aufgrund der beschriebenen Objektstruktur sehr leistungsfähig
und komplex. Das Protokoll selbst besteht dagegen aus relativ wenigen
Operationen, mit denen das gesamte Management auf der Basis der o. g.
Objektstruktur ermöglicht wird.
Die wesentlichen Vor- und Nachteile sind:
+ CMIP bietet durch den objektorientierten Ansatz wesentlich mehr Möglichkeiten als SNMP, da z. B. auch Aktionen ausgeführt und Instanzen von
Management-Objekten verwaltet werden können.

_____________________________________________________________________ ..........................................
298

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.144
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

+ CMIP bietet größere Sicherheit als SNMP, insbesondere durch die Bereitstellung von Mechanismen zum Zugriffsschutz, zur Authentisierung der
Benutzer und zum Auditing.
+ CMIP ist ein durch OSI genormtes Protokoll und damit ein offizieller
internationaler Standard, während SNMP nur einen De-Facto-Standard auf
RFC-Basis darstellt.
+ Die genannten Schwächen von SNMP werden vermieden.
- CMIP ist ein sehr komplexes Protokoll, dessen gesamte Leistungsfähigkeit
jedoch nur selten benötigt und genutzt werden kann. Eine entsprechende
Konfiguration des Protokolls ist aufgrund der vielen möglichen Einstellungen nur schwer möglich und erfordert ein erhebliches Know-how des
Administrators.
- CMIP benötigt ungefähr zehnmal soviel Systemressourcen wie SNMP.
Deshalb muß eine leistungsfähige Hardware verwendet werden, die nur in
wenigen aktiven Netzkomponenten vorhanden ist. Außerdem ist im allgemeinen eine Implementation des OSI-Protokollstapels notwendig, der
zusätzliche Ressourcen verbraucht. Eine Ausnahme bildet hier CMOT.
- Aufgrund der Komplexität des Protokolls und der dementsprechenden
Implementationen ist CMIP potentiell fehleranfälliger als SNMP-Implementationen.
- Von CMIP existieren derzeit nur wenig verfügbare Implementationen und
es wird in der Praxis, abgesehen vom Telekommunikationsbereich, kaum
eingesetzt.
Im konkreten Fall muß detailliert geprüft werden, welches NetzmanagementProtokoll das für den jeweiligen Verwendungszweck geeignete darstellt. Dazu
müssen die Sicherheitsanforderungen an das Netzmanagement formuliert und
abgestimmt sein. Wird der TCP/IP-Protokollstapel bereits im lokalen Netz
verwendet und sind die Sicherheitsanforderungen gering, bietet sich SNMPv1
als Lösung an. Dennoch können höhere Sicherheitsanforderungen auch hier
für den Einsatz von SNMPv2 oder CMIP sprechen. Beim Einsatz von CMIP
muß dann erwogen werden, auf welchem Protokollstapel CMIP implementiert
werden soll. Entweder auf dem OSI-Stapel (CMIP) oder auf dem TCP/IPStapel (CMOT).
Zu Bedenken ist auch, daß CMIP bzw. CMOT derzeit nicht von allen aktiven
Netzkomponenten und Netzmanagementsystemen unterstützt wird. Vor dem
Einsatz von CMIP ist also sorgfältig zu untersuchen, ob die eingesetzten
Komponenten und Clients CMIP-fähig sind.
Ergänzende Kontrollfragen:
- Wurden die Sicherheitsanforderungen an das Netzmanagement formuliert
und dokumentiert?
- Wurde die Kompatibilität der aktiven Netzkomponenten und der Clients
bzgl. der ausgewählten SNMP-Version bzw. zu CMIP überprüft?

_____________________________________________________________________ ..........................................
299

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.145
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.145

Anforderungen an ein Netzmanagement-Tool

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um ein effektives Netzmanagement durchführen zu können, ist der Einsatz
eines Netzmanagement-Tools hilfreich. Derzeit stellt der Markt eine Vielzahl
von Produkten für das Netzmanagement zur Verfügung, die alle hinsichtlich
der eigenen individuellen Anforderungen geprüft werden müssen, bevor eine
Entscheidung zur Beschaffung eines konkreten Tools gefällt werden kann.
Dabei gilt es vor allem, die Sicherheitsanforderungen nach M 2.143 Entwicklung eines Netzmanagementkonzeptes zu erfüllen und die folgenden Punkte zu
beachten:
- Es muß das ausgewählte Netzmanagement-Protokoll unterstützen (siehe
M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls).
- Das Produkt muß skalierbar sein, d. h. es muß an zukünftige Anforderungen angepaßt werden können.
- Es muß alle im lokalen Netz vorhandenen Netzkomponenten unterstützen.
- Es muß alle im lokalen Netz eingesetzten Netzprotokolle unterstützen.
- Es sollte modular aufgebaut sein, um auch später weitere Funktionen ohne
großen Aufwand in das bestehende Netzmanagement-System integrieren
zu können.
- Es sollte eine grafische Oberfläche (Graphical User Interface, GUI)
besitzen, um die relevanten Informationen übersichtlich und verständlich
darstellen zu können.
- Werden außerdem Produkte zum Systemmanagement eingesetzt, sollte im
Sinne eines "single point of administration" eine Integration mit dem
Netzmanagement unter einer Oberfläche möglich sein.
Neben diesen allgemein zu prüfenden Anforderungen sind zusätzlich die
funktionalen Anforderungen an ein Netzmanagementsystem zu definieren. Die
folgenden Kriterien stellen dazu eine Übersicht über die Möglichkeiten in
aktuell verfügbaren Produkten dar, nicht alle Funktionen sind jedoch in allen
Produkten realisiert. Vor einer Produktentscheidung muß deshalb festgelegt
werden, welche Funktionen notwendig sind und welche nicht benötigt werden:
- topologische Darstellung des Netzes (z. B. auch die Möglichkeit der Einbindung von Hintergrundgrafiken wie Baupläne usw.),
- wählbare Darstellungsform der Topologie,
- topographische Darstellung des Netzes (z. B. auch die Möglichkeit der
Einbindung von Hintergrundgrafiken wie Baupläne usw.),
- automatisches Erkennen und Abbilden der Netztopologie und Segmentierung (Auto-Discovery),
- Anzeige der Konfiguration der aktiven Netzkomponenten auf Portebene,
- Anzeige der Performance auf Portebene,

_____________________________________________________________________ ..........................................
300

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.145
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- graphische Visualisierung der aktiven Netzkomponenten,
- interaktives Tool für das Managementprotokoll (z. B. MIB-Browser),
- einfache Navigation im Netzmanagement-Tool, z. B. durch Zoomfunktionen oder durch Ausschnittsvergrößerungen,
- eventuell Integration eines VLAN-Managers und graphische Darstellung
der VLANs,
- intuitive Bedienbarkeit der Tool-Oberfläche, insbesondere desjenigen
Teils, in dem die topologischen bzw. topographischen Abbildungen editiert
werden (beispielsweise durch "Drag & Drop"),
- Darstellung der Fehler- und Alarmmeldungen durch frei definierbare
Farben und nach selbst zu definierenden Kriterien,
- Möglichkeit eines verteilten Managements (Client/Server und Manager-ofManager) und
- Möglichkeit der Integration und Definition weiterer MIBs (Private-MIBs).
Ergänzende Kontrollfragen:
- Wurden alle Anforderungen an ein Netzmanagement-Tool formuliert und
dokumentiert?
- Kann mit dem Netzmanagement-Tool das Netzmanagement-Konzept
umgesetzt werden?

_____________________________________________________________________ ..........................................
301

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.146
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.146

Sicherer Betrieb eines Netzmanagementsystems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für den sicheren Betrieb eines Netzmanagementtools oder eines komplexen
Netzmanagementsystems, welches beispielsweise aus mehreren verschiedenen
Netzmanagementtools zusammengesetzt sein kann, ist die sichere Konfiguration aller beteiligten Komponenten zu überprüfen und sicherzustellen.
Hierzu gehören die Betriebssysteme, auf denen das oder die Netzmanagementsysteme betrieben werden, die zumeist notwendigen externen Datenbanken für ein Netzmanagementsystem, das verwendete Protokoll (siehe
M 2.144 Geeignete Auswahl eines Netzmanagementprotokolls) und die
aktiven Netzkomponenten selbst. Vor dem Betrieb eines Netzmanagementsystems muß die Ermittlung der Anforderungen an den Betrieb und die
Erstellung eines Netzmanagementkonzeptes stehen (siehe M 2.143 Entwicklung eines Netzmanagementkonzeptes).
Insbesondere sind folgende Punkte zu beachten:
- Um ein Mitlesen oder Verändern der Netzmanagement-Informationen zu
verhindern, muß der Rechner, auf dem die Netzmanagement-Konsole
betrieben wird, geeignet geschützt werden. Dazu zählen beispielsweise die
Aufstellung in einem besonders geschützten Raum, der Einsatz von Bildschirmsperren, Paßwortschutz für die Netzmanagement-Konsole und
weitere Sicherheitsmechanismen des zugrundeliegenden Betriebssystems.
- Die Maßnahme M 2.144 Geeignete Auswahl eines Netzmanagementprotokolls ist vor dem Hintergrund des sicheren Betriebes zu berücksichtigen.
Insbesondere ist durch eine geeignete Konfiguration der aktiven Netzkomponenten auf der Basis des verwendeten Protokolls ein Auslesen der MIBs
und anderer Informationen durch unautorisierte Personen zu verhindern
(siehe M 4.80 Sichere Zugriffsmechanismen bei Fernadministration und
M 4.82 Sichere Konfiguration der aktiven Netzkomponenten).
- Werden Netzmanagementfunktionen dezentral nach dem Client/ServerModell oder durch Benutzung der X-Windows-Technologie durchgeführt,
muß für diese ebenfalls der sichere Betrieb gewährleistet werden.
- Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten
Software durchgeführt werden, um unautorisierte Änderungen frühzeitig zu
erkennen.
- Das Netzmanagement-System muß auf sein Verhalten bei einem Systemabsturz getestet werden. Insbesondere sollte ein automatischer Neustart
möglich sein, um die Zeitspanne, in der das lokale Netz nicht überwacht
wird, so gering wie möglich zu halten. Die Netzmanagement-Datenbank
darf durch einen Systemabsturz nicht beschädigt werden und muß nach
einem Neustart wieder verfügbar sein, da die darin enthaltenen Konfigurationsdaten wesentlich für den Betrieb des Netzmanagementsystems sind.
Diese Daten müssen daher besonders gesichert werden, damit sie einerseits
noch verfügbar sind und andererseits keine alten oder fehlerhaften

_____________________________________________________________________ ..........................................
302

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.146
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Konfigurationsdaten bei einem Neustart benutzt werden, der ggf. durch
einen Angreifer aus diesem Grunde provoziert wurde. Für den Schutz der
eingesetzten Datenbank ist u. U. auch der Baustein 9.2 Datenbanken zu
beachten.
- Beim Wiedereinspielen von gesicherten Datenbeständen muß darauf
geachtet werden, daß für den sicheren Betrieb des NetzmanagementSystems relevante Dateien wie Konfigurationsdaten, Paßwortdateien und
auch die Metakonfigurationsdateien für die eigentlichen Netzkomponenten
auf dem aktuellsten Stand sind.
Für den sicheren Betrieb eines Netzmanagement-Systems sind folgende
Daten relevant:
-

Konfigurationsdaten des Netzmanagementsystems, die sich in entsprechend geschützten Verzeichnissen befinden müssen.

-

Konfigurationsdaten der Netzkomponenten (Metakonfigurationsdateien), die sich ebenfalls in entsprechend geschützten
Verzeichnissen befinden müssen.

-

Paßwortdateien für das Netzmanagementsystem. Hierbei ist
beispielsweise auf die Güte des Paßworts und die Möglichkeit einer
verschlüsselten Speicherung des Paßworts zu achten (siehe M 2.11
Regelung des Paßwortgebrauchs).

- Eine Administration der aktiven Netzkomponenten über das Netz sollte
dann eingeschränkt werden und eine Administration über die lokalen
Schnittstellen erfolgen, wenn die Erfüllung der Anforderungen an Vertraulichkeit und Integrität der Netzmanagementinformationen nicht
gewährleistet werden kann. In diesem Fall ist auf ein zentrales Netzmanagement zu verzichten.
Ergänzende Kontrollfragen:
- Wurde eine Regelung des Paßwortgebrauchs für das Netzmanagementsystems bzw. -tool erstellt?
- Unterstützt das Netzmanagementsystem die erforderlichen Sicherheitsmaßnahmen?

_____________________________________________________________________ ..........................................
303

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.147
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.147

Sichere Migration von Novell Netware 3.x Servern in Novell Netware 4.x Netze

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Unter Novell Netware 3.x verwaltet jeder Server die Informationen über seine
Benutzer in der sogenannten Bindery. Dies hat den Nachteil, daß in einem
Netz mit mehreren Netware 3.x Servern jeder Benutzer-Account auf jedem
Server, auf den der Benutzer zugreifen will, separat angelegt werden muß. Für
den Administrator ist dieses mehrfache Anlegen von Benutzern-Accounts ein
enormer zusätzlicher Aufwand, der prinzipiell nicht zu verhindern ist. Darüber
hinaus muß sich der Benutzer auf jedem Server einzeln anmelden.
In einem Netz mit mehreren Novell Netware 4.x Servern, die in einem NDSBaum installiert sind, meldet sich der Benutzer dagegen nur einmal am Netz
an und kann sofort alle ihm zugewiesenen Ressourcen benutzen (siehe
M 2.151 Entwurf eines NDS-Konzeptes).
Eine direkte Integration von Netware 3.x Servern in ein Netware 4.x Netz ist
nicht möglich, da diese weiterhin als eigenständige Systeme arbeiten.
Benutzer, die sowohl auf Netware 4.x als auch auf Netware 3.x zugreifen
wollen, müßten bei dieser Konstellation weiterhin mehrfach angelegt werden.
Eine sinnvolle Alternative ist dagegen die Migration eines Netware 3.x
Servers in einen NDS-Baum. Dazu kann das von Novell bei Netware 4.x
mitgelieferte Produkt NETSYNC.NLM verwendet werden. Der Betrieb eines
Netware 3.x Servers in einem Netware 4.x Netz hat den Vorteil, daß die
Benutzer-Accounts zentral auf einem Netware 4.x Server administriert werden
können und nicht mehr auf jedem Netware 3.x Server einzeln gepflegt werden
müssen.
Hierfür muß ein Netware 4.x Server vorhanden sein, der bis zu 12
Netware 3.x Server verwalten kann. Dieser wird als Host bezeichnet und muß
für die weitere Administration der Benutzer-Accounts verwendet werden, da
er die Änderungen der NDS in die Bindery der Netware 3.x Server überträgt.
Bei einer Migration wird ein Großteil der NLMs der Netware 3.x Server
ersetzt und diese dann mit einem Host verbunden. Eine eventuell gewünschte
Wiederherstellung eines eigenständigen Netware 3.x Servers ist somit mit
einem erheblichen Aufwand verbunden.
Folgende Punkte müssen für eine sichere Migration beachtet werden:
- Der Bindery Kontext muß für den Behälter, in dem der Netware 3.x Server
erstellt werden soll, gesetzt werden.
- Die Bindery Emulation muß auf dem Netware 4.x Host in der Datei
AUTOEXEC.NCF mit dem Befehl SET BINDERY CONTEXT = ... eingetragen und damit aktiviert werden.
- Nach der Migration dürfen Änderungen nicht mehr mit dem Utility
SYS:PUBLIC\SYSCON.EXE durchgeführt werden. Andere Utilities, wie
z. B. SYS:PUBLIC\FILER.EXE oder SYS:PUBLIC\PCONSOLE.EXE, werden im Rahmen der Migration durch NETSYNC.NLM ersetzt. Es wird

_____________________________________________________________________ ..........................................
304

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.147
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

jedoch empfohlen, für Administrationszwecke ausschließlich das
Programm SYS:PUBLIC\NWADMIN.EXE zu benutzen. Das Utility
SYS:PUBLIC\SYSCON.EXE sollte daher entfernt werden.
- Falls mehrere Netware 3.x Server in den gleichen Container migriert
werden sollen oder auch mehrere Bindery Emulations aktiviert sind,
müssen die entsprechenden Objekte zuvor auf Namenskonflikte überprüft
werden, da sie nicht mehrfach mit dem selben Namen vorhanden sein
dürfen.

_____________________________________________________________________ ..........................................
305

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.148
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.148

Sichere Einrichtung von Novell Netware 4.x
Netzen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Eine sichere Einrichtung eines Novell Netware 4.x Netzes beinhaltet die
beiden Schritte
- Installation der zugehörigen Software und
- Einrichtung der Netzumgebung.
Installation der zugehörigen Software
Um eine sichere Installation der Novell Netware 4.x Software zu gewährleisten, muß vor der Installation das Handbuch Installation für Novell
Netware 4.x durchgearbeitet werden. Folgende Punkte sind unbedingt zu
beachten:
- Anforderungen an die Hardware: vor der Installation ist zu überprüfen, ob
die vorgesehene Hardware alle Anforderungen (z. B. Massenspeicher- und
Hauptspeicherbedarf) erfüllt,
- vorgezogene Funktionsüberprüfung aller Hardwarekomponenten unter
MS-DOS, bevor die Hardware in einer komplexen Umgebung wie z. B.
einem Multiprotokollrouter eingesetzt wird,
- Dokumentation der Hardwarekonfiguration (siehe M 2.153 Dokumentation
von Novell Netware 4.x Netzen),
- Planung der NDS (siehe M 2.151 Entwurf eines NDS-Konzeptes).
Alle anderen wesentlichen Schritte zur Installation der Novell Netware 4.x
Software können den entsprechenden Handbüchern Installation und Handbuch zu Netware 4 Netzwerken entnommen werden.

Anforderungen an die Verfügbarkeit
Zur Erhöhung der Verfügbarkeit von Novell Netware Servern bzw. der
gespeicherten Daten stellt das Netzbetriebssystem hierarchische Fehlertolerierungsstufen zur Verfügung, die nachfolgend kurz aufgezeigt werden. Jede der
hier aufgezeigten Fehlertolerierungsstufen beinhaltet dabei die Funktionalitäten der vorherigen Stufe.
- Hot Fix I und Hot Fix II
Novell Netware 4.x unterstützt standardmäßig den sog. Hot Fix. Hierbei
werden Datenverluste aufgrund physikalischer Festplattenfehler verhindert.
Dabei wird zwischen Hot Fix I und II unterschieden. Bei Hot Fix I wird
nach einem Schreibzugriff auf eine Datei ein Vergleich zwischen den
veränderten Daten auf der Festplatte mit den Originaldaten veranlaßt, die
sich noch im Arbeitsspeicher des Novell Netware Servers befinden. Ist
dieses Ergebnis fehlerhaft, so wird der entsprechende Sektor der Festplatte
als defekt markiert und für zukünftige Zugriffe gesperrt.

_____________________________________________________________________ ..........................................
306

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.148
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Weiterhin werden die Daten des Arbeitsspeichers im Anschluß an den
zuvor beschriebenen Fehlerfall in den sogenannten ”Hot Fix Bereich” der
Festplatte umgeleitet.
Seit Netware 4.11 ist diese Funktionalität allerdings standardmäßig deaktiviert. Der dafür verantwortliche SET-Parameter des Netware Servers
lautet Enable Disk Read After Write Verify und ist bei Netware 4.11 auf
OFF gesetzt. Um die Funktion Hot Fix I zu aktivieren, muß dieser Parameter auf ON stehen.
Hot Fix II hingegen funktioniert auch in der Standardeinstellung von
Netware 4.11. Hot Fix II stellt eine ähnliche Fehlertoleranz wie Hot Fix I
zur Verfügung, dies jedoch nur bei gespiegelten und geduplexten Platten.
Im Gegensatz zu Hot Fix I können hier auch Fehler erst beim Lesen korrigiert werden, da die Information redundant vorhanden ist. Werden beim
Lesen Probleme erkannt, wird der Sektor der Platte als defekt markiert und
ersatzweise auf einen Sektor aus dem Hot Fix Bereich zurückgegriffen. In
diesem Fall werden dann die intakten Informationen der gespiegelten oder
geduplexten Platte gelesen und der defekte Sektor mit der Information der
Ersatzplatte für diesen Bereich automatisch ergänzt.
Da heutige Platten eine sehr hohe Eigenintelligenz besitzen und ähnlich
Mechanismen intern zur Verfügung stehen, sind Hot Fix I und II heutzutage von geringerer Bedeutung. Sollten trotz moderner Platten Sektoren im
Hot Fix Bereich belegt sein, ist ein sehr schneller Plattentausch notwendig.
Der Hot Fix Bereich kann beim Erstellen einer Netware Partition konfiguriert werden. Novell Netware schlägt eine Größe für den Hot Fix Bereich
vor, die sich an der Größe der Netware Partition orientiert und bei wachsenden Partitionen prozentual abnimmt.
- Disk Mirroring
Beim Disk Mirroring sollten an einen Festplattencontroller des Servers
zwei identische Festplatten angeschlossen werden. Es lassen sich allerdings
auch nicht identische Platten spiegeln. Einzige Voraussetzung ist, daß die
Datenbereiche der beiden Netware Partitionen der zu spiegelnden Platten
gleich groß sind. Die zu speichernden Daten werden gleichzeitig auf
beiden Festplatten gespeichert. Fällt eine der Festplatten durch einen
Fehler aus, wird ohne Ausfallzeit und Datenverlust mit der zweiten Festplatte weitergearbeitet.
- Disk Duplexing
Beim Disk Duplexing werden zwei Festplatten und zwei Festplattencontroller von gleicher Art bzw. Größe im File Server installiert. Disk
Duplexing gewährleistet somit eine Fortführung des Betriebes nicht nur
beim Ausfall einer Festplatte, sondern auch beim Ausfall eines Festplattencontrollers. Zusätzlich sollte beim Disk Duplexing auch das Netzteil
der Festplatten redundant vorhanden sein, was sich meist nur mit externen
Platten-Systemen realisieren läßt.

_____________________________________________________________________ ..........................................
307

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.148
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Serverspiegelung (System Fault Tolerance III)
Eine Serverspiegelung in der sog. SFT-III-Konfiguration stellt die höchste
Stufe der Toleranz gegen im Betrieb auftretende Hardware-Fehler dar.
Zwei identische Novell Netware 4.x Server arbeiten hierbei gleichzeitig
und "parallel" im Netz. Zu beachten ist dabei jedoch, daß der Secondary
Server nur Standby zur Verfügung steht und nur beim Ausfall des Primary
Servers die Arbeit im Netz übernimmt.
Die beiden Novell Netware Server sind hierbei durch ein eigenes Hochgeschwindigkeitsnetz miteinander verbunden. Fällt hierbei der Primär-Server
aus, werden dessen Aufgaben von dem Sekundär-Server im Netz übernommen.
Die Entscheidung, ob zusätzlich zum sog. Hot Fix weitere Maßnahmen
(Disk Mirroring, Disk Duplexing, SFTIII) ergriffen werden müssen, ist
abhängig vom angestrebten Grad der Verfügbarkeit des Netzes.
- Notstromversorgung
Durch den Einsatz einer Notstromversorgung (USV=Unterbrechungsfreie
Stromversorgung bzw. im englischen UPS=Uninterruptible Power Supply)
können die Folgen eines plötzlichen Stromausfalles abgefangen werden.
Novell Netware unterstützt den Einsatz geeigneter Geräte durch das sogenannte UPS-Monitoring. Im Falle eines plötzlichen Stromausfalles wird
der Server am Ende der Überbrückungszeit der USV geregelt heruntergefahren, d. h. die sich im Cache des Servers befindlichen Daten werden
auf die Festplatten übertragen, Verbindungen zum Server ordnungsgemäß
beendet sowie die Serverprozesse geregelt abgeschlossen.
Einrichtung der Netzumgebung
Novell Netware 4.x bietet ein eigenes Sicherheitssystem zum Schutz des
Netzes und seiner Ressourcen. Die zugehörigen Funktionen müssen jedoch
vom Administrator während der Einrichtung eines Netware 4.x Netzes
manuell aktiviert werden, so daß die Sicherheit eines Netzes in nicht unerheblichem Maße in der Verantwortung des Administrators liegt.
Das wesentliche Hilfsmittel zur Verwaltung und Absicherung eines Netware 4.x Netzes ist der Novell Netware Administrator. Dieses Programm gibt
es in folgenden Ausführungen:
- SYS:PUBLIC\NWADMIN.EXE für Windows 3.11,
- SYS:PUBLIC\WIN95\ NWADMN95.EXE für Windows 95,
- SYS:PUBLIC\WINNT\NWADMNNT.EXE für Windows NT sowie die
neuere Version
- SYS:PUBLIC\WIN32\NWADMN32.EXE
Windows 95.

für

Windows NT

und

Das Programm Netware Administrator ermöglicht eine Vielzahl von Einstellungen, wie z. B. die Festlegung einer minimalen Paßwortlänge oder der
maximalen Anzahl gleichzeitiger Verbindungen eines Benutzers. Nachfolgend
werden die sicherheitsrelevanten Funktionen des Netware Administrators
aufgeführt und erläutert. Dazu sind die jeweiligen Parameter und ihre Werte

_____________________________________________________________________ ..........................................
308

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.148
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

angegeben, die für einen sicheren Betrieb eines Netware 4.x Netzes eingestellt
werden müssen.
Ein wesentlicher Punkt bei der sicheren Einrichtung von Netware 4.x Netzen
ist das Anlegen von Benutzer-Accounts. Zu diesem Zweck sollten Schablonen
(Templates) für Standard-Benutzer des jeweiligen Kontextes angelegt werden.
Beim Einrichten konkreter Benutzer-Accounts werden dann die in der
Schablone eingestellten Werte übernommen, was den entsprechenden
Aufwand stark reduziert. Dazu muß die Option SCHABLONE BENUTZEN
bzw. USE TEMPLATE verwendet werden. Folgende Funktionen sollten in
einer Schablone eingestellt werden:
Login Restrictions

Abbildung: Netware Administrator
schablone/Login Restrictions"

Menü

"Template:

Benutzer-

- Limit Concurrent Connections
Hierdurch kann die Anzahl der gleichzeitigen Verbindungen eines
Benutzer-Accounts zu den Netware Servern limitiert werden. Im Regelfall
sollte hierbei der Wert "1" gewählt werden, um nicht unnötig Verbindungslizenzen zu verbrauchen.

_____________________________________________________________________ ..........................................
309

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.148
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Password Restrictions

90

Abbildung: Netware Administrator
schablone/Password Restrictions"

Menü

"Template:

Benutzer-

- Allow user to change password
Diese Option muß aktiviert werden, damit ein Benutzer sein Paßwort
wechseln kann. Ist sie nicht aktiviert, können keine weiteren Möglichkeiten
angewählt werden.
- Require Password
Diese Option installiert die Paßwortabfrage für jeden Benutzer und bietet
die Möglichkeit, die nachfolgenden Paßwortregeln zu definieren. Require
Password sollte immer aktiviert werden.
- Minimum Password Length
Hiermit wird die erforderliche Mindestlänge eines Paßwortes eingestellt.
Sie sollte mindestens sechs Zeichen betragen (vergleiche M 2.11 Regelung
des Paßwortgebrauchs).
- Force Periodic Password Changes
Durch die Aktivierung dieser Option wird festgelegt, daß die Benutzer ihre
Paßwörter regelmäßig ändern müssen. Dies sollte der Regelfall sein.
- Days Between Password Changes
Unter diesem Menüpunkt wird die allgemeine Gültigkeitsdauer von
Paßwörtern festgelegt. Diese muß für das jeweilige System individuell
festgelegt werden (vergleiche M 2.11 Regelung des Paßwortgebrauchs).

_____________________________________________________________________ ..........................................
310

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.148
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Require Unique Passwords
Die Aktivierung der Paßworthistorie (Require Unique Passwords) hat zur
Folge, daß die letzten neun Paßwörter eines Benutzer-Accounts mit dem
neu eingegebenen Paßwort verglichen werden und bei einer festgestellten
Übereinstimmung das neue Paßwort durch den Netware Server zurückgewiesen wird. Damit wird gewährleistet, daß nicht immer dieselben
Paßwörter verwendet werden können. Diese Option sollte immer aktiviert
werden.
- Limit Grace Logins
Grace Logins sind diejenigen Logins, die trotz Ablauf der Gültigkeitsdauer
eines Paßwortes noch erfolgen dürfen. Die Anzahl der Grace Logins sollte
durch die Aktivierung dieser Option grundsätzlich limitiert werden.
- Grace Logins Allowed
Die Anzahl der erlaubten Grace Logins sollte auf den Wert "Eins" eingestellt werden, damit ein Benutzer, dessen Paßwort ungültig geworden ist,
dieses sofort ändern muß.
- Set password after create
Diese Option sollte immer aktiviert sein. Durch sie wird der Administrator
bei der Erstellung eines neuen Benutzers-Accounts automatisch aufgefordert, ein Paßwort einzugeben. Dies verhindert somit, daß temporär frei
zugängliche Benutzer-Accounts angelegt werden können.
Login Time Restrictions

Abbildung: Netware Administrator
schablone/Login Time Restrictions"

Menü

"Template:

Benutzer-

_____________________________________________________________________ ..........................................
311

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.148
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Default Time Restrictions
Mit Hilfe der Schablone Login Time Restrictions werden die erlaubten
Arbeitszeiten für Benutzer-Accounts in einem Netware 4.x Netz definiert.
Außerhalb der hier festgelegten Zeiten ist es keinem Benutzer möglich,
sich am Netware 4.x Netz anzumelden.
Nachträgliche Änderungen der Default Time Restrictions bei der Einrichtung bzw. Pflege von Benutzer-Accounts haben keinerlei Auswirkungen
auf die erlaubten Zugangszeiten bereits existierender Benutzer. Abweichende Zugangszeiten für einzelne Benutzer können mit Hilfe von
SYS:\PUBLIC\NWADMIN.EXE (Objects / Details on multiple Users)
geändert werden.
Weiterhin können für einzelne Behälterobjekte der NDS die folgenden
Sicherheitsmechanismen eingestellt werden:

Intruder Detection

3

Abbildung: Netware Administrator Menü "Organizational Unit : Lab/Intruder
Detection"
- Detect Intruders
Durch die Aktivierung dieser Option werden unautorisierte Login-Versuche erkannt und die hiervon betroffenen Benutzer-Accounts gegebenenfalls
gesperrt. Dadurch wird einer "Brute Force Attacke" unter Novell
Netware 4.x vorgebeugt. Diese Einstellung muß mit dem Programm
Netware Administrator für jeden Container durchgeführt werden.

_____________________________________________________________________ ..........................................
312

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.148
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Incorrect Login Attempts
Dies gibt die maximale Anzahl der zulässigen Login-Fehlversuche an;
üblicherweise sollte hierbei der Wert "Drei" eingestellt werden.
- Intruder Attempt Reset Interval
Damit kann die zeitliche Zurückverfolgung von fehlgeschlagenen LoginVersuchen eines Benutzer-Accounts aktiviert werden. Übersteigt die
Anzahl der Login-Fehlversuche eines Benutzer-Accounts innerhalb des
definierten Zeitraumes den unter Incorrect Login Attempts eingestellten
Wert, so wird der Benutzer-Account gesperrt (falls die Option Lock
Account After Detection aktiviert ist).
- Lock Account After Detection
Dieser Menüpunkt sollte immer aktiviert werden, um einen BenutzerAccount, der die maximale Anzahl der ungültigen Login-Versuche überschritten hat, zu sperren.
- Intruder Lockout Reset Interval
Dieser Zeitwert sollte keinesfalls zu gering gewählt werden (> 1 Stunde),
um sicherzustellen, daß die Ursache für einen Intruder Lockout (d. h.
Sperren des Benutzer-Accounts) durch die Systemadministration und den
betroffenen Benutzer aufgeklärt werden kann.
Ergänzende Kontrollfragen:
- Sind die Benutzer über den korrekten Umgang mit Paßwörtern unterrichtet
worden?
- Wird die Paßwort-Güte kontrolliert?
- Wird der Paßwort-Wechsel erzwungen?
- Ist jeder Benutzer im Netz mit einem Paßwort ausgestattet?
- Wurde eine Benutzerschablone erzeugt? Wurde dabei auf die Sicherheitsaspekte geachtet?

_____________________________________________________________________ ..........................................
313

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.149

Sicherer Betrieb von Novell Netware 4.x Netzen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für den sicheren Betrieb eines Novell Netware 4.x Netzes müssen die
nachfolgend beschriebenen Punkte umgesetzt werden.
Vergabe von Zugriffsrechten auf Verzeichnisse, Dateien, NDS-Objekte
und NDS-Objekteigenschaften
Durch die Vergabe von Zugriffsrechten (Trustee Assignments) auf NDSObjekte, NDS-Objekteigenschaften, Verzeichnisse und Dateien im Novell
Netware 4.x Netz kann die Sicherheit eines Novell Netware 4.x Netzes und
seiner Daten gewährleistet werden. Wenn NDS-Objekten, z. B. Benutzern und
Gruppen, verschiedene Rechte auf andere NDS-Objekte, NDSObjekteigenschaften, Dateien oder Verzeichnisse gewährt werden, so spricht
man von einem Trustee (Treuhänder oder Bevollmächtigten).
In Netware 4.11 existieren dazu drei Arten von Zugriffsrechten, die ersten
beiden
beziehen
sich
auf
die
NDS-Objektund
NDSObjekteigenschaftsrechte, das letzte auf Dateien bzw. Verzeichnisse.
- Objektrechte

Abbildung: Netware Administrator Container zenk_gmbh "Trustee of this
Object..."
Objektrechte steuern die Zugriffsmöglichkeiten eines Trustees auf ein
Objekt, also z. B. auf Benutzer, Gruppen, Drucker oder Netware Server.
Folgende Objektrechte, wie dies auch in der obigen Abbildung zu
entnehmen ist, stehen zur Verfügung:

_____________________________________________________________________ ..........................................
314

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Supervisor
Browse
Create (nur bei Containern)
Delete
Rename

Ein Benutzer mit diesen Rechten auf ein anderes NDS-Objekt, z. B. einen
anderen Benutzer, kann der Reihe nach Benutzer-Accounts sehen,
erstellen, löschen bzw. umbenennen. Das Supervisorrecht ist die Summe
der vier anderen Rechte. Mit den Rechten Browse, Create, Delete und
Rename erhält man keinerlei Objekteigenschaftsrechte bzw. Dateirechte.
Ausnahme hiervon ist in diesem speziellen Fall das Supervisorrecht auf ein
Objekt. Mit diesem Recht erhält man auch Supervisorrechte auf die
Objekteigenschaften.
- Objekteigenschaftsrechte
Objekteigenschaftsrechte steuern den Zugriff eines Trustees auf die über
ein Objekt gespeicherten Informationen, also auf die Eigenschaften des
betreffenden Objekts. Hierzu sind keinerlei Objektrechte notwendig. Mit
Ausnahme des Objektrechts Supervisor kann man mit Objektrechten auch
keinerlei Rechte auf Objekteigenschaften erlangen. Es gibt folgende
Objekteigenschaftsrechte, die wieder in obiger Abbildung erkennbar sind:
-

Supervisor
Compare
Read
Write
Add Self

Die Objekteigenschaftsrechte setzen sich aus den Hauptrechten Schreiben
(Write) und Lesen (Read) zusammen. Im Recht Lesen ist das Recht
Vergleichen (Compare) und im Recht Schreiben ist das Recht Selbst
Hinzufügen (Add Self) enthalten. Das Supervisorrecht ist hier die Summe
dieser vier Rechte und hat keinerlei weitere Auswirkungen. Mit dem Recht
Lesen können Objekteigenschaften wie z. B. die Eigenschaften des
Benutzers Nachname oder auch Login Script gelesen werden. Zum
Abändern benötigt man das Recht Schreiben. Das Recht Vergleichen
erlaubt es, Anfragen an die NDS abzusetzen, z. B. ob der Nachname des
Benutzers XY gleich Mustermann ist. Die Antwort lautet dann je nach dem
"wahr" oder "falsch". Das Recht Selbst Hinzufügen macht nur bei Objekten
Sinn, bei denen man sich selbst in eine Liste eintragen kann, wie dies z. B.
bei einer Gruppe der Fall ist. Da ein Objekt häufig sehr viele Eigenschaften
besitzt, gibt es zwei Möglichkeiten, Objekteigenschaften zu vergeben. Es
ist prinzipiell möglich, auf alle Eigenschaften dasselbe Recht zu vergeben.
Dann muß im Bereich Property Rights der Punkt All Properties markiert
sein. Andererseits ist es auch möglich, auf bestimmte Objekteigenschaften
explizit Rechte zu vergeben. Dazu dient die Option Selected Properties. Es
ist dabei zu beachten, daß mit der Funktion Selected Properties die Rechte,
die bei der Option All Properties vergeben wurden, überschrieben werden.
Rechte in der NDS müssen noch sorgfältiger vergeben werden als Rechte
im Dateisystem. Im Dateisystem bekommt ein NDS-Objekt Rechte auf

_____________________________________________________________________ ..........................................
315

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

eine Datei oder ein Verzeichnis. In der NDS allerdings bekommt ein NDSObjekt Rechte auf ein anderes NDS-Objekt. Hierbei muß genau überprüft
werden, wer eigentlich auf wen Rechte bekommen soll. So kann es leicht
vorkommen, daß ein Benutzer-Objekt Rechte auf ein Container-Objekt
bekommen soll, doch letztendlich dem Container-Objekt Rechte auf ein
Benutzer-Objekt gegeben werden.
- Datei- und Verzeichnisrechte

Abbildung: Netware Administrator Verzeichnis PUBLIC "Details: Trustee
of this Directory"
Datei- und Verzeichnisrechte steuern die Operationen, die ein Trustee, hier
der User RZenk, in einer Datei oder in einem Verzeichnis durchführen
kann. Wie Objektrechte unabhängig von Objekteigenschaftsrechten sind,
sind wiederum Datei- und Verzeichnisrechte vollkommen unabhängig von
den beiden NDS-Rechten. Es gibt folgende Datei- und Verzeichnisrechte:
-

Supervisor
Read
Write
Create
Erase
Modify
File Scan
Access Control

Mit den Rechten Read, Write, Create und Erase kann ein Trustee Dateien
bzw. Verzeichnisse lesen, verändern, erstellen und löschen. Modify dient nicht
zum Verändern einer Datei, sondern zum Umbenennen von Dateien und
Verzeichnissen. Weiterhin können mit dem Recht Modify die Datei- und

_____________________________________________________________________ ..........................................
316

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Verzeichnisattribute geändert werden. Mit File Scan hat man das Recht, sich
Dateien und Verzeichnisse z. B. mit dem Befehl NDIR oder auch DIR
anzusehen. Mit dem Recht Access Control können anderen NDS-Objekten
Datei- und Verzeichnisrechte, mit Ausnahme des Supervisorrechts gewährt
werden.
Im Gegensatz zu Objektrechten, wo es das Recht Create nur auf
Containerebene gibt, kann das Create Recht im Dateisystem auch auf Dateien
und nicht nur auf Verzeichnisse vergeben werden. Auf Dateien erlaubt dieses
Recht, eine logisch gelöschte Datei durch den Mechanismus Salvage wieder
herzustellen. In der NDS können einmal gelöschte Objekte nicht wieder
hergestellt werden, was dazu führt, daß dort das Recht Create nur auf
Containerebene Sinn macht.
Aus Gründen der Übersichtlichkeit, einer vereinfachten Administration sowie
einer verbesserten Revisionsfähigkeit sollte die Vergabe von Zugriffsrechten
vorrangig über die Zuweisung von Rechten an Benutzergruppen (Datei- und
Verzeichnisrechte) und Containerobjekte erfolgen. Ein Container ist dabei
stellvertretend für alle Objekte, insbesondere alle Benutzerobjekte, die sich
unterhalb des Containerobjekts in der NDS befinden. Dabei erhalten diese
Rechte wirklich alle Benutzer, nicht nur diejenigen, die sich im Container
direkt befinden.
Für NDS-Rechte auf Objekte und Objekteigenschaften gibt es das Objekt
Organizational Role (OR). Die OR ist vergleichbar mit einer Gruppe. Gruppen
geben das erhaltene Datei- und Verzeichnisrecht an alle ihre Benutzer, die als
Mitglieder eingetragen sind, weiter. Mit einer Organizational Role werden die
Rechte an die Mitglieder der Organizational Role weitergereicht. Hier heißen
die Mitglieder allerdings Occupant, was soviel wie Bewohner heißt. Novell
übersetzt dies allerdings als Träger. Sowohl bei Gruppen als auch bei
Organizational Roles werden die Rechte auf ihre Mitglieder bzw. Träger mit
Hilfe von Security Equal To Mechanismen übergeben. Da in der Praxis weit
weniger NDS-Rechte als Dateirechte vergeben werden, wird die OR weit
weniger häufig benutzt als dies bei Gruppen der Fall ist.
Rechte können auch direkt an Benutzer und über Security Equal To vergeben
werden. Hier kann aber sehr leicht die Übersichtlichkeit verloren gehen und
deshalb sollten diese Mechanismen sehr moderat eingesetzt werden.
Zusammenfassend noch einmal die Möglichkeiten, wie Rechte vergeben
werden können:
-

Gruppen (Datei- und Verzeichnisrechte)
Organizational Role (NDS-Objekt- und NDS-Objekteigenschaftsrechte)
Container
Benutzer
Security Equal To

Um die versehentliche Freigabe von Verzeichnissen durch einen Benutzer zu
verhindern, sollte die Systemadministration Benutzergruppen und Benutzern
in den ihnen zugewiesenen Verzeichnissen und Dateien die Rechte
"Supervisor" (S) und "Access Control" (A) nicht erteilen.
Werden ausgewählten Verzeichnissen oder Dateien mit Hilfe von NetwareAttributen bestimmte Eigenschaften, z. B. schreibgeschützte Dateien (Ro),

_____________________________________________________________________ ..........................................
317

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

zugewiesen, so sollte beachtet werden, daß Benutzer, die das Zugriffsrecht
"Modify" (M) auf die entsprechenden Verzeichnisse und Dateien besitzen, in
der Lage sind, diese Attribute zu verändern. Daher sollte der Kreis der
Benutzer mit diesem Zugriffsrecht eingeschränkt werden.
Vererbung von Zugriffsrechten in der NDS und im Dateisystem
Alle bereits behandelten Rechte unterliegen ähnlichen Mechanismen. Hierzu
gehören wichtige Begriffe wie Vererbung von Rechten, Vererbungsfilter
(IRF), Effektive Rechte (ER) und Access Control List (ACL), die im folgenden
erläutert werden.
Vererbung von Rechten
Rechte werden sowohl in der NDS als auch im Dateisystem grundsätzlich
vererbt. Dies bedeutet z. B., daß ein Recht, das in der Root, entweder im
NDS-Baum oder auch im Dateisystem vergeben wird, sich auf alle Objekte
bzw. Verzeichnisse und Dateien, die sich unterhalb der jeweiligen Root
befinden, vererbt werden. Vergibt man ein Recht entsprechend tiefer in der
Baumstruktur, vererben sich die Rechte ab dieser Stelle im Baum. Hiervon
gibt es eine Ausnahme: Rechte, die selektiv auf Objekteigenschaften vergeben
werden (Selected Properies), vererben sich nicht.
Beispiel 1:
SYS:
PUBLIC
NWADMIN.EXE
NDIR.EXE

RZenk [Read; File Scan]

Erhält der User RZenk auf das Volume SYS: die Rechte [Read; File Scan],
vererben sich diese Rechte hier auch auf das Verzeichnis PUBLIC und die
Dateien NWADMIN.EXE und NDIR.EXE, die sich in PUBLIC befinden.
Vererbung kann aber auch gezielt ausgeschlossen werden. Dazu gibt es die
Inherited Rights Filter (IRF), die weiter unten besprochen werden. Im
Grundzustand werden keinerlei Rechte gefiltert. Es gibt noch einen zweiten
Mechanismus, bei dem die Vererbung ausgeschlossen wird. Erhält das gleiche
NDS-Objekt tiefer im Baum noch einmal Rechte zugewiesen, werden dadurch
die ursprünglichen Rechte, die dasselbe Objekt weiter oben im Baum
bekommen hat, ab diesem Punkt nicht mehr weitervererbt.
Beispiel 2:
SYS:
PUBLIC
NWADMIN.EXE
NDIR.EXE

RZenk [Read; File Scan]
RZenk [Write]

In Beispiel 2 hat der User RZenk auf die Datei NWADMIN.EXE nur noch das
Recht [Write], da die Rechte [Read; File Scan] des Benutzers RZenk auf die
Datei NWADMIN.EXE nicht weitervererbt werden. Alle anderen NDSObjekte, die eventuell Rechte auf die Datei NWADMIN.EXE bekommen
haben, sind dadurch nicht betroffen. Auch die Rechte, die der User RZenk auf
die Datei NWADMIN.EXE über andere Mechanismen erhält, wie z. B.

_____________________________________________________________________ ..........................................
318

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Gruppen, Container, etc., werden dadurch nicht eingeschränkt. Diese Rechte
sind somit additiv.
Inherited Rights Filter (IRF)
Während Trustee Assignments den Zugriff auf ein Objekt, eine
Objekteigenschaft oder eine Datei bzw. ein Verzeichnis gewähren, verhindert
ein IRF die Vererbung der Rechte von einem Objekt, einer Objekteigenschaft
oder einer Datei bzw. einem Verzeichnis auf andere NDS-Objekte bzw. Dateien
und Verzeichnisse im jeweiligen Baum. Jedes Objekt, jede Objekteigenschaft
und jede Datei bzw. jedes Verzeichnis in einem NDS Verzeichnis bzw. im
Dateisystem kann einen anderen IRF besitzen.
Der einzige Unterschied zwischen NDS und Dateisystem betrifft das Recht
Supervisor. Nur in der NDS kann dieses Recht gefiltert werden. Im Dateisystem
hingegen kann dieses Recht, einmal vergeben, nicht mehr gefiltert werden.
Effektive Rechte
Die Kombination Inherited Rights Filter, Trustee Assignment und Security
Equivalences werden als Effektive Rechte (ER) bezeichnet. Die effektiven
Rechte, die ein NDS-Objekt auf andere NDS-Objekte bzw. deren Eigenschaften
hat, aber auch die effektiven Rechte die ein NDS-Objekt auf das Dateisystem
hat, können mit dem Programm Netware Administrator bestimmt werden (vgl.
auch vorherige Abbildungen).
Access Control List (ACL)
Die Informationen darüber, wer auf ein Objekt und die Properties zugreifen
kann und mit welchen Rechten, wird im Objekt selbst gespeichert. Hierfür
existiert für jedes Objekt eine spezielle Property: Access Control List (ACL).
Die ACL Property enthält die Trustee Assignments und die Inherited Rights
Filter. Jedes eingetragene Objekt in der ACL kann dabei andere Trustee
Assignments aufweisen. Im Dateisystem ist die ACL und die IRF in der
Directory Entry Table (DET) gespeichert.
Vergabe von Netware-Attributen auf Verzeichnisse und Dateien
Neben der Benutzer- bzw. gruppenbezogenen Erteilung von Zugriffsrechten
auf Verzeichnisse und Dateien kann durch die Vergabe von NetwareAttributen auf Verzeichnisse und Dateien die Datensicherheit erhöht werden.
Attribute sind immer verzeichnis- bzw. dateibezogen, da NDS-Objekte keine
Attribute haben, d. h. sie sind unabhängig von den zugewiesenen
Zugriffsrechten und gelten für alle Benutzer einschließlich für Benutzer mit
Supervisor-Rechten.
Benutzer, denen das Zugriffsrecht "Modify" (M) auf die in Frage kommenden
Verzeichnisse und Dateien eingeräumt wurde, können die vergebenen
Netware-Attribute ändern und somit jede Aktion, die sich aus ihren effektiven
Rechten ergibt, ausführen.
Sicherheit durch den Einsatz von Netware-Attributen stellt sich somit als ein
Subsystem auf der Ebene der Verzeichnis- und Dateisicherheit dar. Das
bedeutet, daß obwohl jemand das ER hat eine Datei zu löschen, dies unter
Umständen nicht tun kann, da das Attribut "Delete inhibit" (Di) gesetzt ist.

_____________________________________________________________________ ..........................................
319

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bei der Vergabe von Netware-Attributen auf Verzeichnisse und Dateien
sollten die folgenden Eigenschaften von Netware-Attributen beachtet werden.
- Verzeichnis-Attribute:

Delete Inhibit (Di): Das Verzeichnis kann nicht gelöscht werden.
Hidden (H): Das Verzeichnis wird als versteckt gekennzeichnet; es
erscheint weder in einem Inhaltsverzeichnis unter DOS, noch kann es
gelöscht oder kopiert werden.
Purge (P): Das Verzeichnis sowie die in ihm befindlichen Dateien werden
beim Löschen sofort, auch physikalisch, gelöscht. Eine Wiederherstellung
des Verzeichnisses ist nicht möglich.
Rename Inhibit (Ri): Das Verzeichnis kann nicht umbenannt werden.
System (Sy): Das Verzeichnis wird vom System benutzt; es erscheint
ebenfalls nicht in einem Inhaltsverzeichnis unter DOS und kann weder
kopiert noch gelöscht werden.
Don`t Migrate (Dm): Die in dem Verzeichnis enthaltenen Dateien dürfen
nicht auf einen sekundären Datenträger (z. B. ein Bandlaufwerk)
ausgelagert werden.
Immediate Compress (Ic): Die in das Verzeichnis hineinkopierten
Dateien werden umgehend komprimiert. Dateien, die sich schon im
Verzeichnis befinden, werden durch dieses Attribute nicht beeinflußt.
Don`t Compress (Dc): Die in dem Verzeichnis enthaltenen Dateien dürfen
nicht komprimiert werden.

_____________________________________________________________________ ..........................................
320

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Datei-Attribute:

Archive needed (A): Die so durch Novell Netware gekennzeichneten
Dateien sind seit der letzten Datensicherung inhaltlich verändert oder neu
auf
dem
Novell
Netware
Server
aufgespielt
worden.
Datensicherungssoftware
kann
somit
bei
einer
sequentiellen
Datensicherung erkennen, daß die Datei erneut gesichert werden muß.
Execute Only (X): Ausführbare Programmdateien (*.exe, *.com), die mit
diesem Attribut versehen werden, können ausschließlich ausgeführt oder
gelöscht werden. Ein Kopieren der Datei ist nicht möglich. Zu beachten ist
auch, daß Dateien mit diesem Attribut nicht gesichert werden (z. B. bei
einem Full-Backup)
Read write (Rw): Auf die Datei ist sowohl Lese- als auch Schreibzugriff
möglich.
Read only (Ro): Die Datei kann nur gelesen werden. Ein Schreibzugriff ist
nicht möglich. Um Datenverluste bei einer gemeinsamen Benutzung zu
vermeiden, sollten diese Dateien ebenfalls das Attribut "Shareable" (S)
besitzen.
Ausführbare Programmdateien (*.exe, *.com) sollten mit dem Attribut
"Read only" versehen werden, um einem möglichen Befall durch
Computer-Viren vorzubeugen.
Shareable (Sh): Diese Dateien können von mehreren Benutzern
gleichzeitig benutzt werden. Dateien, die mit dem Attribut "Shareable"
versehen worden sind, sollten gleichzeitig das Attribut "Read Only" (Ro)
besitzen. Das Attribut "Shareable" ist nur relevant für Programme, die
Dateien nicht netzfähig öffnen.

_____________________________________________________________________ ..........................................
321

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Hidden (H): Die Datei wird als versteckt gekennzeichnet. Sie erscheint
nicht in einem Inhaltsverzeichnis unter DOS und kann weder kopiert noch
gelöscht werden.
System (Sy): Die Datei wird vom Netzbetriebssystem verwendet; sie
erscheint ebenfalls nicht in einem Inhaltsverzeichnis unter DOS und kann
weder kopiert noch gelöscht werden.
Transactional (T): Dateien mit diesem Attribut unterliegen der
Transaktionskontrolle von Novell Netware. Als Transaktion wird hier eine
zusammenhängende Folge von Veränderungen in einer oder mehreren
Dateien verstanden. Das Setzen dieses Attributes bewirkt, daß nur
vollständig durchgeführte Transaktionen in den Datenbestand der Datei
übernommen werden. Transaktionen, die unvollständig abgebrochen
wurden, werden von Novell Netware rückgängig gemacht.
Purge (P): Dateien mit dem Attribut "Purge" werden beim Löschen nicht
nur logisch, sondern sofort physikalisch gelöscht. Dies hat zur Folge, daß
die Datei nicht wiederhergestellt werden kann. In diesem Zusammenhang
wird darauf hingewiesen, daß die physikalische Löschung von Dateien
nicht nur durch das Netware-Attribut "Purge" erfolgen kann, sondern
ebenso von einer Arbeitsstation mit dem Befehl "PURGE Dateiname"
durchgeführt werden kann.
Copy Inhibit (Ci): Derartige Dateien können nicht kopiert werden. Dieses
Netware-Attribut gilt allerdings nur für APPLE Macintosh Workstations.
Delete Inhibit (Di): Die Datei kann nicht gelöscht werden.
Rename Inhibit (Ri): Die Datei kann nicht umbenannt werden.
Don´t Migrate (Dm): Eine Datei, die mit diesem Attribut versehen ist,
kann nicht auf einen sekundären Datenträger (z. B. ein Bandlaufwerk)
ausgelagert werden.
Immediate Compress (Ic): Die Datei wird vom Betriebssystem
schnellstmöglichst komprimiert und in dieser Form auf dem Volume
gespeichert.
Don´t Compress (Dc): Die Datei wird vom Betriebssystem nicht
komprimiert, auch wenn für das Volume die Kompression eingeschaltet ist.
Don´t Suballocate (Ds): Bei der Speicherung dieser Dateien wird keine
Teilblockzuordnung (Suballocation) vorgenommen, obwohl dieses
Merkmal für das System aktiviert wurde.
File Compressed (Co), Can’t Compress (Cc), File Migrated (M): Mit
diesen Attributen werden vom Betriebssystem dementsprechende
Informationen über eine Datei gespeichert. Diese Attribute können nur
vom Betriebssystem geändert werden.
Sorgfältige Vergabe von Rechten
Dateirechte, NDS-Objektrechte und NDS-Objekteigenschaftsrechte sind
vollkommen unabhängige Rechte. Hiervon gibt es zwei Ausnahmen. Erhält
jemand Supervisorrechte auf ein NDS-Objekt, hat er automatisch auch
Supervisorrechte auf die NDS-Objekteigenschaften. Umgekehrt tritt dieses

_____________________________________________________________________ ..........................................
322

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Phänomen nicht auf. Supervisorrechte auf NDS-Objekteigenschaften sind
nicht gleichbedeutend mit Supervisorrechten auf das NDS-Objekt selbst.
Hierbei muß allerdings beachtet werden, daß die Objekteigenschaft Object
Trustees (ACL) eine Eigenschaft eines jeden NDS-Objekts ist. Erhält man nun
Supervisorrechte auf die Eigenschaften eines NDS-Objekts oder nur das Recht
WRITE auf die Eigenschaft Object Trustees (ACL), ist man in der Lage, sich
selbst oder anderen NDS-Objekten beliebige Rechte zu gewähren. Eine
weitere wichtige Ausnahme ist das NDS-Objekt Server. Erhält z. B. der
Benutzer RZenk, wie im obigen Beispiel, das Recht WRITE auf die
Objekteigenschaft Object Trustees (ACL) des Servers, ist dies gleichbedeutend
mit Supervisorrechten auf das komplette Dateisystem, das diesem Server
zugeordnet ist. Die Eigenschaft Object Trustees (ACL) des Servers ist somit
die Schnittstelle zwischen der NDS und dem Dateisystem.

Abbildung: Netware Administrator Server NW4_GT "Trustee of this Object..."
Um zu verhindern, daß durch unsachgemäßes Vergeben von NDS-Rechten
Supervisorrechte im Dateisystem erlangt werden können, könnten Inherited
Rights Filter (IRF) an jedem Server-Objekt aktiviert werden. Damit können
die Objektrechte von den Verzeichnisrechten getrennt werden. Dabei muß das
Supervisorrecht sowohl auf NDS-Objekt- als auch auf NDSObjekteigenschafts-Ebene und das Recht WRITE der Eigenschaft Object
Trustees (ACL) gefiltert werden. Besser ist es natürlich, wenn man sich
bewußt ist, wie sich bestimmte Rechte im Detail auswirken.
Eingeschränkte Nutzung von Accounts mit Supervisor-Berechtigung auf
Dateiebene
Der Account des Benutzers "Admin" sollte bei der täglichen
Administrationsarbeit nicht verwendet, sondern nur in Notfällen benutzt
werden. Um dennoch die Systemadministration zu gewährleisten, sollte daher

_____________________________________________________________________ ..........................................
323

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

für jeden Benutzer mit der Netware Sicherheitsstufe "Supervisor" ein
Benutzer-Account eingerichtet werden, der über dieselben Rechte wie das
Benutzerobjekt "Admin" verfügt (ausdrückliche Trustee Zuweisung, siehe
auch Schutz vor Verlust der Administrierbarkeit), mit dem die
Systemadministration
normalerweise
erfolgt.
Werden
die
Administrationsarbeiten nicht hauptamtlich wahrgenommen, so sollten für die
nichtadministrativen Aufgaben zusätzlich aufgabenbezogene Accounts
eingerichtet werden.
Der Account des Administrators bzw. seines Vertreters sollte weiterhin nur
auf hierzu definierten Workstations verwendet werden, da die Integrität
anderer Workstations manipuliert sein könnte.
Der Account "Admin", der standardmäßig die alleinigen administrativen
Rechte besitzt, sollte als potentielles Angriffsziel keine Rechte mehr besitzen.
Die notwendigen Supervisorrechte sollten einem anderen, weniger auffälligen
Benutzer-Account übertragen werden. Man kann aber auch ganz einfach den
Admin-Account umbenennen, um hierfür einen Namen zu verwenden, der den
allgemeinen Regeln zur Namensvergabe innerhalb der NDS entspricht, so wie
dies bei der Planung der NDS für das Unternehmen festgelegt worden ist.
Schutz vor Verlust der Administrierbarkeit
Eine neue Funktionalität ab Netware Version 4.x ist die Möglichkeit der
dezentralen Administration von Novell Netware Netzen. Dies kann durch
bestimmte administrative Möglichkeiten erreicht werden, wie z. B. der
Definition eines eigenen Administrators für jedes Behälterobjekt. Wird dafür
nur ein einziger Benutzer-Account verwendet und dieser versehentlich
gelöscht, so kann der entsprechende Behälter nicht mehr administriert werden
(siehe G 3.25 Fahrlässiges Löschen von Objekten).
Als wirksame Maßnahme muß deswegen zusätzlich eine ausdrückliche
Trustee-Zuordnung für mindestens eines der Benutzerobjekte des
Benutzerverwalters vorgenommen werden. Das Administratorrecht darf also
nicht mit dem Mechanismus Security Equal To erfolgen. Damit wird dem
Verlust der Administrierbarkeit des Behälters vorgebeugt, falls das
organisatorische Funktionsobjekt gelöscht wird. Dies gilt insbesondere auch
für die Rechtezuordnung an die zentralen Administratoren eines Netware 4.x
Netzes.
Information über Patches von Novell Netware
Im Verlauf der Entwicklung des Netzbetriebssystems Novell Netware haben
sich diverse Schwachstellen bzw. Unzulänglichkeiten herausgestellt, die durch
den Hersteller mit Hilfe von sogenannten Patches bzw. Service Packs für die
entsprechenden Versionen 3.x und 4.x größtenteils behoben wurden. Diese
Patches werden durch den Hersteller im Internet zur Verfügung gestellt
(http://support.novell.com und http://support.novell.de). Informationen über
die Funktionalität sowie das ggf. erforderliche Einspielen der zur Verfügung
gestellten Patches können daher Schwachstellen im laufenden
Produktionsbetrieb
beseitigen.
Insbesondere
zusätzlich
installierte
Softwareprodukte, wie z. B. zur Datensicherung, erfordern oftmals einen
bestimmten Patchlevel des Netzbetriebssystems. Hierbei ist jedoch zu
beachten, daß die angebotenen Patches keineswegs "blind" aufgespielt werden

_____________________________________________________________________ ..........................................
324

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

sollten, sondern nur im Bedarfsfall ("never change a running system") sowie
nach gründlicher Information. Soweit vorhanden, sollten diese Patches
zunächst auf einer Testkonfiguration ausgetestet werden.
Im Internet (Usenet) ist, neben den internationalen Diskussionsforen zum
Thema Novell Netware (comp.os.netware.announce, comp.os.netware.misc,
comp.os.netware.security, comp.os.netware.connectivity), für die deutschsprachigen Benutzer ein deutsches Novell Forum (z. Z. de.comp.sys.novell)
vorhanden, in dem einige versierte Novelladminstratoren aktiv sind, die
oftmals auch die schwierigsten Probleme zu lösen helfen. Außerdem werden
zu den im Internet am häufigsten gestellten Fragen Dateien (sogenannte FAQs
- Frequently Asked Questions) zur Verfügung gestellt, die die häufigsten
Probleme thematisieren und Lösungen anbieten.
Patches und Informationen über Novell Netware werden darüber hinaus auch
über andere Anbieter von Netzdiensten, wie z. B. Compuserve, Fidonet und
Mailboxen bereitgestellt.
Für die Richtigkeit und Vollständigkeit der jeweiligen Informationen in den
Usenet Diskussionsforen sowie in den FAQs (Frequently Asked Questions)
kann an dieser Stelle jedoch keine Garantie gegeben werden. Es sei darauf
hingewiesen, daß eine vollständige Beschreibung des aufgetretenen Problems,
sowie eine Beschreibung der jeweiligen Konfiguration des Netzes (Client,
Server) besonders vorteilhaft bei der Hilfesuche im Internet (Usenet) ist.
Schwierigkeiten während des Netzbetriebes können darüber hinaus oftmals
durch die Nachfrage bei dem Verkäufer des Netzbetriebssystems oder im
Informationsaustausch mit Kollegen behoben werden; wobei auch hier die
Problemlösung durch eine vollständige Konfigurationsbeschreibung
erleichtert wird.
Prüfung auf Computer-Viren
Computer-Viren, die sich in den auf einem Novell Netware Server
gespeicherten Programmen und Dateien befinden, können erhebliche Schäden
im Netzverbund hervorrufen.
Aus diesem Grund sollten die Programme und Dateien eines Novell Netware
Servers regelmäßig mit einem aktuellen Virensuchprogramm auf evtl.
vorhandene Computer-Viren überprüft werden.
Zu diesem Zweck empfiehlt es sich, einen speziellen Benutzer-Account im
Novell Netware 4.x Netz einzurichten, der über die Zugriffsrechte "Read" (R)
und "File Scan" (F) auf alle Dateien verfügt. Die Prüfung auf Computer-Viren
sollte keinesfalls mit den Rechten des Supervisors bzw. Supervisoräquivalenten Rechten durchgeführt werden, da ein Computer-VirenCheckprogramm, welches selbst mit einem Computer-Virus infiziert ist,
diesen auf alle Programme und Dateien übertragen würde.
Auch die Benutzer bzw. Benutzergruppen sollten auf die Verzeichnisse und
Dateien mit ausführbarem Programmcode lediglich die effektiven Rechte
"Read" (R) und "File scan" (F) erhalten, um deren Infektion mit ComputerViren zu vermeiden, die auf lokalen Rechnern aufgetreten sind. Zudem sollten
ausführbare Programme mit dem Netware-Attribut "Read only" (Ro) versehen
werden.

_____________________________________________________________________ ..........................................
325

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bei eingeschalteter Kompression ist zusätzlich zu beachten, daß durch einen
kompletten Suchlauf auf den Netware Volumes alle komprimierten Dateien
dekomprimiert werden müssen. Dies ist sehr zeitaufwendig und verlängert die
Antwortzeiten eines Servers stark.
Regelmäßige Überprüfung der Zeitsynchronisation und der NDSReproduktion
Um die Zeitsynchronisation und den Abgleich mehrerer NDS-Reproduktionen
zwischen verschiedenen Netware 4.x Servern zu beobachten, kann an der
Konsole ein separater Netware-Screen aktiviert werden. Dies erfolgt durch die
Eingabe der beiden Befehle
- SET TIMESYNC DEBUG = 7 und
- SET NDS TRACE TO SCREEN = ON.
An der Konsole werden dann die entsprechenden Pakete angezeigt, die
zwischen den Servern übertragen werden. Auf diesem NDS Trace Bildschirm
kann der Abgleich der einzelnen Reproduktionen des jeweiligen Servers
verfolgt werden. Wenn der Abgleich erfolgreich war, wird dies in grüner
Schrift angezeigt, Fehlermeldungen werden in roter Schrift dargestellt. Da
dieser Bildschirm regelmäßig aktualisiert wird, können Informationen
übersehen werden. Es ist daher zwingend erforderlich, regelmäßig die
Konsole-Meldungen zu beobachten. Hier empfiehlt sich allerdings der Einsatz
eines Netzmanagement-Tools, mit welchem man wesentlich zuverlässiger den
Status des Netzes ermitteln und überwachen kann:
Im Fehlerfall ist jedoch das Utility NDS-Manager (SYS:\PUBLIC\WIN95\
NDSMGR32.EXE - für Window 95 bzw. Windows NT) sehr hilfreich. Hiermit
kann ebenfalls der Reproduktionsstatus überwacht werden.
Regelmäßige Überprüfung der Auslastung der System-Festplatte
Damit ein störungsfreies Arbeiten gewährleistet werden kann, muß
sichergestellt sein, daß das System-Volume eines jeden Netware Servers über
genügend freien Speicherplatz verfügt. Dies ist vor allem bei eingeschalteter
Kompression sehr wichtig. Das System-Volume kann beispielsweise durch
temporäre Dateien vollgeschrieben werden, falls deren Ausbreitung nicht
kontrolliert wird und diese nicht von Zeit zu Zeit gelöscht werden. Weiterhin
können große Druckerwarteschlangen zu einem Überlauf des SystemVolumes führen, wenn sehr viele Benutzer gleichzeitig große Dokumente
drucken wollen.
Es sollte deshalb ein separates Volume für Druckerwarteschlangen und andere
Verzeichnisse angelegt werden, in denen temporäre Dateien abgespeichert
werden. Ist dies nicht möglich, so sollten zumindest Größenbeschränkungen
auf die entsprechenden Verzeichnisse vergeben werden, um deren
unkontrolliertes Anwachsen zu verhindern. Damit wird gewährleistet, daß das
System-Volume nicht mehr vollgeschrieben werden kann und immer
genügend Platz für systemspezifische Aktionen des Netware Servers
vorhanden ist.

_____________________________________________________________________ ..........................................
326

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.149
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wurden alle Aktionen für einen sicheren Betrieb eines Netware 4.x Servers
beachtet?
- Wurden zum Schutz vor Verlust der Administrierbarkeit Ersatz-BenutzerAccounts eingerichtet und diese mit ausdrücklichen Trustee-Zuordnungen
für die jeweiligen NDS-Objekte versehen?
- Werden die Plattenauslastungen und die Konsolenmeldungen regelmäßig
kontrolliert?
- Werden die Supervisorrechte auf die Serverobjekte regelmäßig geprüft?

_____________________________________________________________________ ..........................................
327

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.150
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.150

Revision von Novell Netware 4.x Netzen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Revisor
Eine wichtige Methode zur Gewährleistung der Sicherheit eines Netzes
besteht darin, unabhängigen Revisoren die Überprüfung der Vorgänge im
Netz zu gestatten. Netware 4.x bietet dazu die Möglichkeit, durch Aktivierung
der Revision mit dem Dienstprogramm SYS:PUBLIC\AUDITCON.EXE eine
Vielzahl von Ereignissen in der NDS und im Dateisystem zu verfolgen. Es ist
bei Netware 4.x möglich, beliebigen Benutzern die Rolle eines Revisors
zuzuweisen. Dieses Programm ermöglicht u. a. die folgenden Funktionen:
- Die Revisoren können alle NDS-Dateiereignisse der Netware-Server, der
Container oder eines bestimmten Volumes überwachen.
- Die Dateisystemrevision auf Volume- und Behälterebene kann aktiviert
werden.
- Die Revisoren können Netzereignisse und -aktivitäten zurückverfolgen,
jedoch können sie außer den Revisionsdaten- und Revisionsverlaufsdateien
nur diejenigen Dateien öffnen oder ändern, zu denen ihnen vom
Administrator die entsprechenden Rechte erteilt wurden.
Anmerkung: Bei der Aktivierung der Möglichkeiten zur Protokollierung ist
zu beachten, daß die Protokolldatei sehr groß werden kann. Daher sollte die
maximale Größe der Protokolldatei begrenzt werden, um einen
Speicherplatzmangel zu verhindern. Da dies abhängig von der Anzahl der
Benutzer und deren Aktivitäten ist, können hier jedoch keine konkreten
Richtlinien angegeben werden.
Die dabei anfallenden Daten sind in den meisten Fällen personenbezogen und
unterliegen somit dem Bundesdatenschutzgesetz (BDSG). Es ist
sicherzustellen, daß diese Daten nur zum Zweck der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes
verwendet werden (siehe auch M 2.110 Datenschutzaspekte bei der
Protokollierung).
Um einen unabhängigen Revisor einzurichten, der keine sonstigen
administrativen Rechte im Netz hat, aber die Aktivitäten eines Administrators
überprüfen kann, sind folgende Maßnahmen durchzuführen:
- Für Netware 4.10 muß das Auditing für das Dateisystem bzw. für die NDS
aktiviert sein und ein Paßwort hierfür vergeben werden. Jeder, der dieses
Paßwort kennt, ist in der Lage, das Auditing auszuwerten. Deshalb sollte
unter Netware 4.10 sehr sorgsam mit diesem Paßwort umgegangen werden.
Weitere Rechtevergaben sind unter Netware 4.10 nicht notwendig.
Ab Netware 4.11 werden die Informationen in NDS-Audit-File-Objekte
abgelegt. Somit läßt sich eine wesentlich bessere Sicherheit hierfür
aufbauen. Zudem bestehen unter Netware 4.11 wesentlich bessere
Überwachungsmöglichkeiten, da man die Anzahl der AuditingMechanismen und -Funktionen wesentlich erweitert hat

_____________________________________________________________________ ..........................................
328

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.150
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Erstellen eines Benutzerobjekts für den Revisor. Die Berechtigung sollte
nicht für einen herkömmlichen Benutzeraccount vergeben werden, da dies
die Sicherheit aushebeln könnte.
- Ab Netware 4.11 muß der Revisor notwendige NDS-Recht auf die
dementsprechenden NDS-Audit-File-Objekte erhalten.
- Aktivieren der Netzrevision. Die Person, die das NDS-Audit-File-Objekt
erstellt, bekommt das Supervisor-Recht auf das NDS-Audit-File-Objekt
und das Write-Recht auf das Access Control List Property. Zudem
kommen noch das Read- und Write-Recht auf das Audit Policy Property
und das Read-Recht für das Audit Contents Property hinzu. Somit ist der
Ersteller dieses NDS-Audit-File-Objektes in der Lage, die Administration
für das Auditing und Auswertungen hierzu durchzuführen.
- Vergabe eines Revisorpaßworts im Utility SYS:PUBLIC\AUDITCON.EXE,
um Unabhängigkeit vom Administrator zu erhalten (Netware 4.10 und aus
Kompatibilitätsgründen auch in Netware 4.11)
Ab Netware 4.11 sollte die Unabhängigkeit des Auditors vom
Administrator über die Vergabe von NDS-Rechten erzielt werden. Hier
können auch noch Abstufungen stattfinden, ob ein bestimmter Revisor
Audit-Daten einsehen und/oder das Auditing administrieren darf.
Ist es aus wohlüberlegten Gründen nicht gewünscht oder nicht möglich, die
Rolle eines unabhängigen Revisors einzurichten, kann die Auswertung der
Protokolldateien auch durch den Administrator erfolgen. Für diesen Fall bleibt
zu beachten, daß damit eine Kontrolle der Tätigkeiten des Administrators nur
schwer möglich ist. Das Ergebnis der Auswertung sollte daher zumindest dem
IT-Sicherheitsbeauftragten, dem IT-Verantwortlichen oder einem anderen
besonders zu bestimmenden Mitarbeiter vorgelegt werden.
Ergänzende Kontrollfragen:
- Wer wertet die Revisionsdateien aus?
- Können die Aktivitäten des Administrators ausreichend kontrolliert
werden?
- Wird das IT-Sicherheitsmanagement bei Auffälligkeiten unterrichtet?
- Wurde die maximale Größe der Protokolldatei begrenzt, um einen
Speicherplatzmangel zu verhindern?

_____________________________________________________________________ ..........................................
329

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.151
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.151

Entwurf eines NDS-Konzeptes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Eine der wichtigsten Neuerungen in Novell Netware 4.x stellen die Novell
Directory Services (NDS) dar, die im deutschen Sprachgebrauch als Novell
Verzeichnis Dienste bezeichnet werden. Die NDS bezieht sich auf die logische
Struktur des Netzes und aller darin vorhandenen Ressourcen wie z. B.
Benutzer, Gruppen, Drucker oder Netware Server.
Die Technologie der NDS ersetzt die noch in Netware 2.x und Netware 3.x
verwendete Bindery. In der Bindery sind alle Benutzer, Gruppen usw. in einer
eindimensionalen Liste enthalten. Beim Einsatz mehrerer Netware 3.x Server
steht der Administrator jedoch vor dem "Problem", daß jede Änderung
(beispielsweise das Hinzufügen eines Benutzers) auf jedem Netware 3.x
Server manuell ausgeführt werden mußte, d. h. auf allen Servern, für die
einem Benutzer Zugriffsrechte gegeben werden sollten.
Die Novell Verzeichnis Dienste hingegen sind unabhängig von einem konkreten Server und orientieren sich ausschließlich am zugrundeliegenden Netz.
Dies bedeutet, daß Administrationsarbeiten wie Änderungen oder Einrichtungen eines Benutzer-Accounts von den Novell Verzeichnis Diensten auf allen
betroffenen Servern vollzogen werden, ohne daß ein manuelles Eingreifen des
Administrators erforderlich ist.
Die Ressourcen werden in einer Datenbank baumförmig verwaltet, deshalb
spricht man auch vom NDS-Tree bzw. NDS-Baum. Im NDS-Baum werden
alle Benutzer, Gruppen, Drucker, Netware Server usw. als Objekte in der
sogenannten NDS-Verzeichnisdatenbank verwaltet. Hierbei unterscheidet man
zwei Arten von Objekten: Containerobjects (Behälterobjekte) und Leafobjects
(Blattobjekte). Während sich ein Blattobjekt am Ende eines Zweiges befindet
und keine weiteren Objekte mehr beinhaltet, kann ein Behälterobjekt weitere
Behälter oder Blattobjekte enthalten.
Es existieren u. a. folgende Behälterobjekte:
- Root (Stammobjekt)
Die Root stellt die Wurzel des NDS-Verzeichnisbaumes dar. Jeder NDSVerzeichnisbaum hat genau ein solches Objekt, das bei der Installation
angelegt wird und weder umbenannt noch gelöscht werden kann. In jedem
NDS-Verzeichnisbaum kann sich nur ein solches Objekt befinden.
- Country (Land)
Das Objekt Country ermöglicht eine geographische Unterteilung der
gesamten Struktur des NDS-Verzeichnisbaumes, d. h. eine Einteilung des
Netzes nach verschiedenen Ländern. Dieses Objekt ist jedoch optional und
wird deshalb bei der Installation der NDS auch nicht vorgegeben.
- Organization (Organisation)
Das Objekt Organization dient dazu, weitere Objekte im NDS-Verzeichnisbaum hierarchisch anzuordnen. Dabei gibt es keine festen Regeln, so

_____________________________________________________________________ ..........................................
330

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.151
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

daß ein Unternehmen beispielsweise sowohl den Firmennamen als auch
verschiedene Niederlassungen als Bezeichnung der Organisation verwenden kann. Jeder NDS-Verzeichnisbaum muß mindestens eine Organisation
beinhalten.
- Organizational Unit (Organisatorische Einheit)
Die Organizational Unit kann nur unterhalb einer Organisation erstellt
werden und dient zur weiteren Unterteilung der NDS. Beispielsweise
lassen sich Niederlassungen, Abteilungen oder Projektgruppen in organisatorischen Einheiten anordnen. Die organisatorische Einheit ist optional und
wird zur besseren Strukturierung je nach Anzahl der Blattobjekte
eingesetzt.
Als Blattobjekte bezeichnet man z. B. Benutzer, Gruppen, Drucker, Server
oder Datenträger. Es ist nicht möglich, unter Blattobjekten weitere Objekte
anzulegen. Folgende Blattobjekte werden am häufigsten verwendet:
- Netware Server
Dieses Objekt repräsentiert einen Netware Server im Netz, von dem es
mindestens einen geben muß. Auf dieses Objekt wird von vielen anderen
Objekten verwiesen, die die vom Server bereitgestellten Dienste verwenden. Dieses Objekt wird bereits durch das Installationsprogramm erstellt.
- Drucker
Hiermit wird ein im Netz vorhandener Drucker dargestellt. Zu einem
Drucker gehören immer die Objekte Druckerwarteschlange und Druckserver.
- Benutzer
Dieses Objekt dient zur Verwaltung und Speicherung von Informationen
über einen Benutzer des Netzes, insbesondere über seine Zugriffsrechte auf
Netzressourcen.
- Gruppen
Obwohl in einer Gruppe mehrere Benutzer zusammengefaßt werden
können, stellt eine Gruppe ein Blattobjekt und kein Behälterobjekt dar. Sie
dient zur einfacheren Administration, da die Rechte einer Gruppe auf deren
Mitglieder übertragen werden.
- Volume
Hiermit wird ein physikalisches Volume zum Speichern von Daten dargestellt. Volumeobjekte werden in der Regel vom Installationsprogramm
erstellt.
Für eine detailliertere Beschreibung der weiteren Blattobjekte wird auf die
Netware Handbücher verwiesen. Auch sind der Objektvielfalt keine Grenzen
gesetzt, da z. B. Objekte von Applikationen hinzugefügt, aber auch entfernt
werden können.
Die Verzeichnisobjekte und deren Attribute werden, wie bereits erwähnt, in
einer Datenbank verwaltet, die wesentlicher Bestandteil der NDS ist. In
Netzen mit WAN-Verbindungen empfiehlt es sich, diese Datenbank in

_____________________________________________________________________ ..........................................
331

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.151
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

logische Segmente aufzuteilen, welche auf verschiedene Netware-Server
kopiert werden. Es ist hierbei wichtig beim Planen der Reproduktionen auf
langsame WAN-Verbindungen zu achten.
Diese logische Segmentierung wird als Partitionierung bezeichnet. Der
Kopiervorgang der logischen Segmente auf die Netware-Server wird als
Reproduktion bezeichnet.
Jede Partition besteht aus mindestens einem Behälterobjekt und den darin
enthaltenen Objekten. Zusätzlich kann es von einer Partition noch mehrere
Lese- bzw. Schreib/Lese-Kopien geben, jedoch immer nur eine Haupt-Reproduktion.
Die physische Unterteilung der NDS in Partitionen ist für die Anwender
transparent; d. h. die Netware-internen Mechanismen sorgen dafür, daß der
Anwender nichts von der Aufteilung bemerkt.
Der Entwurf eines NDS-Verzeichnisbaumes unterliegt prinzipiell keinerlei
Beschränkungen, so daß es zur Erzeugung der unterschiedlichsten Formen mit
beliebiger Komplexität kommen kann. Dabei sollte jedoch eine gründliche
und sorgfältige Planung durchgeführt werden, wobei folgende Grundsätze zu
beachten sind:
- Eine übersichtliche NDS sollte maximal zwischen 4 und 8 Ebenen tief sein.
- Die maximale Anzahl aller Objekte in einer Organisation oder in einer
organisatorischen Einheit sollte nicht mehr als 1.500 betragen.
- Mehrere kleinere Abteilungen sollten zu einer organisatorischen Einheit
zusammengefaßt werden, um deren Anzahl zu reduzieren und die Übersichtlichkeit zu erhöhen.
- Es sollten aussagekräftige, aber nicht zu lange Namen verwendet werden
(z. B. "F&E" statt "Forschung und Entwicklung"), da die gesamte Pfadangabe innerhalb des NDS-Baumes maximal 255 Zeichen lang sein darf.
Diese Begrenzung kommt allerdings nur indirekt zustande, da DOSZeilenkommandos keine längeren Eingaben zulassen. Diese Pfadangabe
wird Kontext genannt.
- Von jeder Partition sollten zusätzlich zur Hauptpartition zwei weitere
Schreib/Lese-Partitionen erstellt werden. Durch die somit vorhandene
Redundanz ist der Verlust von NDS-Informationen gering. Eine Sicherung
der NDS bleibt trotzdem obligatorisch.
- Das Netware Loadable Module (NLM) Directory Service (DS.NLM) ist auf
allen Netware Servern innerhalb eines NDS-Baumes, auf dem dieselben
Netware Versionen installiert sind, in derselben Version zu benutzen, da
sich verschiedene Versionen unter Umständen nicht miteinander
synchronisieren. In NDS-Bäumen, in denen z. B. Netware Server der Versionen 4.10, 4.11 und 5.0 installiert sind, müssen sich die Versionen der
DS.NLM auf den einzelnen Netware Servern sehr wohl unterscheiden. Nur
die DS.NLM auf allen Netware Servern der Versionen 4.10, 4.11 und 5.0
muß, um unnötige Probleme zu vermeiden, in derselben Version installiert
sein. Da prinzipiell Mischumgebungen erlaubt sind, zeigt die Praxis, daß
eine homogene Serverlandschaft - entweder nur Netware Server der

_____________________________________________________________________ ..........................................
332

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.151
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Versionen 4.10, 4.11 oder 5.0, die stabilsten und die am besten zu administrierenden NDS-Netze sind.
Bei der Planung der NDS ist nicht vorrangig die Größe des Netzes, sondern
das Umfeld entscheidend, wie z. B. die Hardware, die Kommunikationsverbindungen, die LAN/WAN-Topologie und die Struktur der Organisation.
Beispielsweise ist für ein kleines Netz mit mehreren WAN-Verbindungen ein
größerer Aufwand für die Planung erforderlich als für ein großes Netz ohne
WAN-Verbindungen, da mit den verschiedenen WAN-Architekturtypen eindeutige physische Attribute verknüpft sind. Eine Planung sollte zumindest die
folgenden Punkte abdecken:
- Festlegung eines Standards für die Benennung von Objekten (insbesondere
Namenskonventionen für Benutzer- und Druckerkennungen),
- Entwurf einer Verzeichnisbaumstruktur,
- Festlegung der Position von Netzressourcen (z.B. Drucker und Server)
innerhalb des NDS-Baumes bzw. Container, um Benutzern und Administratoren eine transparente Sicht des Netzes zu ermöglichen,
- NDS-Baum sollte die Organisationsstruktur des abzubildenden Unternehmens widerspiegeln,
- Einheitliche sowie abgestimmte Positionierung von Netzressourcen an
verschiedenen Standorten um Benutzern mit häufigen Standortwechsel ein
möglichst kurze Einarbeitungszeit zu ermöglichen,
- Festlegung einer Partitions- und Reproduktionsstrategie, die unter anderem
stark abhängig von WAN-Verbindungen ist.
Für weitergehende Informationen zur NDS-Planung sei an dieser Stelle auf
das Handbuch zu Netware 4 Netzwerken von Novell verwiesen, welches die
Implementierung eines Netware 4.x Netzes ausführlich beschreibt.
Ergänzende Kontrollfragen:
- Existieren regelmäßig Absprachen der einzelnen Administratoren der verschiedenen Standorten?
- Wurden alle Planungsgrundsätze eingehalten?
- Sind die NDS, Planungsgrundsätze und die Absprachen der Administratoren dokumentiert?

_____________________________________________________________________ ..........................................
333

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.152
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.152

Entwurf eines Zeitsynchronisations-Konzeptes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Stabilität eines Netware 4.x Netzes hängt wesentlich von der Zeitsynchronisation ab und steht im direkten Zusammenhang mit den Novell
Directory Services (NDS).
Zeitsynchronisation bedeutet in diesem Fall, daß in einem Netz mit NDS und
mehreren Netware-Servern deren Uhrzeit übereinstimmen muß. Dabei beträgt
die Standardtoleranz zwei Sekunden. Die Uhren sämtlicher Netware-Server
der NDS dürfen also nicht mehr als zwei Sekunden voneinander abweichen.
Ist dies gewährleistet, wird die Uhrzeit im Netz als synchron bezeichnet.
In einem Multiserver-Netz sind im allgemeinen mehrere Replikationen
und/oder Partitionen der NDS auf den Netware-Servern verteilt. Wird eine
Änderung an einer Partition der NDS durchgeführt, wird diese mit einem
Zeitstempel versehen. Diese Änderung wird dann beim nächsten NDSAbgleich an die Partitionen und Replikationen auf den anderen Netware-Servern im Netz weitergegeben. Geht die Uhrzeit auf einem der Netware-Server,
der die Änderung empfängt, um beispielsweise eine Stunde nach und ist somit
nicht in sync, können die Änderung für diese NDS-Replikation oder Partition
erst synchronisiert werden, wenn der betroffene Server wieder in sync ist.
Grundsätzlich kann man die folgenden zwei Szenarien unterscheiden:
- Einzelreferenz
Dieses Zeitmodell wird von Novell für Netze mit bis zu 30 NetwareServern empfohlen. Es ist sehr einfach einzurichten, und es bedarf keiner
detaillierteren Planung der Zeitsynchronisation.
In diesem Modell dient ein einziger Netware-Server als Zeitgeber
(Einzelreferenz), während die restlichen Netware-Server nur als Zeitnehmer fungieren. Der Einzelreferenz-Server gibt die Uhrzeit für das
gesamte Netz vor und sollte deshalb mit einer externen Zeitquelle (z. B.
einer Funkuhr) verbunden werden.
Ein großer Nachteil dieses Zeitmodells ist, daß beim Ausfall des Einzelreferenz-Servers kein Zeitabgleich mehr stattfinden kann, mit allen daraus
resultierenden Konsequenzen.
- Zeitgebergruppen
Bei größeren Netzen empfiehlt es sich, Zeitgebergruppen zu verwenden.
Sie sind nicht schwer zu konfigurieren, erfordern jedoch eine angemessene
Planung. Hier teilen sich mehrere Netware-Server die Zeitgeber-Rolle.
Einer von ihnen ist der Referenz-Server, welcher mit einer externen Zeitquelle verbunden werden sollte.
Eine Stufe unter dem Referenz-Server stehen die primären Zeitserver, von
denen mindestens zwei existieren müssen. Dieser Zeitservertyp unterscheidet sich nicht grundlegend von einem Referenz-Server. Alle Referenz- und Primär-Server bestimmen gemeinsam eine gültige Netzzeit und

_____________________________________________________________________ ..........................................
334

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.152
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

geben diese Zeit an die Sekundär-Server weiter. Der Referenz-Server ist
der ruhende Pol im Netz. Da er seine Zeit nicht an die Netzzeit anpaßt,
muß sich zwangsläufig die Netzzeit an ihn anpassen. Daher ist er auch
derjenige Server, an dem die Netzzeit, falls notwendig, korrigiert werden
muß. Im Gegensatz dazu passen Primär-Server ihre Zeit an die Netzzeit an.
Ein entscheidender Vorteil dieses Modells ist, daß durch die Primär-Server
Ersatz-Zeitgeber vorhanden sind und bei einem Ausfall des ReferenzServers weiterhin eine Zeitsynchronisation stattfinden kann. Trotz der
Aussage von Novell, daß dieses Modell ab 30 Netware-Servern verwendet
werden soll, kann es auch mit bedeutend weniger Netware-Servern eingesetzt werden.
Zeitgeber, Einzelreferenz-, Referenz- und Primär-Server werden in der
Standardkonfiguration dynamisch über SAP/RIP-Mechanismen im Netz
bekannt gegeben. Dies hat den Nachteil, daß man keinen Einfluß darauf
hat, welcher Zeitserver mit welchem Zeitserver kommuniziert. Dies ist
unter Umständen besonders bei WAN-Verbindungen nicht wünschenswert.
Darum gibt es hier die Möglichkeit, auch mit konfigurierbaren Listen zu
arbeiten und den SAP/RIP-Mechanismus auszuschalten.
Beim Entwurf eines Zeitsynchronisations-Konzeptes sollten die folgenden
Punkte beachtet werden:
- In jedem Netz mit mehr als einem Netware-Server sollte eine externe
Zeitquelle (z. B. Funkuhr) installiert werden.
- Bei WAN-Verbindungen innerhalb eines Netzes, in dem die NDS eingesetzt wird, sollte an einem Standort mit mehreren Netware 4.x Servern
mindestens ein Zeitgeber vorhanden sein, so daß die lokalen SekundärServer auf einen lokalen Zeitgeber zurückgreifen können.
- Sollte auf einem Netware-Server aufgrund einer Fehlkonfiguration die
eingestellte Uhrzeit sehr weit in der Zukunft liegen (beispielsweise 1 Jahr),
so würde der Server nach Umstellung auf die korrekte Uhrzeit für 1 Jahr
die Fehlermeldung "Synthetische Zeit ..." für alle NDS-Ereignisse ausgeben. Diese Fehlermeldung könnte beseitigt werden, wenn im Programm
DSREPAIR.NLM eine neue Zeitepoche deklariert werden würde. Dabei
würde die komplette NDS auf diesem Server gelöscht und neu erstellt
werden. Dies ist ein relativ kritischer Eingriff in die NDS und sollte daher
wohl überlegt sein.
Ergänzende Kontrollfragen:
- Wurde die Zeitsynchronisation angemessen geplant?

_____________________________________________________________________ ..........................................
335

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.153
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.153

Dokumentation von Novell Netware 4.x Netzen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Eine wichtige Maßnahme zur Gewährleistung eines sicheren Betriebs, welche
aus Zeit- oder Personalmangel oft vernachlässigt wird, ist die Dokumentation
der wesentlichen Informationen eines Novell Netware 4.x Netzes. Da die
Verantwortlichkeit über bestimmte Bereiche des Netzes wechseln oder auch
ein Personalausfall auftreten kann, ist es unerläßlich, alle relevanten Informationen zu jedem Netware Server zu erfassen und in einer übersichtlichen
Dokumentation darzustellen. Dies erleichtert die Einarbeitung einer eventuell
erforderlichen Vertretung und verkürzt beim Auftreten eines Fehlers die Ausfallzeit.
In einer solchen Dokumentation sollten die folgenden Informationen (mit
allen erforderlichen Parametern) in einer transparenten und einfach zu aktualisierenden Form dargestellt werden:
NDS
Auf die Dokumentation der NDS ist ein besonders hohes Augenmerk zu
richten, da sie unter Umständen nicht auf einem einzigen zentralen Server
gehalten wird, sondern sich insbesondere in Netware Netzen mit vielen WANVerbindungen in verschiedenen Partitionen befinden kann und auf
unterschiedlichen Netware Servern gespeichert wird. Im Einzelfall kann dies
bedeuten, daß z. B. ein Server mit einer Schreib/Lese-Partition zur HauptReproduktion-Partition geändert werden muß, wenn der eigentliche HauptReproduktionsserver einer Partition durch einen Hardwareausfall neu installiert werden muß. Allerdings kann dieser Problemfall durch geeignete Sicherungsmechanismen umgangen werden. Man sieht schon anhand dieses Beispiels, wie komplex der Aufbau einer weitverzweigten NDS ausfallen kann,
und somit die Notwendigkeit einer entsprechenden Dokumentation besteht.
Hierin sollten auf jeden Fall der Aufbau der NDS und auch Informationen
über die vergebenen NDS- und Datei-Rechte zu finden sein.
Zeitsynchronisation
Da NDS und Zeitsynchronisation engverwandte Themen sind, ist es sinnvoll,
sie auch in der Dokumentation miteinander zu verbinden. Dies ergibt sich aus
dem Umstand, daß alle relevanten Informationen, die über das Netware 4.x
Netz ausgetauscht werden, mit Zeitstempeln versehen sind.
Damit die Zeitsynchronisation in einem Novell Netware 4.x Netz ordnungsgemäß funktioniert und die entsprechenden Zeitinformationen auch auf jedem
Server zum gewünschten Resultat führen, muß klar festgelegt werden, welcher
Server als Zeitquelle fungiert und welches Zeitmodell verwendet wird. Aus
diesem Grund ist es auch unerläßlich, die Zeitsynchronisation und die
entsprechenden NDS Dienste korrekt darzustellen, um im Fehlerfall die
richtigen Schritte einleiten zu können.
Die unten aufgeführte Tabelle zeigt ein Beispiel, wie eine entsprechende
Dokumentation aussehen kann.

_____________________________________________________________________ ..........................................
336

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.153
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

SERVER

ZEITTYP

PARTITIONEN
[Root]

Public

Hamburg-S1 Referenz

HauptReproduktion

HauptReproduktion

Hamburg-S2 Sekundär

Lese/
SchreibReproduktion

Lese/
SchreibReproduktion

Hamburg-S3 Sekundär

Berlin-S1

Primär

Berlin-S2

Primär

Hamburg Berlin

HauptReproduktion
Lese/
SchreibReproduktion

HauptReproduktion

Lese/
SchreibReproduktion
Lese/
SchreibReproduktion

Hardwarekonfiguration
Hier ist anzumerken, daß bei einer Neuinstallation des Netware Servers (z. B.
nach einem Systemabsturz) sämtliche Informationen zu den Einstellungen der
Hardware bekannt sein müssen, um den Server sachgerecht und zügig konfigurieren zu können. Sind diese nicht bekannt, so müssen sie im Einzelfall erst
über entsprechende Programme abgefragt oder am Gerät abgelesen werden,
was einen nicht zu unterschätzenden Zeitaufwand darstellt. Dies gilt insbesondere für das Beheben von zeitkritischen Fehlern.
Für alle eingesetzten Hardware-Komponenten im Server, wie z. B. Netzadapterkarten, Grafikkarten, Kommunikations-Schnittstellen (seriell, parallel,
USB, PS/2 usw.) oder SCSI-, IDE- und RAID-Controller, müssen u. a.
folgende Informationen vorgehalten werden:
- Interrupt,
- E/A-Schnittstelle,
- DMA-Kanal,
- SCSI- und LUN-Adresse,
- Speicheradresse,
- Knotenadresse,

_____________________________________________________________________ ..........................................
337

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.153
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Steckplatznummer,
- Externe IPX-Netzwerknummer und
- Rahmentyp.
Zur Dokumentation der Server-Hardware gehören auch die externen Geräte,
wie z. B.
- Drucker oder
- externe Sub-Systeme (Festplattenschränke u. ä.).
Als Beispiel und Hilfe kann hierfür in der Original-Dokumentation zu Novell
Netware 4.11 (Handbuch zu Netware 4) im Anhang C: Beispiel zu Schablonen
unter C8 nachgeschlagen werden.
Softwarekonfiguration
Ein weiterer wichtiger Punkt ist die Konfiguration der Software. Dazu gehören u. a. die folgenden Aspekte:
- Patchlevel,
- NLMs (Netware Loadable Modules),
- Treiber und
- Konfigurationsdateien (AUTOEXEC.NCF, STARTUP.NCF, DHCPTAB,
etc., siehe auch die Beschreibung CONFIG.NLM und Config-Reader).
Da wichtige Programme unter Umständen nur ab einem bestimmten
Patchlevel arbeiten, muß dokumentiert werden, welche Systemupdates notwendig sind, um die betroffenen Programme (wie z. B. Backup-Utilities) ausführen zu können. Aus diesem Grund sollte notiert werden, welche Updates
und Patches zu welchem Zweck auf dem Netware Server installiert wurden.
Es sei an dieser Stelle auch auf ein Tool hingewiesen, mit dem diese Einzelheiten der Konfiguration abgefragt und in einer ASCII-Datei gespeichert
werden können. Dabei handelt es sich um das Programm CONFIG.NLM.
Dieses Programm muß an der jeweiligen Server-Konsole gestartet werden und
erzeugt eine Datei CONFIG.TXT. Mit Hilfe des Windows-Programms ConfigReader kann diese Konfigurationsdatei analysiert werden. Beide Programme
sind im Internet unter http://support.novell.com zu finden. In der Datei
CONFIG.TXT wird in wenigen Sekunden die komplette Konfiguration des
Netware Servers abgelegt. Dies vereinfacht den Wiederanlauf eines Servers
bei Hardwareausfall wesentlich.
Ergänzende Kontrollfragen:
- Wurden alle relevanten Informationen zu den Netware Servern dokumentiert?
- Wird die Dokumentation regelmäßig aktualisiert?

_____________________________________________________________________ ..........................................
338

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.154
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.154

Erstellung eines ComputerVirenschutzkonzepts

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um für eine gesamte Organisation einen effektiven Computer-Virenschutz zu
erreichen, sind abgestimmte und angemessene Schutzmaßnahmen
auszuwählen und umzusetzen. Dies setzt eine konzeptionelle Vorgehensweise
voraus, um sämtliche betroffenen IT-Systeme mit geeigneten Maßnahmen zu
versehen und durch Aktualisierung den notwendigen Schutz aufrechtzuhalten.
Nachfolgend wird das Inhaltsverzeichnis eines Computer-Virenschutzkonzeptes aufgezeigt.
Inhaltsverzeichnis Computer-Virenschutzkonzept
Teil A: Sensibilisierung
1 Abhängigkeit der Institution vom IT-Einsatz
2 Beschreibung des Gefährdungspotentials
2.1Computer-Viren
2.2Makro-Viren
2.3Trojanische Pferde
2.4Hoax
3 Schadensszenarien
4 Potentiell betroffene IT-Systeme
Teil B: Erforderliche Schutzmaßnahmen
5 Computer-Virenschutz-Strategie
5.1Nicht-vernetzte IT-Systeme
5.2Vernetzte Endgeräte
5.3Server
6 Aktualisierung der Computer-Viren-Suchprogramme
6.1Nicht-vernetzte IT-Systeme
6.2Vernetzte Endgeräte
6.3Server
Teil C: Regelungen
7 Regelungen zum Schutz vor Computer-Viren
7.1Nutzungsverbot nicht freigegebener Software
7.2Schulung der IT-Benutzer
7.3Umstellung der Boot-Reihenfolge
7.4Anlegen einer Notfall-Diskette
7.5Verhaltensregeln bei Auftreten eines Computer-Virus
7.6Maßnahmen bei nicht-resident virenkontrollierten IT-Systemen
7.6.1 Regelmäßiger Einsatz eines Computer-Viren-Suchprogramms
7.6.2 Virenkontrolle bei Datenträgeraustausch und Datenübertragung
7.6.3 Prüfung eingehender Dateien auf Makro-Viren
8 Regelung der Verantwortlichkeiten
8.1Ansprechpartner für Computer-Viren
8.2Verantwortlichkeit von Administratoren
8.3Verantwortlichkeit des einzelnen IT-Benutzers
8.4Verantwortlichkeit des IT-Sicherheitsmanagements

_____________________________________________________________________ ..........................................
339

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.154
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Teil D: Hilfsmittel
10 Verhaltensregeln bei Auftreten eines Computer-Virus
11 Meldewege bei Auftreten eines Computer-Virus
12 Benutzerhandbuch des Computer-Viren-Suchprogramms

Die nachfolgenden Maßnahmen erläutern, wie einige wichtige Teile dieses
Konzepts erstellt werden können.
Ergänzende Kontrollfragen:
- Ist das Computer-Virenschutzkonzept vom Management in Kraft gesetzt
worden?
- Ist das Computer-Virenschutzkonzept allen Betroffenen bekannt?

_____________________________________________________________________ ..........................................
340

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.155
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.155

Identifikation potentiell von Computer-Viren
bedrohter IT-Systeme

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Für die Erstellung eines Viren-Schutzkonzeptes müssen in einem ersten
Schritt die potentiell von Computer-Viren bedrohten IT-Systeme der
Behörde/Institution identifiziert werden. Aus einer Übersicht aller ITSysteme, die im Einsatz sind oder deren Einsatz geplant ist, können dazu alle
IT-Systeme herausgefiltert werden, für die Computer-Viren eine Bedrohung
darstellen oder über die Computer-Viren verteilt werden können. Diese
Übersicht kann auch aus den Ergebnissen der Schutzbedarfsfeststellung nach
IT-Grundschutzhandbuch Kapitel 2.2 gewonnen werden.
Durch Computer-Viren sind typischerweise alle IT-Systeme mit PC-basierten
Betriebssystemen wie DOS, Windows 3.x, 95/98 oder NT betroffen oder
solche mit Anwendungsprogrammen wie Microsoft Word oder Excel, die
durch Makro-Viren infiziert werden können.
Server werden zwar im allgemeinen nicht direkt durch Computer-Viren
bedroht, können aber eine Verteilstelle für infizierte Programme und Dateien
sein.
Es kann nicht ausgeschlossen werden, daß Computer-Viren auch bei Verwendung anderer Betriebssysteme oder IT-Anwendungsprogramme auftreten
können. Dies gilt zum Beispiel in wenigen Einzelfällen bei Unix-Systemen
und OS/2-Systemen, die jedoch aufgrund geringer Verbreitung nur ein
niedriges Bedrohungspotential darstellen (siehe G 5.23).
Für jedes identifizierte IT-System kann in einem nächsten Schritt ergänzend
erfaßt werden, welche möglichen Infektionswege für Computer-Viren bestehen. Diese Informationen können für die spätere Auswahl von Maßnahmen
genutzt werden. Eine Infektion durch Computer-Viren kann beispielsweise
erfolgen:
- bei Einsatz von Disketten, CD-ROMs oder anderen austauschbaren Datenträgern,
- bei der Installation neuer Software,
- durch den Zugriff auf Dateien, die nicht auf der lokalen Festplatte gespeichert sind, sondern auf einem Server im Netz bzw. in einem freigegebenen
Verzeichnis innerhalb eines Peer-to-Peer-Netzes,
- durch den Zugriff auf von externer Stelle erhaltene Dateien (z. B. Attachment einer E-Mail, Dateien aus dem Internet),
- bei extern vorgenommenen Wartungsarbeiten.
Sinnvoll ist es, für jedes identifizierte IT-System oder exemplarisch für jeden
identifizierten IT-System-Typ tabellarisch zu erfassen, über welche Schnittstellen eine Computer-Vireninfektion erfolgen kann. Dies können sein:

_____________________________________________________________________ ..........................................
341

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.155
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- alle lokal am Rechner vorhandenen Lesegeräte für austauschbare Datenträger (Diskettenlaufwerk, CD-ROM-Laufwerk, Streamer, Wechselplatten
u. a.),
- alle mobilen, an die Rechner lokal anschließbaren Lesegeräte für
austauschbare Datenträger (Diskettenlaufwerk, CD-ROM-Laufwerk,
Streamer, Wechselplatten u. a.),
- die Anbindung an andere IT-Systeme im eigenen Sicherheitsbereich
(LAN-Server, Peer-to-Peer-Verbindungen),
- Schnittstellen, über die ein Datentransfer von externen IT-Systemen auf
das lokale IT-System erfolgen kann (Modem, Internetanschluß).
Der wichtigste Punkt einer solchen Übersicht ist die Benennung von
Ansprechpartnern für die jeweiligen IT-Systeme, die für die Realisierung der
notwendigen Maßnahmen verantwortlich sind und die Anlaufstellen für die
Benutzer sind. Da die IT-Landschaft einer Organisation ständigen Änderungen unterworfen ist, müssen im Hinblick auf Veränderungen an bestehenden Systemen diese Informationen bei Bedarf aktualisiert werden.
Beispiel für die Erhebung:
Vorhandene und geplante IT-Systeme / Schnittstellen
Bezeichnung
und Art

lokal
vernetzt

lokale
Lesegeräte

externe
Lesegeräte

Kommunikationskarten

Ansprechpartner für
Virenproblematik

Server Abt. X,
Novell 4

x

Disketten-,
CD-ROMLaufwerk

Streamer

Modem

Administrator Müller

Clients Abt. X
Windows 95

x

Disketten-,
CD-ROMLaufwerk

PC-Betreuer Meier

DiskettenLaufwerk

Laptop-Verwaltung
Schulze

Laptops,
Windows NT
Server Abt. XI,
Unix

x

Disketten-,
CD-ROMLaufwerk

Workstations
Abt. XI
Unix

x

-

PC's Sekretariat
Windows 95

x

Frau Peze

...

...

...

Streamer

...

Administratorin
Schmitz

...

Ergänzende Kontrollfrage:
- Wie wird sichergestellt, daß bei Veränderungen der eingesetzten ITSysteme oder bei Einsatz neuer IT-Systeme die erforderlichen Maßnahmen
des Virenschutz-Konzeptes berücksichtigt werden?

_____________________________________________________________________ ..........................................
342

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.156
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.156

Auswahl einer geeigneten ComputerVirenschutz-Strategie

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Für die Umsetzung eines Computer-Virenschutzes sind personelle und
finanzielle Ressourcen erforderlich, die in einem angemessenen Verhältnis zu
dem tatsächlichen Bedrohungspotential stehen müssen. Für die Gesamtheit der
identifizierten potentiell durch Computer-Viren bedrohten IT-Systeme sind
folgende Einflußfaktoren zu erheben:
- Wie häufig findet über die vorhandenen Schnittstellen ein Datentransfer
statt, der zu einer Infektion bzw. Verbreitung von Computer-Viren führen
kann?
- Mit welchen Folgen ist bei einer tatsächlichen Infektion zu rechnen, wenn
keine Schutzmaßnahmen ergriffen werden?
- Wie zuverlässig werden von den IT-Benutzern IT-Sicherheitsmaßnahmen
durchgeführt, die periodisch zu veranlassen sind?
- Wieviel Zeitaufwand kann den IT-Benutzern für Computer-VirenSchutzmaßnahmen zugemutet werden?
Bei Kenntnis der daraus und aus Fachveröffentlichungen ableitbaren
Häufigkeit von Computer-Viren-Infektionen und der daraus entstehenden
möglichen Folgeschäden ist unter Einbeziehung des Managements zu
entscheiden, welche finanziellen Ressourcen für notwendige Maßnahmen zur
Verfügung gestellt werden müssen und welche personellen Ressourcen
bereitgestellt werden.
In Kenntnis der finanziellen und personellen Ressourcen, die für den
Computer-Virenschutz zur Verfügung stehen, und der identifizierten potentiell
bedrohten IT-Systeme können Strategien ausgewählt werden, wie ein
geeigneter Schutz erreicht werden kann.
Einige mögliche Strategien werden im folgenden vorgestellt.
Computer-Viren-Suchprogramme auf jedem Endgerät
Erfolgt auf einem IT-System der Einsatz eines aktuellen residenten ComputerViren-Suchprogramms (also eines Programmes, das permanent im
Hintergrund läuft), wird sichergestellt, daß ein infiziertes Programm nicht
ausgeführt oder eine Datei mit einem Makro-Virus nicht geladen werden
kann. Die Kontrolle der Schnittstellen am Endgerät übernimmt das residente
Suchprogramm. Dadurch wird gewährleistet, daß eine Übertragung auf das
IT-System nicht erfolgt. Der ausschließliche Einsatz nicht-residenter
Computer-Viren-Suchprogamme (die nur durch explizites Starten des
Programms durch den Benutzer aktiviert werden) empfiehlt sich nicht, da
hierdurch heute kein wesentlicher finanzieller Vorteil erzielbar ist, jedoch die
Nachteile auf seiten des IT-Benutzers erheblich zunehmen, da er zuverlässig
regelmäßig das Programm aktivieren muß.

_____________________________________________________________________ ..........................................
343

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.156
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Werden alle Endgeräte mit einem residenten Computer-Viren-Suchprogramm
ausgestattet, ist sichergestellt, daß Computer-Viren sofort nach Auftreten
identifiziert und daß sie nicht vom Endgerät aus weitergegeben werden.
Darüber hinaus sollte der Einzelaufruf auch bei residenten VirenSuchprogrammen auf jedem Client möglich sein, um bei Bedarf, z. B. vor dem
Öffnen von E-Mail-Attachments diese gezielt überprüfen zu können.
Vorteile:
- Ein geeignetes, aktuelles und residentes Computer-Viren-Suchprogramm
gewährleistet einen maximalen Schutz bei gleichzeitig minimalen
Aufwand für den IT-Benutzer
Nachteile:
- Anschaffungskosten sowie Administrationsaufwand fallen für jedes
Endgerät an.
- Ältere IT-Systeme haben unter Umständen nicht ausreichend
Hauptspeicher. Es könnte außerdem zu Komplikationen bei der
Zusammenarbeit mit anderen Programmen kommen.
Computer-Viren-Suchprogramme auf allen Endgeräten mit externen
Schnittstellen
In vernetzten IT-Systemen wird ein residentes Computer-VirenSuchprogramm nur auf den IT-Systemen installiert, die neben Schnittstellen
zum eigenen internen Netz über weitere externe Schnittstellen
(Diskettenlaufwerk, CD-ROM, Modem) verfügen. Vernetzte IT-Systeme ohne
direkte externe Schnittstellen werden nicht mit Computer-VirenSuchprogrammen ausgestattet.
Vorteile:
- Anschaffungskosten sowie Administrationsaufwand reduzieren sich auf die
IT-Systeme mit externen Schnittstellen.
Nachteile:
- Änderungen an den IT-Systemen, die zur Einrichtung neuer externer
Schnittstellen führen, müssen akribisch nachgehalten werden, da ggf. die
Nachrüstung von IT-Systemen mit Computer-Virersuchprogammen
notwendig wird.
- Verschlüsselte Dateien oder Programme, die Computer-Viren beinhalten
und erst auf einem ungeschützten Endgerät entschlüsselt werden, führen zu
Infektionen. Dies kann in gleicher Weise auch für komprimierte Dateien
gelten, wenn das Suchprogramm nicht geeignet ist.
Computer-Viren-Suchprogramme auf allen Servern
In diesem Fall wird in einem vernetzten IT-System jeder Server mit einem
residenten Computer-Viren-Suchprogramm ausgestattet, die angeschlossenen
Endgeräte jedoch nicht. Dadurch wird sichergestellt, daß keine Übertragung
von Computer-Viren von einem Endgerät auf ein anderes Endgerät erfolgen
kann und so eine mögliche Infektion lokal isoliert bleibt.

_____________________________________________________________________ ..........................................
344

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.156
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Vorteile:
- Anschaffungskosten sowie Administrationsaufwand reduzieren sich auf die
Server.
- Schutz der Server verhindert Re-Infektionen, z. B. nach dem Einspielen
von archivierten Dateien.
Nachteile:
- Für die Endgeräte mit externen Schnittstellen muß der Benutzer das auf
dem Server befindliche Computer-Viren-Suchprogramm manuell starten,
um damit eingehende externe Datenträger, aber auch zu versendende
Datenträger und Dateien zu überprüfen.
- Verschlüsselte Dateien oder Programme, die Computer-Viren beinhalten
und erst auf einem ungeschützten Endgerät entschlüsselt werden, führen
ohne Eingangskontrolle zu Infektionen. Dies kann in gleicher Weise auch
für komprimierte Dateien gelten, wenn das Suchprogramm nicht geeignet
ist.
- Ein Computer-Viren-Befall eines Endgerätes mit externen Schnittstellen
kann nicht ausgeschlossen werden.
- Wird zusätzlich eine Peer-to-Peer-Funktionalität genutzt, können
Computer-Viren ohne Kontrolle der geschützten Server zwischen
Endgeräten übertragen werden.
- Schlecht für die Performance, da alle Kommunikationsinhalte überprüft
werden müssen.
Computer-Viren-Suchprogramme auf allen Servern und Endgeräten
Diese Kombination obiger Strategien bietet den maximalen Schutz, da
Computer-Viren sofort beim Auftreten erkannt werden und nicht über Server
weiterverteilt werden. Darüber hinaus können Computer-VirenSuchprogramme verschiedener Hersteller eingesetzt werden, um so die
Erkennungsrate für Computer-Viren zu erhöhen.
Vorteile:
- Ein geeignetes, aktuelles und residentes Computer-Viren-Suchprogramm
gewährleistet einen maximalen Schutz bei gleichzeitig minimalen
Aufwand für den IT-Benutzer.
- Computer-Viren werden nicht über Server weiterverteilt.
Nachteile:
- Anschaffungskosten sowie Administrationsaufwand für jeden Server und
jedes Endgerät.
Computer-Viren-Suchprogramme auf den Kommunikationsservern
Computer-Virenschutzprogramme können ausschließlich oder zusätzlich auf
allen Kommunikationsservern installiert werden, also den IT-Systemen über
die der Datenaustausch mit externen IT-Systemen läuft, z. B. Firewalls oder
Mail-Server. Hierdurch sind aber die Endgeräte nur dann vor Computer-Viren

_____________________________________________________________________ ..........................................
345

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.156
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

geschützt, wenn diese keine weiteren Schnittstellen wie CD-ROM-Laufwerke
o. ä. besitzen.
Vorteile:
- Alle Dateien werden am Eingang zum LAN überprüft, nicht erst innerhalb.
- Computer-Viren werden nicht über Server weiterverteilt. Allerdings
können sie sich auf den Endgeräten weiterverbreiten, wenn zwischen
diesen Dateien direkt (z. B. über Disketten) ausgetauscht werden.
Nachteile:
- Diese Methode ist fehleranfällig: Attachments an E-Mail werden u. U.
nicht alle erkannt. Häufig wird von solchen Programmen das
Vorhandensein von Attachments nur innerhalb der ersten Zeilen einer Mail
bzw. im Mail-Header überprüft. Es kann auch vorkommen, daß das
Verfahren, mit dem das Attachment behandelt wurde (z. B. uuencode) vom
Virensuchprogramm nicht erfaßt wird. Dies ist z. B. bei MIME möglich, es
kann zu Problemen kommen, wenn eine oder mehrere mit uuencode
codierte Dateien einfach in den Mailbody eingefügt werden.
- Schlecht für die Performance, da alle Kommunikationsinhalte überprüft
werden müssen.
- Auf allen Kommunikationsservern sollte nur ein minimales Betriebssystem
installiert sein, also nur die nötigsten Dienste (siehe auch M 4.??
Minimales Betriebssystem).
- Um Denial-of-Service-Angriffe zu vermeiden sollte ein Computer-VirenSuchprogramm nie auf einer Firewall installiert werden, höchstens auf
einem Proxy.
Datenhygiene und zentrale Prüfung von Dateien
Hierbei werden sämtliche eingehenden und ausgehenden Dateien und
Datenträger an zentraler Stelle durch ein Computer-Viren-Suchprogramm
kontrolliert. Darüber hinaus wird geregelt, daß die IT-Benutzer keine Dateien,
Programme und Datenträger aus zweifelhafter Herkunft verwenden.
Vorteile:
- Die Anzahl der zu beschaffenden Lizenzen für Computer-VirenSuchprogramme reduziert sich erheblich.
Nachteile:
- Bei häufigen Einsatz externer Datenträger nimmt eine zentrale Prüfung auf
Computer-Viren sehr viel Zeit in Anspruch und verzögert den
Geschäftsablauf. Ein Computer-Virenbefall kann grundsätzlich nicht
ausgeschlossen werden, da ggf. die Prüfung eines Datenträgers
versehentlich vergessen werden kann.
- In regelmäßigen Zeitabständen müssen alle Rechner ohne ComputerViren-Suchprogramm auf einen möglichen Computer-Viren-Befall
untersucht werden.

_____________________________________________________________________ ..........................................
346

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.156
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Unabhängig davon, welche Strategie für den Computer-Virenschutz gewählt
wird, verbleibt immer das Restrisiko, daß Computer-Viren-Suchprogramme
nur diejenigen Computer-Viren erkennen, die zum Entwicklungszeitpunkt des
Programms bekannt waren. Das heißt, daß neue Viren ggf. nicht erkannt
werden und Schäden anrichten können.
Die Wahl der richtigen und unter Kostengesichtspunkten angemessenen
Strategie ist von der jeweiligen IT-Landschaft abhängig. Da jedoch beim Kauf
von Mehrfach-Lizenzen der gängigen, geeigneten Computer-VirenSuchprogramme sich meist die Kosten pro Lizenz stark reduzieren, empfiehlt
es sich, über eine Komplettausstattung aller Server und Endgeräte
nachzudenken.
Ergänzende Kontrollfragen:
- Sind in der Vergangenheit Computer-Viren aufgetreten? Welche Schäden
wurden verursacht (finanzielle Einbußen, Arbeitsausfall, ...)?
- Wird die Entscheidung über den Ressourceneinsatz für den ComputerVirenschutz vom Management getragen?
- Ist sichergestellt, daß bei Änderungen der IT-Landschaft über eine
Anpassung der Computer-Virenschutz-Strategie nachgedacht wird?
- Wurden die mit der gewählten Strategie verbundenen Nachteile dem ITSicherheitsmanagement verdeutlicht?
- Werden die entstehenden Restrisiken getragen?

_____________________________________________________________________ ..........................................
347

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.157
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.157

Auswahl eines geeigneten Computer-VirenSuchprogramms

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Bundesbehörden erhalten über das BSI aktuelle Viren-Schutzprogramme.
Benutzer aus anderen Bereichen müssen aus der Vielzahl der am Markt
verfügbaren Computer-Viren-Schutzprogramme für sie geeignete auswählen.
Für die ITSEC, den Kriterien für die Bewertung der Sicherheit von Systemen
der Informationstechnik, wurde eine Funktionalitätsklasse für Anti-VirusProdukte (F-AVIR) entwickelt. Auf diese kann bei der Auswahl eines
geeigneten Viren-Suchprogramms zurückgegriffen werden.
In dieser Funktionalitätsklasse werden Sicherheitsfunktionen sowie
Voraussetzungen für die sichere Arbeitsumgebung von Anti-Virus-Produkten
beschrieben, die als Kriterien für die Auswahl eines geeigneten ComputerViren-Suchprogramms herangezogen werden sollten.
Band 2 der BSI-Schriftenreihe zur IT-Sicherheit "Informationen zu ComputerViren" enthält einen Abdruck dieser Funktionalitätsklasse. Als Hilfsmittel
wurde der entsprechende Auszug der CD-ROM zum IT-Grundschutzhandbuch beigefügt.
Im wesentlichen sollten folgende Bedingungen vom auszuwählenden
Computer-Viren-Suchprogramm erfüllt werden:
- Der Umfang der erkannten Computer-Viren sollte möglichst groß sein und
dem aktuell bekannten Bestand entsprechen, insbesondere müssen alle sehr
stark verbreiteten Computer-Viren erkannt werden.
- Eine ständige Aktualisierung bezüglich neuer Computer-Viren muß vom
Hersteller sichergestellt sein.
- Das Programm sollte Computer-Viren auch in komprimierter Form finden,
wobei gängige Komprimierungsfunktionen wie PKZIP unterstützt werden
sollten.
- Gefundene Computer-Viren müssen mit einer vollständigen Pfad-Angabe
angezeigt werden.
- Das Programm muß seine eigene Virenfreiheit feststellen, bevor die
Suchfunktion ausgeführt wird.
- Nach Möglichkeit muß das Produkt als residentes Programm eine
permanente Computer-Virenkontrolle ermöglichen.
- Sinnvoll ist eine Funktionalität, die es erlaubt, erkannte Computer-Viren zu
entfernen, ohne weitere Schäden an Programmen oder Daten zu
verursachen.
- Das Programm sollte über eine Protokollierungsfunktion verfügen, die
folgende Daten festhält:
-

Versionsstand des Programms,

_____________________________________________________________________ ..........................................
348

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.157
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Datum und Uhrzeit der Überprüfung,

-

Angabe aller benutzten Parameter,

-

Prüfergebnis mit Prüfumfang,

-

Anzahl und Identifikation der Dateien und Objekte, die nicht geprüft
werden konnten.

- Das Programm sollte eine Warnung ausgeben, wenn es feststellt, daß es
offensichtlich nicht aktualisiert wurde (zwischen Aktualitätsstand des
Programms und Systemdatum liegen mehr als 6 Monate).
- Das Programm sollte eine Liste der erkennbaren Computer-Viren und ihre
Beschreibung beinhalten. Darüber hinaus sind jeweils Beschreibungen von
Sofortmaßnahmen und Maßnahmen zum Entfernen des Computer-Virus
anzugeben.

_____________________________________________________________________ ..........................................
349

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.158
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.158

Meldung von Computer-Virusinfektionen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Bei Auftreten eines Computer-Virus muß vorrangig verhindert werden, daß
weitere IT-Systeme infiziert werden. Hierzu sollte ein Ansprechpartner in der
Institution benannt werden, dem unverzüglich eine Computer-Virusinfektion
gemeldet wird. Dieser kann auf der Basis der gemäß M 2.155 Identifikation
potentiell von Computer-Viren betroffener IT-Systeme erstellten Unterlagen
sofort entscheiden, welche Benutzer ggf. über das Auftreten eines ComputerVirus zu informieren sind. Diese Alarmierungswege sind ebenfalls im
Rahmen dieses Meldewesens zu etablieren.
Neben den eigenen Mitarbeitern müssen auch alle Externen benachrichtigt
werden, die evtuell durch die Virusinfektion mitbetroffen sind. Hierzu
gehören insbesondere diejenigen, die mutmaßlich den Virus weitergegeben
oder erhalten haben.
Für einen Überblick über die aktuelle Bedrohungslage durch Computerviren
führt das BSI eine Statistik über alle aufgetretenen Viren-Infektionen. Dazu
wurde ein Virus-Meldebogen herausgegeben, mit dem ein Viren-Vorfall
erfaßt wird. Diese Virus-Meldung wird vom BSI nur zu statistischen Zwecken
verwendet; sie kann auch anonym abgegeben werden (Vordruck befindet sich
im Anhang).
Über die benannten Ansprechpartner sind dann schließlich auch die Maßnahmen einzuleiten, die zu der Beseitigung des festgestellen Computer-Virenbefalls führen. Diese sollten alle Infektionen mit Computer-Viren, deren
Auswirkungen und deren Beseitigung dokumentieren. Diese Informationen
bilden eine Grundlage für die Aktualisierung des Virenschutzkonzeptes und
dokumentieren aufgetretene Schadensfälle und die Aufwände zu deren
Behebung.
Für die Einrichtung des Meldewesens ist es erforderlich, daß allen Mitarbeitern in geeigneter Form der Ansprechpartner bekannt gegeben wird. Dies
kann beispielsweise in Form eines Merkblattes erfolgen (vgl. M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus). Insbesondere beim Auftreten
von Hoax (siehe G 5.80 Hoax) ist es wichtig, daß die Benutzer diese angeblichen Sicherheitshinweise nur an den für Virenproblematik benannten
Ansprechpartner weitergeben und diesen nicht weiter streuen.
In gleicher Weise muß dieser Ansprechpartner sich regelmäßig über neu
aufgetretene Computer-Viren informieren, damit er im Bedarfsfall eine
Aktualisierung der Computer-Viren-Suchprogramme oder eine Alarmierung
der Betroffenen veranlassen kann.
Ergänzende Kontrollfragen:
- Ist sichergestellt, daß der Ansprechpartner für Computer-Virusinfektionen
allen IT-Benutzern bekannt ist?
- Ist sichergestellt, daß der Ansprechpartner schnellstmöglich sämtliche
potentiell von einem akuten Computer-Virus Betroffenen alarmieren kann.

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
350

M 2.159
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.159

Aktualisierung der eingesetzten ComputerViren-Suchprogramme

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Für die mit Computer-Viren-Suchprogrammen ausgestatteten IT-Systeme
muss eine regelmäßige Aktualisierung des Programms erfolgen, damit neu
aufgetretene Computer-Viren zuverlässig erkannt werden können. Hierzu ist
die Festlegung einer Vorgehensweise hinsichtlich der Verantwortlichkeit, der
Beschaffung und der Verteilung der Updates erforderlich.
Bereits bei der Beschaffung eines geeigneten Computer-Viren-Suchprogramms (siehe M 2.157) sollte darauf geachtet werden, dass es in kurzen Zeitabständen (maximal halbes Jahr) aktualisiert wird. Da Virensuchprogrammen
auch zu gegebenen Anlässen, z. B. aufgrund neuer Viren, aktualisiert werden,
sollte der für die Virenproblematik Verantwortliche regelmäßig (zumindest
wöchentlich) die Informationen des Herstellers abfragen.
Das BSI hat für den Bereich der Bundesbehörden eine Mailingliste für die
Bekämpfung von Computer-Viren aufgebaut. Über diese Adressen-Liste
werden aktuelle Informationen zur Viren-Problematik verteilt. Bei akuter
Virengefahr wird in Zukunft eine Virenwarnung ausgegeben. Außerdem
werden über diesen Weg Extra-Treiber für neue, bisher nicht erkannte Viren
verteilt. In diese Mailingliste können Mitarbeiter von Behörden über das
IVBB-Intranet unter http://www.bsi.ivbb.bund.de/antivir/mailing.htm oder
über eine formlose E-Mail an antivir@bsi.de aufgenommen werden.
Bei der Verteilung der Updates des Viren-Suchprogramms muß auch sichergestellt werden, dass das Update auch tatsächlich - zeitnah mit der Beschaffung des Updates - auf den IT-Systemen eingespielt wird. Sofern dies nicht
automatisiert (bei vernetzten IT-Systemen) erfolgen kann, sollte das Update
den entsprechenden IT-Benutzern schnell zur Verfügung gestellt werden.
Durch die häufige Aktualisierung und die dadurch geringen Testzeiten der
Virensuchprogramme sind diese fehleranfällig und müssen vor der Freigabe
bzw. Installation im Wirkbetrieb getestet werden (siehe auch M 2.83 Testen
von Standardsoftware). Bei der Installation von Updates ist insbesondere
darauf zu achten, dass durch voreingestellte Parameter die bestehende Konfiguration des Computer-Viren-Suchprogramms nicht verändert wird. So könnte
beispielsweise durch ein Update ein zuvor residentes Computer-VirenSuchprogramm in einen Offline-Modus geschaltet werden.
Außerdem ist sicherzustellen, dass Rechner, die keiner einzelnen Person zugeordnet sind und nicht vernetzt sind, zum Beispiel Laptops, ebenfalls mit
Updates versorgt werden.
Ergänzende Kontrollfragen:
- Wurden die für die Verteilung der Updates erzeugten Duplikate auf einem
nachgewiesenermaßen nicht infiziertem IT-System erzeugt?
- Wie lange dauert die Einspielung eines Updates in der gesamten
Institution?
- Wird sporadisch überprüft, ob Aktualisierungen durchgeführt werden?
_____________________________________________________________________ ..........................................
351

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.160
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.160

Regelungen zum Computer-Virenschutz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Um einen effektiven Computer-Virenschutz zu erreichen, müssen über den
Einsatz von Computer-Viren-Suchprogrammen hinaus einige zusätzliche
Maßnahmen realisiert werden. In diesem Sinne sind unter anderem folgende
Punkte zu regeln:
Einsatz von Computer-Viren-Suchprogrammen
Entsprechend der ausgewählten Strategie und des ausgewählten Produktes ist
der Einsatz festzulegen und zu dokumentieren (vgl. M 2.156 Auswahl einer
geeigneten Computer-Virenschutz-Strategie, M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms). Darüber hinaus ist zu regeln, wie, in
welchen Abständen und durch wen die Computer-Viren-Suchprogramme
aktualisiert werden (vgl. M 2.159 Aktualisierung der eingesetzten ComputerViren-Suchprogramme).
Schulung der IT-Benutzer
Die betroffenen IT-Benutzer sind bezüglich der Gefahren durch ComputerViren, Makro-Viren, Trojanische Pferde und Hoax (vgl. G 5.23 ComputerViren, G 5.43 Makro-Viren, G 5.21 Trojanische Pferde, G 5.80 Hoax), der
notwendigen IT-Sicherheitsmaßnahmen, der Verhaltensweise beim Auftreten
von Computer-Viren und im Umgang mit dem Computer-Viren-Suchprogramm zu informieren bzw. zu schulen (vgl. M 3.5 Schulung zu ITSicherheitsmaßnahmen, M 3.4 Schulung vor Programmnutzung, M 6.23
Verhaltensregeln bei Auftreten eines Computer-Virus).
Verbot der Nutzung nicht freigegebener Software
Die Installation und Nutzung nicht freigegebener, insbesondere nicht virenkontrollierter Software ist zu verbieten (vgl. M 2.9 Nutzungsverbot nicht
freigegebener Software). Darüber hinaus ist ggf. zu regeln, dass regelmäßig
Prüfungen auf Einhaltung des Verbots durchgeführt werden (vgl. M 2.10
Überprüfung des Software-Bestandes).
Schutzmaßnahmen am IT-System
Die Boot-Reihenfolge beim Betriebssystemstart ist so umzustellen, dass generell zuerst von der Festplatte (oder vom Netz) und dann erst von einem externen Medium (Diskette, CD-ROM) gestartet wird (vgl. M 4.84 Nutzung der
BIOS-Sicherheitsmechanismen). Zusätzlich ist für jeden vorhandenen
Rechnertyp eine Notfalldiskette anzulegen, um im Falle einer ComputerVireninfektion eine erfolgreiche Säuberung zu ermöglichen (vgl. M 6.24
Erstellen einer PC-Notfalldiskette). Für den Fall, dass ein neuer ComputerVirus dennoch Schäden verursacht, muss auf eine Datensicherung
zurückgegriffen werden. Es sind daher regelmäßig Datensicherungen
anzulegen
(vgl.
M 6.32
Regelmäßige
Datensicherung).
Beim
Wiedereinspielen von Datensicherungen muss darauf geachtet werden, dass
damit keine vom Computer-Virus befallenen Dateien wiederaufgespielt
werden.

_____________________________________________________________________ ..........................................
352

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.160
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Maßnahmen bei nicht-resident virenkontrollierter IT-Systeme
Auf IT-Systemen, auf denen kein residentes Computer-Viren-Suchprogramm
installiert worden ist, sind ersatzweise ein regelmäßiger Einsatz eines Computer-Viren-Suchprogramms (vgl. M 4.3 Regelmäßiger Einsatz eines VirenSuchprogramms), eine Virenkontrolle bei Datenträgeraustausch und Datenübertragung (vgl. M 4.33 Einsatz eines Viren-Suchprogrammes bei Datenträgeraustausch und Datenübertragung) sowie eine Makro-Virenprüfung bei
eingehenden Dateien (vgl. M 4.44 Prüfung eingehender Dateien auf MakroViren) festzulegen, um eine rasche Erkennung und Verhinderung der Weiterverbreitung von Computer-Viren sicherzustellen.
Meldung von Computer-Viren
Es ist zu regeln, an wen ein entdeckter Computer-Virus unverzüglich zu
melden ist. Die Form der Meldung (Formblatt) und der Übermittlungsweg
(telefonisch, persönlich, schriftlich, E-Mail) ist ebenfalls zu reglementieren
(siehe M 2.158 Meldung von Computer-Virusinfektionen).
Regelung der Verantwortlichkeiten
Die Aufgaben, Kompetenzen und Verantwortlichkeiten für den ComputerVirenschutz sind zu regeln für
-

den Ansprechpartner für Computer-Viren,
den Administrator von Netz-Servern,
den IT-Benutzer von Endgeräten und
das IT-Sicherheitsmanagement.

Aktualisierung des Computer-Virenschutzkonzeptes
Bei Änderungen an IT-Systemen, bei Installation neuer IT-Systeme und bei
Änderungen der Vernetzung ist das Computer-Virenschutzkonzept zu aktualisieren und anzupassen (vgl. M 2.34 Dokumentation der Veränderungen an
einem bestehenden System).
Diese Regelungen sind den Betroffenen zur Kenntnis zu geben. Die Überprüfung der Einhaltung dieser Regelungen sollte sporadisch erfolgen, um ein
durchgängig umgesetztes Computer-Virenschutzkonzept sicherzustellen.
Ergänzende Kontrollfragen:
- Wann wurde die letzte Überprüfung vorgenommen? Wurde das Ergebnis
dokumentiert?
- Wie werden Betroffene über die relevanten Regelungen unterrichtet?

_____________________________________________________________________ ..........................................
353

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.161
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.161

Entwicklung eines Kryptokonzepts

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Unternehmen und Behörden sind mittlerweile zunehmend von ihrer informationstechnischen Infrastruktur abhängig. Aus diesem Grund sind Sicherheitsdienste erforderlich und in ein Gesamtsystem zu integrieren, die über die
bloße Verschlüsselung hinausgehen.
Aufgrund der Vielfalt kryptographischer Problemstellungen und unterschiedlicher Einflußfaktoren gibt es auch vielfältige Lösungsansätze und Realisierungsmöglichkeiten. Man kann nicht davon ausgehen, daß es eine Lösung
gibt, die alle Sicherheitsprobleme in Rechnernetzen und/oder Kommunikationssystemen beseitigen kann. Vielmehr kommt es auf ein abgestimmtes
Zusammenspiel passend ausgewählter Komponenten an, um den benötigten
Grad an Sicherheit zu erreichen. Daher ist es erforderlich, ein Kryptokonzept
zu entwickeln, das in das IT-Sicherheitskonzept der Behörde bzw. des Unternehmens integriert wird.
Die Auswahl geeigneter kryptographischer Komponenten muß dabei auf
diesem Konzept basieren. Dabei ist das Schlüsselmanagement ein kritisches
Element im gesamten Kryptokonzept. Konzepte und Lösungsansätze können
nur dann erfolgreich erarbeitet und gezielt umgesetzt werden, wenn deutlich
wird, welche speziellen Sicherheitsfunktionalitäten bzw. Sicherheitsdienste
benötigt werden. Darüber hinaus gibt es eine Reihe systemrelevanter Fragestellungen und Aspekte, die nicht speziell in den Bereich der Sicherheitstechnik fallen. Dies umfaßt z. B. Performanceanforderungen, Systemanbindungs- oder Interoperabilitäts- und Standardkonformitätsanforderungen.

Sichtweisen und Aspekte
Einflußfaktoren
technisch

systemtechnisch

Realisierungsmöglichkeiten

organisatorisch wirtschaftlich

Nutzbarkeit

politisch/
gesetzlich

sicherheitstechnisch

System-

Sicherheits-

Personal-

Anschaffungs-

Ausfuhrbe-

anbindung

niveau

aufwand

kosten

schränkungen

Lokalisierung

Schutzbedarf

Schlüsselver-

Administrations-

Datenschutz-

teilung und

kosten

richtlinien

Datenvolumen Gefährdungen

-organisation
Wartungskosten

Zeitabhängig-

Manipulations-

Interoperabilitäts-

keit

stärke

anforderungen

Rationalisierung

Synchronisa-

Funktions-

Integrations-

Investitions-

tion

umfang

anforderungen

schutz

Verfügbarkeit/

Einsatz-

Standardkonformitäts-

Front-end

Arbeitsplatz

Firewall

LAN-Bereich

Bündelver-

Rechner-

schlüssler

kopplung

Krypto-

TK-Anlage

Verschlußsachenanweisung

knoten
Mobilfunk-

Geheimschutzrichtlinien

integrierbare

öffentliches

VS-EinstufungsZuverlässigkeit bedingungen

einrichtung

Spezialkomponente
listen

Chipkarte

Festnetz

anforderungen

_____________________________________________________________________ ..........................................
354

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.161
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Abb.: Sichtweisen und Aspekte bei der Auswahl kryptographischer Verfahren
und Komponenten
In vernetzten IT-Infrastrukturen ist es nicht mehr ausreichend, die Sicherheit
einer einzelnen Domäne zu gewährleisten. Vielmehr muß die Sicherheit aller
beteiligten Endeinrichtungen und Übertragungssysteme aufeinander abgestimmt werden. Diese Abstimmung gestaltet sich insbesondere in solchen
Fällen als besonders schwierig, in denen es sich nicht nur um vernetzte
Einrichtungen innerhalb einer organisatorischen Einheit (z. B. LAN-Umgebung), sondern um einen Verbund von IT-Installationen unterschiedlicher
Zuständigkeits- und Anwendungsbereiche handelt.
Der Einsatz - aber auch die Funktionalität und technologische Ausgestaltung eines IT-Sicherheitssystems wird von zahlreichen Einflußfaktoren bestimmt,
wie z. B. Lokalisierung, Sicherheitsniveau, Häufigkeit und Umfang der
Anwendung, die für das IT-Sicherheitsmanagement wichtige Rahmen- und
Entscheidungsbedingungen darstellen. Desweiteren sind die technischen
Möglichkeiten
für
die
Realisierung
und
Gestaltung
eines
IT-Sicherheitssystems vielfältig, z. B. integriert in einer Applikation auf dem
Arbeitsplatzrechner, in einer Firewall oder als Spezialkomponente für Netzkomponenten wie Switch oder Router. Ein erschwingliches Preisniveau für ein
Kryptoprodukt ist nur durch eine querschnittliche Nutzbarkeit zu erzielen.
Hier spielen z. B. eine standardisierte Systemanbindung, einheitliche Einsatzbedingungen etc. eine wichtige Rolle. Ein letzter Punkt betrifft das Zusammenwirken der Sicherheitsdienste auf unterschiedlichen Protokollschichten.
Die Sicherheitsdienste der höheren Protokollschichten (nach OSI-Referenzmodell) schützen in aller Regel nur dann ausreichend, wenn die unteren
Schichten ebenso einen Schutz bieten (siehe M 4.90).
Desweiteren ist die Definition einer organisationseigenen Kryptopolitik
wichtig. Dabei muß aus Sicht des Managements geklärt werden,
- welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau es zu erreichen gilt,
- welches Budget und wieviel Personal zur Verfügung stehen, um die
geplanten Sicherheitsmechanismen einzurichten und - ganz wichtig - auch
den Betrieb zu gewährleisten,
- welche Systemanbindung angestrebt wird bzw. welche Einsatzbedingungen für Sicherheitskomponenten vorherrschen,
- welcher Funktions- und Leistungsumfang anzupeilen ist und
- wer letztendlich die Verantwortung übernimmt.
Im Kryptokonzept ist außerdem der technische bzw. organisatorische Einsatz
der kryptographischen Produkte zu beschreiben, also z. B.
- wer welche Zugriffsrechte erhält,
- welche Dienste remote angeboten werden,
- wie die Verwaltung von Paßwörtern und Schlüsseln bezüglich Gültigkeitsdauer, Verwendung von Zeichen, Länge, Vergabe gehandhabt werden
soll,

_____________________________________________________________________ ..........................................
355

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.161
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- ob, wann und wie die Daten verschlüsselt oder signiert werden müssen,
- wer mit wem kryptographisch gesichert bzw. ungesichert kommunizieren
darf,
- wer bestimmte Rechte vergeben darf, u.s.w.
In Abhängigkeit von den systemtechnischen Rahmenbedingungen bezüglich
- des zu betrachtenden Datenvolumens und der Zeitabhängigkeit,
- der Verfügbarkeitsanforderungen und Gefährdungslage,
- Art und Häufigkeit der zu schützenden Anwendungen etc.
können darauf basierend geeignete Realisierungsmöglichkeiten analysiert und
für konkrete Einsatzbereiche wie z. B. einen PC-Arbeitsplatz, im LANBereich oder in Verbindung mit einer TK-Anlage konzipiert und technisch
ausgestaltet werden. Nur aufgrund einer solch ganzheitlichen Betrachtungsweise gelingt es, Entscheidungsgrundlagen und -bedingungen für kryptographische Produkte zusammenzutragen, deren Einsatz bzw. Verwendung sowohl
sicherheitstechnisch angemessen als auch wirtschaftlich vertretbar ist. Es
sollte jedoch darauf hingewiesen werden, daß die vorgenommene Einteilung
keinesfalls zwingend oder von grundsätzlicher Bedeutung sondern bestenfalls
hilfreich ist. Wesentlich ist nur, daß der Fragenumfang die Vorstellung nach
einer möglichst umfassenden Klärung der Ausgangslage konsequent
widerspiegelt. Natürlich ergeben sich in der Praxis zwischen einigen
Fragestellungen bzw. Antworten Wechselwirkungen und Abhängigkeiten, die
im allgemeinen allerdings zur Vervollständigung des Gesamtbildes beitragen.
Die diversen Einflußgrößen für den Einsatz kryptographischer Verfahren sind
zu bestimmen und nachvollziehbar zu dokumentieren (siehe M 2.163 Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte).
Anschließend muß eine geeignete Verfahrensweise für ihren Einsatz entwickelt und dokumentiert werden. Zum Abschluß muß durch die Behördenbzw. Unternehmensleitung die Durchführung angeordnet werden.
Die Ergebnisse sollten aktualisierbar und erweiterbar im Kryptokonzept
niedergelegt werden. Ein möglicher Aufbau eines Kryptokonzepts ist im
nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:
Inhaltsverzeichnis Kryptokonzept
1. Definitionen
- Kryptographische Verfahren
- ...
2.
-

Gefährdungslage zur Motivation
Abhängigkeit der Institution vom Datenbestand
Typische Gefährdungen wie ...
Institutionsrelevante Schadensursachen
Schadensfälle im eigenen Haus

3. Festlegung einer organisationsinternen Sicherheitspolitik
- Festlegung von Verantwortlichkeiten
- Zielsetzung, Sicherheitsniveau

_____________________________________________________________________ ..........................................
356

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.161
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

4.
-

Einflußfaktoren
Identifikation der zu schützenden Daten
Vertraulichkeitsbedarf der Daten
Integritätsbedarf der Daten
Verfügbarkeitsanforderungen an die Daten
Anforderungen an die Performance
Schlüsselverteilung
Datenvolumen
Art der Daten (lokal / verteilt (LAN/WAN) )
Art der Anwendungen, bei denen kryptographische Verfahren zum Einsatz
kommen sollen
Häufigkeit des Einsatzes des kryptographischen Verfahrens
Anforderungen an die Widerstandsfähigkeit der Algorithmen bzw. Verfahren (Manipulationsresistenz)
Wiederherstellbarkeit der gesicherten Daten
Personalaufwand
Erforderliche Funktionalität
Kosten einschließlich Folgekosten (Wartung, Administration, Updates, ...)
Kenntnisse und datenverarbeitungsspezifische Qualifikationen der ITBenutzer

5.
-

Festlegung des Einsatzes
Art der kryptographischen Verfahren
Einsatzbedingungen an die kryptographischen Produkte
Häufigkeit und Zeitpunkt des Einsatzes
Benennung der Verantwortlichen
Festlegung der organisatorischen Regelungen
Durchführung der personellen Maßnahmen (Schulung, Vertretungsregelungen, Verpflichtungen, Rollenzuteilung)
- Dokumentation der Einsatzbedingungen / Konfiguration
- Interoperabilität, Standardkonformität, Investitionsschutz
6. Schlüsselmanagement
Einzelne Punkte dieses Konzepts werden in den Maßnahmen M 2.162
Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte,
M 2.163 Erhebung der Einflußfaktoren für kryptographische Verfahren und
Produkte, M 2.166 Regelung des Einsatzes von Kryptomodulen etc. näher
ausgeführt.
Bei der Erstellung eines Kryptokonzeptes handelt es sich nicht um eine einmalige Aufgabe, sondern um einen dynamischen Prozeß. Ein Kryptokonzept
muß daher regelmäßig den aktuellen Gegebenheiten angepaßt werden.
Ergänzende Kontrollfragen:
- Ist das vorliegende Konzept aktuell?
- Sind sämtliche betroffenen IT-Systeme in diesem Konzept aufgeführt?
- Wie werden Mitarbeiter über den sie betreffenden Teil des Konzepts
unterrichtet?
- Wird die Einhaltung dieses Konzepts kontrolliert?
- Wie werden Änderungen der Einflußfaktoren berücksichtigt?

_____________________________________________________________________ ..........................................
357

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.162
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.162

Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administratoren, Verantwortliche der einzelnen IT-Anwendungen
Um bei der Verarbeitung und Übertragung sensitiver Informationen zu realistischen, verläßlichen und anwendungsgerechten Bedarfsanforderungen und
Rahmenbedingungen für den Einsatz kryptographischer Verfahren und Produkte zu kommen, müssen zunächst die schützenswerten Daten identifiziert
und bewertet werden.
Identifikation der zu schützenden Daten
Zunächst muß festgestellt werden, für welche Aufgaben kryptographische
Verfahren eingesetzt werden sollen und welche Daten damit gesichert werden
sollen. Der Einsatz kryptographischer Verfahren kann aus verschiedenen
Gründen erforderlich sein (siehe auch M 3.23):
- zum Schutz der Vertraulichkeit bzw. der Integrität von Daten,
- zur Authentisierung,
- für Sende- oder Empfangsnachweise.
Je nach Einsatzzweck können verschiedene kryptographische Methoden wie
z. B. Verschlüsselung oder Hashverfahren sinnvoll sein. Die typischen Einsatzfelder für kryptographische Verfahren sind:
1. lokale Verschlüsselung,
2. Kommunikationssicherung, auf Anwendungsebene bzw. auf Übertragungsebene,
3. Authentikation,
4. Nichtabstreitbarkeit,
5. Integrität.
Im folgenden werden einige Beispiele aus den verschiedenen typischen Einsatzfeldern für kryptographische Verfahren gegeben:
- Auf einer PC-Festplatte befinden sich Daten, die vor unbefugtem Zugriff
durch Verschlüsselung geschützt werden sollen.
- Es sollen Informationen über Telefon, Fax oder Datennetze weitergegeben
werden, z. B. sollen sie per E-Mail oder per Datenträgeraustausch versandt
werden.
- Die zu schützenden Informationen sind nicht unter alleiniger Kontrolle der
verantwortlichen Organisationseinheit (LAN führt durch Gebäudeteile, die
von Fremdfirmen benutzt werden; ein Server mit Personaldaten wird durch
Mitarbeiter betreut, die nicht zum Personalreferat gehören).
- Remote-Zugriffe sollen durch eine starke Authentisierung abgesichert
werden.
- Bei E-Mails soll zweifelsfrei feststellbar sein, wer die Absender waren und
ob die Inhalte unverändert übertragen wurden.

_____________________________________________________________________ ..........................................
358

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.162
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Um festzustellen, welche kryptographischen Verfahren bzw. Produkte benötigt werden und welche Daten damit zu schützen sind, sollte zunächst die
aktuelle IT-Struktur ermittelt werden (siehe zur Erfassung von IT-Systemen
und Anwendungen auch Kapitel 2). Ermittelt werden sollte,
- welche IT-Systeme es gibt, auf denen Daten verarbeitet bzw. gespeichert
(PCs, Laptops, Server, ...) oder mit denen Daten übermittelt werden
(Bridge, Router, Gateway, Firewall, ...) und
- welche Übertragungswege es gibt. Dazu sollte die logische und physikalische Vernetzungsstruktur erfaßt werden (siehe auch M 2.139 Ist-Aufnahme der aktuellen Netzsituation).
Schutzbedarf der Daten (Vertraulichkeit, Integrität, Authentizität,
Nichtabstreitbarkeit)
Es sollten alle Anwendungen bzw. Daten ermittelt werden, bei denen ein
besonderer Anspruch an Vertraulichkeit, Integrität, Authentizität bzw.
Nichtabstreitbarkeit besteht (siehe Kapitel 2). Allerdings werden nicht nur für
IT-Systeme, Anwendungen oder Informationen mit höherem Schutzbedarf
kryptographische Produkte benötigt, sondern auch für solche mit mittlerem
Schutzbedarf.
Beispiele für Daten mit besonderem Vertraulichkeitssanspruch sind
- personenbezogene Daten,
- Paßwörter und kryptographische Schlüssel,
- vertrauliche Informationen, deren Veröffentlichung Regreßforderungen
nach sich ziehen könnte,
- Daten, aus denen ein Konkurrenzunternehmen finanzielle Gewinne ziehen
könnte,
- Daten, ohne deren Vertraulichkeit die Aufgabenerfüllung gefährdet ist
(z. B. Ermittlungsergebnisse, Standortregister über gefährdete Pflanzen),
- Daten, deren Veröffentlichung eine Rufschädigung verursachen könnte.
Hinweis: Durch die Kumulation von Daten erhöht sich der Schutzbedarf einer
Datensammlung, so daß eine Verschlüsselung erforderlich sein kann, auch
wenn deren einzelne Datensätze nicht so sensitiv sind.
Beispiele für Daten mit besonderem Integritätsanspruch sind
- finanzwirksame Daten, durch deren Manipulation finanzielle Schäden
entstehen können,
- Informationen, deren verfälschte Veröffentlichung Regreßforderungen
nach sich ziehen könnte,
- Daten, deren Verfälschung zu falschen Geschäftsentscheidungen führen
kann,
- Daten, deren Verfälschung zu einer verminderten Produktqualität führen
kann.

_____________________________________________________________________ ..........................................
359

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.162
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ein Beispiel für Anwendungen mit besonderem Anspruch an Authentizität
sind Remote-Zugriffe. Ein Beispiel für Daten mit besonderem Anspruch an
Nichtabstreitbarkeit sind Bestellungen oder Reservierungen, bei denen der
Besteller identifizierbar sein sollte.
Als Ergebnis der Schutzbedarfsfeststellung sollte festgelegt werden, welche
Anwendungen oder Daten kryptographisch gesichert werden sollen. Diese
Festlegung kann später noch verfeinert werden und sollte regelmäßig überarbeitet werden.
Als Resultat ergibt sich somit ein Überblick über alle Speicherorte und Übertragungsstrecken, die kryptographisch gesichert werden müssen. Damit erhält
man praktisch eine IT-Landschaftskarte mit markierten Kryptobereichen.
Bedarfs- und Anforderungsabfrage
Als Hilfsmittel für eine derartige Bedarfserhebung bietet sich ein Fragenkatalog mit den in der Abbildung dargestellten Gliederungspunkten an. Dabei
können die technischen, organisatorischen und wirtschaftlichen Aspekte
jeweils in 4 weitere Unterkategorien aufgeteilt werden.
Bedarfs- und Anforderungsabfrage
Technische
Aspekte

Organisatorische
Aspekte

Wirtschaftliche Aspekte

Benutzerdienste und
Anwendungen

Einsatzbereich

Rationalisierungsaspekte
/ Kosteneinsparungen

Nutzungsprofil

Migrationskonzept

Stückzahlen

Netzinfrastruktur

Zeitvorstellungen

Beschaffungskosten

IT-Endgerät

Betriebliche Rahmenbedingungen

Administrations- und
Wartungsaufwendungen

Abb: Gliederungsgesichtspunkte zur Erstellung eines Fragenkataloges
Bei den technischen Aspekten ist es unter ”Benutzerdienste und Anwendungen” beispielsweise wichtig zu erfahren, ob vornehmlich Echtzeit- oder
Nicht-Echtzeit-Daten betrachtet werden. In der Kategorie Nutzungsprofil ist
zu erfragen, für welche Anwendungen und Daten kryptographische Verfahren
eingesetzt werden sollen, z. B. für die externe Kommunikation oder für die
kurzzeitige oder längerfristige Bearbeitung von VS-Daten. Weiterhin sind die
Netzinfrastruktur und das Endgerät betreffende Informationen zu ermitteln,
wie z. B. Anschlußkonfiguration.
Als organisatorische Aspekte sind der Einsatzbereich, d. h. Teilnehmer- oder
Netzbereich; die Frage nach einem existierenden Migrationskonzept sowie die
Zeitvorstellungen und betrieblichen Rahmenbedingungen des Endbenutzers zu
betrachten.

_____________________________________________________________________ ..........................................
360

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.162
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Aus wirtschaftlicher Sicht sind die wesentlichen Punkte:
- Rationalisierungsaspekte, z. B. durch Einsatz eines Produktes mit transparenter Verschlüsselung statt manueller Ansteuerung,
- eine Abschätzung im Hinblick auf Stückzahlen und Beschaffungskosten
sowie
- die zu erwartenden Administrations- und Wartungskosten.
Auf Basis dieser Abfrage kann ein möglichst praxisnahes Einsatz- und
Anforderungskonzept erstellt werden, was dann als Ausgangspunkt für konkrete Realisierungsentscheidungen bzw. die Auswahl geeigneter Kryptokomponenten/-produkte (siehe M 2.165 Auswahl eines geeigneten kryptographischen Produktes) dient.
Die hier vorgestellte Vorgehensweise soll dem Sicherheitsverantwortlichen
helfen, den Einsatz und den Umfang einzusetzender Sicherheitstechnik in
unterschiedlichen Systemlokalitäten, Netzübergängen und Endeinrichtungen
festzustellen, zu bewerten und zu koordinieren. Ferner soll im Verlauf der
Planungsphase durch die Ermittlung des notwendigen Schutzes (Schutzbedarf)
die Frage nach Angemessenheit der IT-Sicherheit beantwortet werden. Die
skizzierte Vorgehensweise stellt einen pragmatischen Ansatz dar und
berücksichtigt Sicherheitsaspekte in offenen, verteilten IT-Infrastrukturen, so
wie sie sich vielerorts darstellen.
Die so betrachteten Sicherheitsinvestitionen müssen für den betroffenen Einsatzbereich wirtschaftlich vertretbar sein. Die Funktions- und Betriebsweise
von realisierten Sicherheitsstrategien müssen den Erwartungen der Endbenutzer hinsichtlich der Flexibilität, Transparenz und Performance Rechnung
tragen. Die geplanten und integrierten Sicherheitsdienste dürfen den
Endbenutzer nicht über das notwendige Maß hinaus einschränken.

_____________________________________________________________________ ..........................................
361

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.163

Erhebung der Einflußfaktoren für kryptographische Verfahren und Produkte

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administratoren, Verantwortliche der einzelnen IT-Anwendungen
Bevor eine Entscheidung getroffen werden kann, welche kryptographischen
Verfahren und Produkte eingesetzt werden sollen, müssen eine Reihe von
Einflußfaktoren ermittelt werden. Dazu können die Systemadministratoren
und die Verantwortlichen der einzelnen IT-Systeme bzw. IT-Anwendungen
befragt werden. Die Ergebnisse sind nachvollziehbar zu dokumentieren.
Für sämtliche in M 2.162 Bedarfserhebung für den Einsatz kryptographischer
Verfahren und Produkte festgelegten Speicherorte und Übertragungsstrecken
sind folgende Einflußfaktoren zu ermitteln:
Sicherheitsaspekte
- Welcher Schutzbedarf besteht bzw. welches Sicherheitsniveau gilt es zu
erreichen?
- Welche kryptographischen Funktionen sind dafür notwendig
(Verschlüsselung, Integritätsschutz, Authentizität und/oder Nichtabstreitbarkeit)?
- Angreiferpotential: Mit welchen Angreifern wird gerechnet (zeitliche und
finanzielle Ressourcen, technische Fähigkeiten)?
Die Antworten auf diese Fragen ergeben sich aus M 2.162 Bedarfserhebung
für den Einsatz kryptographischer Verfahren und Produkte.
Technische Aspekte
Der Betrieb von weitverzweigten IT-Infrastrukturen mit ihrer Vielzahl von
Einzelkomponenten und Spezialeinrichtungen (Netzknoten, Server, Datenbanken, etc.) macht ein ebenfalls weitverzweigtes Sicherheitssystem mit mehreren Funktionseinheiten (Sicherheitsmanagement, Sicherheitsserver, Sicherheitsanwenderkomponente, etc.) erforderlich. In der Regel müssen dabei
Systembetrachtungen angestellt werden, die nicht nur auf die eigentlichen
Funktionalitäten abzielen, sondern auch bauliche und organisatorische
Aspekte einbeziehen. Auch in bezug auf die konkrete technische Plazierung
von Sicherheitskomponenten sowie deren Integration in Nicht-Sicherheitskomponenten gilt es zu differenzieren, da dies einen unmittelbaren Einfluß auf
die Implementierung der Sicherheitsfunktionen, auf die notwendige
Unterstützung durch die Betriebssysteme, die Aufwände und den Kostenfaktor
und nicht zuletzt auf die erreichbare Sicherheit hat. Ganz entscheidend für die
Sicherheitsbewertung ist der Umstand, an welchen geographischen
Lokalitäten und in welchen Ebenen des Protokollstacks die jeweiligen
Sicherheitsdienste realisiert sind und wie diese in die Prozesse des zu
schützenden IT-Systems eingebunden sind. Somit ergeben sich als Fragen:
- Umfeldschutz: Welchen Schutz bietet das Umfeld (infrastrukturell
(Zutritt), organisatorisch, personell, technisch (Schutz durch Betriebssystem, ...))?

_____________________________________________________________________ ..........................................
362

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- IT-Systemumfeld: Welche Technik wird eingesetzt, welche Betriebssysteme, etc.?
- Datenvolumen: Welches Datenvolumen ist zu schützen?
- Häufigkeit: Wie häufig besteht Kryptierbedarf?
- Performance: Wie schnell müssen kryptographische Funktionen arbeiten
(Offline, Online-Rate)?
Personelle und organisatorische Aspekte
- Benutzerfreundlichkeit: Benötigen die Benutzer für die Bedienung kryptographische Grundkenntnisse? Behindert der Einsatz eines Kryptoprodukts
die Arbeit?
- Zumutbarkeit: Wieviel Belastung durch zusätzliche Arbeit ist dem
Anwender zumutbar (Arbeitszeit, Wartezeit)?
- Zuverlässigkeit: Wie zuverlässig werden die Benutzer mit der Kryptotechnik umgehen?
- Schulungsbedarf: Inwieweit müssen die Benutzer geschult werden?
- Personalbedarf: Ist zusätzliches Personal erforderlich, z. B. für Installation,
Betrieb, Schlüsselmanagement?
- Verfügbarkeit: Kann durch den Einsatz eines Kryptoproduktes die Verfügbarkeit reduziert werden?
Wirtschaftliche Aspekte
- Finanzielle Randbedingungen: Wieviel darf der kryptographische Schutz
kosten? Wie hoch sind die
- einmaligen Investitionen,
- laufenden Kosten, inklusive der Personalkosten,
- Lizenzgebühren?
- Investitionsschutz: Sind die geplanten kryptographischen Verfahren bzw.
Produkte konform zu bestehenden Standards? Sind sie interoperabel mit
anderen Produkten?
Key Recovery
Falls die zur Verschlüsselung benutzten Schlüssel verloren gehen, sind im
allgemeinen auch die damit geschützten Daten verloren. Viele Kryptoprodukte
bieten daher Funktionen zur Datenwiedergewinnung für solche Fälle an.
Bevor solche Funktionen eingesetzt werden, sollte man sich auch deren
Risiken klar machen: Wenn dadurch vertrauliche Schlüssel wiederhergestellt
werden können, muß sichergestellt sein, daß dies nur Berechtigte können.
Wenn es möglich ist, ohne Wissen des Original-Schlüsselbenutzers auf dessen
Daten zuzugreifen, hat dieser keine Möglichkeit, böswillige Manipulationen
zu beweisen. Der Einsatz von Key Recovery Mechanismen führt auch häufig
aufgrund des entgegengebrachten Mißtrauens zu Vorbehalten innerhalb des
eigenen Unternehmens bzw. Behörde, aber auch bei den Kommunikationspartnern. Bei der Datenübertragung sollte daher generell auf Key
Recovery verzichtet werden. Hierfür gibt es auch keine Notwendigkeit, da

_____________________________________________________________________ ..........................................
363

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

beim Schlüssel- oder Datenverlust diese einfach noch einmal ausgetauscht
werden können. Bei der lokalen Speicherung von Daten sollte der Einsatz
sorgfältig überlegt werden (siehe auch M 6.56 Datensicherung bei Einsatz
kryptographischer Verfahren). Auf der CD-ROM zum IT-Grundschutzhandbuch befindet sich im Verzeichnis Hilfsmittel ein Artikel zu Möglichkeiten
und Risiken des Key-Recovery.
Lebensdauer von kryptographischen Verfahren
Kryptographische Verfahren und Produkte müssen regelmäßig daraufhin
überprüft werden, ob sie noch dem Stand der Technik entsprechen. Die verwendeten Algorithmen können durch neue technische Entwicklungen, z. B.
schnellere, billigere IT-Systeme, oder durch neue mathematische Erkenntnisse
zu schwach werden. Die eingesetzten kryptographischen Produkte können
Implementierungsfehler aufweisen. Bereits bei der Auswahl kryptographischer Verfahren sollte daher eine zeitliche Grenze für deren Einsatz
festgelegt werden. Zu diesem Zeitpunkt sollte noch einmal gründlich überdacht werden, ob die eingesetzten Kryptomodule noch den erwarteten Schutz
bieten.
Gesetzliche Rahmenbedingungen
Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. In einigen Ländern dürfen beispielsweise kryptographische Verfahren nicht ohne Genehmigung eingesetzt werden. Daher muß
untersucht werden (siehe M 2.165 Auswahl eines geeigneten kryptographischen Produktes),
- ob innerhalb der zum Einsatzgebiet gehörenden Länder Einschränkungen
beim Einsatz kryptographischer Produkte zu beachten sind (innerhalb
Deutschland gibt es keinerlei Einschränkungen) und
- ob für in Frage kommende Produkte Exportbeschränkungen beachtet
werden müssen.
Es gibt allerdings nicht nur Maximalanforderungen, sondern auch Minimalanforderungen an die verwendeten kryptographischen Algorithmen oder
Verfahren. So müssen z. B. bei der Übermittlung von personenbezogenen
Daten Verschlüsselungsverfahren mit ausreichender Schlüssellänge eingesetzt
werden.
Technische Lösungsbeispiele:
Im folgenden finden sich einige Anwendungsbeispiele zu den verschiedenen
Einsatzfeldern für kryptographische Verfahren. Dabei ist zu sehen, daß die
meisten Produkte gleich mehrere Einsatzfelder abdecken.
Beispiel 1: Festplattenverschlüsselung
Die auf der Festplatte eines Stand-Alone-PC gespeicherten sensitiven Daten
sollen so geschützt werden, daß
- der PC nur von autorisierten Nutzern gebootet werden kann,
- nur autorisierte Nutzer Zugriff auf die gespeicherten Daten erhalten,

_____________________________________________________________________ ..........................................
364

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- die gespeicherten Daten bei abgeschaltetem PC - auch im Falle des Diebstahls - hinreichend vor Kenntnisnahme durch Unberechtigte geschützt
sind.
Im Vordergrund soll hier der Schutz der Vertraulichkeit stehen. Dabei soll der
PC gegen die folgenden Bedrohungen geschützt werden:
- Unbefugte Kenntnisnahme der auf der Festplatte gespeicherten Daten
- Manipulation der auf der Festplatte gespeicherten Daten
- Manipulation des Kryptosystems
Bei Diebstahl bzw. Verlust des PC oder der Festplatte steht dem Angreifer
sehr viel Zeit für die unbefugte Kenntnisnahme zur Verfügung. Eine
Schutzmaßnahme muß auch bei solchen Langzeitangriffen die Vertraulichkeit
der gespeicherten Daten gewährleisten.
Als Schutzmaßnahme soll daher ein Produkt mit Bootschutz und Festplattenverschlüsselung eingesetzt werden. Auf dem Markt sind verschiedene Lösungen verfügbar. Zum Einsatz kann entweder eine Verschlüsselungs-Software
(Lösung A), eine Verschlüsselungs-Hardware-Komponente (Lösung B) oder
eine Kombination aus Hardware- und Software-Komponente (Lösung C)
kommen. Lösung C wird typischerweise aus einer Verschlüsselungs-Software
in Kombination mit einem Chipkartenleser zur Zugangskontrolle bestehen.
Welche Lösung gewählt werden sollte, hängt von verschiedenen Entscheidungskriterien ab:
- Sicherheit (Kryptoalgorithmus und Schlüssellänge, Betriebsart der
Verschlüsselung, Zugriffsschutz, Schlüsselerzeugung/ -verteilung/
-speicherung/ -eingabe, Einbindung in das Betriebssystem, etc.)
Je nachdem auf welcher Betriebssystem-Plattform Verschlüsselung betrieben wird, stößt man mit Software-Lösungen (Lösungen A oder C) unweigerlich an Grenzen. Kann man kein sicheres Betriebssystem mit strikter
Task- und Speicherbereichs-Trennung voraussetzen (bisher ist das bei
keinem Betriebssystem sicher nachgewiesen!), muß der während der Verbzw. Entschlüsselung verwendete Schlüssel zumindest kurzzeitig ungeschützt im Speicher des PC gehalten werden. Die Vertraulichkeit des
Schlüssels ist somit nicht mehr sichergestellt. Hardware-VerschlüsselungsKomponenten (Lösung B) können (müssen aber nicht!) mehr bieten. Der
Schlüssel kann in die Hardware-Komponente geladen und dort - gegen
Auslesen gesichert - gespeichert werden. Der Schlüssel wird die HardwareKomponente nicht mehr verlassen und ist vor Ausspähversuchen geschützt.
Er kann nur durch berechtigte Benutzer mittels Besitz und Wissen (z. B.
Chipkarte und Paßwort) aktiviert werden. Wichtig sind weitere Aspekte
wie die zur Verschlüsselung verwendeten Algorithmen (meist ein
Blockchiffrier-Algorithmus), deren Betriebsarten (z. B. CBC) sowie die
Art und Weise der Einbindung in das PC-System. Die VerschlüsselungsHardware sollte idealerweise so eingebunden werden, daß sie die gesamte
Festplatte zwangsweise kryptiert und durch Angriffe nicht unbemerkt
abgeschaltet bzw. umgangen werden kann. Werden im Gegensatz dazu
lediglich einzelne Dateien verschlüsselt besteht die Gefahr, daß die Inhalte
dieser Dateien unkontrollierbar zumindest teilweise zusätzlich im Klartext

_____________________________________________________________________ ..........................................
365

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

auf die Festplatte geschrieben werden (z. B. in den Auslagerungsdateien
verschiedener Betriebssysteme oder in Backup-Dateien).
- Performance (Geschwindigkeit der ausführbaren Programme)
Software-Verschlüsselung nutzt die Systemressourcen des PC, belastet also
die CPU und benötigt Arbeitsspeicher. Spätestens bei der Verschlüsselung
der gesamten Festplatte wird die Performance des PC sinken. HardwareKomponenten mit eigenem Prozessor können die Verschlüsselung ohne
Belastung der PC-CPU und somit ohne nennenswerten Performanceverlust
durchführen. Hier ist je nach Bauart die Durchsatzrate der verwendeten
Kryptier-Hardware mitentscheidend.
- Organisatorischer/Personeller Aufwand (Administration, Keymanagement,
Schulung, etc.)
Der organisatorische bzw. personelle Aufwand ist von der Umsetzung der
Sicherheitspolitik und dem “Komfort” der Verschlüsselungs-Komponenten
abhängig. Generelle Entscheidungskriterien für oder gegen eine der drei
Lösungen können nicht allgemeingültig formuliert werden.
- Wirtschaftlichkeit (Anschaffung, Schulungs-/Administrationskosten, ...)
Eine allgemeine Aussage zur Wirtschaftlichkeit ist schwierig. Betrachtet
man nur die Anschaffungskosten, so werden Software-Lösungen oft
preiswerter sein als Hardware-Lösungen. Kalkuliert man dagegen auch die
Schäden ein, die durch unzureichenden Schutz auf längere Sicht entstehen
können, kann sich im Vergleich die Investition in sicherere und vielleicht
teurere Lösungen lohnen. Wirtschaftliche Nachteile können u. U. durch
Performanceverlust des PC-Systems entstehen.
- Restrisiken (Betriebssystem, Kompromittierung des Festplattenschlüssels,
etc.)
Bei der Auswahl der geeigneten Verschlüsselungs-Komponente spielt die
Restrisikobetrachtung eine wesentliche Rolle. Es stellen sich u. a. die
Fragen
Welche Restrisiken kann man in Kauf nehmen? und
Welche Restrisiken werden bzw. können durch andere Maßnahmen
(z. B. materielle oder organisatorische Maßnahmen) minimiert
werden?
Es können sich durchaus mehrere tragbare Lösungsmöglichkeiten durch
die Kombination verschiedener Maßnahmen ergeben.
Beispiel 2: E-Mail-Verschlüsselung
Der Austausch von elektronischer Post (E-Mail) über bzw. in Computernetzen
gewinnt zunehmend an Bedeutung. Werden dabei sensible Informationen
(z. B. Firmengeheimnisse) über ungesicherte Netze ausgetauscht, so sind
dabei Mechanismen zum Schutz der Vertraulichkeit bzw. für die Gewähr der
Authentizität von Nachrichten erforderlich. Zu diesen Zwecken dienen
E-Mail-Verschlüsselungsprogramme. Am weitesten verbreitet sind dabei zwei
Programmpakete bzw. Standards amerikanischer Herkunft:
- PGP (“Pretty Good Privacy”) und
- S/MIME (Secure Multipurpose Internet Mail Extensions).

_____________________________________________________________________ ..........................................
366

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Dabei ist PGP ein Programmpaket, das ursprünglich als Freeware im Internet
erhältlich war und sich daher weit verbreitet hat. Der S/MIME Standard wird
u. a. von den Secure-E-Mail Anwendungen der Firmen Microsoft, Netscape
und RSA Data Security Inc. verwendet.
Was muß ein solches E-Mail-Verschlüsselungsprogamm leisten?
Die Antwort hängt zu einem gewissen Grad natürlich von den umgebenden
Sicherungsmaßnahmen ab. Die Anforderungen sind sicherlich dann am
größten, wenn die Nachrichten über ein großes, offenes, ungesichertes Netz
wie z. B. das Internet verschickt werden sollen. Hier wollen evtl. sogar einander persönlich Unbekannte vertraulich und authentisch miteinander kommunizieren. Welche kryptographischen Dienste sind dazu erforderlich?
Vertraulichkeit
Da die Nachrichten verschlüsselt werden sollen, müssen (einer oder mehrere)
Verschlüsselungsalgorithmen implementiert sein. Dazu bieten sich wegen der
höheren Performance symmetrische Verfahren an.
Schlüsselmanagement
- Erzeugung: die Schlüssel für das symmetrische Verfahren müssen durch
einen geeigneten (Zufalls-) Prozeß so erzeugt werden, daß Erraten bzw.
Vorhersage weiterer Schlüssel auch bei Kenntnis einiger vorhergehender
Schlüssel praktisch unmöglich ist.
- Schlüsseleinigung/Austausch: da eine zentrale Schlüsselversorgung mittels
symmetrischer Verfahren im Internet schon wegen der schieren Masse der
möglichen Kommunikationspartner ausscheidet, ist die Verwendung
asymmetrischer Verfahren für Schlüsseleinigung bzw. Schlüsselaustausch
geboten.
Authentizität
Da aufgrund der Anforderungen aus dem Schlüsselmanagement ohnehin ein
asymmetrisches Verfahren implementiert ist (und evtl. Verbindlichkeit verlangt wird), wird man zu diesem Zweck eine digitale Signatur einsetzen.
Signaturschlüssel sollten dabei ausschließlich zu Signaturzwecken verwendet
werden. Dabei muß - wie immer bei der Verwendung von Public-KeyVerfahren - das Problem der Authentizität der öffentlichen Schlüssel gelöst
werden.
Verbindlichkeit
Verbindlichkeit setzt eine Public-Key-Infrastruktur voraus (PKI, Registrierung
von Teilnehmern und Zertifizierung von öffentlichen Schlüsseln durch eine
vertrauenswürdige dritte Instanz, inkl. Einsatzregeln). Bisher existiert
allerdings keine globale PKI, daher ist es schwierig, für E-Mails von vorher
unbekannten Teilnehmern einen verbindlichen Herkunftsnachweis zu bekommen. In einem lokalen Netz wäre zu diesem Zweck eine geeignete PKI zu
schaffen.
Standardkonformität
Aus Interoperabilitätsgründen und zum Investitionsschutz ist es sinnvoll, möglichst weit verbreitete und akzeptierte Internet-Standards zu verwenden.
Sowohl S/MIME als auch PGP befinden sich im Stadium der Standardisierung.

_____________________________________________________________________ ..........................................
367

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Beispiel 3: Sichere Sprach- und Datenkommunikation bei ISDN-Netzanbindungen
Beim folgenden Anwendungsbeispiel wird die Kommunikation per ISDN
betrachtet. Geschützt werden sollen die Anwendungen "Telefonverkehr" und
"Videokonferenzen" sowie der Datenverkehr zwischen Rechnernetzen. Als
Ziel soll ein wirkungsvoller Schutz übermittelter vertraulicher Informationen
und verbindlicher personenbezogener Daten gewährleistet werden. Es wird
davon ausgegangen, daß alle zu übertragenen Informationen in digitaler Form
(PCM-Code) vorliegen und daß die in firmeneigenen Netzen und TK-Anlagen
übliche Sprachkomprimierung für verschlüsselte Anwendungen abgeschaltet
werden kann, damit die Nutzkanäle (B-Kanäle) verschlüsselt werden können.
Dafür soll eine ISDN-Sicherheitskomponente eingesetzt werden, mit der ein
S0-Anschluß mit zwei 64 kbit/s-Kanälen abgesichert werden kann. Dabei ist
es unerheblich, ob am S0-Bus einzelne ISDN-Endgeräte (Telefon, Fax, PC mit
ISDN-Einsteckkarte etc.) angeschlossen sind oder eine kleine TK-Anlage
nachgeschaltet ist. Alle Verbindungen sollen wahlweise verschlüsselt oder
unverschlüsselt aufgebaut und betrieben werden. Folgende Abbildung zeigt
die entsprechende Systemkonfiguration.
So-Bus

Telefon
Fax

Int. Management

Video

ISDN-Sicherheitskomponente

V.24

PC
Chipkarte
Analog TA

NT
NT
NT

Managment
Station

= Network
Terminator

ISDN-Netz
NT
NT
Int. Management
V.24

ISDN-Sicherheitskomponente
Chipkarte
Telefon
Fax
Video
PC
Analog TA

TK-Anlage

Es wurde ein ISDN-Kryptogerät ausgewählt, das mittels einer Chipkarte
gegen unbefugte Benutzung abgesichert werden kann. Alternativ steht auch
eine serielle V.24-Schnittstelle zur Verfügung, um die Sicherheitskomponente
mit Hilfe eines PC konfigurieren zu können. Der Benutzer oder die Endanwendung kann die Verschlüsselung direkt mit der Chipkarte bzw. durch die
Vorwahl einer speziellen Kennziffer steuern. Auch ist es möglich, die ISDNSicherheitskomponente so zu konfigurieren, daß bestimmte Verbindungen
(Nummern) verschlüsselt oder unverschlüsselt voreingestellt sind. Für das

_____________________________________________________________________ ..........................................
368

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Schlüsselmanagement, d. h. die Generierung und Verteilung von Schlüsselzertifikaten wird an einer zentralen Stelle des ISDN-Netzes eine Managementstation angeschlossen. Somit ist sichergestellt, daß die einzelnen ISDNSicherheitskomponenten netzweit registriert und mit aktuellem Schlüsselmaterial versorgt werden können.
Die Möglichkeit des sicheren Transports von Informationen und schützenswerten Daten in einem ISDN-Netz sind vielfältig und komplex. Dabei muß
jeder relevanten Grundbedrohung mit einer konkreten Sicherheitsmaßnahme
begegnet werden. Zur Gewährleistung der Vertraulichkeit erfolgt eine OnlineVerschlüsselung des übertragenen Datenstroms am wirkungsvollsten auf der
Sicherungsschicht. Hierzu werden die Daten vor ihrer Übertragung von einer
Kryptohardware automatisch verschlüsselt und auf der Empfängerseite wieder
entschlüsselt. Die Verschlüsselung ist dabei vollständig transparent für den
Endteilnehmer und für Anwenderprogramme. Das verwendete Kryptomodul
ermöglicht nicht nur eine Echtzeitverarbeitung, sondern bietet - im Vergleich
zu einer Dateiverschlüsselung (Softwarelösung) - einen höheren Schutz gegen
Angriffsversuche. Zur Sicherung der Übersendung von verbindlichen oder
beweispflichtigen Daten können diese zusätzlich mit einer digitalen Signatur
des Absenders versehen werden. Damit kann die Herkunft und Echtheit der
übertragenen Nachricht vom Empfänger verifiziert und eventuelle
Manipulationen innerhalb des öffentlichen Netzes zuverlässig erkannt werden.
Für die sichere Erzeugung und Speicherung des Signaturschlüssels wird
wiederum auf die Chipkarte zurückgegriffen, die ein wesentlicher Bestandteil
des Sicherheitskonzeptes ist. Außerordentlich wichtig für die Verbindung von
Rechnern ist es, daß der Möglichkeit einer ungewollten Fehlvermittlung, die
- anders als bei Telefongesprächen - meist nicht vor oder während der
Übertragung erkannt werden, angemessen begegnet wird. Dies kann durch
eine eingebaute Firewall-Funktionalität in der ISDN-Sicherheitskomponente
erreicht werden. Durch eine Überwachung des Signalisierungskanals
(D-Kanal) kann dann die Sicherheitskomponente so eingestellt werden, daß
ausschließlich explizit vorkonfigurierte Kryptoverbindungen zustande
kommen. In Verbindung mit TK-Anlagen ist ferner vorgesehen, daß
bestimmte Rufnummern und Funktionen dieser Nebenstellenanlagen gesperrt
werden. Damit läßt sich die Ausnutzbarkeit der Schwachstellen "Fernwartung"
und "Rufweiterleitung" einschränken.
Um sowohl ein sicheres Schlüsselmanagement als auch eine schnelle Echtzeitverschlüsselung der Nutzdaten zu erreichen, sollten Hybridverfahren eingesetzt werden. Unter Beibehaltung der symmetrischen Informationsverschlüsselung wird der sogenannte Sitzungsschlüssel mit Hilfe eines
asymmetrischen Verfahrens ausgetauscht. Dies läuft im Praxisbetrieb völlig
automatisch ab. Ohne nennenswerte Beeinträchtigung des Bedienungskomforts können auf diese Weise für jede neue ISDN-Verbindung neue
Sitzungsschlüssel vereinbart werden.
Aus sicherheitstechnischer Sicht sollte der Endteilnehmer folgende Einsatzkriterien und -auflagen bei der Auswahl bzw. beim Einsatz einer ISDNSicherheitskomponente heranziehen:
(Bewertung: + = wichtig bis +++ = sehr wichtig):

_____________________________________________________________________ ..........................................
369

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.163
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Die individuellen Teilnehmerschlüssel und Authentisierungsinformationen
sind auf einem sicheren Medium (z. B. einer Chipkarte) zu speichern und
mit Hilfe einer vertrauenswürdigen Signatur zu sichern (+++).
- Für die Verschlüsselung einer Kommunikationsbeziehung (Sprache, Daten,
Bild, etc.) ist pro Übertragung ein geheimer Schlüssel, der sogenannte
Sitzungsschlüssel, neu zu vereinbaren (++).
- Die ausgeführten Sicherheitsdienste erfolgen automatisch und für das Endsystem bzw. den Endteilnehmer völlig transparent (+).
- Für ausgewählte Verbindungen ist die Sicherheitskomponente immer im
Kryptobetrieb eingerichtet (+++).
- Die bestehende Infrastruktur sollte bei Verwendung der Sicherheitskomponenten voll erhalten bleiben (+).
- Die Sicherheitsadministration der Sicherheitskomponenten sollte netzweit
und möglichst von zentraler Stelle aus möglich sein (+).
- Wünschenswert ist eine Online-Betriebsüberwachung und Registrierung
aller Sicherheitskomponenten im Dialog mit der Managementstation (+).
Es sollten ISDN-Sicherheitskomponenten ausgewählt werden, die normierte
Schnittstellen haben, keine Änderungen in den zu schützenden Endgeräten
erfordern und die leicht in eine bestehende Kommunikationslandschaft zu
integrieren sind.

_____________________________________________________________________ ..........................................
370

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.164
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.164

Auswahl eines geeigneten kryptographischen
Verfahrens

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Die Auswahl eines kryptographischen Verfahrens zerfällt in die beiden Teilaufgaben
- Auswahl des kryptographischen Algorithmus und
- Auswahl einer technischen Realisierung.
Bevor der Anwender sich auf bestimmte Verfahren festlegt, sollte er genaue
Vorstellungen davon haben, welche Anforderungen er an Vertraulichkeit und
Authentizität der bearbeiteten Daten in jedem "Punkt" seines informationsverarbeitenden Systems stellt.
Auswahl von kryptographischen Algorithmen
Bei der Auswahl von kryptographischen Algorithmen ist zunächst zu klären,
welche Art kryptographischer Verfahren benötigt werden, also symmetrische,
asymmetrische oder hybride Verfahren, und dann sind geeignete Algorithmen,
also solche mit entsprechender Mechanismenstärke auszuwählen.
Verschlüsselungsverfahren
- symmetrische Verschlüsselung: Die Vor- bzw. Nachteile symmetrischer
Verfahren sind in M 3.23 beschrieben. Geeignete Algorithmen sind z. B.
Tripel-DES, IDEA, RC 5, wobei bei RC 5 die Schlüssellänge mindestens
80 Bit sein sollte.
- asymmetrische Verschlüsselung: Die Vor- bzw. Nachteile asymmetrischer
Verfahren sind in M 3.23 beschrieben. Geeignete Algorithmen sind z. B.
RSA oder auf Elliptischen Kurven basierende Verschlüsselungsverfahren
(zur Schlüssellänge siehe unten).
Authentisierungsverfahren
- Nachrichtenauthentisierung
Zur Nachrichtenauthentisierung können verschiedene Verfahren eingesetzt
werden, etwa ein Message Authentication Code (MAC) oder ein digitales
Signaturverfahren. Der Einsatz eines MACs ist von Vorteil, wenn extrem
hohe Durchsatzraten gefordert sind (oder nur eine geringe Rechenkapazität
zur Verfügung steht) und das Risiko der Schlüsseloffenlegung auf beiden
Seiten sehr gering ist. Der Einsatz eines digitalen Signaturverfahrens ist
von Vorteil, wenn das Risiko der (Signatur-) Schlüsseloffenlegung auf
einer Seite wesentlich höher ist als auf der anderen Seite; und in aller Regel
geboten, wenn Verbindlichkeitsdienste verlangt werden. Es sei noch
einmal bemerkt, daß für den Dienst Verbindlichkeit eine Infrastruktur
vertrauenswürdiger Dritter vorhanden sein muß.
Der bekannteste MAC-Algorithmus ist die Verschlüsselung einer
Nachricht mit DES oder einem anderen Block-Chiffrierverfahren im CBCoder CFB-Mode. Dabei wird als MAC der letzte verschlüsselte Block an

_____________________________________________________________________ ..........................................
371

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.164
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

die Nachricht angehängt. Solche Varianten sind z. B. in den Normen ANSI
X9.9, ANSI X9.19, ISO 8731-1 oder ISO 9797 spezifiziert.
Geeignete Algorithmen für Digitale Signaturen sind z. B. RSA, DSA
(Digital Signature Algorithm) oder auf elliptischen Kurven basierende
DSA-Varianten, z. B. ISO/IEC 15946-2, IEEE-Standard P1363, Abschnitt
5.3.3 ("Nyberg-Rueppel Version"), IEEE-Standard P1363, Abschnitt 5.3.4
("DSA Version").
- Authentisierung von Benutzern oder Komponenten
Ein einfaches Verfahren zur Authentisierung ist eine Paßwortabfrage.
Werden die Paßwörter dabei aber unverschlüsselt über ein Netz übertragen,
können diese verhältnismäßig einfach mitgelesen werden. Daher sollten
hier bessere Verfahren verwendet werden. Geeignete Verfahren sind
beispielsweise
-

Einmalpaßwörter (siehe auch M 5.34 Einsatz von Einmalpaßwörtern), die software- oder hardwaregestützt erzeugt werden
können. Hierbei sind die hardwarebasierten Authentifikationsmethoden vorzuziehen, da sie einen geringeren organisatorischen
Aufwand und höhere Sicherheit bieten.

-

Die Authentisierung mittels PAP oder besser CHAP, die bei der
Nutzung des Point-to-Point-Protocol eingesetzt werden (siehe
M 5.50).

-

Die Authentisierung mittels CLIP/COLP, die bei der Kommunikation über ISDN eingesetzt wird (siehe M 5.48).

-

Ein weiteres bekanntes Verfahren ist das Authentikationsprotokoll
Kerberos, das am MIT (Massachusetts Institute of Technology)
entwickelt wurde. Es wird in Netzen zur gegenseitigen
Authentisierung von Benutzer/Client und Servern eingesetzt. Die
zentrale Autorität bei Kerberos ist der Ticket-Granting-Server, der
Tickets ausstellt, mit denen sich Clients und Server gegenseitig
authentisieren können. Mit Hilfe dieser Tickets können Benutzer
sich nach einmaliger Authentikation Sitzungsschlüssel für die verschiedensten Dienste anfordern.

Hashverfahren
Geeignete Algorithmen sind z. B. MD5, SHA-1, RIPEMD-160.
Auswahlkriterien
- Mechanismenstärke / Schlüssellänge
Ein wesentliches Kriterium für die Auswahl von kryptographischen Verfahren ist ihre Mechanismenstärke. Bei symmetrischen Verfahren sollte
insbesondere die Schlüssellänge ausreichend groß sein. Je größer die verwendete Schlüssellänge bei einem kryptographischen Verfahren ist, desto
länger dauert es, ihn z. B. durch eine Brute-Force-Attacke zu berechnen.
Andererseits werden die Verfahren bei der Verwendung längerer Schlüssel
langsamer, so daß immer zu überlegen ist, welche Schlüssellänge unter
Nutzen-/Leistungsgesichtspunkten angemessen ist. Als Faustregel für gute

_____________________________________________________________________ ..........................................
372

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.164
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Verfahren (Tripel-DES, IDEA, RC5,...) und mittleren Schutzbedarf gilt
derzeit, daß die eingesetzten Schlüssel mindestens 80 Bit lang sein sollten.
Bei Verwendung von Blockchiffren sollten größere, strukturierte
Datenmengen nicht im ECB-Modus verschlüsselt werden. Stattdessen
sollten dazu der CBC-Modus oder der CFB-Modus verwendet werden.
Mindestens eine dieser Betriebsarten sollte daher implementiert sein.
Bei asymmetrischen Verfahren sollte die Mechanismenstärke so gewählt
werden, daß die Lösung der zu Grunde liegenden mathematischen Probleme einen unvertretbar großen bzw. praktisch unmöglichen Rechenaufwand erfordert (die zu wählende Mechanismenstärke hängt daher vom
gegenwärtigen Stand der Algorithmik und der Rechentechnik ab). Gegenwärtig kann man davon ausgegehen, daß man mit
-

Modullängen von 768 Bit bei RSA bzw.

-

Untergruppenordnungen in der Größe von 160 Bit bei ElGamalVerfahren auf einer geeigneten elliptischen Kurve

"auf der sicheren Seite" ist.
Es sollten keine "unbekannten" Algorithmen verwendet werden, d. h. es
sollten Algorithmen eingesetzt werden, die veröffentlicht sind, die von
einem breiten Fachpublikum intensiv untersucht worden sind und von
denen keine Sicherheitslücken bekannt sind. Häufig bieten Hersteller
Sicherheitsprodukte an mit neuen Algorithmen, die "noch viel sicherer und
noch viel schneller" sein sollen als andere Algorithmen. Aber vor der
Verwendung von unbekannten Algorithmen aus Quellen, deren kryptographische Kompetenz nicht ausreichend nachgewiesen ist, kann nur
gewarnt werden.
- Symmetrische oder hybride Verfahren?
Aus Performancegründen werden für Verschlüsselungszwecke keine reinen
Public-Key-Implementierungen eingesetzt. Alle gängigen Implementierungen von Public-Key-Kryptographie nutzen hybride Verfahren
(siehe M 3.23).
In Anwendungen mit großen oder offenen Nutzergruppen empfiehlt sich
meist die Verwendung eines hybriden Verfahrens (wegen der Vorzüge für
das Schlüsselmanagement). Bei kleinen, geschlossenen Nutzergruppen
(insbesondere natürlich bei einem einzelnen Benutzer) kann man sich auf
symmetrische Verfahren beschränken. Bei Einsatz hybrider Verfahren ist
es sinnvoll, die Stärken des symmetrischen und des asymmetrischen
Anteils aufeinander abzustimmen. Da mit dem asymmetrischen Verfahren
vor einem Schlüsselwechsel in der Regel viele Schlüssel für das
symmetrische Verfahren überschlüsselt werden, sollte der asymmetrische
Algorithmus eher etwas stärker ausgelegt werden.
- Realisierbarkeit von technischen Anforderungen
Die Chiffrieralgorithmen müssen so beschaffen sein, daß die technischen
Anforderungen, insbesondere die geforderte Performance, durch eine
geeignete Implementation erfüllt werden können. Hierunter fallen Anforderungen an die Fehlerfortpflanzung (z. B. falls über stark rauschende

_____________________________________________________________________ ..........................................
373

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.164
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Kanäle gesendet wird), aber auch Anforderungen an Synchronisationsoverhead und Zeitverzögerung (z. B. falls "Echtzeit"-Verschlüsselung von
großen Datenmengen erfordert wird).
Beispiel: Sprachverschlüsselung bei ISDN
Für die Planung eines Kommunikationsnetzes sind eine Reihe von Parametern zu berücksichtigen, die einen Einfluß auf die zu erwartende
Sprachqualität haben und sich in Form von Rauschen, Knacken, Nebensprechen oder Pfeifen bemerkbar machen. Zu solchen Einflußfaktoren
zählen beispielsweise die eingesetzten Verschlüsselungsverfahren. Um eine
zufriedenstellende Sprachqualität erzielen zu können, müssen alle
Einrichtungen längs eines Übertragungsweges betrachtet und bewertet
werden. Eine isolierte Betrachtungsweise einer Einzelkomponente ist zwar
aufgrund der Verkopplung aller relevanten Einzeleffekte als nicht gerechtfertigt anzusehen, dennoch ist die Kenntnis der Einflußfaktoren jeder
Einzelkomponente (z. B. der Kryptokomponente) wichtig. Hieraus können
sowohl die Rahmenbedingungen für die Realisierung als auch für die
Auswahl abgeleitet werden. Das Verhalten einer Verschlüsselungskomponente wird dabei hauptsächlich durch folgende Faktoren
charakterisiert:
-

die verstreichende Zeitdauer bei der Verschlüsselung eines Datenblocks (führt i. allg. zu Verzögerungen),

-

die für Synchronisationszwecke zusätzlich in den Datenstrom eingeführten Steuerinformationen (führen u. U. zu Schwankungen),

-

der von der Kryptokomponente maximal zu leistende Datendurchsatz (führt - wenn Zwischenspeicherung notwendig - ebenfalls zu
Schwankungen),

-

die durch die Verschlüsselung resultierende Fehlerfortpflanzung
(führt i. allg. zu einem Anstieg der Fehlerrate).

Gerade bei einer Sprachverschlüsselung (Echtzeitdienst) machen sich die
vorgenannten Einflußfaktoren in einer Erhöhung der Ende-zu-Ende-Laufzeit, in Laufzeitschwankungen sowie in einer höheren Fehlerrate negativ
bemerkbar, d. h. in einer Qualitätsminderung, die meßtechnisch ermittelt
und der Kryptokomponente zugeordnet werden kann.
- Andere Einflußfaktoren
Manche kryptographische Algorithmen (z. B. IDEA) sind patentiert, für
ihren Einsatz in kommerziellen Anwendungen (wozu auch der behördliche
Bereich zählt) sind evtl. Lizenzgebühren zu entrichten. Dies ist insbesondere beim Einsatz von Verfahren wie PGP zu beachten, von denen es
auch Implementationen gibt, die ansonsten als Public-Domain-Software
eingesetzt werden können.

_____________________________________________________________________ ..........................................
374

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.165
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.165

Auswahl eines geeigneten kryptographischen
Produktes

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Das Spektrum kryptographischer Anwendungen ist sehr breit, es reicht von
einem einfachen Programm zur Dateiverschlüsselung auf einem Single-User
PC über Firewallrechner mit Kryptofunktionen zur Absicherung eines lokalen
Netzes bis hin zur "Echtzeit"-Hardwareverschlüsselung von Videokonferenzen. Es ist klar, daß bei dieser Breite Empfehlungen zur Auswahl von kryptographischen Produkten allgemeingültig gehalten sind.
Vor einer Auswahl sollte der Nutzer sämtliche Anforderungen an das Produkt
festlegen. Das ausgewählte Produkt sollte die Benutzeranforderungen in
einem möglichst hohen Grad abdecken.
Funktionalität
Das ausgewählte Produkt muß die vom Anwender spezifizierte Funktionalität
aufweisen, insbesondere muß es
- die geforderten kryptographischen Grunddienste leisten,
- evtl. besonderen Anforderungen durch die Einsatzumgebung genügen
(z. B. Single-User/Multi-User-PC, LAN-Umgebung, WAN-Anbindung),
- die geforderten technischen Leistungsmerkmale aufweisen (z. B. Durchsatzraten),
- die geforderten Sicherheitsfunktionalitäten aufweisen, insbesondere
müssen die eingesetzten kryptographischen Mechanismen die erforderliche
Stärke aufweisen.
Interoperabilität
Das ausgewählte Produkt wird in der Regel in eine bestehende IT-Umgebung
eingefügt. Es muß dort möglichst interoperabel sein. Die Einhaltung interner
Standards ist nötig, um die Interoperabilität mit dem bereits vorhandenen ITSystem bzw. Systemkomponenten zu gewährleisten. Die Anwendung internationaler Standards für kryptographische Techniken sollte selbstverständlich
sein, sie erleichtert auch eine Sicherheitsevaluierung der kryptographischen
Komponente.
Wirtschaftlichkeit
Das ausgewählte Produkt sollte möglichst wirtschaftlich sein. Dabei müssen
Anschaffungskosten, Stückzahlen, Kosten für Wartung und Produktpflege,
aber auch Einsparungen durch etwaige Rationalisierungseffekte berücksichtigt
werden.
Zertifizierte Produkte
In den letzten Jahrzehnten hat sich eine international anerkannte Methodologie
zur Bewertung von IT-Sicherheitsprodukten durchgesetzt: die europäischen
ITSEC (Information Technology Security Evaluation Criteria) bzw. deren
Weiterentwicklung CC (The Common Criteria for Information Technology

_____________________________________________________________________ ..........................................
375

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.165
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Security Evaluation). Die ITSEC bzw. CC bieten einen Rahmen, innerhalb
dessen die Sicherheitsfunktionalitäten eines IT-Produktes durch Anlegen von
etablierten Kriterien in eine genau spezifizierte Hierarchie von
Sicherheitsstufen eingeordnet werden können. Die Informationssicherheitsbehörden mehrerer Staaten haben jeweils ein nationales Zertifizierungsschema
nach diesen Kriterien aufgebaut.
Der Einsatz eines zertifizierten Produktes bietet die Gewähr, daß die Sicherheitsfunktionalität dieses Produktes unabhängig geprüft wurde und den im
Evaluationslevel spezifizierten Standard nicht unterschreitet (siehe auch
M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung).
Importprodukte
In mehreren Staaten, insbesondere den USA, unterliegt der Export von starker
Kryptographie gegenwärtig (noch) starken Beschränkungen. Insbesondere
wird die Stärke von an sich starken Verschlüsselungsprodukten künstlich
(durch Reduzierung der Schlüsselmannigfaltigkeit) herabgesetzt. Solche
künstlich geschwächten Verfahren erreichen i.d.R. nicht die für mittleren
Schutzbedarf erforderliche Mechanismenstärke.
In Deutschland und den meisten anderen Ländern unterliegen kryptographische Produkte beim Einsatz innerhalb der Landesgrenzen keinerlei Einschränkungen. Beim Einsatz von Importprodukten sollte immer darauf geachtet werden, ob sie den vollen Leistungsumfang bieten.
Grenzüberschreitender Einsatz
Viele Unternehmen und Behörden haben zunehmend das Problem, das sie
auch ihre internationale Kommunikation, z. B. mit ausländischen Tochterunternehmen, kryptographisch absichern wollen. Hierfür muß zunächst untersucht werden,
- ob innerhalb der jeweiligen Länder Einschränkungen beim Einsatz kryptographischer Produkte zu beachten sind und
- ob für in Frage kommende Produkte Export- oder Importbeschränkungen
beachtet werden müssen.
Fehlbedienungs- und Fehlfunktionssicherheit
Das Gefährliche an kryptographischen Produkten ist, daß sie den Anwender in
einer - mitunter trügerischen - Sicherheit wiegen: Es ist ja "alles verschlüsselt"! Insofern kommt Maßnahmen gegen Kompromittierungen durch Bedienungsfehler oder technisches Versagen besondere Bedeutung zu, da deren
Folgen eben nicht nur auf einen schlichten Defekt beschränkt werden können,
sondern sogleich einen Sicherheitseinbruch nach sich ziehen. Allerdings ist
die Bandbreite bezüglich redundanter Systemauslegung und zusätzlicher
Überwachungsfunktionen - und damit an Gerätekosten - groß, so daß hier die
Maßnahmen im Einzelfall in Abhängigkeit von den Anforderungen festzulegen sind.
Implementierung in Software, Firmware oder Hardware
Kryptographische Algorithmen können sowohl in Software, in Firmware als
auch in Hardware implementiert werden. Softwarerealisierungen werden in

_____________________________________________________________________ ..........................................
376

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.165
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

der Regel vom Betriebssystem des jeweiligen IT-Systems gesteuert. Unter
Firmware versteht man Programme und Daten, die permanent so in Hardware
gespeichert sind, daß die Speicherinhalte nicht dynamisch verändert werden
können, und die während ihres Ablaufs nicht modifiziert werden können. Bei
Hardwarelösungen wird das kryptographische Verfahren direkt in Hardware
realisiert, z. B. als separates Sicherheitsmodul oder als Einsteckkarte.
Dazu, welche Art der Implementierung gewählt werden sollte, kann keine
generelle Empfehlung abgegeben werden, da die Entscheidung eine Abwägung von verschiedenen Faktoren erfordert:
- den Schutzbedarf der durch das kryptographische Verfahren zu schützenden Daten bzw. das angestrebte Sicherheitsniveau,
- den angestrebten Datendurchsatz,
- wirtschaftliche Überlegungen/Zwänge,
- die Einsatzumgebung/ umgebende Sicherungsmaßnahmen,
- eine evtl. vorliegende nationale Einstufung der bearbeiteten Daten.
Softwarelösungen bieten den Vorteil, leicht anpaßbar und kostengünstig zu
sein. Hardwarerealisierungen bieten im allgemeinen sowohl höhere Manipulationsresistenz (und damit Sicherheit) als auch höheren Datendurchsatz als
Softwarerealisierungen, sie sind aber normalerweise auch teurer.
Firmwarelösungen kann man als Kompromiß der beiden vorangegangenen
Möglichkeiten verstehen. Die Vor- und Nachteile der jeweiligen Realisierung
beziehen sich jedoch immer nur auf lokale Aspekte (dazu gehört vor allem das
Schlüsselmanagement). Sind die Daten einmal verschlüsselt und befinden sie
sich auf dem Kommunikationsweg, ist im Prinzip das Zustandekommen der
Verschlüsselung nicht mehr relevant.
Ein Beispiel für (relativ) preiswerte, transportable und benutzerfreundliche
Kryptomodule sind Chipkarten, die im Bereich der lokalen Verschlüsselung
als sicheres Speichermedium für die kryptographischen Schlüssel oder im
Bereich der Authentikation zur Paßwort-Generierung und Verschlüsselung
eingesetzt werden können.
Wenn alle Anforderungen an das kryptographische Produkt festgelegt worden
sind, erhält man damit einen Anforderungskatalog, der dann auch direkt für
eine Ausschreibung verwendet werden kann, sofern eine solche notwendig ist.

_____________________________________________________________________ ..........................................
377

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.166
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.166

Regelung des Einsatzes von Kryptomodulen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen
an den Einsatz von Kryptomodulen gestellt werden. Diese müssen adäquat in
das technische und organisatorische Umfeld eingebunden sein, in dem sie
eingesetzt werden.
Dafür müssen einige organisatorische Regelungen getroffen werden:
- Es müssen Verantwortliche benannt werden, und zwar für die Erstellung
des Kryptokonzeptes, für die Auswahl sowie für den sicheren Betrieb der
kryptographischen Produkte.
- Es sind geeignete personelle Maßnahmen festzulegen bzw. durchzuführen
(Schulung, Benutzer-Support, Vertretungsregelungen, Verpflichtungen,
Rollenzuteilungen).
- Die Benutzer sollten nicht nur im Umgang mit den von ihnen zu bedienenden Kryptomodulen geschult werden, sie sollten darüber hinaus für den
Nutzen und die Notwendigkeit der kryptographischen Verfahren sensibilisiert werden und einen Überblick über kryptographische Grundbegriffe
erhalten (siehe auch M 3.23).
- Falls Probleme oder gar der Verdacht auf Sicherheitsvorfälle beim Einsatz
von Kryptomodulen auftritt, muß klar definiert sein, was in solchen Fällen
zu unternehmen ist. Alle Benutzer müssen über die entsprechenden Verhaltensregeln und Meldewege informiert sein.
- Im Rahmen des Kryptokonzeptes ist festzulegen, wer wann welche
Kryptoprodukte benutzen muß bzw. darf und welche Randbedingungen
dabei zu beachten sind (z. B. Schlüsselhinterlegung).
- Der korrekte Einsatz der Kryptomodule sollte regelmäßig überprüft
werden. Ebenso ist regelmäßig zu hinterfragen, ob die eingesetzten
kryptographischen Verfahren noch dem Stand der Technik entsprechen
(siehe dazu auch M 2.35 Informationsbeschaffung über Sicherheitslücken
des Systems).
- Je nach den definierten Verfügbarkeitsanforderungen sollten ErsatzKryptomodule vorrätig gehalten werden, um einen reibungslosen Betrieb
zu gewährleisten. Dies ist insbesondere dort wichtig, wo der Zugriff auf
verschlüsselte Daten von der Funktionsfähigkeit eines einzelnen Kryptomoduls abhängt, z. B. bei der Datenarchivierung oder der ISDNVerschlüsselung.
Es ist ein sicherer Betrieb der Kryptomodule zu gewährleisten, dazu gehören:
- Vor der Inbetriebnahme muß die optimale Konfiguration der Kryptomodule festgelegt werden, z. B. hinsichtlich Schlüssellänge, Betriebsmodi
oder Kryptoalgorithmen.

_____________________________________________________________________ ..........................................
378

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.166
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Die festgelegte Konfiguration muß dokumentiert sein, damit sie nach
einem Systemversagen oder einer Neuinstallation schnell wieder eingerichtet werden kann.
- Für die Benutzer müssen die Kryptoprodukte durch den Administrator so
vorkonfiguriert sein, daß ohne weiteres Zutun der Benutzer maximale
Sicherheit erreicht werden kann.
- Bei komplexeren Kryptoprodukten müssen geeignete Handbücher verfügbar sein.
- Die Kryptomodule müssen sicher installiert werden und anschließend
getestet werden (z. B. ob es korrekt verschlüsselt und ob es vom Benutzer
bedient werden kann).
- Die Anforderungen an die Einsatzumgebung müssen festgelegt sein,
eventuell sind dafür ergänzende Maßnahmen im IT-Umfeld zu treffen. Die
sicherheitstechnischen Anforderungen an die IT-Systeme, auf denen die
kryptographischen Verfahren eingesetzt werden, sind den jeweiligen
systemspezifischen Bausteinen zu entnehmen, z. B. für Clients (inkl.
Laptops) aus Kapitel 5, für Server aus Kapitel 6.
- Es muß festgelegt werden, wer wie häufig die Kryptomodule zu warten
hat.
Auch im Rahmen des Schlüsselmanagements (siehe M 2.46 Geeignetes
Schlüsselmanagement) müssen diverse Vorgaben gemacht werden:
- Vorgaben zur Schlüsselerzeugung und -auswahl,
- Vorgaben zur gesicherten Speicherung kryptographischer Schlüssel,
- Festlegung der Schlüsselwechsel-Strategie und -Intervalle.
Ergänzende Kontrollfragen:
- Sind Regelungen für den Einsatz kryptographischer Verfahren festgelegt
worden?
- Ist das Kryptokonzept aktuell?
- An wen können sich die Benutzer bei Fragen zum Einsatz von Kryptomodulen wenden?

_____________________________________________________________________ ..........................................
379

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.167
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.167

Sicheres Löschen von Datenträgern

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher
Eine geregelte Vorgehensweise für die Löschung oder Vernichtung von
Datenträgern verhindert einen Mißbrauch der gespeicherten Daten. Bevor
Datenträger wiederverwendet werden, müssen die gespeicherten Daten vollständig gelöscht werden, z. B. durch vollständiges Überschreiben oder
Formatieren. Dies ist insbesondere wichtig, wenn Datenträger an Dritte
weitergegeben werden sollen. Auch der Empfänger des Datenträges muß nach
dem Empfang prüfen, ob der Schutzwert der Daten ein sofortiges Löschen des
Datenträgers erfordert, nachdem die Daten auf ein anderes IT-System übertragen wurden.
Es gibt verschiedene Methoden um Informationen auf Datenträgern zu
löschen, z. B. über Löschkommandos, durch Formatieren, durch Überschreiben oder durch Zerstörung des Datenträgers. Welche Methode gewählt werden
sollte, hängt hierbei auch vom Schutzbedarf der zu löschenden Daten ab, der
Schutz gegen die Restaurierung von Restdaten steigt in der genannten
Reihenfolge.
Löschkommandos
Bei der Benutzung von Löschkommandos ist insbesondere bei DOS-basierten
Betriebssystemen zu beachten, daß dabei nicht tatsächlich die Dateiinformationen gelöscht werden, sondern nur der Verweis auf diese Informationen im
"Inhaltsverzeichnis" des Datenträgers. Die Datei ist weiterhin vorhanden. Es
gibt eine Vielzahl von Programmen, mit denen die gelöscht geglaubten
Informationen wiederhergestellt werden können (z. B. UNDELETE unter
DOS).
Um Dateien unwiederbringlich zu löschen, müssen alle Einträge auf dem
Datenträger überschrieben werden. Dafür können Programme wie PC-Tools
(Option "Überschreiben" um Datenträger oder Programm WIPE um einzelne
Dateien zu überschreiben) oder Norton Utilities (Programm WIPEINFO)
eingesetzt werden.
Formatieren
Um Datenträger wieder in den "Urzustand" zu versetzen und damit auch vorhandene Informationen zu löschen, können diese formatiert werden. Wie
zuverlässig dabei allerdings die alten Daten gelöscht werden, ist stark abhängig vom zu Grunde liegenden Betriebssystem. Ein Überschreiben der alten
Daten ist auf jeden Fall zuverlässiger.
Beim Formatieren von DOS-Datenträgern ist beispielsweise darauf zu achten,
daß der Parameter /U (z. B. bei DOS 6.2 format a: /U) benutzt wird, damit das
Formatieren nicht über den Befehl unformat wieder rückgängig gemacht
werden kann. Unter Windows 95 und Windows NT ist aus gleichem Grunde
eine Formatierung mit dem Parameter Vollständig und nicht mit QuickFormat durchzuführen.

_____________________________________________________________________ ..........................................
380

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.167
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Überschreiben
Eine für den mittleren Schutzbedarf ausreichende physikalische Löschung
kann erreicht werden, indem der komplette Datenträger oder zumindest die
genutzten Bereiche mit einem bestimmten Muster überschrieben werden. Es
werden einige handelsübliche Produkte angeboten, die sogar die physikalische
Löschung einzelner Dateien gewährleisten.
Zum Überschreiben sollten keine gleichförmigen Muster wie "0000" benutzt
werden, sondern es sollten Muster wie "C1" (hexadezimal, entspricht der Bitfolge 11000001) benutzt werden. Dazu sollte bei einem zweitem Durchlauf
ein dazu komplementäres Muster (also z. B. 3E, entspricht der Bitfolge
00111110) benutzt werden, damit möglichst jedes Bit einmal geändert wird.
Die Überschreibprozedur sollte daher mindestens zweimal, besser aber dreimal wiederholt werden, da hierdurch eine verbesserte Schutzwirkung erzielt
wird.
Schreibgeschützte oder nicht mehrfach beschreibbare Datenträger wie CDROMs oder CD-Rs können selbstverständlich auch nicht gelöscht werden und
sollten vernichtet werden.
Löschgeräte
Flexible magnetische Datenträger (Disketten, Bänder) können mit einem
Löschgerät gelöscht werden. Dabei werden die Datenträger einem externen
magnetischen Gleich- oder Wechselfeld ausgesetzt (Durchflutungslöschen).
Geeignete Löschgeräte, die die Norm DIN 33858 erfüllen, sind in der BSIPublikation 7500 aufgeführt.
Grundsätzlich sind die Datenträger nach dem Löschen wiederverwendbar. Es
ist aber zu beachten, daß Datenträger mit einer magnetisch geschriebenen
Servospur (z. B: Bandkassetten IBM 3590, Travan 4, MLR und ZIP-Disketten) nach einem Löschen unbrauchbar werden.
Löschen von Festplatten
Auch Festplatten mit sensitiven Daten, die weitergegeben werden, sollten
gelöscht werden, insbesondere wenn sie ausgesondert oder zur Reparatur
gegeben werden. Dabei ist zu beachten, daß auch die Weitergabe "bereinigter"
Festplatten, die nur noch das Betriebssystem und Standardsoftware enthalten,
zu lizenzrechtlichen Problemen führen kann.
Daher sollten zu löschende Festplatten zumindest low-level formatiert werden.
Dazu sollten zunächst alle vorhandenen Partitionen gelöscht werden (unter
DOS mit dem Befehl fdisk) und eine große Partition angelegt werden. Danach
sollte die gesamte Festplatte formatiert werden (unter DOS mit dem Befehl
format /U).
Als zusätzliche Sicherheitsmaßnahme können dann noch neue Daten auf die
Festplatte aufgespielt werden, z. B. Musterfolgen mit dem Programm WIPE.
Wenn größere Mengen von (gleichartigen) Festplatten gelöscht werden sollen,
kann auch alternativ zunächst eine Festplatte mit einem Muster überschrieben
und dieses dann mit einem Image-Kopierprogramm auf alle weiteren
Festplatten aufgespielt werden.

_____________________________________________________________________ ..........................................
381

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.167
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Bei defekten Festplatten ist ein Löschen durch Überschreiben nicht mehr
möglich. Daher bleibt nur das Löschen mit einem Löschgerät, obwohl diese
Geräte nicht für das Löschen von Festplatten vorgesehen sind. Wegen des
unterschiedlichen Aufbaus von Festplattenlaufwerken, insbesondere der
Anzahl von Platten, kann keine generelle Aussage über die erzielbare
Löschwirkung gemacht werden. Die Anwendung eines Löschgerätes auf eine
Festplatte macht diese im allgemeinen unbrauchbar..
Vernichtung der Datenträger
Eine einfache Möglichkeit, Datenträger zu vernichten, besteht darin, daß Disketten und Magnetbänder zerschnitten und Festplatten mechanisch zerstört
werden. Dies ist allerdings zu umständlich bei größeren Mengen zu vernichtender Datenträger und auch nicht ausreichend bei höherem Schutzbedarf.
Geeignete Vernichtungsgeräte für Magnetbänder, Disketten und CD-ROMs,
die der Norm DIN 32757 entsprechen, sind in der BSI-Publikation 7500
aufgeführt. Bei diesen Vernichtungsgeräten werden die Datenträger entweder
zerkleinert oder eingeschmolzen. Vernichtungsgeräte für Festplatten sind nicht
bekannt.
Ergänzende Kontrollfragen:
- Gibt es ein geregeltes Vorgehen zum Löschen von Datenträgern?

_____________________________________________________________________ ..........................................
382

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.168
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.168

IT-System-Analyse vor Einführung eines
Systemmanagementsystems

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Administrator
Vor der Einführung eines Systemmanagementsystems müssen die IT-Systeme,
die zukünftig verwaltet werden sollen, untersucht und analysiert werden. Die
daraus resultierende Systemdokumentation kann dann als Planungs- und
Entscheidungsgrundlage für die festzulegende Systemmanagementstrategie
(siehe M 2.169) dienen. Wichtig ist, daß schon zum Zeitpunkt der Planung
alle relevanten Informationen über die zu verwaltenden Systeme möglichst
vollständig vorliegen, um Fehlentscheidungen aufgrund mangelnder
Information auszuschließen. Aus den lokalen Gegebenheiten lassen sich
außerdem konkrete Anforderungen formulieren, die von dem zu beschaffenden Managementsystem erfüllt werden müssen (K.O.-Kriterien).
Es sind folgende Maßnahmen (mit den dort beschriebenen Untermaßnahmen)
durchzuführen, die idealerweise bei der Planung und im laufenden Betrieb des
Systems gemäß Grundschutzhandbuch schon durchgeführt wurden bzw.
werden:
- Ist-Aufnahme der aktuellen Netzsituation (siehe M 2.139)
- Dokumentation der Systemkonfiguration (siehe M 2.25): Es sollten alle ITSysteme erfaßt und dokumentiert werden. Insbesondere in heterogenen
Systemen müssen z. B. alle vorhandenen Betriebssysteme erfaßt werden,
um die entsprechenden Anforderungen an das Managementsystem formulieren zu können.
- Feststellung und Überprüfung des Softwarebestandes (siehe M 2.10): Soll
im Rahmen des Systemmanagements auch Software verwaltet werden
(Applikationsmanagement), so sollte hier eine Bestandsaufnahme erfolgen.
Alternativ kann als Anforderung an das Managementsystem das
automatische Feststellen des Softwarebestandes ("Autodiscovery",
"Software-Discovery") formuliert werden. Welche der beiden Varianten im
Einzelfall notwendig ist, hängt von der Aufgabe ab, die im Bereich
Softwaremanagement erbracht werden soll. Wird das Managementsystem
z. B. dazu angeschafft, um einen existierenden Softwarebestand, dessen
Zusammensetzung nicht in Gänze bekannt ist, automatisch zu verwalten
(Softwareupdate, Einspielen neuer Software), so muß daß Managementsystem nach seiner Installation in der Lage sein, den Softwarebestand
automatisch zu erfassen. Sollen im Rahmen des Applikationsmanagements
einzelne Softwarepakete zusätzlich auf Anwendungsebene verwaltet
werden, so muß geprüft werden, ob die Software dies aktiv unterstützt
(z. B. durch ein entsprechendes Protokoll), was eine vorherige Bestandsaufnahme der vorhandenen Software nötig macht. Daraus ergeben sich
dann Anforderungen an den Funktionsumfang des zu beschaffenden
Managementsystems (z. B. Unterstützung des Applikationsverwaltungsprotokolls). Soll z. B. ein Webserver über ein HTTP-basiertes Managementinterface verwaltet werden, so muß das Managementsystem HTTP-

_____________________________________________________________________ ..........................................
383

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.168
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

basierte Managementfunktionen besitzen oder aber ein Erweiterungsinterface anbieten, das es erlaubt, Eigenentwicklungen zu integrieren.
Neben der Dokumentation des Ist-Zustandes sollte auch die zukünftige
Planung für das IT-System berücksichtigt werden, da ein Managementsystem
auch auf zukünftige Änderungen im IT-System ausgelegt sein sollte (z. B.
Skalierbarkeit).

_____________________________________________________________________ ..........................................
384

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.169
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.169

Entwickeln einer Systemmanagementstrategie

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Die in einem Netz angesiedelten Komponenten müssen von einem Administrator regelmäßig verwaltet werden. Die zu erledigenden Aufgaben reichen
von der Einrichtung neuer Benutzer bis hin zur Installation neuer Software,
deren verteilte Natur die Installation von Teilsoftware auf jedem einzelnen
Rechner verlangt (Workflowsystem, Dokumentenverwaltungssystem, o. ä.). In
großen Organisationen bedeutet alleine die Einrichtung eines neuen
Benutzers, der sich auf allen für ihn freigegebenen Rechnern anmelden
können soll, einen hohen administrativen Aufwand, da bei Stand-aloneBetrieb jeder einzelne dieser Rechner dementsprechend konfiguriert werden
muß. Moderne netzfähige Betriebssysteme (z. B. Unix, Windows NT, Novell)
sind daher mit Mechanismen ausgestattet, die den administrativen Aufwand
verringern sollen (z. B. zentrale Benutzerverwaltung). Soll allerdings die
Verwaltung aller Hard- und Software-Komponenten eines lokalen Netzes auf
allen Ebenen (technisch und organisatorisch) in einheitlicher Weise erfolgen,
so müssen einerseits technische Hilfsmittel in Form von Managementsystemen eingesetzt werden, deren erfolgreicher Einsatz andererseits aber
auch von einer zu erstellenden Managementstrategie abhängt. Die Vorgaben
und Regeln der Managementstrategie werden dann durch die Systemadministration mit Hilfe der Managementsoftware umgesetzt. Eine Managementstrategie muß individuell auf die Bedürfnisse der jeweiligen Unternehmen bzw. Behörden angepaßt sein. Hierzu müssen folgende Schritte
durchgeführt werden:
Festlegung der vom Managementsystem zu verwaltenden Objekte
Nach der Durchführung der Bestandsaufnahme (siehe M 2.168 IT-SystemAnalyse vor Einführung eines Systemmanagementsystems) muß festgelegt
werden, welche Bereiche des IT-Systems durch ein zu beschaffendes
Managementsystem verwaltet werden sollen:
- Welche Rechner bzw. Hardware sollen in das Managementsystem einbezogen werden?
- Welche Software soll einbezogen werden?
- Welche Benutzer bzw. Benutzergruppen werden einbezogen?
Festlegung der im Managementsystem anzuwendenden Sicherheitsrichtlinien
Neben diesen Entscheidungen müssen aber auch schon existierende Vorschriften und Methoden einbezogen werden. So muß z. B. die festgelegte
Sicherheitspolitik der Behörde bzw. des Unternehmens, die Datenschutzrichtlinien und die Richtlinien zur Einführung neuer Software in das Managementkonzept einfließen, da die geltenden Vorschriften auch beim Einsatz
eines Managementsystems beachtet und umgesetzt werden müssen. Auch für
den Gebrauch des Managementsystems selbst sind Regelungen zu treffen bzw.
existierende Regelungen auf Validität zu prüfen und gegebenenfalls

_____________________________________________________________________ ..........................................
385

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.169
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

anzupassen, und dann auch anzuwenden. Dies gilt insbesondere in den Bereichen:
- Zugriffsrechte auf Managementinformationen
- Dokumentation des Managementsystems
- Erstellung oder Abgleich von Notfallplänen für den Ausfall des Managementsystems oder einzelner Komponenten
Im Vorfeld sollten auch bereits die Reaktionen auf Verletzung der Sicherheitspolitik im Bereich Systemmanagement festgelegt werden. Ähnlich wie in
anderen IT-Bereichen, muß auch für den Bereich des Systemmanagements
eine Sicherheitspolitik festgelegt bzw. die vorhandene Sicherheitspolitik des
Unternehmens bzw. der Behörde auch auf den Bereich Systemmanagement
angewandt werden. Da ein Managementsystem mit wichtigen Netz- und
Systemkomponenten interagiert und deren Funktion verwaltet und überwacht,
sind Verletzungen der Sicherheitspolitik in diesem Bereich als besonders
schwer anzusehen. Insbesondere sind hier Regelungen und Vorgehensweisen
zu definieren, die nach einer solchen Sicherheitsverletzung zum Einsatz
kommen. Diese sind einerseits technischer Natur (z. B. Vergabe neuer
Paßwörter für alle Benutzer nach Kompromittierung der Managementkonsole), aber auch organisatorischer Natur.
Revision, Datenschutzbeauftragte und IT-Sicherheitsmanagement sollten
schon in der Planungsphase einbezogen werden. Nach Einführung des
Managementsystems müssen die ihnen hier obliegenden Aufgaben in Bezug
auf das Managementsystem klar sein. Beispiel: Der Datenschutzbeauftragte
kann schon in der Planungsphase auf die Einhaltung der Datenschutzrichtlinien achten, z. B. welche Benutzerinformationen im Rahmen des Systemmanagements erfaßt werden sollen bzw. dürfen. Nach Einführung des Systems
muß er zudem in der Lage sein, die Einhaltung der Richtlinien zu überprüfen.
Ähnliches gilt für die Zuständigkeitsbereiche des Revisors und des ITSicherheitsbeauftragten.
Festlegung der Randbedingungen für die Produktauswahl des Managementsystems
Die Einführung eines Systemmanagementsystems erfordert eine umfangreiche
und sorgfältige Planung. Teile der Systemmanagementstrategie hängen zudem
davon ab, ob sie mit einem konkreten Produkt realisiert werden können oder
nicht. Dies führt dazu, daß die Erstellung der Managementstrategie und die
(Vor-)Auswahl eines Produktes iteriert werden müssen.
Folgende Punkte sollten bei der Erstellung der Systemmanagementstrategie
Berücksichtigung finden:
- Ist mehr als eine Managementdomäne nötig? Wenn ja: Wie sind diese zu
bilden? Managementdomänen erlauben die Einteilung der Komponenten
des zu verwaltenden Systems in Gruppen. Die einzelnen Gruppen können
voneinander getrennt verwaltet werden. Die Aufteilung in verschiedene
Managementdomänen ist für kleinere und mittlere zu verwaltende Systeme
nicht zwingend, unterstützt jedoch ein strukturierteres Systemmanagement.
Für große zu verwaltende Systeme ist die Aufteilung in verschiedene

_____________________________________________________________________ ..........................................
386

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.169
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Managementdomänen in der Regel zwingend. Die Planung der Managementregionen hängt dabei von mehreren Faktoren ab:
-

Netztopologie
Insbesondere für mittlere Systemgrößen bietet sich die Aufteilung
des Systems in Managementdomänen entsprechend der konkreten
Netztopologie an (gerade auch, wenn es z. B. keine unterschiedlichen Verantwortlichkeiten gibt).

-

Organisatorische Verantwortlichkeiten innerhalb des Unternehmens
oder der Behörde
So kann die Organisationsstruktur mit dem Managementsystem
nachgebildet werden, so daß z. B. Domänen wie "Rechnungswesen",
"Programmierung" oder auch "Bereich Produktion", "Bereich Softwareentwicklung" entstehen.
Auch sicherheitstechnische Gründe, die sich in der Managementpolitik niederschlagen, können zu mehreren Managementregionen
führen. Dies ist insbesondere dann der Fall, wenn Managementaufgaben für bestimmte Organisationseinheiten delegiert werden
sollen, ohne daß der lokale Administrator Zugriffsrechte auf die
Managementfunktionen für die Komponenten außerhalb seines
Zuständigkeitsbereiches haben soll.

-

vorhandene Infrastruktur
Hier ist z. B. die geographische Verteilung von Filialen oder die
räumliche Verteilung von Arbeitsgruppen über die Stockwerke eines
Gebäudes zu betrachten.

-

Sicherheitsbetrachtungen
-

Mehrere Managementregionen können dann nötig werden,
wenn das Managementprodukt zwar verschiedene Verschlüsselungsmechanismen pro Region unterstützt, von denen
jedoch pro Region in der Regel nur eine zum Einsatz kommen
kann. Sollen zwischen einzelnen Managementkomponenten
tatsächlich verschiedene Mechanismen zum Einsatz kommen,
so sind mehrere Managementregionen nötig. Beispiel: Ein
System aus mehreren Datenbankservern mit sensitiven Daten
und den zugehörigen Clients, die selbst keine Daten speichern,
wird verwaltet. Die Managementkonsole soll mit den Servern
nur stark verschlüsselt kommunizieren, da auch die
Datenbanken über das Managementsystem verwaltet werden.
Die Kommunikation mit den Clients soll hingegen aus
Performancegründen nur schwach verschlüsselt geschehen. In
diesem Fall müssen in der Regel zwei Managementregionen
gebildet werden: eine Region, in der die Server enthalten sind,
und eine zweite Region, die die Clients umfaßt.

-

Mehrere Managementregionen erhöhen die Ausfallsicherheit,
da z. B. beim Ausfall einer Managementregion die restlichen

_____________________________________________________________________ ..........................................
387

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.169
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Regionen unabhängig davon weiterhin verwaltet werden
können.
-

Einfluß hat auch die Anzahl der zu verwaltenden Rechner pro
Managementregion. Die meisten Produkte geben Empfehlungen über die Anzahl der Rechner, die durch den Managementserver einer Region verwaltet werden können. Eine Zahl
von 200 Rechnern pro Server ist aber keine Seltenheit.

- Welche Maschinen sollen als Managementserver dienen? In der Regel ist
mit steigender Anzahl von Clients an einem Managementserver mit
Performanceeinbußen zu rechnen. Dies muß bei der Planung berücksichtigt
werden.
- Welche physikalische Anordnung müssen die Managementserver haben
und wo werden sie aufgestellt? Die Lokation eines Servers hat z. B.
Einfluß darauf, wie Rechner, die von diesem Server verwaltet werden
sollen, über das Netz an diesen angebunden sind. Bei einigen Plattformen
gibt es z. B. Mindestanforderungen an die Kommunikationsbandbreite
zwischen Server und Client (so unterstützt z. B. TME 10 keine Anbindung
von Clients über Leitungen mit weniger als 14.4 Kbps). Dies hat direkte
Auswirkungen auf die mögliche Managementsystemkonfiguration und
macht z. B. die Neuanschaffung von Rechnern oder den Ausbau von Netzverbindungen nötig.
- Sind sogenannte Gateways oder Proxies nötig, die ein hierarchisch aufgebautes Management und/oder den Anschluß an Produkte von Drittanbietern
ermöglichen?
- Einige Systeme unterscheiden zwischen sogenannten "Managed Nodes"
und "Endpoints". Bei beiden handelt es sich um Arbeitsplatzrechner, sie
unterscheiden sich aber in der Art und Weise, wie diese in das Managementsystem eingebunden sind: So halten "Endpoints" z. B. im Unterschied
zu "Managed Nodes" keine eigene lokale Datenbank mit Managementinformationen vor und können auch nicht zur Weiterleitung von Managementinformationen an weitere Rechner benutzt werden. Hier muß entschieden werden, welche Maschinen als "Managed Nodes" in das
Managementsystem eingebunden sein sollen und welche lediglich als
"Endpoints" verwaltet werden. In der Regel sollte das Gros der Arbeitsplatzrechner als "Endpoint" eingebunden werden.
Die so erstellte Managementstrategie induziert eine Reihe von Anforderungen
an das zu beschaffende Managementprodukt. Durch die Gewichtung der
Anforderungen ergibt sich eine konkrete Produktauswahl. Die Managementstrategie muß nun dahingehend überprüft werden, ob sie mit dem zur Verfügung stehenden Funktionsumfang vollständig umgesetzt werden kann. Eine
Reformulierung der Strategie kann dadurch in einzelnen Bereichen notwendig
sein. Beispiel: Die Produktauswahl ergibt, daß das System, das starke Verschlüsselung unterstützt, leider nicht die Delegation von Verwaltungsaufgaben
an "Subadministratoren" erlaubt. Daraufhin muß die Managementstrategie
angepaßt werden (korrekte Gewichtung der Anforderungen vorausgesetzt).

_____________________________________________________________________ ..........................................
388

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.170
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.170

Anforderungen an ein Systemmanagementsystem

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Ein Systemmanagementsystem dient zur Unterstützung eines Administrators
eines lokalen Netzes (oder Virtuellen Lokalen Netzes). Ein Systemmanagementsystem muß daher gewisse Voraussetzungen erfüllen, um den Administrator geeignet unterstützen zu können. Die Anforderungen an ein solches
System hängen jedoch wesentlich vom geplanten Einsatz (siehe M 2.169 Entwickeln einer Systemmanagementstrategie) und von der gewählten Architektur des Systemmanagementsystems ab (siehe M 2.171 Geeignete Auswahl
eines Systemmanagement-Produktes).
Ein Systemmanagementsystem sollte folgende Funktionen bereitstellen:
- Benutzermanagement
Hierzu gehören das Hinzufügen, Verändern und Löschen von Benutzerund Gruppenkonten.
- Policymanagement
Zugriffsrechte sollten sowohl für Zugriffe aus dem und in das lokale Netz
als auch für Zugriffe auf das bzw. vom Internet verwaltet werden können.
- Softwaremanagement
Das Hinzufügen, Löschen und Aktualisieren von Softwarekomponenten
sollte mit dem Systemmanagementsystem möglich sein.
Daneben ist insbesondere für die Einführungsphase das automatische
Feststellen der installierten Software u. U. wichtig. Eine Verwaltung von
Softwarelizenzen ist zwar wünschenswert, wird von heutigen Systemen
jedoch kaum unterstützt (siehe auch Applikationsmanagement unten.
Ausnahme: Lizenzen liegen z. B. als Dateien vor, so daß die Lizenzdateien
im Rahmen der Dateiverteilungsmechanismen eines Managementsystems
verwaltet werden können).
- Feststellen, Verändern und Verwalten von Systemkonfigurationsdaten.
- Verwalten von Applikationsdaten
Es muß möglich sein, Dateien eines Datenbanksystems oder Konfigurationsdateien einer Applikation zu verwalten, so daß z. B. das Verteilen
einer neuen Version einer Datenbank oder die Verteilung neuer Konfigurationsdateien möglich ist.
- Überwachen von Systemkomponenten
Dies kann auch für externe Komponenten sinnvoll sein, die nicht der
eigenen Administration unterliegen, zum Beispiel für den Router des
Internet Service Providers (ISP), über den der Internetanschluß realisiert
ist.

_____________________________________________________________________ ..........................................
389

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.170
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Applikationsmanagement
Das Verwalten von Software auf Anwendungsebene sollte möglich sein,
z. B. die Verwaltung von HTTP-Zugriffsrechten auf die Daten eines
WWW-Servers (“Realms”). Diese Art von Management wird in der Regel
kaum unterstützt, da hierzu die Kooperation der Applikation selbst erforderlich ist.
Idealerweise läßt ein solches System die Delegation von administrativen Aufgaben zu, so daß z. B. ein Systemverwalter einem Arbeitsgruppensystemadministrator das Recht zum Installieren von Software auf den Rechnern der
Arbeitsgruppe einräumen kann. Dieser Mechanismus ist insbesondere in
mittleren und großen Netzen notwendig.
Die Netz- und Systemadministration werden in der Regel durch die gleichen
administrativen Einheiten in einem Unternehmen bzw. einer Behörde durchgeführt. Da in einigen Bereichen die Aufgabentrennung zwischen
Netzadministration und Systemadministration nicht klar ist, empfiehlt es sich
darauf zu achten, inwieweit ein vorhandenes Netzmanagementsystem in ein zu
beschaffendes Systemmanagementsystem integriert werden kann.
Neben diesen vorwiegend funktionalen Anforderungen ergeben sich auch
technische Anforderungen im Rahmen der Kriterien, die für die Auswahl einer
Systemmanagementsoftware relevant sind (siehe M 2.171). Besonders sind
hier folgende hervorzuheben:
- Das Managementsystem muß in der Lage sein, die Betriebssysteme aller
für das Management genutzten und aller verwalteten Rechner zu
unterstützen (betriebssystemspezifische Komponenten des Managementsystems, graphische Benutzungsoberfläche).
- Existiert bereits ein lokales Datenbanksystem, so sollte das Managementsystem die Möglichkeit besitzen, seine Managementinformationen im vorhandenen Datenbanksystem zu speichern.
- Das Managementsystem sollte erweiterbar sein. Dies betrifft einerseits die
Komponenten des Managementsystems (z. B. Modul-Konzept mit der
Möglichkeit, Module jederzeit nachkaufen und integrieren zu können),
aber auch die Funktion des Managementsystems (z. B. Programmier-API,
um eigene Komponenten anschließen zu können).
Generell können die in M 2.171 vorgestellten Kriterien zur Kategorisierung
von Anforderungen im Rahmen der vorliegenden Maßnahme herangezogen
werden. Für ausgesuchte Kategorien ergeben sich die Anforderungen durch
die Festlegung einer Vorgabe im Rahmen des jeweiligen "Wertebereiches".

_____________________________________________________________________ ..........................................
390

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.171
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.171

Geeignete Auswahl eines SystemmanagementProduktes

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Administrator
Nach Aufnahme der aktuellen Systemsituation (siehe M 2.168) und
Festlegung der Managementstrategie (siehe M 2.169) muß ein geeignetes
Systemmanagementsystem ausgewählt werden. Je nach Größe des zu
verwaltenden Systems können hier unterschiedliche Realisierungen
zweckmäßig sein:
- Für kleine Systeme kann das Systemmanagement von der Systemadministration “von Hand” erledigt werden.
- Für kleine und mittlere Systeme kann das Systemmanagement auch durch
eine Sammlung von einzelnen Tools durchgeführt werden.
- Für große Systeme sollte ein Systemmanagementsystem benutzt werden.
Moderne netzfähige Betriebssysteme sind in der Regel schon mit Funktionen
ausgestattet, die eine zentrale Verwaltung z. B. von Benutzern und Benutzergruppen erlauben. Für den Unix-Bereich kann hier z. B. NIS oder NIS+
genannt werden, im Windows-Bereich erlaubt das Windows NT-DomänenKonzept eine zentrale Benutzerverwaltung über den Domain Controller.
Ähnliche Möglichkeiten bietet auch Novell mit Intranetware an. In der Regel
existieren zudem auch Möglichkeiten, ein netzweites Policymanagement zu
betreiben.
In kleineren und mittleren Netzen stellen daneben das Softwaremanagement,
das Management der Rechnerkonfigurationen sowie das Überwachen von
Systemkomponenten die drängensten Problembereiche dar. Hier können dann
zusätzliche Softwaretools eingesetzt werden, die die Aufgaben einzeln übernehmen können. Insbesondere in den Bereichen, die auch durch die Disziplinen des Netzmanagements abgedeckt sind (Konfigurationsmanagement,
Überwachung), kann der Einsatz eines Netzmanagement-Tools in Betracht
gezogen werden.
Für den Windows-Bereich lassen sich z. B. Tools wie das "Novell Zero
Administration Kit", das den Administrator bei der Installation neuer Rechner
unterstützt, die "Microsoft Management Console", die eine einheitliche
zentrale Sicht auf alle Administrationstools anbietet, sowie den "Microsoft
Systems Management Server (SMS)" nennen. So bietet z. B. das Produkt SMS
dem Administrator folgende Möglichkeiten:
- Inventarisieren von Hard- und Software-Komponenten
- Installieren und Verteilen von Daten und Applikationen auf Netzrechnern
- Kontrolle bei der Ausführung von Netzanwendungen
- Unterstützung bei der Administration von Rechnern über das Netz
- Überwachung des Netzverkehrs

_____________________________________________________________________ ..........................................
391

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.171
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

SMS ist dabei allerdings nicht für eine heterogene Umgebung ausgelegt.
Zudem erfolgt die Fernwartung nur halbautomatisch und erfordert einen
Administrator vor Ort, so daß der Einsatz nur für kleinere und räumlich
zusammenliegende Netze angezeigt ist.
Für den Unix-Bereich kann z. B. zur Verwaltung und Verteilung von Software
das Programm "rdist" eingesetzt werden, mit dem auf entfernten Rechnern
Software installiert oder aktualisiert werden kann. Dabei ist es möglich, aus
einem zentralen Softwarepool genau die Produkte auf den jeweiligen
Rechnern zu installieren, die von den Mitarbeitern für die Erledigung ihrer
Aufgaben benötigt werden. Weitere, auch kostenfrei, erhältliche Zusatzprogramme (meist aus dem universitären Umfeld) erlauben z. B. die Überwachung des Netzes über SNMP.
Die so zusammengestellten Lösungen bieten für kleinere und mittlere Netze
eine kostengünstige Alternative. Allerdings setzen sie in der Regel einen versierten Administrator voraus, der auch u. U. durch Eigenprogrammierung
Anpassungen an lokale Gegebenheiten vornimmt oder Zusatzfunktionalität
integriert.
Für größere und große Netze sind solche Lösungen jedoch ungeeignet, da die
Funktionalitäten in verschiedenen, nicht integrierten Tools angesiedelt ist. Für
große Unternehmens- oder Behördennetze kommen nur Systemmanagementsysteme in Frage. Vor der Einführung eines solchen Systems sollte
beachtet werden, daß dies in der Regel einen beträchtlichen Eingriff in das
laufende System darstellt und gut geplant werden muß. Nicht selten dauert die
Einführung mehr als 12 Monate, bei einer mindestens sechsstelligen Investitionssumme für größere Netze. Die Wahl des richtigen Managementsystems
ist deshalb wichtig. Folgende Kriterien sollten bei der Wahl des zu beschaffenden Systems beachtet werden:
- Welchen Funktionsumfang bietet das Produkt an?
- Kosten
-

für die Anschaffung der Software

-

für die Anschaffung zusätzlicher Hardware (Bei einigen Systemen
müssen ein oder mehrere zentrale Managementserver angeschafft
werden.)

-

für Installations- und Betriebsaufwand (U. U. müssen sogar Externe
engagiert werden.)

-

für die Schulung der Mitarbeiter

-

andere (z. B. Migrationskosten bei einer existierenden Plattform,
Anpassung/Neuentwicklung lokaler Software, bauliche Maßnahmen
z. B. gesicherter Serverraum)

- Investitionssicherung
-

Inwieweit ist das Systemmanagement-Produkt skalierbar (z. B.
Anzahl der Rechner erweiterbar)?

-

Kann die Plattform mit dem Unternehmen wachsen (z. B. Anzahl
der möglichen Managementdomänen, Delegation von Aufgaben)?

_____________________________________________________________________ ..........................................
392

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.171
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Wie sind die Migrationspfade zur Plattform?

-

Wie sind die Migrationspfade von dieser Plattform zu einer anderen
Plattform?

- Integrationsmöglichkeit mit anderen Produkten
-

Welche Server- bzw. Client-Systemplattformen werden unterstützt?

-

Kann ein bestehendes Netzmanagementsystem integriert werden?

-

Kann ein bestehendes Datensicherungssystem integriert werden?

-

Welche Applikationen von Drittanbietern gibt es für dieses Produkt?

- Zuverlässigkeit und Ausfallsicherheit
-

Gibt es Aussagen
Ausfallzeiten?

oder

sogar

Garantien

über

maximale

-

Ist ein Hotswap für zentrale Komponenten möglich?

-

Existiert ein systemeigener Backup- und Recovery-Mechanismus?
Bei einem Ausfall des Managementsystems müssen innerhalb des
Managementsystems Mechanismen zum geregelten Wiederanlaufen
existieren. Dies umfaßt u. U. das Einspielen von Daten aus einer
Datensicherung und die automatische Konsistenzprüfung –
idealerweise mit Konfliktauflösung bei der Feststellung von
Inkonsistenzen.

-

Werden regelmäßig Updates zur Verfügung gestellt? Sind sie
einfach einspielbar?

- Sicherheit: Zugriffsbeschränkungen auf die Managementfunktionen
-

Kann der Zugriff auf Benutzer-ID-Ebene (Welcher Benutzer darf
was?) eingeschränkt werden?

-

Kann der Zugriff auf Komponentenebene (Welcher Rechner darf
was?) eingeschränkt werden?

-

Kann der Zugriff auf die ausführbaren Kommandos Benutzer- oder
Systemabhängig eingeschränkt werden?

-

Kann eine Aufteilung der Administrationstätigkeiten vorgenommen
werden? Kann also z. B. die Verwaltung von Komponenten auf
bestimmte Bereiche eingeschränkt werden (z. B. nur die Abteilungsrechner)?

- Sicherheit: Administration von Rechnern über das Netz
-

Wie sind Fernzugriffe abgesichert?

-

Können Fernzugriffe verschlüsselt erfolgen?

-

Ist sichergestellt, daß eine (starke) Authentisierung vor einer
Fernadministration erforderlich ist?

-

Ist es möglich, die Berechtigung für Fernadministration auf
bestimmte Personen oder Rollen einzuschränken?

-

Wird der Benutzer automatisch über Fernzugriffe informiert?

_____________________________________________________________________ ..........................................
393

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.171
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Sicherheit: Datensicherheit, Datenschutz
-

Werden die gesammelten Daten sicher abgelegt (Zugriffsbeschränkungen, Verschlüsselung)?

-

Findet die Datenübertragung zwischen den Managementkomponenten gesichert statt (Authentisierung, Verschlüsselung, Integritätssicherung)?

-

Kann die Art der gesammelten Informationen reguliert werden
(Anonymisierung, Rückverfolgung, Beweisbarkeit)?

-

Ist die Integration von Virensuchprogrammen möglich?

-

Welche Protokollierungsmöglichkeiten werden angeboten?

-

Kann die lokale Softwareeinspielung überwacht oder verhindert
werden?

- Benutzerfreundlichkeit
-

Gibt es ein graphisches Benutzungsinterface (z. B. X-Windows,
Motif, Windows-Oberfläche, Web-Browser)?

-

Wie einfach ist die Navigation?

-

Wird die lokale Sprache oder auch mehrere Sprachen (bei globalem
Einsatz) unterstützt?

-

Lassen sich Programme einfach ausführen (auch auf entfernten
Rechnern)?

-

Wie einfach läßt sich das Interface durch den Benutzer umgestalten?

-

Werden Ausnahmen und Alarmierungen geeignet angezeigt?

-

Ist das Monitoring, auch im Detailgrad, einstellbar?

-

Wird die Komplexität von Netzkomponenten geeignet "versteckt"
(So daß der Benutzer nicht ein Experte für die jeweilige
Komponente, die verwaltet werden soll, sein muß)?

-

Können alle Funktionen über das gleiche Benutzungsinterface
erreicht werden?

-

Sind Onlinehilfen und Anleitungen vorhanden?

- Ergonomie beim Management komplexer Systeme
-

Werden verschiedene Netzprotokolle,
Betriebssysteme unterstützt?

Netzkomponenten

und

-

Wie geht die Plattform mit geographisch verteilten Systemen um
und wie ist deren Repräsentation?

-

Wie einfach ist es, neue Komponenten zu integrieren oder aus dem
System zu entfernen (Autodiscovery, manuell)?

- Konformität zu Standards (je nach Umgebung kann die Konformität zu
mindestens einem Standard erforderlich sein)
-

Plattformen

_____________________________________________________________________ ..........................................
394

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.171
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

-

Distributed Management Environment (DME) von der Open
Software Foundation (OSF)

-

Spezifikation der Desktop Management Task Force (DMTF)

-

OMNIpoint Spezifikation des Network Management Forum
(NMF)

Datenbank
-

Welche DBMSe (Data Base Management Systeme) werden
unterstützt?

-

Wird SQL als Anfragesprache unterstützt, für den Fall, daß
die Managementsoftware eine eigene Datenbank enthält?

-

CORBA (Common Object Request Broker Architecture) der Object
Management Group (OMG)

-

Application Program Interface (API), für den Fall, daß eigene
Erweiterungen des Managementsystems notwendig sind (z. B. APIs
für SNMP, XMP, DMI).

Die hier angeführten Aspekte sind als Anhaltspunkte bei der Bewertung von
Managementsystemen zu verstehen. Je nach lokalen Gegebenheiten sollten
aufgrund der aktuellen Systemsituation (siehe M 2.168) und aufgrund der
Managementstrategie (siehe M 2.169) Anforderungen an das Managementsystem formuliert werden, die als "K.O.-Kriterien" bei der Entscheidung herangezogen werden können. Die obigen Kriterien sollten immer eine Gewichtung erfahren, die die lokalen Präferenzen wiedergeben.
Die Anforderungen an das Managementsystem und die Leistungen des ausgewählten Managementsystems sind in der Regel nicht vollständig in Einklang
zu bringen. Dies macht es notwendig, die erstellte Managementstrategie nach
Auswahl des konkreten Produktes an dessen Funktionsumfang anzupassen.

_____________________________________________________________________ ..........................................
395

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.172
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.172

Entwicklung eines Konzeptes für die WWWNutzung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: Leiter IT, Administrator
Vor der Nutzung von WWW-Diensten ist zunächst in einem Konzept
darzustellen, welche Dienste genutzt und welche angeboten werden sollen.
Hierbei ist die Absicherung eines WWW-Servers ebenso zu betrachten wie
die der WWW-Clients und der Kommunikationsverbindungen zwischen
diesen.
WWW-Server können als reine interne Informationsdatenbank eingesetzt
werden, als Mittelpunkt eines Intranets, oder als externer WWW-Server, der
verschiedene Dienste anbietet. Je nach Art der geplanten Ausgestaltung
unterscheiden sich auch die Sicherheitsanforderungen, die an den WWWServer gestellt werden müssen.
In einer kleinen Organisation, in der ein WWW-Server als Intranet-Server
ohne kritische Anwendungen betrieben wird, sehen die Anforderungen ganz
anders aus als für einen WWW-Server, der ans Internet angeschlossen werden
soll und vielleicht sogar Daten enthält, die nicht jeder abrufen können soll.
Wenn sowohl im Intranet als auch im Internet WWW-Dienste angeboten
werden sollen, empfiehlt es sich, hierfür zwei getrennte Systeme einzusetzen:
einen Intranet-WWW-Server und einen Internet-WWW-Server. Wenn der
Internet-WWW-Server mit dem internen Netz verbunden werden soll, muß
der Übergang zum internen Netz durch eine Firewall geschützt werden. Was
bei der Anordnung von Informationsservern zu beachten ist, ist auch in
M 2.77 Sichere Anordnung weiterer Komponenten beschrieben.
Der Anschluß ans Internet darf erst dann erfolgen, wenn überprüft worden ist,
daß mit dem gewählten WWW-Konzept sowie den personellen und
organisatorischen Randbedingungen alle Risiken beherrscht werden können.
Ein WWW-Server für die Präsenz einer Organisation im Internet muß nicht
von dieser selbst betrieben werden. Wenn die Betriebskosten oder der
Administrationsaufwand zu hoch oder die Restrisiken zu unkalkulierbar
erscheinen, können auch die entsprechenden Angebote von Internet Service
Providern oder anderen Dienstleistern in Anspruch genommen werden, einen
WWW-Server durch diese betreiben zu lassen.

_____________________________________________________________________ ..........................................
396

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.173
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.173

Festlegung einer WWW-Sicherheitsstrategie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
WWW-Server sind für einen Hacker sehr attraktive Ziele, da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird. Daher muß der Absicherung eines WWW-Servers ein hoher Stellenwert eingeräumt werden. Vor dem
Einrichten eines WWW-Servers sollte in einer WWW-Sicherheitsstrategie
beschrieben werden, welche Sicherheitsmaßnahmen in welchem Umfang
umzusetzen sind. Anhand der in der WWW-Sicherheitsstrategie festgelegten
Anforderungen kann dann regelmäßig überprüft werden, ob die getroffenen
Maßnahmen ausreichend sind.
In der WWW-Sicherheitsstrategie muß neben einer Sicherheitsstrategie für
den Betrieb eines WWW-Servers auch eine Sicherheitsstrategie für die
WWW-Nutzung enthalten sein.
WWW-Sicherheitsstrategie für den Betrieb eines WWW-Servers
In der Sicherheitsstrategie für den Betrieb eines WWW-Servers sollten die
folgenden Fragen beantwortet werden:
- Wer darf welche Informationen einstellen?
- Welche Randbedingungen sind beim Betrieb eines WWW-Servers zu
beachten?
- Wie werden die Verantwortlichen geschult, insbesondere hinsichtlich
möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen?
- Welche Dateien dürfen aufgrund ihres Inhaltes nicht auf dem WWWServer eingestellt werden (z. B. weil die Inhalte vertraulich sind, nicht zur
Veröffentlichung geeignet sind oder nicht der Firmen- bzw. Behördenpolitik entsprechen)?
- Welche Zugriffsbeschränkungen auf den WWW-Server sollen realisiert
werden (siehe auch M 2.175 Aufbau eines WWW-Servers)?
Teil einer Sicherheitsstrategie muß auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein, um rechtzeitig Vorsorge
dagegen treffen zu können. Neben den in M 2.35 Informationsbeschaffung
über Sicherheitslücken des Systems angesprochenen Informationsquellen ist
für Sicherheitshinweise zur WWW-Nutzung besonderes die "World Wide
Web Security FAQ" eine wertvolle Quelle. Die Master-Kopie dieses Dokumentes ist unter http://www.w3.org/Security/Faq/ zu finden.
WWW-Sicherheitsstrategie für die WWW-Nutzung
In der Sicherheitsstrategie für die WWW-Nutzung sollten die folgenden
Fragen beantwortet werden:
- Wer erhält WWW-Zugang?
- Welche Randbedingungen sind bei der WWW-Nutzung zu beachten?

_____________________________________________________________________ ..........................................
397

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.173
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

- Wie werden die Benutzer geschult?
- Wie wird technische Hilfestellung für die Benutzer gewährleistet?
Durch organisatorische Regelungen oder durch die technische Umsetzung sind
dabei insbesondere die folgenden Punkte zu gewährleisten:
- Die Browser der Benutzer müssen durch den Administrator so vorkonfiguriert sein, daß ohne weiteres Zutun der Benutzer maximale Sicherheit
erreicht werden kann (siehe auch M 5.45 Sicherheit von WWW-Browsern).
- Dateien, deren Inhalt Anstoß erregen könnte, dürfen weder auf WWWServern eingestellt noch nachgefragt werden. Es muß festgelegt werden,
welche Inhalte als anstößig gelten.
- Nach dem Download von Dateien sind diese explizit auf Computer-Viren
zu überprüfen.
Alle Regelungen und Bedienungshinweise zur WWW-Nutzung sind schriftlich zu fixieren und sollten den Mitarbeitern jederzeit zur Verfügung stehen.
Ein entsprechendes Muster findet sich auf der CD-ROM zum
IT-Grundschutzhandbuch im Verzeichnis Hilfsmittel
Die Benutzer müssen vor der WWW-Nutzung geschult werden, sowohl in der
Nutzung ihrer WWW-Browser als auch des Internets, um Fehlbedienungen zu
vermeiden und die Einhaltung der organisationsinternen Richtlinien zu
gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen
und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden.
Ergänzende Kontrollfragen:
- Existiert eine Sicherheitsstrategie für den Betrieb eines WWW-Servers?
- Existiert eine Sicherheitsstrategie für die Nutzung von WWW-Diensten?
- Sind die getroffenen Regelungen ausreichend?

_____________________________________________________________________ ..........................................
398

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.174
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.174

Sicherer Betrieb eines WWW-Servers

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
WWW-Server sind attraktive Ziele für Angreifer und müssen daher sehr
sorgfältig konfiguriert werden, damit sie sicher betrieben werden können. Das
Betriebssystem und die Software müssen so konfiguriert sein, daß der Rechner
optimal gegen Angriffe geschützt wird. Solange der Rechner nicht
entsprechend konfiguriert ist, darf er nicht ans Netz genommen werden.
Daher sollte ein WWW-Server, der Informationen im Internet anbietet,
entsprechend den folgenden Vorgaben installiert werden:
- Auf einem WWW-Server sollte nur ein Minimum an Programmen
vorhanden sein, d. h. das Betriebssystem sollte auf die unbedingt
erforderlichen Funktionalitäten reduziert werden und auch sonst sollten
sich nur unbedingt benötigte Programme auf dem WWW-Server befinden
(siehe M 4.95 Minimales Betriebssystem).
- Ein WWW-Server sollte insbesondere keine unnötigen Netzdienste
enthalten, verschiedene Dienste gehören auf verschiedene Rechner (siehe
M 4.97 Ein Dienst pro Server).
- Der Zugriff auf Dateien oder Verzeichnisse muß geschützt werden (siehe
M 4.94 Schutz der WWW-Dateien).
- Die Kommunikation mit dem WWW-Server sollte durch einen Paketfilter
auf ein Minimum beschränkt werden (siehe M 4.98).
- Die Administration des WWW-Servers sollte nur über eine sichere
Verbindung erfolgen, d. h. die Administration sollte an der Konsole direkt,
nach starker Authentisierung (bei Zugriff aus dem LAN) oder über eine
verschlüsselte Verbindung (bei Zugriff aus dem Internet) erfolgen.
- Weiterhin sollte der WWW-Server vor dem Internet durch einen FirewallProxy oder aber zumindest durch einen Paketfilter (siehe M 4.98)
abgesichert werden. Er darf sich nicht zwischen Firewall und internem
Netz befinden, da ein Fehler auf dem WWW-Server sonst Zugriffe auf
interne Daten ermöglichen könnte.
Je nach Art des WWW-Servers bieten sich unterschiedliche Möglichkeiten
zum Schutz an. Allen diesen Möglichkeiten gemeinsam ist allerdings, daß der
eigentliche Serverprozeß des WWW-Servers, nämlich der http-Daemon, nur
mit eingeschränkten Rechten ausgestattet sein sollte. Er muß üblicherweise
mit root-Privilegien gestartet werden, sollte aber nach dem Start so schnell wie
möglich mit den Rechten eines weniger privilegierten neuen Benutzers
weiterarbeiten. Hierfür sollte ein eigener Benutzeraccount wie wwwserver
eingerichtet werden. Wichtig ist, daß dieser Benutzer keine Schreibrechte auf
die Protokolldateien besitzt. Ein Angreifer könnte sonst durch Ausnutzung
eines Fehlers diese mit den Rechten des HTTP-Servers manipulieren.
Kann ein Angreifer nun eine Schwachstelle über den http-Daemon ausnutzen,
so hat er trotzdem keinen Zugriff zum eigentlichen Betriebssystem. Der httpDaemon sollte, wenn möglich, auf einen Teil des Dateibaumes beschränkt

_____________________________________________________________________ ..........................................
399

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.174
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

sein. Unter Unix ist das z. B. mit dem chroot-Programm möglich. Außerdem
sollten die vom Hersteller mitgelieferten cgi-Programme vollständig entfernt
werden, da in diesen Programmen in der Vergangenheit immer wieder Fehler
aufgetaucht sind.
Das Verzeichnis, in dem die abrufbaren Dateien gespeichert sind, sollte auf
einer eigenen Partition einer Festplatte liegen, um eine leichtere
Wiederherstellung nach einem Festplattenschaden zu ermöglichen. Außerdem
sollten die Unterverzeichnisse und Dateien einem speziellen Benutzer gehören
(zum Beispiel wwwadmin) und durch minimale Zugriffsrechte vor unbefugtem
Zugriff geschützt werden.
Bei der Konfiguration eines HTTP-Servers sollten einige Optionen
berücksichtigt werden, die sicherheitsrelevante Eigenschaften besitzen. Dies
sind zum Beispiel:
- Verzeichnisinhalt auflisten
Diese Option sollte deaktiviert werden. Wenn der komplette Inhalt eines
Verzeichnisses nach außen weitergegeben wird, werden dabei häufig zu
viele Informationen weitergegeben. Dies ist insbesondere dann gefährlich,
wenn sich in diesem Verzeichnis Dateien befinden, deren Vorhandensein
nicht extern bekannt werden soll, also zum Beispiel Paßwort-Dateien oder
nicht allgemein zugreifbare Dateien. Um Verzeichnisinhalte extern
bekanntzugeben, sollten hierzu besser Index-Dateien verwendet werden.
- Verwendung von symbolischen Links
Diese Option sollte deaktiviert werden, da über symbolische Links auf
Dateien außerhalb des freigegebenen Webverzeichnisses zugegriffen
werden kann. Bei der Konfiguration des Servers wird als "DocumentRoot"
der Bereich festgelegt, auf den der Server zugreifen darf, um Dateien via
HTTP weiterzugeben. Dateien außerhalb des DocumentRoot und des cgibin-Verzeichnisses werden nicht weitergegeben, auch wenn der HTTPDaemon Leserechte besitzt.
Will man dasselbe Dokument über verschiedene URLs zugänglich machen,
ist der Weg über ein Redirect in der .htaccess-Datei empfehlenswerter.
- anonyme Nutzung des Servers
Auch wenn auf einem WWW-Server ein benutzerdefinierter Zugriffsschutz
eingerichtet ist, soll häufig auch neuen, noch unbekannten Benutzern
Zugang gewährt werden, also zum Beispiel neuen Kunden. Hierfür kann
ein anonymer Zugang vorgesehen werden. Dabei kann sich ein Benutzer
entweder gar nicht oder mit seiner E-Mail-Adresse als Paßwort anmelden.
Ist dies allerdings falsch konfiguriert, kann dadurch das Gesamtangebot des
Servers frei verfügbar sein. Deshalb ist diese Option mit besonderer
Vorsicht einzusetzen.
Folgende Checkliste wird empfohlen:
1. Sind nur die benötigten Komponenten installiert? Empfehlenswert ist das
eigene Kompilieren des http-Daemons, wobei nicht benötigte Funktionen
erst gar nicht kompiliert werden.

_____________________________________________________________________ ..........................................
400

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.174
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

2. Ist der http-Daemon so restriktiv wie möglich konfiguriert? Es sollten also
entweder cgi-Programme ganz gesperrt werden oder aber die cgiProgramme auf ein eigenes Verzeichnis beschränkt sein. Der Dateizugriff
des http-Daemon sollte auf einen Teil des Verzeichnisbaums eingeschränkt
sein. Für Administration und Betrieb des Servers sollten eigene
unprivilegierte Benutzerrechte verwendet werden.
3. Sind alle überflüssigen cgi-Programme und WWW-Seiten gelöscht?
4. Ist der HTTP-Port (üblicherweise Port 80) der einzige auf dem Rechner
zugängliche Port (siehe M 4.97 Ein Dienst pro Server)?
5. Ist eine angemessene regelmäßige Sicherung des Datenbestandes
gewährleistet (siehe Kapitel 3.4 Datensicherungskonzept)?
6. Falls cgi-Programme genutzt werden, sind diese ausreichend sicher
programmiert? Es dürfen keine Eingabewerte ungeprüft übernommen
werden. Es muß sichergestellt sein, daß Buffer-Overflows und RaceConditions ausgeschlossen sind. In allen Perl-Skripten sollte der TaintCheck aktiviert sein.
7. Gibt es eine funktionierende Routine für einen
Integritätscheck
(z. B.
Tripwire,
siehe
M 4.93
Integritätsprüfung)?
Beispiel:

regelmäßigen
Regelmäßige

Aufbau eines einfachen WWW-Servers

Bei einem solchen WWW-Server ändern sich die Inhalte einzelner Seiten nur
selten, es werden keine cgi-Programme verwendet und es gibt keinen
besonderen Zugriffsschutz. Die einzelnen WWW-Dokumente werden über
einen Datenträger auf den WWW-Server eingespielt. Bei einem solchen
Server können alle Systemdateien und auch alle HTML-Seiten mit einem
Schreibschutz versehen werden. Ein Angreifer kann bei einem solchen Aufbau
zwar noch temporäre Dateien und Protokolleinträge abändern, das System
selber aber nicht mehr. Ein solcher Zugriffsschutz sollte durch ein
physikalisch schreibgeschütztes Medium realisiert werden, z. B. eine oder
mehrere CD-ROMs oder eine schreibgeschützte Wechselplatte. Zumindest
aber sollten regelmäßige Integritätsprüfungen (siehe M 4.93) durchgeführt
werden.
In dem http-Daemon sollten die nicht benötigten Funktionalitäten abgeschaltet
werden, wie z. B. die Möglichkeit zum Ausführen von cgi-Skripten. Auf jeden
Fall sollten mitgelieferte cgi-Programme entfernt werden.
Bei einer häufig vorkommenden Variante eines einfachen Webservers können
die Dokumente mit entsprechenden Berechtigungen auf dem WWW-Server
interaktiv abgeändert werden. In diesem Fall ist der Schutz vor unbefugten
Veränderungen und eine regelmäßige Integritätsprüfung in kurzen Intervallen
besonders wichtig.

_____________________________________________________________________ ..........................................
401

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.175
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.175

Aufbau eines WWW-Servers

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Administrator
Inbetriebnahme eines WWW-Servers
Um einen WWW-Server aufbauen zu können, muß neben adäquater Hardware
auch entsprechende Software beschafft werden. Dafür stehen eine Vielzahl
von Produkten zur Verfügung. Bei der Auswahl ist neben der Stabilität
insbesondere Wert auf die Sicherheitsmechanismen zu legen (zur Beschaffung
und Installation siehe auch Kapitel 9.1 Standardsoftware).
Organisationsstruktur anpassen
Es muß überlegt werden, welche Informationen im Internet bzw. in einem
Intranet zur Verfügung gestellt werden sollen. Weiterhin ist zu klären, wie und
wo Dokumente erstellt werden, wer welche Dokumente erzeugt, welche
Dokumente wo zum Einsatz kommen und wer diese Dokumente benötigt. Auf
Basis dieser Erkenntnisse sollten dann Richtlinien für ein einheitliches
Erscheinungsbild von Dokumenten, Dateinamen und Verzeichnisnamen
aufgestellt und nach Möglichkeit standardisierte Entwicklungswerkzeuge
bestimmt werden.
Verantwortliche benennen
Beim Betrieb eines WWW-Servers, egal ob intern oder extern, sollte nicht
jeder Benutzer beliebig Dateien einstellen können. Es sollte daher ein
Verantwortlicher für das Einstellen von Informationen benannt werden, der
neue Dateien auch auf die Einhaltung der Richtlinien überprüft. Je nach Größe
der Organisation können auch weitere Teil-Verantwortliche für einzelne
Organisationseinheiten oder Teilbereiche des WWW-Servers benannt werden.
Entsprechend der hier gewählten Organisationsstruktur ist auch die
Rechtevergabe und die Verzeichnisstruktur auf dem WWW-Server
festzulegen. Insbesondere sollte jeder Teil-Verantwortliche nur Zugriff auf die
von ihm betreuten Unterverzeichnisse haben.
Um sicherzustellen, daß die angelegten Dateien und Verzeichnisse immer den
jeweiligen Richtlinien genügen, sollte deren Einhaltung automatisiert
überprüft werden, z. B. über geeignete Skripten oder Makros. Ein
entsprechend vorbereitetes Programm sollte für alle zur Verfügung gestellt
werden und nach jeder Änderung aufgerufen werden. Dabei sollte
insbesondere überprüft werden, ob
- die Zugriffsrechte aller Verzeichnisse korrekt gesetzt wurden,
- die Zugriffsrechte aller Dateien korrekt gesetzt wurden und
- die Zugriffsrechte aller CGI-Skripte (falls eingerichtet) korrekt gesetzt
wurden.
Eine Datei über die durchgeführten Änderungen sollte ebenfalls direkt erzeugt
werden.

_____________________________________________________________________ ..........................................
402

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.175
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Zugriffsbeschränkungen auf den WWW-Server
Vor der Inbetriebnahme bzw. jeder Aktualisierung eines WWW-Servers muß
festgelegt werden, wer Informationen vom WWW-Server abfragen darf. Es ist
zu klären, ob nur Personen innerhalb der eigenen Organisation, zusätzlich
Telearbeiter, oder auch jeder Externe oder nur ein eingeschränkter Kreis auf
bereitgestellte Informationen zugreifen dürfen. Diese Einschränkungen
können auch abhängig von den jeweiligen Informationen variieren.
Wenn der Zugriff auf den WWW-Server nur einem begrenzten Personenkreis
möglich sein soll, sind entsprechende Maßnahmen zu implementieren, wie
z. B. in M 4.94 Schutz der WWW-Dateien beschrieben.
Es muß außerdem geklärt werden, ob grundsätzlich nur Informationen
abgerufen werden dürfen oder ob es auch für Benutzer möglich sein soll,
selber neue Informationen einzustellen. Auch hier ist wieder festzulegen
werden, welcher Personenkreis welche Rechte hat.
Übersichtliche Strukturierung
Da HTML-Dateien nicht hierarchisch angeordnet werden müssen, ist die
Verzeichnisstruktur innerhalb eines WWW-Servers für die Funktionsweise
irrelevant. Um die Wartung zu erleichtern, sollte allerdings auf eine
übersichtliche Struktur geachtet werden.
Da unter Umständen in anderen WWW-Servern Links auf ihre Dokumente
angelegt werden, sind Änderungen an Dokument- und Verzeichnisnamen zu
vermeiden. Die Verzeichnisstruktur muß deshalb erweiterungsfähig geplant
werden.
Dokumente bereitstellen
Sind die organisatorischen Hürden einmal überwunden, kann damit begonnen
werden, die Informationen im Netz bereitzustellen. Ein Internet-WWW-Server
ist eine Form der Außendarstellung einer Organisation, entsprechend
sorgfältig sollte daher die Internet-Präsenz vorbereitet werden.
Es empfiehlt sich, mit einem Intranet-WWW-Server erste Erfahrungen zu
sammeln, bevor ein WWW-Server an das Internet angebunden wird. Hier
sollte mit wenigen, einfachen Anwendungen begonnen werden.
Informationen können als HTML-Dateien bereitgestellt oder in HTMLDateien integriert werden, so daß die Informationen direkt beim Zugriff mit
einem Browser gelesen werden können. Sie können aber auch als Dateien in
beliebigen anderen Formaten zum Download bereitgestellt werden. In diesem
Fall müssen sie zunächst auf dem IT-System des Benutzers gespeichert
werden, bevor sie weiterverarbeitet werden können.
Alle für die Veröffentlichung im Internet vorgesehenen HTML-Dokumente
und WWW-Dateien sollten vor der Veröffentlichung genauso
qualitätsgesichert und inhaltlich genehmigt werden wie jede andere
Veröffentlichung.
HTML-Dokumente können mit speziellen HTML-Editoren erstellt oder in
anderen Formaten erstellte Dokumente können mit HTML-Konvertern in
HTML umgewandelt werden.

_____________________________________________________________________ ..........................................
403

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.175
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Sollen viele, sich oft ändernde Dokumente zur Verfügung gestellt werden,
empfiehlt es sich, den WWW-Server mit einer Dokumentendatenbank zu
verbinden. Diese Lösung bietet dem Benutzer schnelle Such-, Ansichts- und
Dokumentenverwaltungsmöglichkeit. Nützlich ist es auch, wenn mit Hilfe
einer Datenbankanbindung der Zugriff auf bereits vorhandene Firmendaten
ermöglicht wird.
Vor dem Einstellen neuer Dateien auf einem WWW-Server sind diese auf
eventuell noch enthaltene Restinformationen zu überprüfen (siehe M 4.64
Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von
Restinformationen).
Konfigurationsmanagement
Da sich die Inhalte von WWW-Seiten erfahrungsgemäß häufig ändern, ist es
wichtig, ein funktionierendes Konfigurationsmanagement aufgebaut zu haben.
Die Aktualität von Links und Verweisen ist zu überprüfen, ebenso wie vor
Veröffentlichung eine Virenkontrolle mit einem aktuellen ComputerVirensuchprogramm durchzuführen ist.
Es ist ebenso wichtig, daß alle Veröffentlichungen ein festgelegtes und
nachvollziehbares Kontrollverfahren durchlaufen. Dies sollte eine inhaltliche
Qualitätskontrolle ebenso umfassen wie eine formale Freigabe. Hier muß auch
überprüft werden, ob die Informationen überhaupt für eine Veröffentlichung
geeignet sind oder ob sie z. B. vertraulich sind, dem Datenschutz unterliegen,
Copyright-geschützt sind o. ä.
Informationen, die zur Veröffentlichung über elektronische Medien
freigegeben worden sind, sollten digital signiert werden, um allen Lesern die
Möglichkeit zu geben, die Authentizität der Informationen zu überprüfen.
Veröffentlichungen, die nicht die Meinung der Organisation widerspiegeln,
müssen als solche gekennzeichnet sein.

_____________________________________________________________________ ..........................................
404

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.176
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.176

Geeignete Auswahl eines Internet Service
Providers

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Bei einem Provider, über den ein Benutzer an das Internet angeschlossen ist,
fallen nicht nur Informationen über ein- und ausgehende E-Mail an, sondern
auch über alle WWW-Seiten, die die Benutzer aufrufen. Außerdem laufen alle
Daten, die zwischen dem Rechner des Benutzers und einem Server im Internet
ausgetauscht werden, über die IT-Systeme des Providers.
Bei der Auswahl eines Internet Service Providers sollte hinterfragt werden,
- ob Ansprechpartner zu technischen Problemen rund um die Uhr zur Verfügung stehen und wie kompetent diese sind,
- wie er auf den Ausfall einer oder mehrerer seiner IT-Systeme vorbereitet
ist (Notfallplanung, Datensicherungskonzept),
- welche Verfügbarkeit (maximale Ausfallzeit) er garantieren kann,
- ob er regelmäßig überprüft, ob die Verbindungen zum Kunden noch stabil
sind und im negativen Fall entsprechende Schritte unternimmt,
- was er zur Absicherung seiner IT-Systeme und der seiner Kunden
unternimmt.
Man sollte sich vom Provider dokumentieren lassen, dass dessen IT-Systeme
sicher betrieben werden, also z. B. die in M 2.174 Sicherer Betrieb eines
WWW-Servers beschriebenen Anforderungen erfüllt sind. Alle relevanten
Maßnahmen der Kapitel 6 zu vernetzten Systemen und der Kapitel 7 zu
Datenübertragungseinrichtungen sollten umgesetzt sein. Bei jedem Provider
sollte ein IT-Sicherheitskonzept und Sicherheitsrichtlinien selbstverständlich
sein. Die Sicherheitsrichtlinien sollten für Externe einsehbar sein. Die Mitarbeiter des Providers sollten für IT-Sicherheitsaspekte sensibilisiert sein, auf
die Einhaltung der Sicherheitsrichtlinie verpflichtet worden sein und regelmäßig geschult werden (nicht nur in Sicherheitsfragen).

Sicherheitsrichtlinien
des Providers vorlegen
lassen

Beim Provider sind Daten über die Benutzer für Abrechnungszwecke gespeichert (Name, Adresse, Benutzer-Kennung, Bankverbindung) ebenso wie
Verbindungsdaten und für eine je nach Provider kürzere oder längere Zeitspanne auch die übertragenen Inhalte.

Datenschutz

Die Anwender sollten sich bei ihrem Provider erkundigen, welche Daten wie
lange über sie gespeichert werden. Bei der Auswahl von Providern sollte
berücksichtigt werden, dass deutsche Betreiber den einschlägigen datenschutzrechtlichen Regelungen für die Verarbeitung dieser Daten unterliegen.
Ergänzende Kontrollfragen:
- Nach welchen Kriterien ist der Provider ausgewählt worden?
- Welche Sicherheitsmechanismen werden beim Provider umgesetzt?

_____________________________________________________________________ ..........................................
405

IT-Grundschutzhandbuch: Stand Juli 1999

M 2.177
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.177

Sicherheit bei Umzügen

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter Organisation, Leiter Haustechnik,
Leiter IT, IT-Sicherheitsmanagement
Bei einem Umzug müssen neben Möbeln auch die verschiedensten Datenträger (z. B. Papier, Disketten, Magnetbänder) und IT-Systeme hin und her
transportiert werden. Dabei verlassen Informationen, IT-Systeme und sonstiges Material den gesicherten Bereich der Büroumgebung und werden durch
Personal transportiert, das normalerweise keine Zugriffsrechte hat. Bei einem
Umzug, insbesondere wenn größere Teile der Organisation davon betroffen
sind, ist ein gewisses Chaos nie auszuschließen und es kann auch nicht jede
Umzugskiste permanent persönlich beaufsichtigt werden. Trotzdem ist dafür
Sorge zu tragen, dass bei einem Umzug sensitive Daten weder verloren,
beschädigt noch Unbefugten zugänglich werden.
In die Umzugsplanung sollte möglichst frühzeitig das IT-Sicherheitsmanagement und der Datenschutzbeauftragte einbezogen werden, um die aus Sicht
der IT-Sicherheit festzulegenden Rahmenbedingungen festzulegen:
- Bei der Planung eines Umzuges muss im Vorfeld detailliert festgelegt
werden, wer mit welchem Transportgut wann wohin umzieht. Dies sollte
ohnehin eine Selbstverständlichkeit sein, damit die Arbeit nach dem
Umzug möglichst reibungslos wieder aufgenommen werden kann.
- In Abhängigkeit vom Schutzbedarf der Daten muss festgelegt werden,
welche Randbedingungen für den Transport einzuhalten sind. Beispielsweise sollten für sensiblere Daten verschließbare Transportbehälter (siehe
M 2.44 Sichere Verpackung der Datenträger) benutzt werden oder die
Datenträger vor dem Transport verschlüsselt werden.
- Vor jedem Transport von IT-Systemen sollten Datensicherungen angefertigt werden. Hierbei ist neben den in M 6.35 Festlegung der Verfahrensweise für die Datensicherung beschriebenen Modalitäten insbesondere
zu beachten, dass die Datensicherungen auf keinen Fall zusammen mit den
gesicherten IT-Systemen transportiert werden dürfen. Hierdurch wird
sichergestellt, dass nicht alle Speichermedien gleichzeitig beschädigt
werden oder abhanden kommen.
- Es sollte ein Merkblatt für alle betroffenen Mitarbeiter ausgearbeitet
werden, in dem alle durchzuführenden IT-Sicherheitsmaßnahmen genau
beschrieben sind.
Bei einem Umzug ist nicht nur der Transport eine kritische Phase, sondern
auch der Zeitraum kurz vor bzw. danach. In dieser Phase kommen erfahrungsgemäß viele Sachen abhanden, da zu diesem Zeitpunkt die Standardsicherheitsverfahren wie z. B. die Zutrittskontrolle noch nicht greifen. Auch
während des Umzugs sollten daher gewisse organisatorische Mindestanforderungen erfüllt sein:
- Für alle zu transportierenden Materialen sollten Transportpapiere ausgestellt werden, aus denen hervorgeht,

_____________________________________________________________________ ..........................................
406

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.177
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

-

ob eine bestimmte Transportart zu beachten ist (z. B. zerbrechlich,
Computerspezialtransport, etc.),

-

wohin sie gebracht werden sollen,

-

wer berechtigte Empfänger sind,

-

wer sie abgeholt bzw. angeliefert hat (inkl. Datum und Uhrzeit).

- Das Transportgut selber muss so gekennzeichnet sein, dass es eindeutig
identifiziert werden kann, so dass auch der Transportweg nachvollzogen
werden kann. Die Kennzeichnung sollte jedoch keine Rückschlüsse auf die
Sensitivität des Inhalts erlauben. Die Art der Kennzeichnung sollte so
gewählt sein, dass sie nicht problemlos nachgemacht und werden kann.
Hierfür könnten die Umzugsvorbereiter spezielle Etiketten zur Verfügung
stellen.
- Auch während eines Umzuges sollte kein ungeordnetes Kommen und
Gehen herrschen. Die beauftragten Umzugsfirmen sollten die Personalien
der vorgesehenen Mitarbeiter vorher bekannt geben. Bei plötzlichen
Personalwechsel (Urlaub, Krankheit, etc.) sollten die Namen des Ersatzpersonals kurzfristig mitgeteilt werden. Mit einer Namensliste der am
Umzug Beteiligten können dann die Pförtner oder andere interne Mitarbeiter je nach Liegenschaft und Gegebenheit sporadisch oder kontinuierlich
kontrollieren. Die am Umzug beteiligten externen Kräfte sollten mit
Ausweisen versehen werden, damit klar erkennbar ist, wer zutrittsberechtigt ist.
- Das Transportgut, insbesondere die Datenträger sind vor und nach dem
Umzug sicher aufzubewahren. Die Räume, in denen keine Umzugstätigkeiten stattfinden, in denen sich aber keine Mitarbeiter aufhalten, also z. B.
die, die noch nicht ausgeräumt bzw. bereits eingeräumt wurden, sollten
abgeschlossen werden.
Nach erfolgtem Umzug sollte möglichst rasch ein geordneter Betrieb aufgenommen werden. Als Erstes ist die infrastrukturelle und organisatorische
Sicherheit in den neuen Büros wiederherzustellen, also z. B.
- sollte die Zutrittskontrolle wieder in vollem Umfang aufgenommen
werden,
- sollten die Brandlasten aus den Fluren entfernt werden, d. h. die Umzugskartons in die neuen Arbeitsräume geschafft werden,
- ist das angelieferte Umzugsgut darauf zu überprüfen, ob es vollständig und
voll funktionsfähig ist und nicht manipuliert wurde.
Besondere Sorgfalt sollte auf die Umzugsplanung für alle Server und Netzkoppelelemente verwendet werden, da auch bei Ausfall nur einer Komponente
unter Umständen das ganze Netz nicht betriebsfähig ist.
Vor einem Umzug sollten daher auf Seiten der zentralen IT-Administration
verschiedene Vorkehrungen getroffen werden, um den reibungslosen Arbeitsablauf sicherzustellen:
- Vor Beginn der Umzugsphase sollte frühzeitig ein Plan für die erforderlichen Änderungen der Benutzeranbindung erstellt werden. Hierbei sollte

_____________________________________________________________________ ..........................................
407

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.177
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

besonders analysiert werden, ob neue Beschaffungen für den reibungslosen
Wechsel der Rechneranbindung von Mitarbeitern erforderlich sind. Auch
aus Sicherheitsgründen ist es wichtig zu wissen, welche Änderungen sich
durch den Umzug im Kommunikationsverhalten der IT-Systeme ergeben.
Je nach dem Schutzbedarf der Arbeit von Mitarbeitern kann es
beispielsweise erforderlich werden, eine Netzverbindung zu verschlüsseln
oder den Zugriff auf bestimmte Datenbestände zu unterbinden.
- Bevor ein Mitarbeiter umzieht, sollte sichergestellt sein, dass er in seinem
neuen Büro über das lokale Netz erreichbar ist und seine Applikationen
und Dienste betriebsbereit sind. Dies erfordert gegebenenfalls neben
Änderungen am Endgerät (Routing, Softwarekonfiguration etc.) auch
baldige Änderungen auf Serverseite im LAN oder gar auf Routern im
WAN. Hier kann es erforderlich sein, neue Adressen oder Routen einzurichten und alte zu löschen. Möglicherweise müssen vorher neue Netzkomponenten beschafft und eingerichtet werden.
- Bei einem Umzug ist es oft auch erforderlich, für die betroffenen Mitarbeiter Benutzer-Accounts auf einem neuen Server einzurichten. Es ist darauf
zu achten, dass die erforderlichen Rechte und Zugriffe auf Applikationen
und Protokolle eingerichtet werden. Auch die Sicherheitseinstellungen der
Benutzerumgebung müssen seinem Sicherheitsprofil entsprechend gewahrt
bleiben. Alte Benutzereinträge und Endgerät-Zugangseinträge müssen auf
dem alten System angepasst oder gelöscht werden. Der Zugriff auf
benutzereigene Datenbereiche sollte ihm dennoch für eine Übergangszeit,
jedoch mit verbindlichem Hinweis auf Löschung nach einer Karenzzeit,
gewährt bleiben. Nach dieser Karenzzeit muss die Löschung durch den
Administrator vollzogen werden.
Besondere Vorkehrungen sind beim Umzug der Komponenten des Rechenzentrums, wie Daten- oder Kommunikationsservern, zu treffen. Im Folgenden
werden Maßnahmen beschrieben, die möglichst kurze Ausfallzeiten der
Komponenten gewährleisten sollen.
- Wenn möglich, sollte ein neuer Server vorab installiert und in der neuen
Räumlichkeit getestet werden. Ist dies nicht möglich, so sollte der alte
Server so gut wie möglich vorkonfiguriert werden und erst zu einer Zeit, zu
der wenig Zugriffe zu erwarten sind, nach ausreichender Vorankündigung
umgestellt werden. Hierbei sollte die alte Konfiguration immer vorab
gesichert sein.
- Der Server sollte vor dem Umzug komplett gesichert werden. Wenn nicht
bereits vorhanden, ist auch ein bootfähiges Sicherungsmedium zu erzeugen. Sensible Serverteile wie Festplatten sollten für den Ausfall des
Originals als Image redundant vorgehalten sein und getrennt vom Server
transportiert werden. Es ist darauf zu achten, dass die Datensicherung und
das Image ebenso wie der Server beim Transport gesichert ist (z. B.
Verschlüsselung, verschlossene Box, Bewachung).
- Vor dem Umzug ist sicherzustellen, dass die Infrastruktur in den neuen
Räumlichkeiten für den einwandfreien Serverbetrieb vorhanden und
getestet sind. Hier ist neben dem Vorhandensein des Netzes (Strom, LAN,
WAN) auch auf die richtige Reihenfolge des Umzuges der Komponenten

_____________________________________________________________________ ..........................................
408

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.177
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

zu achten. Es ist beispielsweise wenig sinnvoll, zuerst den InternetWebserver umziehen zu lassen, wenn der Firewall mit seinem Kommunikationsrouter erst wesentlich später aufgebaut wird.
- Vor dem Umzug sollte überprüft werden, ob unter den zu transportierenden
IT-Komponenten solche sind, die besondere Umgebungsbedingungen
während des Umzuges benötigen. Beispielsweise gibt es Controller für
größere (und teurere!) IT-Systeme, die nicht nur in klimatisierten Räumen
betrieben, sondern auch klimatisiert transportiert werden müssen.
Weiterhin sollte sichergestellt sein, dass die neuen Telefonnummern bereits
erreichbar sind, sobald die Mitarbeiter ihre neuen Büros bezogen haben. Bei
einem Umzug innerhalb eines Ortes sollte versucht werden, die alten
Telefonnummern zumindest übergangsweise zu behalten. Während des
Umzugs sollte sowohl in der alten als auch in der neuen Liegenschaft die telefonische Erreichbarkeit gewährleistet sein, damit bei auftretenden Problemen
Rückfragen jederzeit möglich sind.
Ergänzende Kontrollfragen:
-

Sind rechtzeitig vor einem geplanten Umzug Sicherheitsrichtlinien
erarbeitet worden?

-

Sind alle Mitarbeiter über die vor, während und nach dem Umzug zu
beachtenden IT-Sicherheitsmaßnahmen informiert worden?

_____________________________________________________________________ ..........................................
409

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.178
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.178

Festlegung einer Sicherheitsleitlinie für die
Faxnutzung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Vor der Installation, Konfiguration und Freigabe von Faxservern sollte
zunächst eine Sicherheitsleitlinie für die Faxnutzung festgelegt werden.
Folgende Punkte werden üblicherweise mit solch einer Sicherheitsleitlinie
geregelt:
1.

Einsatzkonzept

Bevor ein Faxserver für die Nutzung freigegeben wird, muss zunächst festgelegt werden, in welcher Einsatzart das System betrieben werden soll. So ist
z. B. denkbar, dass ein Faxserver nur dazu dient, Faxe über das LAN entgegenzunehmen und dann nach außen zu versenden. Ein Faxserver kann aber
auch von außen eingehende Faxsendungen entgegennehmen. In diesem Fall
muss festgelegt werden, wie die Eingangs-Faxsendungen an die Empfänger
weitergeleitet werden. Die erste Möglichkeit besteht dabei in der Weiterleitung durch den Faxserver selbst, ggf. mit Anbindung an bereits bestehende
E-Mail oder Workflow-Systeme. Eine andere Möglichkeit ist die manuelle
Weiterleitung der Eingangs-Faxsendungen durch die Poststelle. Hier besteht
einmal die Möglichkeit der Weiterleitung per E-Mail. Denkbar ist aber auch,
dass die Poststelle eingehende Faxe ausdruckt und diese Ausdrucke an den
Empfänger weiterleitet (siehe M 2.181 Auswahl eines geeigneten Faxservers).
2.

Integration in den Geschäftsablauf

Von der Betriebsart hängt auch ab, wie bei Benutzung eines Faxservers versandte oder empfangene Faxe in den Geschäftsablauf integriert werden.
Sofern die Poststelle alle Faxeingänge ausdruckt und die Ausdrucke an den
jeweiligen Empfänger weiterleitet, entspricht dies dem Ablauf, wie er auch bei
herkömmlichen Faxgeräten üblich ist. Werden aber Faxe direkt aus einer
Applikation vom Arbeitsplatzrechner des Benutzers versandt oder werden
Faxeingänge direkt vom Faxserver an den Empfänger übermittelt, unterscheiden sich diese Verfahren erheblich von denen bei der Benutzung herkömmlicher Faxgeräte. Daher sollte in diesem Fall in der Richtlinie für die
Faxnutzung festgelegt werden, von welchen Faxeingängen und Faxausgängen
Ausdrucke für die Akten gefertigt werden müssen.
3.

Regelungen zum Faxserver-Einsatz

Um den sicheren Betrieb und Einsatz eines Faxservers sicherstellen zu
können, müssen eine Reihe von Regelungen getroffen werden (siehe M 2.179
Regelungen für den Faxserver-Einsatz).
4.

Inhaltliche Restriktionen

Weiterhin sollte in der Fax-Sicherheitsleitlinie festgelegt werden, welche
Informationen überhaupt per Fax weitergegeben werden dürfen. Es kann in
der Fax-Sicherheitsleitlinie zudem festgelegt werden, welche Kommunikationspartner welche Informationen erhalten dürfen. Damit wird erreicht,
dass der Empfänger auch die notwendigen Berechtigungen zum Weiterver-

_____________________________________________________________________ ..........................................
410

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.178
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

arbeiten der Information besitzt. Beispielsweise kann festgelegt werden, dass
Preislisten nur an Einkäufer oder Projektunterlagen nur an Projektbeteiligte
per Fax versendet werden dürfen.
5.

Notfallvorsorge und Ausfallsicherheit

Außerdem sollten in der Faxsicherheitsleitlinie Aussagen zur Notfallvorsorge
und zur Ausfallsicherheit des Faxbetriebes enthalten sein. Abhängig von den
Anforderungen an den Wert Verfügbarkeit ist ggf. der Einsatz redundanter
Faxserver sinnvoll. In diesen Bereich fallen auch Überlegungen, ob für den
Notfall noch herkömmliche Faxgeräte verfügbar gehalten werden (siehe auch
M 6.69 Notfallvorsorge und Ausfallsicherheit bei Faxservern).
6.

Datensicherung

Der Faxserver sollte in das Datensicherungskonzept der Organisation
aufgenommen werden (siehe Kapitel 3.4). Insbesondere ist dabei festzulegen,
wer für die Durchführung der Datensicherungen zuständig ist und was zu
sichern ist. Gegenstand der Datensicherung können dabei die Software,
Konfigurationsdaten, gespeicherte bzw. archivierte Faxdaten oder auch
Protokolldateien sein. Außerdem sind Festlegungen hinsichtlich des
Sicherungsintervalls und der Anzahl der aufzubewahrenden Generationen
notwendig. Es muss festgelegt werden, wer für die Überprüfung der bei der
Datensicherung anfallenden Protokolle zuständig ist. Schließlich sollten
sowohl die Durchführung der Datensicherung als auch die Auswertung der
Protokolle dokumentiert werden.
7.

Schulung

Die Faxsicherheitsleitlinie sollte zudem um ein organisationsweites
Schulungskonzept ergänzt werden. Zunächst ist das Personal, das das ITSystem und die Faxserver-Applikation administriert, entsprechend zu schulen.
Dann sollten die Benutzer für die Gefährdungen sensibilisiert werden, die
durch einen Faxserver im Vergleich zu einem herkömmlichen Faxsystem
entstehen.
Ergänzende Kontrollfragen:
- Existiert eine Sicherheitsleitlinie für die Faxnutzung?
- Wird die Sicherheitsleitlinie für die Faxnutzung regelmäßig an das
Einsatzumfeld angepasst?

_____________________________________________________________________ ..........................................
411

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.179
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.179

Regelungen für den Faxserver-Einsatz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator des Faxservers, Fax-Poststelle
Um den reibungslosen Betrieb des oder der Faxserver zu gewährleisten,
müssen folgende Punkte geregelt werden:
1.

Festlegung von Zuständigkeiten

Ein Faxserver besteht aus einem IT-System, dem darauf installierten
Betriebssystem sowie der Faxserver-Applikation. Dazu kommen dann noch
die Faxclients der Benutzer. Dementsprechend muss auch die Betreuung
geregelt werden. Je nach der vorhandenen Organisationsstruktur müssen
Verantwortliche für diese Bereiche benannt werden. Im Extremfall kann dies
heißen, dass jeder dieser Bereiche von anderen Administratoren betreut wird.
Die Administration des Betriebssystems kann z. B. durch die Organisationseinheit erfolgen, die auch für die Administration der sonstigen IT-Systeme
zuständig ist. Die Administration der Faxapplikation sollte hingegegen durch
die Fax-Poststelle erfolgen. Je nach Einsatzart ist diese Stelle auch dafür
verantwortlich, dass eingehende Faxsendungen an den zuständigen Bearbeiter
weitergeleitet werden. Diese Stelle sollte dann auch für die Vergabe von
Berechtigungen auf dem Faxserver verantwortlich sein. Weitere Aufgaben
sind z. B. die Rücksetzung von Passwörtern und die Einrichtung von neuen
Benutzern. Von besonderer Bedeutung ist daher die Festlegung der Aufgaben
und Zuständigkeiten der Fax-Poststelle (siehe M 2.180 Einrichten einer FaxPoststelle).
2.

Festlegung des Benutzerkreises

Außerdem sollte der Personenkreis festgelegt werden, der berechtigt ist, den
Faxserver zu benutzen. Dabei sind u. a. folgende Berechtigungen für eingehende Faxsendungen denkbar:
- lesen,
- weiterleiten,
- löschen.
Für ausgehende Faxsendungen sind folgende Berechtigungen denkbar:
- senden,
- anhalten,
- löschen,
- Sendeoptionen verändern.
Diese Berechtigungen sollten, wie in der Administration allgemein üblich,
möglichst nur an Benutzergruppen und nur im Ausnahmefall an einzelne
Benutzer vergeben werden (siehe auch M 2.30 Regelung für die Einrichtung
von Benutzern / Benutzergruppen).

_____________________________________________________________________ ..........................................
412

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.179
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

3.

Festlegung von Nutzungsprofilen

Es sollte auch geregelt werden, in welchem Umfang berechtigte Benutzer den
Faxserver in Anspruch nehmen dürfen. Dies ist insbesondere wichtig, um
Überlastungen durch Serienfaxe zu verhindern.
4.

Nutzungszeiten

Außerdem sollte überlegt werden, ob die Nutzung von Faxservern nur zu
bestimmten Zeiten zugelassen wird. So kann z. B. verhindert werden, dass
außerhalb der Arbeitszeiten Faxe versendet werden können.
5.

Einrichtung von Gruppen

Sofern Faxeingänge automatisch an die Empfänger durch den Faxserver
weitergeleitet werden, sollten für bestimmte Funktionen und Aufgaben eigene
Faxnummern eingerichtet werden. Allen Mitgliedern einer Gruppe kann dann
der Zugriff auf die für die entsprechende Rufnummer eingehenden Faxsendungen gewährt werden. Dies erleichtert auch etwaige Vertretungsregelungen.
Beispiel: In einem Unternehmen wird ein Faxserver betrieben, der eingehende
Faxsendungen automatisch an die Empfänger weiterleitet. Eine -Rufnummer
wird die Bestellannahme vergeben. Der Faxserver leitet alle Faxsendungen
mit Bestellungen, die über diese Rufnummer an das Unternehmen übermittelt
werden, nicht an einen einzelnen Mitarbeiter, sondern an alle Mitglieder der
Bestellannahme weiter. Dabei muss durch das Unternehmen festgelegt
werden, in welcher Reihenfolge die Mitarbeiter Eingangsfaxsendungen
bearbeiten, um Bestellungen nicht doppelt auszuführen.
6.

Vertretungsregelung

Gerade beim Einsatz von Faxservern, die Faxeingänge an einzelne Benutzer
zustellen, ist eine Vertretungsregelung im Falle der Abwesenheit unumgänglich und daher eine entsprechende Verpflichtung in die Sicherheitspolitik
aufzunehmen. Ansonsten kann nicht ausgeschlossen werden, dass wichtige
Faxeingänge über einen längeren Zeitraum nicht zur Kenntnis genommen
werden. Insoweit unterscheidet sich das Verfahren beim Einsatz von Faxservern erheblich von dem beim Einsatz herkömmlicher Faxgeräte. Bei
letzteren werden Eingänge durch die Vertreter eher wahrgenommen, da die
Faxe in Papierform vorliegen.
7.

Protokollierung

Es sollten Regelungen für den Umgang mit anfallenden Protokolldaten
erarbeitet werden. So sollte festgelegt werden, wer welche Protokolldaten in
welchen Abständen auswerten muss (siehe M 2.64 Kontrolle der Protokolldateien).
8.

Adressbücher

Auch sollte festgelegt werden, welche Adressbücher zum Einsatz kommen
und wer die Pflege übernimmt. Viele Faxserver-Applikationen bieten die
Möglichkeit, sowohl individuelle als auch unternehmensweit gültige Adressbücher anzulegen. Zudem ist es häufig auch möglich, die Adressbücher von
Faxservern mit den Verteilerlisten/Adressbüchern bereits vorhandener

_____________________________________________________________________ ..........................................
413

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.179
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

E-Mailsysteme zu synchronisieren. Während organisationsweit gültige
Adressbücher zentral durch die Fax-Poststelle gepflegt werden sollten, muss
dies bei den individuellen Adressbüchern durch die Benutzer selbst erfolgen.
Die Benutzer sollten außerdem verpflichtet werden, bei wichtigen Faxsendungen (z. B. individuelle Angebote) die Empfängerrufnummer zu überprüfen.
9.

Nutzung des Faxservers

Außerdem müssen auch Regelungen für die Nutzung des Faxservers durch die
Mitarbeiter erarbeitet werden (siehe M 3.15 Informationen für alle Mitarbeiter
über die Faxnutzung). Schließlich ist festzulegen, welche Rechte die
Mitarbeiter auf dem Faxserver ausüben dürfen.
10.

Schutz der Faxclients

Es muss durch geeignete organisatorische und technische Maßnahmen sichergestellt werden, dass keine Faxe unbefugt gelesen oder unbefugt bzw. unbeabsichtigt gesendet werden. Die Benutzer sind daher für die Benutzung der
Fax-Programme zu schulen und hinsichtlich der auftretenden Risiken zu
sensibilisieren.
Von besonderer Bedeutung ist die Authentisierung der Mitarbeiter am
Faxserver. Diese kann explizit über einen Faxclient oder aber auch mit der
Anmeldung an einem Verzeichnisdienst, einem Domänen-Controller (bei
Verwendung von Microsoft Windows NT) oder an einem E-Mail-System
erfolgen. Sofern die Authentisierung zwischen Mitarbeiter und Faxserver über
einen Client erfolgt, sollte möglichst darauf verzichtet werden, das AnmeldePasswort auf der Festplatte abzulegen, da dadurch dieser Sicherheitsmechanismus seinen Wert verliert. Jeder, der auf den entsprechenden
Faxclient Zugriff hat, kann unter fremdem Namen Faxe versenden und unbefugt eingehende Faxsendungen lesen. Weiterhin sind die Mitarbeiter dazu
anzuhalten, sich nach der Abholung eingegangener Faxsendungen und nach
der Versendung von Ausgangsfaxen wieder am Faxserver abzumelden. Es ist
darauf hinzuwirken, dass Mitarbeiter beim Verlassen des Arbeitsplatzes den
Rechner schützen, z. B. durch die Benutzung eines Bildschirmschoners mit
Passwort oder über Mechanismen des eingesetzten Betriebssystems (siehe
M 4.1 Passwortschutz für PC und Server und M 4.2 Bildschirmsperre).
11.

Reparatur und Wartung

Es sollten auch Regelungen zur Durchführung von Reparatur- und Wartungsarbeiten des Faxservers festgelegt werden. Für die Administratoren des
Systems muss klar sein, wer im Wartungs- und Reparaturfall zu benachrichtigen ist. Auch sollte geregelt werden, wie mit defekten Datenträgern, insbesondere defekten Festplatten umgegangen werden muss.

_____________________________________________________________________ ..........................................
414

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.179
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Werden die Regelungen für den Faxserver-Einsatz regelmäßig an das
Einsatzumfeld angepasst?
- Sind Regelungen für die Weiterleitung von eingehenden Faxsendungen bei
Abwesenheit des Empfängers in Kraft?
- Sind Regelungen für die Schulung der Mitarbeiter über die Nutzung der
Faxprogramme vorhanden?

_____________________________________________________________________ ..........................................
415

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.180
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.180

Einrichten einer Fax-Poststelle

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um den reibungslosen Betrieb des oder der Faxserver zu gewährleisten, muss
eine Fax-Poststelle eingerichtet und damit ein Fax-Verantwortlicher benannt
werden. Die Fax-Poststelle hat dabei diverse organisatorische und technische
Aufgaben wahrzunehmen, die auch von der Betriebsart des Faxservers
abhängen.
Da die Mitarbeiter der Fax-Poststelle im Regelfall Zugriff auf alle eingehenden und ausgehenden Faxsendungen haben, muss an die Auswahl des Personals ebenso hohe Anforderungen gestellt werden, wie dies bei Administratoren notwendig ist.

sorgfältige Auswahl der
Mitarbeiter

Die Fax-Poststelle muss außerdem mit den Verantwortlichen für die sonstigen
Kommunikationsdienste (insbesondere E-Mail und Telekommunikationsanlage) eng zusammenarbeiten.
Die Fax-Poststelle sollte für alle Benutzer jederzeit erreichbar sein. Im
Rahmen von Vertretungsregelungen ist sicherzustellen, dass die Fax-Poststelle
ständig besetzt ist.

ständige Erreichbarkeit

Typische Aufgaben einer Faxserver-Poststelle sind:
- Administration der Faxserver-Applikation. Dazu gehört:
- Einrichtung neuer Benutzer,
- Vergabe von Berechtigungen an Benutzer und Benutzergruppen,
- Rücksetzen von Passwörtern,
- Überprüfung der Kommunikationsverbindungen,
- Auswertung der anfallenden Protokolle,
- Anlaufstelle der Benutzer bei Problemen,
- Pflege der zentralen Adressbücher und Verteilerlisten,
- Durchführung von Datensicherungen, sofern dies nicht Aufgabe der
Administration des Betriebssystems ist,
- Faxzustellung und Archivierung,
- Fehlerbehebung bei der Faxzustellung
- Koordination der Zusammenarbeit mit TK-Anlagen- und E-Mail-Verantwortlichen.
Schließlich sollte auch die Faxclient-Software auf den Arbeitsplatzrechnern
betreut werden. Diese Aufgabe kann sowohl durch die Fax-Poststelle als auch
durch die Organisationseinheit erfolgen, die die Arbeitsplatzrechner betreut.

Betreuung der Faxclients

Einer besonderen Betrachtung bedürfen noch die Aufgaben im Zusammenhang mit den Faxeingängen, da diese von der Betriebsart des Faxservers
abhängig sind.
Manuelle Weiterleitung von Eingangs-Faxsendungen
Sofern Eingangs-Faxsendungen nicht automatisch an den Empfänger zugestellt werden, müssen diese durch die Fax-Poststelle manuell weitergeleitet
werden. Dies kann z. B. in der Form erfolgen, dass durch die Fax-Poststelle
von den Faxeingängen ein Ausdruck gefertigt wird, der dann an den

_____________________________________________________________________ ..........................................
416

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.180
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Empfänger auf dem üblichen Weg weitergeleitet wird. Dieses Verfahren
unterscheidet sich nicht wesentlich von dem beim Einsatz eines herkömmlichen Faxgerätes. Denkbar ist allerdings, dass eingegangene Faxsendungen
digital auf externen Datenträgern archiviert werden.
Automatische Weiterleitung von Eingangs-Faxsendungen
Bei der automatischen Weiterleitung von Eingangs-Faxsendungen an den
Empfänger (automatisches Fax-Routing) ist ebenfalls möglich, dass durch die
Fax-Poststelle Ausdrucke zum Zwecke der Archivierung gefertigt werden.
Auch hier besteht die Möglichkeit, eingehende Faxsendungen digital auf
externen Datenträgern zu archivieren.
Sofern Faxsendungen nicht zugestellt werden können, muss die Fax-Poststelle
hiervon Kenntnis erlangen und versuchen, die Fehlerquelle zu beheben.
Sofern die Zustellung endgültig scheitert, ist der Absender entsprechend zu
informieren. Gründe dafür, dass Faxeingänge unzustellbar sind, können sein:

Behandlung nicht
zustellbarer Faxeingänge

- Der Absender hat eine falsche Durchwahl benutzt
- Der Empfänger ist nicht mehr Mitglied der Organisation.
- Die automatische Weiterleitung von Eingangs-Faxsendungen erfolgt
aufgrund der Absenderkennung (CSID) und der Absender ist in der
Organisation noch nicht bekannt oder es existiert keine entsprechende
Zuordnungsregel.
In all diesen Fällen muss von der Fax-Poststelle die Weiterleitung von
Faxeingängen manuell erfolgen. Sofern Faxeingänge endgültig nicht zugestellt
werden können, muss der Absender benachrichtigt werden.
Ergänzende Kontrollfragen:
- Wer ist Fax-Verantwortlicher?
- Wo laufen nicht zustellbare Faxsendungen auf?

_____________________________________________________________________ ..........................................
417

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.181
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.181

Auswahl eines geeigneten Faxservers

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Ein Faxserver besteht im Regelfall aus folgenden Komponenten: Dem ITSystem selbst, dem Betriebssystem, der Kommunikationskomponente (z. B.
Faxmodem, aktive oder passive ISDN-Karte bzw. dedizierte Faxkarte) und der
eigentlichen Faxserver-Applikation. Zusätzlich wird u. U. für die
Arbeitsplatzrechner ein entsprechender Faxclient benötigt.
Bevor Faxserver beschafft werden, sind zunächst die wesentlichen Einflussfaktoren für deren Einsatz zu erheben. Dies sind:
-

Das voraussichtlich abzuwickelnde Faxvolumen,
die Anzahl der Mitarbeiter, die den Faxserver benutzen sollen,
die Anforderungen an die Verfügbarkeit des Faxservers,
die Anforderungen an die Einbindung in bereits bestehende E-Mail- und
Workflow-Systeme,
- die Anforderungen an die Protokollierung auf dem Faxserver,
- Anforderungen an die Art der Weiterleitung eingehender Faxsendungen an
den Empfänger.
IT-System
Die Wahl des IT-Systems wird in der Regel durch die Anforderungen der
Software und des Betriebssystems an die Leistungsfähigkeit bestimmt. Das
IT-System muss zudem kompatibel zum ausgewählten Betriebssystem sein. Je
nach Anforderungen an die Verfügbarkeit des Faxservers kann über den
Einsatz zusätzlicher Schutzmechanismen nachgedacht werden. Möglichkeiten,
die Verfügbarkeit sicherzustellen bzw. zu erhöhen, sind:
- RAID
- Replikation
- Lastverteilung
Betriebssystem
Faxserver-Applikationen gibt es für alle gängigen Netzbetriebssysteme wie
Unix, Microsoft Windows NT und Novell Netware. Bei der Wahl des
Betriebssystems sollte die Integrationsmöglichkeit in das bestehende Netz und
die Anforderungen durch die Faxserver-Applikation den Ausschlag geben.
Sofern bisher in einer Organisation ausschließlich ein Netzbetriebssystem zum
Einsatz kommt, also z. B. nur Server unter dem Betriebssystem Unix im
Einsatz sind, so sollte auch möglichst dieses Netzbetriebssystem ausgewählt
und eine geeignete Faxserver-Applikation beschafft werden. Hiervon wird
man abweichen müssen, wenn eine bestimmte Applikationssoftware als
Einzige ein dringend benötigtes Leistungsmerkmal anbietet, aber nur auf einer
anderen als der bisher eingesetzten Betriebssystemplattform einsetzbar ist. Ein
neues Netzbetriebssystem bedeutet einen erheblichen Mehraufwand bei der
Administration. Sofern im Netz bereits verschiedene Netzbetriebssysteme im
Einsatz sind, ist das zu wählen, das sich am einfachsten integrieren lässt,
sofern die gewünschte Faxserver-Applikation dies zulässt.

_____________________________________________________________________ ..........................................
418

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.181
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

Kommunikationskomponente
Die Kommunikationskomponenten stellen die Verbindung zwischen dem
Server und dem öffentlichen Telefonnetz her. Die Kommunikation wird auf
der Grundlage des T.30 Protokolls abgewickelt. Durch dieses Protokoll wird
u. a. der Verbindungsaufbau, der Austausch der Absender-Faxnummer und die
Übertragung und die Quittierung des Dokuments geregelt. Die Übertragung
im Gruppe-3-Standard erfolgt hauptsächlich bei 9.600 bps und 14.400 bps.
Außerdem sind die Kompressionsverfahren Modified Huffmann, Modified
Read und Modified Modified im Einsatz. Der Gruppe-3-Standard ist am
weitesten verbreitet. Daneben gibt es noch den Gruppe-4-Standard, der
allerdings ISDN voraussetzt. Hier werden Übertragungsgeschwindigkeiten
von 64 kBit pro Sekunde erreicht. Der Standard Gruppe 4 hat sich gleichwohl
in den vergangenen Jahren nicht durchsetzen können, da entsprechende Standalone-Geräte relativ teuer sind. Es besteht außerdem keine Kompatibilität
zwischen dem Gruppe-3- und dem Gruppe-4-Standard.
Bei Beginn der Kommunikation wird zwischen den Geräten sowohl die
Übertragungsgeschwindigkeit als auch das Kompressionsverfahren ausgehandelt. Es wird die höchste Geschwindigkeit und das bestmögliche
Kompressionsverfahren gewählt, das von beiden Geräten unterstützt wird.
Folgende Kommunikationskomponenten sind beim Einsatz eines Faxservers
denkbar:
a)

Faxmodem

Faxmodems sind recht preisgünstig verfügbar. Sie sind aber u. U. nicht ausreichend manipulationsresistent und werden zudem nicht von allen FaxserverApplikationen im Dauereinsatz unterstützt. Daher sollte ihr Einsatz auf den
privaten Gebrauch und auf einzelne Arbeitsplätze beschränkt bleiben.
b)

passive ISDN-Karten

Passive ISDN-Karten sind einfach aufgebaut und damit preiswert. Die
Hauptlast der Kommunikation trägt der Rechner. Dies ist bei starker Inanspruchnahme des Faxservers (z. B. Serien-Faxsendungen) problematisch. Bei
passiven ISDN-Karten ist - ein entsprechendes Gerät auf Empfängerseite
vorausgesetzt - generell auch die Übertragung nach dem Gruppe-4-Standard
möglich. Müssen Faxdaten nach dem Gruppe-3-Standard übertragen werden,
so sind die Daten entsprechend zu konvertieren. Wie beim Faxmodem gilt
auch hier, dass das Hauptanwendungsgebiet auf einen einzelnen Arbeitsplatz
oder auf den privaten Bereich beschränkt bleiben sollte.
c)

aktive ISDN-Karten

Aktive ISDN-Karten, auch ISDN-Controller genannt, verfügen über einen
eigenen Prozessor. Sie können daher das ISDN-Protokoll weitestgehend
eigenständig abwickeln. Gemäß der Spezifikation des Common-ISDN-API
(CAPI) müssen die Faxdaten im Structured Fax File (SFF)-Format an die
ISDN-Karte übergeben werden. Die Konvertierung muss auf dem Faxserver
erfolgen. Genau wie Modems unterstützen aktive ISDN-Karten im Gruppe-3Standard nur die Übertragungsgeschwindigkeiten 9.600 und 14.400 bps unter
Benutzung des Kompressionsverfahrens Modified Huffmann. Ein wesentlicher Nachteil sowohl von Faxmodems als auch von aktiven und passiven

_____________________________________________________________________ ..........................................
419

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.181
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

ISDN-Karten ist, dass diese auch zu anderen Zwecken als der Faxübertragung
benutzt werden können, z. B. im Modembetrieb oder als Remote-AccessKomponente. Dies ist aber bei einem Faxserver aus Gründen der Netzsicherheit gerade nicht erwünscht. Aktive ISDN-Karten können bis zu 30 ISDNKanäle zur Verfügung stellen. Beim Einsatz von aktiven ISDN-Karten sind
auch die ISDN-Signalisierungsmöglichkeiten für das automatische FaxRouting verfügbar. Trotz der Verwendbarkeit für nicht-Fax-Betrieb sind
aktive ISDN-Karten für den Einsatz in Faxservern durchaus empfehlenswert.
d)

Faxkarten (ggf. mit ISDN-Schnittstelle)

Spezielle Faxkarten sind auf die Abwicklung des T.30-Protokolls optimiert.
Sie übernehmen den Verbindungsaufbau und das "Aushandeln" der Kommunikationsparameter. Die Konvertierung der Daten und die Kompression
können auf der Karte erfolgen. Der Faxserver wird damit deutlich entlastet. Es
gibt Faxkarten, die die Übertragung von Faxdaten mit 9.600 und 14.400 bps
und Anwendung aller drei Kompressionsverfahren bieten. Vorteil dieser
Karten ist auch, dass sie im Regelfall nur das T.30-Protokoll beherrschen und
daher nicht für den Modembetrieb oder als Remote-Access-Komponente einsetzbar sind. Teilweise werden Faxkarten um eine ISDN-Schnittstelle erweitert. Der Vorteil davon ist, dass die Signalisierungsmöglichkeiten von ISDN
für das Fax-Routing nutzbar werden.
Zusammenfassend folgt, dass in Faxservern im Regelfall nur aktive ISDNKarten und Faxkarten zum Einsatz kommen sollten. Die Karte muss kompatibel zur Applikationssoftware sein, da nicht jede Karte durch alle FaxserverApplikationen unterstützt wird. Die Anzahl der notwendigen Karten hängt von
der Auslastung des Faxservers ab. Je Stunde und Leitung bzw. je Kanal ist die
Übertragung von ca. 40-50 Seiten Faxdaten möglich.

aktive ISDN-Karten oder
Faxkarten verwenden

Faxserver-Applikation
Bei der Auswahl der Applikationssoftware ist sowohl das Faxvolumen, das
über den Faxserver abgewickelt werden soll, als auch die Anzahl der Benutzer
zu berücksichtigen.
Ist in der Organisation bereits ein E-Mail- bzw. Workflow-System vorhanden,
so sollte eine Integration der Applikationssoftware mit diesen Systemen
möglich sein. Es ist dann z. B. denkbar, dass Faxeingänge und Fax-Ausgänge
zwischen dem Arbeitsplatzrechner des Benutzers und dem Faxserver über das
bereits bestehende Workflow- bzw. E-Mail-System ausgetauscht werden.
Interessant ist in diesem Zusammenhang auch, ob und wie ggf. bestehende
Adressbücher bzw. Verteilerlisten mit den Adressbüchern des Faxservers
synchronisiert werden können. Außerdem sollte die Archivierung von einund ausgehenden Faxsendungen in bestehenden Workflow-Systemen möglich
sein.

Integration in ein E-Mailbzw. Workflow-System

Auch ist in die Überlegungen mit einzubeziehen, wie Faxsendungen vom
Arbeitsplatz des Benutzers zum Faxserver gelangen und wo eine Umwandlung der Daten in ein für den Faxserver kompatibles Datenformat erfolgt. Die
Konvertierung der Faxdaten am Arbeitsplatz erfolgt beim Senden im Regelfall
mittels eines Druckertreibers oder einer besonderen Faxclient-Applikation.
Die konvertierten Daten können dann entweder über E-Mail oder auch mittels
der Faxclient-Applikation an den Faxserver übermittelt werden. Denkbar ist

Übertragung vom
Arbeitsplatz zum
Faxserver

_____________________________________________________________________ ..........................................
420

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.181
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

auch, dass der Benutzer die konvertierten Daten in ein spezielles Verzeichnis
auf dem Faxserver kopiert. Schließlich gibt es Faxserver, bei denen eine
Druckerwarteschlange im Netz eingerichtet wird, in die die Faxdaten von der
Anwendungssoftware, z. B. einem Textverarbeitungsprogramm, geschrieben
werden. Außerdem ist es möglich, dass die Daten auf dem Faxserver komplett
konvertiert werden. In diesem Fall erstellt der Benutzer mit einer
entsprechenden
Anwendungssoftware,
z. B.
einem
Textverarbeitungsprogramm, die als Fax zu versendende Datei, die dann dem
Faxserver übergeben werden muss. Dies kann mittels E-Mail, einer entsprechenden Faxclient-Applikation oder durch Kopieren in ein auf dem Faxserver
freigegebenes Verzeichnis erfolgen. Zu bedenken ist, dass die Konvertierung
der Faxdaten am Arbeitsplatz dort Ressourcen verbraucht. Dies kann in der
Regel vernachlässigt werden, wenn nur wenige Faxe am Tag versendet
werden. Gerade bei Serien-Faxsendungen kann es aber passieren, dass der
Arbeitsplatzrechner für längere Zeit blockiert wird. Andererseits verlangt eine
Konvertierung auf dem Faxserver bei hoher Inanspruchnahme entsprechend
leistungsfähige Hard- und Software.
Schließlich sollten bei der Auswahl geeigneter Applikationssoftware auch die
Protokollierungmöglichkeiten am Faxserver mit berücksichtigt werden. Neben
den Fehlerprotokollen sind auch die Sendeprotokolle von Interesse. Zunächst
sollten den Benutzern durch den Faxserver die Sendeprotokolle zu den
jeweiligen Faxsendungen zur Verfügung gestellt werden. Nur so können die
Benutzer kurzfristig z. B. auf Verbindungsfehler reagieren. Weiterhin sollte
die Möglichkeit bestehen, die anfallenden Gebühren mittels der Sendeprotokolle zu ermitteln und auf die entsprechenden Kostenstellen zu verteilen.

Protokollierung am
Faxserver

Ein weiterer Einflussfaktor für die Auswahl der Applikationssoftware ist die
Frage, wie Faxeingänge den Empfänger erreichen. Die digitale Weiterleitung
von Faxeingängen über das Netz wird auch als Fax-Routing bezeichnet.

Übertragung vom Faxserver zum Arbeitsplatz

Die technisch am einfachsten zu realisierende Möglichkeit ist natürlich der
Ansatz, Faxeingänge an zentraler Stelle (Fax-Poststelle) auszudrucken und
den Ausdruck an den Empfänger weiterzuleiten. Der Vorteil dieser Lösung ist,
dass die Faxeingänge für die Akten zentral ausgedruckt werden. Zudem
können die eingehenden Faxsendungen sowohl digital als auch manuell
archiviert werden. Außerdem sind bestehende Vertretungsregelungen problemlos zu übernehmen. Nachteilig an diesem Verfahren ist die u. U. daraus
entstehende Arbeitsbelastung der Fax-Poststelle. Außerdem stehen die Faxdaten dann nicht in elektronischer Form an den Arbeitsplätzen zur Verfügung.

Ausdruck auf Papier

Eine weitere Möglichkeit besteht darin, dass von der Fax-Poststelle Faxeingänge per E-Mail an den Empfänger gesandt werden. Der Nachteil dieses
Verfahrens besteht ebenfalls in der Arbeitsbelastung der Fax-Poststelle. Dabei
wird nicht automatisch von jedem Eingangs-Fax ein Ausdruck gefertigt. Wenn
ein solcher Ausdruck aus organisatorischen oder sonstigen Gründen
gewünscht wird, müssen entsprechende Regelungen getroffen werden.

manuelle Weiterleitung
mittels E-Mail

Für die automatische Weiterleitung von Eingangs-Faxsendungen an den
Empfänger über das Netz gibt es folgende Möglichkeiten:

automatische
Weiterleitung

_____________________________________________________________________ ..........................................
421

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.181
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

a)

Linerouting

Hier wird jeder Leitung ein fester Empfänger zugeordnet. Die Anzahl der
direkt erreichbaren Empfänger ist auf die Anzahl der zur Verfügung stehenden
Leitungen begrenzt.
b)

Auswertung der Absenderkennung

Ein weiteres Verfahren stellt auf die übermittelte Absenderkennung eines
Faxeingangs (CSID - Call Subscriber ID) ab. Hierbei wird auf dem Faxserver
festgelegt, dass Faxeingänge bestimmter Absender jeweils an einen bestimmten Empfänger weitergeleitet werden. Der Nachteil dieses Verfahrens besteht
darin, dass nur Faxeingänge bereits bekannter Absender automatisch weitergeleitet werden. Alle anderen Faxeingänge müssen manuell an die Empfänger
weitergeleitet werden. Problematisch ist zudem, dass Absenderkennungen
vom Absender frei gewählt werden können und daher u. U. nicht zuverlässig
sind.
c)

Signalisierung mittels ISDN

Sofern ISDN zum Einsatz kommt, gibt es weitere Möglichkeiten des automatischen Fax-Routings. Hierbei muss allerdings zwischen dem sogenannten
Mehrgeräteanschluss und dem Anlagenanschluss unterschieden werden.
Bei einem Mehrgeräteanschluss stehen 2 Leitungen und bis zu maximal
10 Rufnummern je Anschluss zur Verfügung. Die Rufnummern werden durch
die jeweilige Telefongesellschaft vergeben. Sofern im Faxserver eine ISDNKarte oder eine Faxkarte mit ISDN-Schnittstelle vorhanden ist, kann anhand
der durch den Sender benutzten Rufnummer der Empfänger bestimmt werden.
Aufgrund der Begrenzung auf 10 Rufnummern ist es somit auch nur möglich,
an maximal 10 Empfänger Faxeingänge automatisch zu verteilen.
Beim ISDN-Anlagenanschluss ist zwischen dem öffentlichen Telefonnetz und
dem organisationsinternen Telefonnetz eine Telekommunikationsanlage
geschaltet. Auch bei dieser Anschlussart kann der Faxserver die durch den
Sender benutzte Rufnummer erkennen und einen Faxeingang anhand dieser
Nummer automatisch zum entsprechenden Empfänger routen. Die maximal
mögliche Anzahl der Empfänger ist dabei deutlich höher. Die Realisierung
erfolgt dadurch, dass jeder Mitarbeiter, der vom Faxserver Faxeingänge erhalten soll, eine zweite Durchwahlnummer erhält. Die Telefonanlage leitet
Eingänge, die auf dieser zweiten Nummer erfolgen, direkt an den Faxserver
weiter. Einziger Nachteil dieses Verfahrens ist, dass der Rufnummernpool
einer Organisation stärker belastet wird. Die Telekommunikationsanlage muss
also entsprechend leistungsfähig sein.
d)

Auswertung des Empfängers mittels optischer Zeichenerkennung

Ein weiteres, aber wenig verbreitetes Verfahren zum automatischen Routing
von Faxeingängen ist die optische Zeichenerkennung (OCR). Dabei wird versucht, im Faxeingang z. B. im Anschriftenfeld, Namen oder Nummern zu
erkennen. Dieses Verfahren setzt leistungsfähige OCR-Software und entsprechende Rechenleistung sowie möglichst genormte Adressfelder bei Faxeingängen voraus.

_____________________________________________________________________ ..........................................
422

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.181
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

e)

weitere Verfahren

Es gibt zwei weitere Verfahren zur automatischen Weiterleitung von Faxeingängen, das Dual Tone Multi Frequency Verfahren und das Direct Inward
Dialing Verfahren. Da beide Verfahren in Deutschland nicht anwendbar sind,
werden sie hier nur aus Gründen der Vollständigkeit erwähnt.
Die automatische Weiterleitung von eingehenden Faxsendungen hat den
Vorteil, dass das Personal der Fax-Poststelle entlastet wird. Zudem erreichen
eingehende Faxsendungen den Empfänger schneller. Nachteilig ist insbesondere bei der Signalisierung mittels ISDN, dass der Rufnummernpool entsprechend belastet wird. Dafür ist die automatische Weiterleitung von EingangsFaxsendungen hiermit am besten zu realisieren. Bei einem hohen Aufkommen
an eingehenden Faxsendungen sollte dieser Lösung der Vorzug gegeben
werden. Sofern eingehende Faxsendungen nur für wenige Arbeitsplätze bzw.
Gruppen bestimmt sind und überwiegend immer von den gleichen Absendern
kommen, ist die Auswertung der Absenderkennung auch eine praktikable
Lösung. Bei nur geringem Aufkommen an Eingangs-Faxsendungen kann die
manuelle Verteilung eine sinnvolle Alternative darstellen.

automatische Weiterleitung bei hohem
Faxvolumen

Ergänzende Kontrollfragen:
- Werden bei der Auswahl des Faxservers Kompatibilitätsgesichtspunkte
berücksichtigt?
- Ist sichergestellt, dass das zu erwartende Fax-Volumen durch die
ausgewählten Kommunikationskarten bewältigt werden kann?
- Unterstützt die ausgewählte Faxserver-Applikation alle benötigten
Leistungsmerkmale?

_____________________________________________________________________ ..........................................
423

IT-Grundschutzhandbuch: Stand Januar 2000

M 2.182
Maßnahmenkatalog Organisation
Bemerkungen
_____________________________________________________________________ ..........................................

M 2.182

Regelmäßige Kontrollen der ITSicherheitsmaßnahmen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement
Im IT-Grundschutzhandbuch werden eine Vielzahl von Regelungen
vorgestellt, die für die Erreichung der angestrebten IT-Sicherheit notwendig
sind. Es ist aber nicht ausreichend, diese Regelungen bekannt zu geben, es
muss auch regelmäßig deren Einhaltung kontrolliert werden. Regelmäßig
heißt hierbei aber nicht, dass die Kontrollen an vorhersagbaren Terminen
stattfinden, da angekündigte Kontrollen meist ein verzerrtes Bild des
Untersuchungsgegenstands ergeben.

unangekündigte
Kontrollen

Kontrollen sollten vor allen Dingen darauf ausgerichtet sein, Mängel abzustellen. Für die Akzeptanz von Kontrollen ist es wichtig, dass dies allen
Beteiligten als Ziel der Kontrollen erkennbar ist und dass die Kontrollen nicht
den Charakter von Schulmeisterei haben. Es ist daher sinnvoll, während einer
Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen
und entsprechende Abhilfen vorzubereiten.
Wenn Mitarbeiter eine Regelung ignorieren oder umgehen, ist das meist ein
Zeichen dafür, dass diese nicht mit den Arbeitsabläufen vereinbar ist oder
durch die Mitarbeiter nicht umgesetzt werden kann. Beispielsweise ist eine
Anweisung, vertrauliche Schreiben nicht unbeaufsichtigt am Drucker liegen
zu lassen, unsinnig, wenn zum Drucken nur ein weit entfernter Netzdrucker
zur Verfügung steht.

Regelungen auf Arbeitsabläufe abstimmen

Wenn bei Kontrollen Mängel festgestellt werden, kommt es nicht darauf an,
nur die Symptome zu beseitigen. Vielmehr ist es wichtig, die Ursachen für
diese Probleme festzustellen und Lösungen aufzuzeigen. Diese können beispielsweise in der Änderung bestehender Regelungen oder in der Hinzunahme
technischer Maßnahmen bestehen.

Ursachen der Sicherheitsdefizite beseitigen

Kontrollen sollen helfen, Fehlerquellen abzustellen. Es ist für die Akzeptanz
von Kontrollen extrem wichtig, dass dabei keine Personen bloßgestellt werden
oder als ”Schuldige” identifiziert werden. Wenn die Mitarbeiter dies
befürchten müssen, besteht die Gefahr, dass sie nicht offen über ihnen
bekannte Schwachstellen und Sicherheitslücken berichten, sondern versuchen,
bestehende Probleme zu vertuschen.

Schuldzuweisungen
vermeiden

Ergänzende Kontrollfragen:
- Werden alle Regelungen und IT-Sicherheitsmaßnahmen auf ihre
Umsetzbarkeit untersucht?
- Wie häufig werden die bestehenden Regelungen und IT-Sicherheitsmaßnahmen auf ihre Einhaltung kontrolliert?

_____________________________________________________________________ ..........................................
424

IT-Grundschutzhandbuch: Stand Januar 2000

M3
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M3

Maßnahmenkatalog Personal

M 3.1

Geregelte Einarbeitung/Einweisung neuer Mitarbeiter ..............1

M 3.2

Verpflichtung der Mitarbeiter auf Einhaltung
einschlägiger Gesetze, Vorschriften und Regelungen................2

M 3.3

Vertretungsregelungen ...............................................................3

M 3.4

Schulung vor Programmnutzung................................................4

M 3.5

Schulung zu IT-Sicherheitsmaßnahmen.....................................5

M 3.6

Geregelte Verfahrensweise beim Ausscheiden von
Mitarbeitern ...............................................................................8

M 3.7

Anlaufstelle bei persönlichen Problemen...................................9

M 3.8

Vermeidung von Störungen des Betriebsklimas ......................10

M 3.9

Ergonomischer Arbeitsplatz.....................................................11

M 3.10

Auswahl eines vertrauenswürdigen Administrators und
Vertreters .................................................................................12

M 3.11

Schulung des Wartungs- und Administrationspersonals ..........13

M 3.12

Information aller Mitarbeiter über mögliche TKWarnanzeigen, symbole und -töne..........................................14

M 3.13

Sensibilisierung der Mitarbeiter für mögliche TKGefährdungen...........................................................................15

M 3.14

Einweisung des Personals in den geregelten Ablauf
eines Datenträgeraustausches...................................................16

M 3.15

Informationen für alle Mitarbeiter über die Faxnutzung .........17

M 3.16

Einweisung in die Bedienung des Anrufbeantworters .............18

M 3.17

Einweisung des Personals in die Modem-Benutzung ..............19

M 3.18

Verpflichtung der Benutzer zum Abmelden nach
Aufgabenerfüllung ...................................................................20

M 3.19

Einweisung in den richtigen Einsatz der
Sicherheitsfunktionen im Peer-to-Peer-Netz............................21

M 3.20

Einweisung in die Bedienung von Schutzschränken................23

M 3.21

Sicherheitstechnische Einweisung und Fortbildung des
Telearbeiters.............................................................................24

M 3.22

Vertretungsregelung für Telearbeit ..........................................25

M 3.23

Einführung in kryptographische Grundbegriffe .......................26

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Januar 2000

M 3.1
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.1

Geregelte Einarbeitung/Einweisung neuer
Mitarbeiter

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
Leiter Personal
Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte
Neuen Mitarbeitern müssen interne Regelungen, Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden. Ohne eine entsprechende
Einweisung kennen sie ihre Ansprechpartner bzgl. IT-Sicherheit nicht, sie
wissen nicht, welche IT-Sicherheitsmaßnahmen durchzuführen sind und
welche IT-Sicherheitspolitik die Behörde bzw. das Unternehmen betreibt.
Daraus können Störungen und Schäden für den IT-Einsatz erwachsen. Daher
kommt der geregelten Einarbeitung neuer Mitarbeiter eine entsprechend hohe
Bedeutung zu.
Die Einarbeitung bzw. Einweisung sollte zumindest folgende Punkte
umfassen:
- Planung der notwendigen Schulungen; arbeitsplatzbezogene Schulungsmaßnahmen (s. auch M 3.4 Schulung vor Programmbenutzung und M 3.5
Schulung zu IT-Sicherheitsmaßnahmen ),
- Vorstellung aller Ansprechpartner, insbesondere zu IT-Sicherheitsfragen,
- Erläuterung der hausinternen Regelungen und Vorschriften zur IT-Sicherheit.
Hilfreich zur Durchführung der Einarbeitung ist ein Laufzettel oder eine
Checkliste, aus der die einzelnen Aktivitäten und der erreichte Stand der
Einarbeitung ersichtlich sind.
Ergänzende Kontrollfragen:
- Wie ist die Einarbeitung von neuem Personal im IT-Bereich geregelt?
- Wieviel Einarbeitungszeit wird jedem neuen Mitarbeiter zur Verfügung
gestellt?

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.2
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.2

Verpflichtung der Mitarbeiter auf Einhaltung
einschlägiger Gesetze, Vorschriften und
Regelungen

Verantwortlich für Initiierung: Leiter Personal, Datenschutzbeauftragter, ITSicherheitsmanagement
Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte
Bei der Einstellung von Mitarbeitern sollen diese verpflichtet werden, einschlägige Gesetze (z. B. § 5 BDSG "Datengeheimnis"), Vorschriften und
interne Regelungen einzuhalten. Damit sollen neue Mitarbeiter mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und
gleichzeitig zu deren Einhaltung motiviert werden. Dabei ist es sinnvoll, nicht
nur die Verpflichtung durchzuführen, sondern auch die erforderlichen Exemplare der Vorschriften und Regelungen auszuhändigen und gegenzeichnen zu
lassen bzw. für die Mitarbeiter an zentraler Stelle zur Einsichtnahme vorzuhalten.
Ergänzende Kontrollfragen:
- Auf welche Weise wird die Verpflichtung durchgeführt?
- Wird die Verpflichtung schriftlich fixiert?
- Erhält der neue Mitarbeiter die entsprechenden Unterlagen zur Einsicht
oder zum Verbleib?
- Ist den Mitarbeitern bekannt, welcher rechtliche Rahmen ihre Tätigkeit
bestimmt?

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.3
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.3

Vertretungsregelungen

Verantwortlich für Initiierung: Leiter Organisation, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte
Vertretungsregelungen haben den Sinn, für vorhersehbare (Urlaub, Dienstreise) und auch unvorhersehbare Fälle (Krankheit, Unfall, Kündigung) des
Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen.
Daher muß vor Eintritt eines solchen Falles geregelt sein, wer wen in welchen
Angelegenheiten mit welchen Kompetenzen vertritt. Dies ist besonders im
Bereich der Informationsverarbeitung von Bedeutung, da dafür meist
Spezialwissen erforderlich ist und eine zeitgerechte Einarbeitung unkundiger
Mitarbeiter für den Vertretungsfall nicht möglich ist.
Für die Vertretungsregelungen sind folgende Randbedingungen einzuhalten:
- Die Übernahme von Aufgaben im Vertretungsfall setzt voraus, daß der
Verfahrens- oder Projektstand hinreichend dokumentiert ist.
- Das Benennen eines Vertreters reicht in der Regel nicht aus, es muß überprüft werden, wie der Vertreter zu schulen ist, damit er die Aufgaben
inhaltlich übernehmen kann. Stellt sich heraus, daß es Personen gibt, die
aufgrund ihres Spezialwissens nicht kurzfristig ersetzbar sind, so bedeutet
deren Ausfall eine gravierende Gefährdung des Normalbetriebes. Hier ist
es von besonders großer Bedeutung, einen Vertreter zu schulen.
- Es muß festgelegt sein, welcher Aufgabenumfang im Vertretungsfall von
wem wahrgenommen werden soll.
- Der Vertreter darf die erforderlichen Zugangs- und Zutrittsberechtigungen
nur im Vertretungsfall erhalten.
- Ist es in Ausnahmefällen nicht möglich, für Personen einen kompetenten
Vertreter zu benennen oder zu schulen, sollte frühzeitig überlegt werden,
welche externen Kräfte für den Vertretungsfall eingesetzt werden können.
Ergänzende Kontrollfragen:
- Wie ist der Vertretungsfall in den einzelnen Organisationseinheiten geregelt?
- Stehen ausreichend kompetente Vertreter zu Verfügung?
- Gab es in der letzten Zeit die Notwendigkeit von unvorhergesehenen Vertretungen?
- Gibt es in einer Organisationseinheit einen "Single Point of Knowledge",
eine einzelne Person, die alleine über Spezialwissen verfügt, das für den
IT-Einsatz notwendig ist?

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.4
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.4

Schulung vor Programmnutzung

Verantwortlich für Initiierung: Leiter Personal, Vorgesetzte
Verantwortlich für Umsetzung: Vorgesetzte, Verantwortliche der einzelnen
IT-Anwendungen
Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden, wenn die Benutzer eingehend in die ITAnwendungen eingewiesen werden. Daher ist es unabdingbar, daß die Benutzer vor der Übernahme IT-gestützter Aufgaben ausreichend geschult
werden. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als
auch von speziell entwickelten IT-Anwendungen.
Darüber hinaus müssen auch bei umfangreichen Änderungen in einer
IT-Anwendung Schulungsmaßnahmen durchgeführt werden.
Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit, so kann
anstelle der Schulung auch die Aufforderung stehen, sich selbständig einzuarbeiten. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit.
Ergänzende Kontrollfragen:
- Werden Mitarbeiter, die eine IT-gestützte Aufgabe neu übernehmen sollen,
ausreichend geschult? Wird ein Schulungsplan für die Einführung einer
neuen IT-Anwendung erstellt?
- Welche IT-Anwendungen sind seit der letzten Überprüfung neu hinzugekommen? Wie wurden die Mitarbeiter eingearbeitet? Welche
Schulungsveranstaltungen haben Mitarbeiter seitdem besucht?

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.5
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.5

Schulung zu IT-Sicherheitsmaßnahmen

Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement
Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Um dies zu verhindern, ist jeder einzelne zum sorgfältigen Umgang
mit der IT zu motivieren. Zusätzlich sind Verhaltensregeln zu vermitteln, die
ein Verständnis für die IT-Sicherheitsmaßnahmen wecken. Insbesondere
sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen
vermittelt werden:
- Sensibilisierung für IT-Sicherheit
Jeder Mitarbeiter ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen.
Das Aufzeigen der Abhängigkeit der Behörde bzw. des Unternehmens und
damit der Arbeitsplätze von dem reibungslosen Funktionieren der
IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung. Darüber
hinaus ist der Wert von Informationen herauszuarbeiten, insbesondere
unter den Gesichtspunkten Vertraulichkeit, Integrität und Verfügbarkeit.
Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu
wiederholen, evtl. auch durch praktische Hinweise z. B. in der Hauspost.
- Die mitarbeiterbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden,
die in einem IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeitern umzusetzen sind. Dieser Teil der Schulungsmaßnahmen
hat eine große Bedeutung, da viele IT-Sicherheitsmaßnahmen erst nach
einer entsprechenden Schulung und Motivation effektiv umgesetzt werden
können.
- Die produktbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden,
die inhärent mit einem Softwareprodukt verbunden sind und bereits im
Lieferumfang enthalten sind. Dies können neben Passwörtern zur Anmeldung, der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten
der Verschlüsselung von Dokumenten oder Datenfeldern sein. Hinweise
und Empfehlungen über die Strukturierung und Organisation von Dateien,
die Bewegungsdaten enthalten, können die Vergabe von Zugriffsrechten
erleichtern und den Aufwand zu Datensicherung deutlich reduzieren.
- Das Verhalten bei Auftreten eines Computer-Virus auf einem PC
Hier soll den Mitarbeitern vermittelt werden, wie mit Computer-Viren
umzugehen ist. Mögliche Inhalte dieser Schulung sind (siehe M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus):
-

Erkennen des Computer-Virusbefalls
Wirkungsweise und Arten von Computer-Viren
Sofortmaßnahmen im Verdachtsfall
Maßnahmen zur Eliminierung des Computer-Virus
Vorbeugende Maßnahmen

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Januar 2000

M 3.5
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

- Der richtige Einsatz von Passwörtern
Hierbei sollen die Bedeutung des Passwortes für die IT-Sicherheit sowie
die Randbedingungen erläutert werden, die einen wirksamen Einsatz eines
Passwortes erst ermöglichen (vgl. auch M 2.11 Regelung des Passwortgebrauchs).
- Die Bedeutung der Datensicherung und deren Durchführung
Die
regelmäßige
Datensicherung
ist
eine
der
wichtigsten
IT-Sicherheitsmaßnahmen in jedem IT-System. Vermittelt werden soll das
Datensicherungskonzept (s. Kapitel 3.4 Datensicherungskonzept) der
Behörde bzw. des Unternehmens und die von jedem einzelnen durchzuführenden Datensicherungsaufgaben. Besonders bedeutend ist dies für den
PC-Bereich, in dem jeder Benutzer selbst die Datensicherung verantwortlich durchführen muss.
- Der Umgang mit personenbezogenen Daten
An den Umgang mit personenbezogene Daten sind besondere Anforderungen zu stellen. Mitarbeiter, die mit personenbezogenen Daten (sowohl in
IT-Systemen als auch in Akten) arbeiten müssen, sind für die gesetzlich
erforderlichen Sicherheitsmaßnahmen zu schulen. Dies betrifft den
Umgang mit Auskunftsersuchen, Änderungs- und Verbesserungswünschen
der Betroffenen, gesetzlich vorgeschriebene Löschfristen, Schutz der Vertraulichkeit und die Übermittlung der Daten.
- Die Einweisung in Notfallmaßnahmen
Sämtliche Mitarbeiter (auch nicht unmittelbar mit IT befaßte Personen wie
Pförtnerdienst oder Wachpersonal) sind in bestehende Notfallmaßnahmen
einzuweisen. Dazu gehört die Erläuterung der Fluchtwege, die Verhaltensweisen bei Feuer, der Umgang mit Feuerlöschern, das Notfall-Meldesystem (wer als erstes wie zu benachrichtigen ist) und der Umgang mit
dem Notfall-Handbuch.
- Vorbeugung gegen Social Engineering
Die Mitarbeiter sollen auf die Gefahren des Social Engineering hingewiesen werden. Die typischen Muster solcher Versuche, über gezieltes
Aushorchen an vertrauliche Informationen zu gelangen, ebenso wie die
Methoden, sich dagegen zu schützen, sollten bekannt gegeben werden. Da
Social Engineering oft mit der Vorspiegelung einer falschen Identität
einhergeht, sollten Mitarbeiter regelmäßig darauf hingewiesen werden, die
Identität von Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben.
Bei der Durchführung von Schulungen sollte immer beachtet werden, dass es
nicht reicht, einen Mitarbeiter einmal während seines gesamten Arbeitsverhältnisses zu schulen. Für nahezu alle Formen von Schulungen, insbesondere Front-Desk-Schulungen, gilt, dass sehr viele neue Informationen auf die
Teilnehmer einstürzen. Diese gelangen nur zu einem kleinen Teil ins Langzeitgedächtnis, 80% sind meist schon bei Schulungsende wieder vergessen.

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Januar 2000

M 3.5
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

Daher sollten Mitarbeiter immer wieder zu Themen der IT-Sicherheit geschult
bzw. sensibilisiert werden. Dies kann beispielsweise
- in kürzeren Veranstaltungen zu aktuellen IT-Sicherheitsthemen,
- im Rahmen regelmäßiger Veranstaltungen wie Abteilungsbesprechungen,
oder
- durch interaktive Schulungsprogramme, die allen Mitarbeitern zur
verfügung stehen,
erfolgen.
Ergänzende Kontrollfragen:
- Welche Themen bzgl. IT-Sicherheitsmaßnahmen wurden schon geschult?
- Werden neue Mitarbeiter entsprechend in die IT-Sicherheitsmaßnahmen
eingewiesen?
- Welche Schulungsmaßnahmen werden in welchen Intervallen angeboten?
- Decken die Inhalte der Schulungsmaßnahmen die erforderlichen Gebiete
ab?

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Januar 2000

M 3.6
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.6

Geregelte Verfahrensweise beim Ausscheiden
von Mitarbeitern

Verantwortlich für Initiierung: Leiter Personal, Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte
Scheidet ein Mitarbeiter aus, so ist zu beachten:
- Vor dem Ausscheiden ist eine Einweisung des Nachfolgers durchzuführen.
- Von dem Ausscheidenden sind sämtliche Unterlagen, ausgehändigte
Schlüssel, ausgeliehene IT-Geräte (z. B. tragbare Rechner, Speichermedien, Dokumentationen) zurückzufordern. Insbesondere sind die
Behörden- bzw. Firmenausweise einzuziehen.
- Es sind sämtliche für den Ausscheidenden eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Dies betrifft
auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. Wurde in Ausnahmefällen eine Zugangsberechtigung zu
einem IT-System zwischen mehreren Personen geteilt (z. B. mittels eines
gemeinsamen Passwortes), so ist nach Ausscheiden einer der Personen die
Zugangsberechtigung zu ändern.
- Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen
werden, dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben
und keine während der Arbeit erhaltenen Informationen weitergegeben
werden dürfen.
- Ist die ausscheidende Person ein Funktionsträger in einem Notfallplan, so
ist der Notfallplan zu aktualisieren.
- Sämtliche mit Sicherheitsaufgaben betrauten Personen, insbesondere der
Pförtnerdienst, sind über das Ausscheiden des Mitarbeiters zu unterrichten.
- Ausgeschiedenen Mitarbeitern ist der unkontrollierte Zutritt zum
Behörden- oder Firmengelände, insbesondere zu Räumen mit IT-Systemen
zu verwehren.
- Optional kann sogar für den Zeitraum zwischen Aussprechen der Kündigung und dem Ausscheiden der Entzug sämtlicher Zugangs- und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot, schützenswerte Räume zu betreten, ausgesprochen werden.
Als ein praktikables Hilfsmittel haben sich Laufzettel erwiesen, auf denen die
einzelnen Aktivitäten des Ausscheidenden vorgezeichnet sind, die er vor
Verlassen der Behörde bzw. des Unternehmens zu erledigen hat.
Ergänzende Kontrollfragen:
- Wird das Ausscheiden eines Mitarbeiters geordnet durchgeführt?
- Werden die zuständigen Stellen über das Ausscheiden eines Mitarbeiters
unterrichtet?
- Wie wird sichergestellt, dass sämtliche Zugangsberechtigungen und
Zugriffsrechte einer ausscheidenden Person entzogen und gelöscht
werden?

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Januar 2000

M 3.7
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.7

Anlaufstelle bei persönlichen Problemen

Verantwortlich für Initiierung: Leiter Personal, Personalrat/Betriebsrat
Verantwortlich für Umsetzung: Personalabteilung, Personalrat/Betriebsrat
Für eine unzureichende Aufgabenerfüllung können oftmals persönliche Probleme eines Arbeitnehmers ursächlich sein. Als Probleme lassen sich
beispielsweise hohe Schulden, Suchtkrankheiten aber auch Schwierigkeiten
am Arbeitsplatz (Über-/Unterforderung, Mobbing) aufzählen. Um dem
Betroffenen bei der Bewältigung dieser Probleme zu helfen, kann es in vielen
Fällen hilfreich sein, wenn eine Vertrauensperson zur Verfügung steht. Dieser
Ansprechpartner sollte dabei sowohl die Interessen des Betroffenen im Auge
haben und konkrete Hilfestellung anbieten als auch die Interessen des Unternehmens bzw. Behörde wahren und gemeinsam mit dem Betroffenen nach
Lösungsmöglichkeiten suchen.

Vertrauenspersonen
benennen

An diese Vertrauensperson müssen sich aber auch Vorgesetzte und Kollegen
wenden können, wenn wiederholt Auffälligkeiten Dritter wahrgenommen
wurden, die auf eine verminderte Zuverlässigkeit schließen lassen. Die
Vertrauensperson muss dann die Möglichkeit haben, sich an den Betroffenen
zu wenden und Hilfe anzubieten.
Eine solche Stelle können Personalrat, Betriebsrat, Betriebsärzte einnehmen.
Die Einrichtung einer solchen Anlaufstelle ist allen Mitarbeitern bekannt zu
geben. Externe Stellen sind zum Beispiel die Beratungsstellen der gesetzlichen
Krankenkassen.
Ergänzende Kontrollfragen:
- An wen können sich Mitarbeiter bei persönlichen Problemen wenden?

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.8
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.8

Vermeidung von Störungen des Betriebsklimas

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
Personal, Personalrat/Betriebsrat
Verantwortlich für Umsetzung: Vorgesetzte, Personalabteilung,
rat/Betriebsrat

Leiter
Personal-

Ein positives Betriebsklima motiviert die Mitarbeiter einerseits zur Einhaltung
von IT-Sicherheitsmaßnahmen und bewirkt andererseits die Reduzierung von
fahrlässigen oder vorsätzlichen Handlungen, die eine Störung des IT-Betriebs
herbeiführen können. Daher sollte auch unter IT-Sicherheitsaspekten versucht
werden, ein positives Betriebsklima zu erreichen. Die Vielzahl der
Möglichkeiten kann hier nicht angeführt werden, es sei lediglich eine Auswahl
möglicher Maßnahmen genannt, deren Angemessenheit im Einzelnen zu
prüfen wäre:
- Einrichtung eines Sozialraums,
- Vermeidung von Überstunden,
- Einhaltung von Pausenzeiten,
- geregelte Aufgabenverteilung,
- gleichmäßige Arbeitsauslastung,
- leistungsgerechte Bezahlung.
Kommunikationsprobleme in einer Organisation führen fast zwangsläufig
auch zu Sicherheitsproblemen. Dies kann im Extremfall zu bewussten Sicherheitsverletzungen
führen.
Aber
bereits,
wenn
die
Benutzer
Sicherheitsmaßnahmen nur als "lästig" empfinden, weil sie nicht über deren
Zweck informiert worden sind, kann das dazu führen, das diese umgangen
werden.

Kommunikationsprobleme beseitigen

Auch das Überbringen schlechter Nachrichten muss möglich sein, ohne dass
der Bote deswegen Sanktionen befürchten muss. Es sollte ein Betriebsklima
vorhanden sein, in dem es für jeden Betroffenen möglich ist,
Sicherheitsvorfälle innerhalb des eigenen Unternehmens bzw. der eigenen
Behörde zu melden, und in dem diese auch offen angegangen werden können.
Mitarbeiter können nicht nur über finanzielle Anreize motiviert werden,
wichtig ist vor allem die Anerkennung ihrer Arbeit. Mitarbeiter sollten, wo
immer möglich, in Entscheidungen mit einbezogen werden. Zumindest sollten
sie über die Gründe für die getroffenen Entscheidungen informiert werden,
damit sie auch an deren Umsetzung aktiv mitwirken.

Motivation der
Mitarbeiter

Häufig äußert sich z. B. Protest gegen die Auswahl bestimmter Hard- oder
Software darin, dass die Benutzer zu zeigen versuchen, dass die ihnen
aufgezwungene Hard- oder Software nicht so sicher ist wie die von ihnen
präferierte.
Ergänzende Kontrollfragen:
- Wie wird das Betriebsklima von den Mitarbeitern beurteilt?
- Wie beurteilen die Vorgesetzten das Betriebsklima?
- Welche Punkte, die das Betriebsklima negativ beeinflussen, werden am
häufigsten genannt?
_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Januar 2000

M 3.9
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.9

Ergonomischer Arbeitsplatz

Verantwortlich für Initiierung: Leiter Haustechnik, Personalrat/Betriebsrat
Verantwortlich für Umsetzung: Vorgesetzte,
arbeiter

Personalrat/Betriebsrat,

Mit-

Beim sinnvollen und effektiven Einsatz der IT ist es neben der klaren
Beschreibung von Aufgaben, Pflichten, Rechten und Verantwortlichkeiten
erforderlich, dafür zu sorgen, daß die Nutzung der IT in optimaler Weise
erfolgen kann.
Der Arbeitsplatz ist ergonomisch zu gestalten. Stuhl, Tisch, Bildschirm und
Tastatur müssen individuell einstellbar sein, um eine möglichst fehlerfreie
Bedienung der IT zu ermöglichen und zu fördern. Das beinhaltet u. a., daß
Rückenlehne, Sitzhöhe und Sitzfläche des Stuhls verstellbar sein müssen, aber
auch, daß die Arbeitsmittel so angeordnet werden können, daß für die
jeweilige Arbeitsaufgabe eine möglichst geringe Belastung entsteht.
Ein entsprechend ausgestatteter Arbeitsplatz erleichtert es auch, IT-Sicherheitsmaßnahmen einzuhalten. Gibt es verschließbare Schreibtische oder
Schränke, so können Datenträger, Dokumentationen, Unterlagen und Zubehör
darin verschlossen werden.

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.10
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.10

Auswahl eines vertrauenswürdigen Administrators und Vertreters

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal, Leiter IT, TK-Anlagen-Verantwortlicher, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Den IT-System- oder TK-Anlagen-Administratoren und deren Vertretern muß
vom Betreiber großes Vertrauen entgegengebracht werden können. Sie haben
- in Abhängigkeit vom eingesetzten System - weitgehende und oftmals alle
Befugnisse. Administratoren und ihre Vertreter sind in der Lage, auf alle
gespeicherten Daten zuzugreifen, ggf. zu verändern und Berechtigungen so zu
vergeben, daß erheblicher Mißbrauch möglich wäre.
Das hierfür eingesetzte Personal muß sorgfältig ausgewählt werden. Es soll
regelmäßig darüber belehrt werden, daß die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen.
Da der Administrator hinsichtlich der Funktionsfährigkeit der eingesetzten
Hard- und Software eine Schlüsselrolle inne hat, muß auch bei seinem Ausfall
die Weiterführung seiner Tätigkeiten gewährleistet sein. Hierzu müssen die
benannten Vertreter über den aktuellen Stand der Systemkonfiguration verfügen sowie Zugriff auf die für die Administration benötigten Paßwörter,
Schlüssel und Sicherheitstoken haben.
Hat ein Unternehmen oder eine Behörde mehrere Administratoren mit vergleichbaren IT-Systemkenntnissen, so können sich diese auch wechselseitig
vertreten, wenn diese dafür noch freie Kapazitäten haben. In allen Bereichen,
in denen nur ein Administrator hauptverantwortlich IT-Systeme betreut,
sollten zwei Stellvertreter eingearbeitet werden, da bei längerer Abwesenheit
des Administrators erfahrungsgemäß auch der Stellvertreter zeitweise nicht für
Administrationsaufgaben zur Verfügung steht.
Um die Funktionsfähigkeit des DV-Betriebs zu gewährleisten, muß insbesondere bei bevorstehenden Personalveränderung oder Veränderungen der
Organisationionsstruktur geprüft werden, ob die erforderlichen Administrationstätigkeiten auch durch die benannten Administratoren und deren Vertretern bewältigt werden kann.
Insbesondere bei bevorstehenden Umzügen kann es durch Administrationstaufgaben an einem weiteren Standort zu einem erheblichen höheren
Arbeitsaufkommen des Administrators kommen. Auch in solchen Fällen muß
sichergestellt sein, daß der Produktionsbetrieb am bisherigen Standort bis zum
Zeitpunkt des Umzugs nicht beeinträchtigt wird.
Ergänzende Kontrollfragen:
- Wie wurde die Zuverlässigkeit des Administrators bzw. seines Stellvertreters festgestellt?

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.11
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.11

Schulung des Wartungs- und Administrationspersonals

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal, Leiter IT, TK-Anlagen-Verantwortlicher, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte
Wartungs- und Administrationspersonal benötigt detaillierte Kenntnisse über
die eingesetzten IT-Komponenten. Daher sollte es mindestens soweit geschult
werden, daß
-

alltägliche Administrationsarbeiten selbst durchgeführt,

-

einfache Fehler selbst erkannt und behoben,

-

Datensicherungen selbsttätig durchgeführt,

-

die Eingriffe von externem Wartungspersonal nachvollzogen und

-

Manipulationsversuche oder unbefugte Zugriffe auf die Systeme
erkannt

werden können.
Entsprechende Schulungen werden in der Regel von den Herstellern der ITSysteme bzw. TK-Anlagen angeboten. Administratoren von TK-Anlagen sollten außerdem in der Lage sein,
- das Betriebsverhalten der TK-Anlage mit Hilfe der Kontrollanzeigen an
den Geräten zu beurteilen,
- die TK-Anlage selbständig außer- und in Betrieb nehmen zu können.

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.12
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.12

Information aller Mitarbeiter über mögliche TKWarnanzeigen, -symbole und -töne

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement, Personalrat/Betriebsrat
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Die Bedeutung der Warnanzeigen, -töne und -symbole der TK-Anlage sollte
allen Mitarbeitern bekannt sein. Hierzu zählen insbesondere:
- Aufmerksamkeitston für direktes Ansprechen,
-

Aufschalte-Warnton,

-

Freisprechanzeige,

-

Anzeige für aktiviertes direktes Ansprechen,

-

Anzeige für automatischen Rückruf und

-

Anzeige/Einblendung bei Dreierkonferenz.

Da die Nutzung bestimmter, eigentlich nicht freigegebener Leistungsmerkmale (Beispiel: Zeugenschaltung) zu Beeinträchtigungen der IT-Sicherheit
führen kann, sollten besonders deren Warnanzeigen und -töne bekannt sein.
Ergänzende Kontrollfragen:
- Erkennen die Mitarbeiter, wenn sich jemand auf ein Gespräch aufschaltet?
- Wissen die Mitarbeiter, was an einem Telefon bei direkter Ansprache
sicht- und hörbar ist?
- Ist am Telefon erkennbar, daß das Freisprechen aktiviert ist?

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.13
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.13

Sensibilisierung der Mitarbeiter für mögliche TKGefährdungen

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher, IT-Sicher
heitsmanagement, Personalrat/Betriebsrat
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Die Mitarbeiter müssen über die mit dem Benutzen einer digitalen TK-Anlage
verbundenen Gefährdungen informiert werden. Dies könnte z. B. durch eine
kurze Unterweisung oder mit Hilfe von Merkblättern geschehen. Es ist darauf
hinzuweisen, daß ein abnormes Verhalten der TK-Anlage gemeldet werden
soll. Bei Manipulationen an der TK-Anlage sollte eine unabhängige Kontrollinstanz wie IT-Sicherheitsmanagement oder Datenschutzbeauftragte informiert werden.
Ergänzende Kontrollfragen:
- Wird die Sensibilisierung in regelmäßigen Abständen wiederholt?
- Werden neue Mitarbeiter auf mögliche Gefährdungen im TK-Betrieb hingewiesen?

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.14
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.14

Einweisung des Personals in den geregelten
Ablauf eines Datenträgeraustausches

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Mangelnde Information und Einweisung der Mitarbeiter führt in vielen Fällen
dazu, daß Restriktionen der Informationsweitergabe nicht oder nur unzulänglich eingehalten werden. Die Festlegungen, welchen Kommunikationspartnern
wann welche Daten übermittelt werden dürfen (M 2.42 Festlegung der
möglichen Kommunikationspartner), ist den an einem Datenträgeraustausch
Beteiligten daher zwingend bekanntzugeben. Außerdem sind die prinzipiellen
Schritte für den Ablauf eines Datenträgeraustausches zu fixieren (eventuell als
Dienstanweisung) und die Mitarbeiter zur Einhaltung zu verpflichten.
Zusätzlich ist eine Sensibilisierung der am Datenträgeraustausch beteiligten
Mitarbeiter hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen vor, während und nach dem Transport der Datenträger notwendig.
Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des
Austausches eingesetzt (wie etwa Verschlüsselung oder Checksummenverfahren), so sind diese Mitarbeiter in die Handhabung dieser Verfahren ausreichend einzuarbeiten.
Ergänzende Kontrollfragen:
- Sind allen für die Kommunikation zugelassenen Mitarbeitern die diesbezüglichen Regelungen bekannt?
- Sind die Mitarbeiter mit den eventuell einzusetzenden Verschlüsselungsoder Checksummen-Verfahren vertraut?
- Sind die für den Datenträgeraustausch Verantwortlichen hinsichtlich möglicher Gefährdungen ausreichend sensibilisiert?

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.15
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.15

Informationen für alle Mitarbeiter über die
Faxnutzung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Alle Mitarbeiter sind auf die Besonderheiten der Informationsübermittlung per
Fax hinzuweisen sowie darüber zu informieren, dass die Rechtsverbindlichkeit
einer Faxsendung stark eingeschränkt ist. Bei Verwendung herkömmlicher
Faxgeräte sollte eine verständliche Bedienungsanleitung am Faxgerät zur
Verfügung stehen. Beim Einsatz eines Faxservers sollten die Benutzer
mindestens eine Kurzreferenz zur eingesetzten Faxclient-Software erhalten.
Insbesondere ist, ggf. in Form einer Dienstanweisung, festzulegen,
- wer der Fax-Verantwortliche ist und damit für die manuelle Verteilung
eingehender Faxsendungen und als Ansprechpartner in Fax-Problemfällen
zuständig ist,
- wer das Faxgerät bzw. den Faxserver benutzen darf,
- dass das Versenden von vertraulichen Informationen per Fax vermieden
werden sollte,
- dass ein einheitliches Faxvorblatt benutzt werden soll,
- dass sich vor Austausch schutzbedürftiger Informationen über FaxVersand
Empfänger und Absender hierüber telefonisch verständigen,
- dass ggf. Einzelsendenachweise bzw. Übertragungsprotokolle für die
korrekte Übertragung zu kontrollieren und diese den Unterlagen beizufügen und ggf. zu archivieren sind,
- dass beim Einsatz eines Faxservers mit automatischer Eingangs-FaxVerteilung für die Akten ein Ausdruck von Eingangs-Faxsendungen zu
fertigen ist bzw. diese elektronisch zu archivieren sind,
- dass bei Ausgangsfaxen, die über einen Faxserver versendet werden, für
die Akten ein Ausdruck zu erstellen ist bzw. diese elektronisch zu
archivieren sind,
- dass die Adressbücher und Verteillisten regelmäßig kontrolliert werden,
damit die Faxe nicht versehentlich an falsche Empfänger gesendet werden.
Ergänzende Kontrollfragen:
- Sind alle Mitarbeiter über die korrekte Faxnutzung informiert und werden
neue Mitarbeiter entsprechend eingewiesen?
- Wissen alle Mitarbeiter, an wen sie sich bei Faxproblemen wenden
können?

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Januar 2000

M 3.16
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.16

Einweisung in die Bedienung des
Anrufbeantworters

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Jeder, der einen Anrufbeantworter in seinem Bereich einsetzt, sollte sich mit
der Bedienung vertraut machen und so Möglichkeiten und Grenzen des
Gerätes kennen lernen. Somit werden Fehlbedienungen weitgehend ausgeschlossen. Darüber hinaus sollten die notwendigen, im Kapitel 8.3 Anrufbeantworter genannten IT-Sicherheitsmaßnahmen transparent gemacht
werden.
Ergänzende Kontrollfragen:
- Hat jeder Benutzer eines Anrufbeantworters eine Einweisung erhalten?
- Werden Bedienungsanleitungen und Sicherheitshinweise vorgehalten?

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.17
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.17

Einweisung des Personals in die ModemBenutzung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Die Mitarbeiter sind über mögliche Gefährdungen, einzuhaltende Sicherheitsmaßnahmen und Regelungen beim Betrieb eines Modems zu unterrichten.
Hierbei sind insbesondere die Auswirkungen verschiedener Konfigurationen
auf die Betriebssicherheit des Modems zu vermitteln.
Jeder Modem-Benutzer sollte sich mit der Bedienung vertraut machen und so
Möglichkeiten und Grenzen des Gerätes kennen lernen.
Ergänzende Kontrollfragen:
- Werden Bedienungsanleitungen und Sicherheitshinweise vorgehalten?

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.18
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.18

Verpflichtung der Benutzer zum Abmelden nach
Aufgabenerfüllung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement
Wird ein IT-System von mehreren Benutzern genutzt und besitzen die einzelnen Benutzer unterschiedliche Zugriffsrechte auf im IT-System gespeicherte
Daten oder Programme, so kann der erforderliche Schutz mittels einer
Zugriffskontrolle nur dann erreicht werden, wenn jeder Benutzer sich nach
Aufgabenerfüllung am IT-System abmeldet. Ist es einem Dritten möglich, an
einem IT-System unter der Identität eines anderen weiterzuarbeiten, so ist
jegliche sinnvolle Zugriffskontrolle unmöglich. Daher sind alle Benutzer zu
verpflichten, sich nach Aufgabenerfüllung abzumelden. Aus technischen
Gründen (z. B. damit alle offenen Dateien geschlossen werden) sollten auch
dann Regelungen für die Abmeldung von IT-Systemen getroffen werden,
wenn keine Zugriffskontrolle realisiert ist.
Ist absehbar, dass nur eine kurze Unterbrechung der Arbeit erforderlich ist,
kann an Stelle des Abmeldens auch die manuelle Aktivierung der Bildschirmsperre erfolgen (siehe auch M 4.2 Bildschirmsperre). Bei längerer Abwesenheit sollte die Bildschirmsperre automatisch aktiviert werden.

Bildschirmsperre

Einige IT-Systeme bieten die Möglichkeit, einen Zeitraum vorzugeben, nach
dessen Ablauf ein Benutzer bei Inaktivität automatisch vom System abgemeldet wird. Es sollte überlegt werden, ob dieses Verfahren benutzt wird, da es
auch zu Datenverlusten führen kann. Eine automatische Abmeldung kann
z. B. bei PC-Pools mit starkem Publikumsverkehr zum Einsatz kommen, da
hier ein angemeldeter Benutzer den Arbeitsplatz mit Hilfe der Bildschirmsperre unberechtigterweise blockieren kann.

automatisches Abmelden

Je nach Arbeitsplatzumgebung ist abzuwägen, welche Vorkehrungen für
kurzfristige Abwesenheiten von Benutzern zu treffen sind. So sollte eine
automatische Aktivierung der Bildschirmsperre bei Mehr-Benutzer-Systemen
schneller erfolgen als bei solchen für einen Benutzer, also z. B. bereits nach
5 Minuten.
Ergänzende Kontrollfragen:
- Werden neue Mitarbeiter oder Vertreter gleichfalls verpflichtet?
- Wird an die Verpflichtung zum Abmelden regelmäßig erinnert?

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Januar 2000

M 3.19
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.19

Einweisung in den richtigen Einsatz der
Sicherheitsfunktionen im Peer-to-Peer-Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Gerade im Peer-to-Peer-Netz unter WfW und Windows 95, in dem die
Benutzer selbst Sicherheitsaufgaben wahrnehmen müssen, kommt der Einweisung in den richtigen Einsatz der Sicherheitsfunktionen besondere Bedeutung zu. Daher ist jeder Benutzer vorab zumindest zu folgenden Punkten zu
schulen:
Datenaustausch über freigegebene Verzeichnisse
- Der Benutzer ist in die korrekte Benutzung der Freigabe von Ressourcen
sowie in das korrekte Aufheben der Verzeichnisfreigabe einzuweisen.
Insbesondere ist die Möglichkeit zu erläutern, freigegebene Verzeichnisse
oder Drucker durch Anhängen des Zeichens "$" an den Freigabenamen zu
verbergen, so daß für andere Benutzer nicht ersichtlich ist, daß diese
Ressource freigegeben ist. Es ist darauf hinzuweisen, daß der Anreiz für
Attacken vermindert werden kann, wenn man Freigabenamen benutzt, die
keine Rückschlüsse auf den Inhalt zulassen und daß Ressourcen nur
solange freigegeben werden sollten, wie dies erforderlich ist.
- Die Bedeutung der Optionen bei Freigabe oder Verbinden von Verzeichnissen bzw. Druckern ist darzustellen und auf die Beachtung der jeweiligen
Voreinstellungen ist hinzuweisen:

"Beim Start wieder freigeben"

automatische Freigabe beim Starten von
WfW ohne Einwirkung des Benutzers

"Beim Starten wieder verbinden"

Automatisches Verbinden beim Neustart

"Kennwort in der Kennwortliste Speicherung
des
Paßwortes
speichern"
(sicherheitskritisch), so daß es beim
nächsten Verbinden nicht mehr eingegeben werden muß
Die Benutzer von Windows 95 und Windows NT sind darauf hinzuweisen,
daß jede erfolgte Freigabe wieder explizit zurückgenommen werden muß,
da sie sonst auch nach einem Neustart bestehen bleibt.
- Die Bezeichnungen der möglichen Zugriffsrechte unter WfW und
Windows 95 sind nicht sprechend und müssen daher erläutert werden:

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.19
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

"Schreibgeschützter Zugriff"

Leserecht für Dateien und Ausführungsrecht für Programme

"Lese-/Schreibzugriff"

Lese-/Schreibrecht für Dateien, Ausführungsrecht für Programme, Recht
zum Anlegen und Löschen von Dateien

"Zugriff abhängig vom Kennwort"

Lese- und Schreibrecht können getrennt
vergeben werden

Unter Windows 95 können Benutzer zwischen den Zugriffsrechten
“Schreibgeschützt”, “Alle Zugriffsrechte” und “Benutzerdefiniert” wählen,
wenn der Zugriffsschutz auf Benutzerebene realisiert ist. Dann müssen die
Benutzer darauf hingewiesen werden, daß Verzeichnisse nie mit “Alle
Zugriffsrechte” freigegeben werden sollten, sondern bestenfalls
benutzerdefiniert mit Lese- und Schreibrecht für andere Benutzer.
Sicherheitssensibilisierung
- Der Benutzer ist in die von ihm durchzuführenden sicherheitsrelevanten
Kontrollen einzuweisen. Dazu muß er insbesondere unterrichtet werden,
wie der Netzwerkmonitor und die zugehörige Protokollfunktion einzusetzen sind.
- Der Umgang mit Paßwörtern und deren Wechsel ist gemäß der Sicherheitsstrategie darzulegen.
- Der Benutzer muß darüber informiert werden, daß unter WfW und
Windows 95
-

in der Datei [anmeldename].pwl Paßwörter für den Zugriff auf
Ressourcen anderer Rechner gespeichert werden,

-

unter WfW in der Datei connect.dat die Ressourcen anderer WfWRechner eingetragen sind, die beim Starten von WfW automatisch
wieder verbunden werden,

-

in der Datei shares.pwl die eigenen Ressourcen eingetragen sind, die
beim Starten automatisch wieder freigegeben werden.

Diese Dateien können vom Benutzer gelöscht werden, ohne die Systemintegrität zu verletzen. Dies ist insbesondere bei der Datei
[anmeldename].pwl sinnvoll, wenn versehentlich Paßwörter gespeichert
wurden.
- Sind Namenskonventionen für die im Netz verfügbaren Rechner und
Benutzer erstellt worden, sind diese und eventuell bereits vergebene
Namen den Benutzern bekannt zu geben.
Ergänzende Kontrollfragen:
- Haben alle Teilnehmer am WfW-Netz eine ausreichende Schulung erhalten?
- Werden einzelne Aspekte der Schulungsinhalte zur Sensibilisierung sporadisch wiederholt?

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.20
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.20

Einweisung in die Bedienung von
Schutzschränken

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Hersteller
Nach der Beschaffung eines Schutzschrankes sind die Benutzer in die korrekte
Bedienung einzuweisen. Dies sollte auch bei der Neuübertragung einer
Aufgabe erfolgen, die die Nutzung des Schutzschrankes umfaßt. Dabei sind
zumindest folgende Punkte zu vermitteln:
- Der korrekte Umgang mit dem Schloß des Schutzschrankes ist vorzuführen. Auf typische Fehler ist hinzuweisen, zum Beispiel das Nichtverwerfen von Codeschlössern. Die Regelungen zur Schlüsselverwaltung,
Schlüsselhinterlegung und Vertretungsregelung sind aufzuzeigen. Insbesondere ist einzufordern, daß der Schutzschrank bei Nichtbenutzung, auch
kurzfristiger Art, verschlossen wird.
- Die Tastatur eines Servers ist unbedingt im Serverschrank aufzubewahren,
damit nicht unberechtigte Konsol-Eingaben erfolgen können.
- Im Falle eines Serverschrankes ist darauf hinzuweisen, daß unnötige
brennbare Materialien (Ausdrucke, überzählige Handbücher, Druckerpapier) nicht im Serverschrank aufbewahrt werden sollen.
- Datensicherungsträger des Servers sollten in einem anderen Brandabschnitt
gelagert werden. Eine Aufbewahrung im Serverschrank ist daher
ungeeignet und nur dann zulässig, wenn ein Doppel der Datensicherungsbestände in einem anderen Brandabschnitt ausgelagert ist.
- Wird ein klimatisierter Serverschrank eingesetzt, sollten die Öffnungszeiten des Serverschrankes minimiert werden. Gegebenenfalls ist sporadisch zu kontrollieren, ob im Serverschrank Wasser kondensiert ist.
Ergänzende Kontrollfragen:
- Werden Personen, die einen Schutzschrank betreuen, in dessen Bedienung
eingewiesen?

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.21
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.21

Sicherheitstechnische Einweisung und
Fortbildung des Telearbeiters

Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement
Der Telearbeiter arbeitet teilweise oder ganz zu Hause. Das bedeutet, daß für
die Telearbeit zum Teil andere IT-Sicherheitsmaßnahmen ergriffen werden
müssen als für die Arbeit innerhalb der Institution. Deshalb ist es notwendig,
daß ein Sicherheitskonzept für die Telearbeitsplätze erstellt wird. Nach
Bekanntgabe des Konzeptes muß der Telearbeiter in die zu realisierenden
Sicherheitsmaßnahmen eingewiesen und eventuell in ihrem Umgang geschult
werden. Darüber hinaus ist der Telearbeiter soweit im Umgang mit dem Telearbeitsrechner zu schulen, daß er einfache Fehlerkorrekturen (z. B. Druckerpatrone wechseln) wahrnehmen kann bzw. einfache Probleme selbständig
lösen kann.
Ergänzende Kontrollfragen:
- Liegen für die Telearbeit spezielle IT-Sicherheitskonzepte vor?
- Ist der Telearbeiter für die Realisierung der IT-Sicherheitsmaßnahmen
geschult worden?

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.22
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.22

Vertretungsregelung für Telearbeit

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Vorgesetzte
Verantwortlich für Umsetzung: Telearbeiter
Über die Maßnahme M 3.3 Vertretungsregelung hinaus sind im Falle der
Vertretung eines Telearbeiters weitere Schritte notwendig. Da der Telearbeiter
hauptsächlich außerhalb der Institution tätig ist, muß ein Informationsfluß zu
seinem Vertreter vorgesehen werden. Auch eine Dokumentation der
Arbeitsergebnisse seitens des Telearbeiters ist unabdingbar. Ggf. sind
sporadische oder regelmäßige Treffen zwischen dem Telearbeiter und seinem
Vertreter sinnvoll.
Ergänzend dazu muß geregelt werden, wie der Vertreter im unerwarteten
Vertretungsfall Zugriff auf die Daten im Telearbeitsrechner oder am Telearbeitsplatz vorhandene Unterlagen nehmen kann.
Ergänzende Kontrollfragen:
- Sind Vertreter für Telearbeiter benannt worden?
- Ist ein Vertretungsfall probeweise durchgespielt worden?

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

M 3.23

Einführung in kryptographische Grundbegriffe

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter IT
Der Einsatz von Kryptoprodukten kann für die Benutzer zusätzlichen Aufwand bedeuten oder - je nach Komplexität der eingesetzten Produkte - sogar
vertiefte Kenntnisse erfordern. Daher sollten alle Mitarbeiter, die kryptographische Verfahren und Produkte einsetzen sollen, für den Nutzen und die
Notwendigkeit der kryptographischen Verfahren sensibilisiert werden und
eine Einführung in kryptographische Grundbegriffe erhalten. Dies gilt natürlich insbesondere für diejenigen, die ein Kryptokonzept erstellen, Kryptoprodukte auswählen, installieren oder betreuen sollen.
Der folgende Text soll ein elementares Verständnis der grundlegenden
kryptographischen Mechanismen vermitteln. Nachfolgend wird an Beispielen
erläutert, in welcher Situation welche kryptographische Technik eingesetzt
werden kann.
Elemente der Kryptographie
Mathematische Methoden und Techniken, die zum Schutz von Information
gegen unbefugte Kenntnisnahme und/oder absichtliche Manipulation dienen
können, nennt man kryptographisch. Der Schutz der Information durch
kryptographische Methoden ist - im Unterschied zu infrastrukturellen und
technischen Sicherungsmaßnahmen - mathematisch-logischer Natur.
Bei kryptographischen Verfahren wird ein mathematischer Rechenvorgang
- ein Algorithmus - in konkrete Technik umgesetzt. Ihre Wirksamkeit beruht
darauf, daß ein potentieller Angreifer ein gewisses mathematisches Problem
nicht zu lösen vermag - und zwar nicht wegen mangelnder Fähigkeiten,
sondern wegen fehlenden Wissens um ganz bestimmte "Schlüssel"-Informationen.
Kryptographische Methoden beziehen sich stets auf folgende Situation: Ein
Sender A (dieser wird, wie in der Kryptographie üblich, "Alice" genannt)
schickt über einen unsicheren Kanal eine Nachricht an einen Empfänger B (er
wird "Bob" genannt).
Sender und Empfänger dürfen dabei auch identisch sein, unter einem Kanal ist
ein beliebiges Transportmedium zu verstehen. Bei der Verschlüsselung lokaler
Daten sind Sender und Empfänger natürlich identisch, unter "Kanal" ist hier
das Speichermedium zu verstehen.
Kryptographische Grundziele
Auf Grund theoretischer und praktischer Erwägungen unterscheidet man vier
kryptographische Grundziele:
1. Vertraulichkeit/Geheimhaltung: Keine unbefugte dritte Partei E (sie sei
"Eve" genannt) soll an den Inhalt der Nachricht bzw. Datei gelangen.
2. Integrität: Unbefugte Manipulationen an der Nachricht bzw. Datei (z. B.
Einfügen, Weglassen, Ersetzung von Teilen) sollen entdeckt werden
können.

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

3. Authentizität:
-

Identitätsnachweis (Authentisierung von Kommunikationspartnern):
Eine Kommunikationspartei (z. B. Person, Organisation, IT-System)
soll einer anderen ihre Identität zweifelsfrei beweisen können.

-

Herkunftsnachweis (Nachrichtenauthentisierung): A soll B beweisen
können, daß eine Nachricht von ihr stammt und nicht verändert
wurde.

4. Nichtabstreitbarkeit (Verbindlichkeit, non repudiation): Hier liegt der
Schwerpunkt verglichen mit der Nachrichtenauthentisierung auf der
Nachweisbarkeit gegenüber Dritten.
-

Nichtabstreitbarkeit der Herkunft: Es soll A unmöglich sein, das
Absenden einer bestimmten Nachricht an B nachträglich zu
bestreiten.

-

Nichtabstreitbarkeit des Erhalts: Es soll B unmöglich sein, den
Erhalt einer von A gesendeten Nachricht nachträglich zu bestreiten.

Es ist klar, daß zwischen diesen Zielen Beziehungen bestehen, aber eine
wesentliche Einsicht der modernen Kryptographie ist folgende: Die Gewährleistung von Vertraulichkeit bzw. von Authentizität sind unabhängige
Grundziele eines kryptographischen Systems: Authentisierung beschränkt den
Kreis der möglichen Sender einer Nachricht, Geheimhaltung den der möglichen Empfänger.
Die grundlegende kryptographische Methode zur Wahrung von Vertraulichkeit ist Verschlüsselung, die grundlegenden Methoden zur Gewährleistung
von Integrität, Authentizität und Nichtabstreitbarkeit sind Hashfunktionen,
Message Authentication Codes (MACs), digitale Signaturen und kryptographische Protokolle. Die einzelnen kryptographischen Konzepte werden
im folgenden kurz vorgestellt.
I.

Verschlüsselung

Verschlüsselung (Chiffrieren) transformiert einen Klartext in Abhängigkeit
von einer Zusatzinformation, die "Schlüssel" genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für diejenigen, die den Schlüssel nicht
kennen, nicht entzifferbar sein soll. Die Umkehrtransformation - die Zurückgewinnung des Klartextes aus dem Geheimtext - wird Entschlüsselung
genannt. In allen modernen Verschlüsselungsalgorithmen sind Klartexte,
Geheimtexte und Schlüssel jeweils als Folgen von Bits gegeben.
Um praktisch einsetzbar zu sein, müssen Verschlüsselungsalgorithmen
folgende Mindestanforderungen erfüllen:
- Sie sollten entzifferungsresistent sein, d. h. ohne Kenntnis des Schlüssels
darf das Chiffrat nicht entschlüsselt werden können, insbesondere muß
hierfür die Menge der möglichen Schlüssel "ausreichend groß" sein, da
sonst ein einfaches Ausprobieren aller Schlüssel möglich wäre,
- sie müssen einfach einzusetzen sein, und
- Ver-/Entschlüsselung müssen "schnell genug" sein.

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

Die Forderung nach Entzifferungsresistenz ist immer relativ zu den aktuellen
technischen und mathematischen Möglichkeiten zu betrachten. Wichtig bei
der Bewertung von Verschlüsselungsalgorithmen ist, daß es zum Nutzungszeitpunkt praktisch nicht möglich sein darf, das Chiffrat ohne Kenntnis des
Schlüssels zu entschlüsseln, d. h. nicht mit der dann verfügbaren Technik
innerhalb eines akzeptablen Zeitrahmens.
Wenn A und B eine vertrauliche Verbindung einrichten wollen, gehen sie wie
folgt vor:
1. sie vereinbaren ein Chiffrierverfahren,
2. sie vereinbaren einen Schlüssel bzw. ein Schlüsselpaar,
3. A verschlüsselt eine Nachricht und sendet diese an B,
4. B entschlüsselt das von A gesendete Chiffrat.
Es gibt zwei große Klassen von Chiffrierverfahren:
Symmetrische Verschlüsselungsverfahren benutzen denselben Schlüssel
sowohl für die Ver- als auch für die Entschlüsselung. Symmetrische Verfahren
werden deshalb gelegentlich auch als "ein-Schlüssel"-Verfahren bezeichnet,
da die Kenntnis eines Schlüssels ausreicht, um chiffrieren und dechiffrieren zu
können.
Bekannte symmetrische Verschlüsselungsverfahren sind z. B. DES, TripelDES, IDEA oder RC5.
Bei symmetrischen Verfahren unterscheidet man weiter zwischen Stromchiffren und Blockchiffren.
Bei Stromchiffren wird unter Verwendung des Schlüssels eine möglichst
zufällig aussehende Bitfolge (ein Bitstrom) generiert, die auf die Klarbitfolge
(modulo 2) aufaddiert wird. Die Klarbitfolge wird also Bit für Bit (durch
Addition von Schlüsselstrombits) verschlüsselt. Für die Sicherheit von
Stromchiffren ist wesentlich, daß niemals zwei (verschiedene) Nachrichten
mit demselben Schlüsselstrom verschlüsselt werden – dafür muß mit speziellen Maßnahmen (Synchronisierinformation in Form eines Spruchschlüssels)
gesorgt werden. Beispiele für Stromchiffren sind RC4 und SEAL.
Stromchiffre:

Blockchiffre:

Bitstromgenerator

0
1
0

Schlüsselstrombit

Klarbit

XOR

Geheimbit

Schlüssel
Verschlüsselungsfunktion

1
1
1

1
1
0

1
0
0

Klartextblock

Geheimtextblock

Bei Blockchiffren dagegen wird in einem Verschlüsselungstakt jeweils ein
ganzer Block von Bits verschlüsselt, heutzutage sind dies in der Regel 64 Bits.
Die meisten symmetrischen Verschlüsselungsverfahren sind Blockchiffren,

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

dazu gehören auch DES, IDEA oder RC5. Für Blockchiffren sind eine Reihe
von Betriebsarten (Modi) definiert (und standardisiert). Es sind dies
- der ECB (Electronic Code Book)-Modus, bei dem jeder Block für sich
- unabhängig von den anderen Blöcken - verschlüsselt wird,
- der CBC (Cipher Block Chaining)-Modus und der CFB (Cipher Feed
Back)-Modus, bei diesen Modi wird, nach Wahl eines zusätzlichen Initialisierungsvektors, eine Abhängigkeit der Chiffretextblöcke von allen vorhergehenden Chiffretextblöcken hergestellt, sowie
- der OFB (Output Feedback Modus), dieser Modus kann so aufgefaßt
werden, daß die verwendete Blockchiffre zur Generierung eines
”Blockstroms” verwendet wird, der auf die Klarblöcke bitweise (modulo 2)
aufaddiert wird.
Beim Einsatz symmetrischer Verfahren ist generell zu beachten, daß ein
Schlüsselaustausch zwischen den Kommunikationspartnern vorausgegangen
sein muß. Dieser muß über einen sicheren Kanal (z. B. Kurier, persönliche
Übergabe) erfolgen und beide Parteien müssen anschließend den Schlüssel
geheimhalten. Es gibt verschiedene Verfahren für einen sicheren Schlüsselaustausch. In geschlossenen Systemen ist der Schlüsselaustausch im allgemeinen unproblematisch zu realisieren, da hier meist "sichere Kanäle" vorhanden sind. In offenen Systemen mit einer Vielzahl von Kommunikationspartnern gestaltet sich dies schwieriger. Generell besteht jedoch das Problem,
daß bei einer Vielzahl möglicher Kommunikationspartner entsprechend viele
Schlüssel vor der eigentlichen Kommunikation ausgetauscht werden müssen
und daß dabei die potentiellen Kommunikationspartner vorab bekannt sein
müssen.
Asymmetrische (Public Key)-Chiffrierverfahren dagegen benutzen zwei
verschiedene (aber mathematisch verwandte) Schlüssel: einen "öffentlichen"
Schlüssel (Public Key) für die Verschlüsselung, und einen "privaten" Schlüssel (Private Key) für die Entschlüsselung. Das Schlüsselpaar muß dabei folgende Eigenschaft aufweisen: für alle, die lediglich den "Public Key" kennen,
muß es praktisch unmöglich sein, den zugehörigen "Private Key" zu bestimmen oder eine mit dem "Public Key" verschlüsselte Nachricht zu entschlüsseln.
Asymmetrische Verschlüsselung hat also eine "Einbahn"-Eigenschaft: eine
Nachricht kann nicht wiederhergestellt werden, wenn der "Private Key"
vergessen oder gelöscht wurde.
Die Bezeichnung "Public Key"-Verschlüsselung rührt daher, daß der "Public
Key" öffentlich bekannt gemacht werden kann, ohne die Sicherheit des Verfahrens zu kompromittieren. Der "Private Key" hingegen muß geheim gehalten werden.
Will nun Alice eine Nachricht verschlüsselt an Bob senden, so holt sich Alice
den öffentlichen Schlüssel Bobs aus einer frei zugänglichen Datei und verschlüsselt damit die Nachricht. Nach Erhalt der Nachricht benutzt Bob seinen
geheimen Schlüssel, um die von Alice erhaltene Nachricht zu entschlüsseln.
Wenn Alice und Bob ein asymmetrisches Verfahren zum Zweck der Vertraulichkeit verwenden, benötigen sie also keinen sicheren Kanal für den Schlüs-

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

selaustausch, aber Alice muß sicher sein, daß sie tatsächlich Bobs öffentlichen
Schlüssel benutzt und keinen Schlüssel, der ihr als Bobs Schlüssel
untergeschoben wurde. Würde Alice eine Nachricht mit einem untergeschobenen Schlüssel verschlüsseln, so könnte der Täter, dem ja der passende
geheime Schlüssel bekannt ist, die Nachricht entschlüsseln. Der Sender benötigt in der Regel die Bestätigung einer vertrauenswürdigen dritten Partei, daß
der öffentliche Schlüssel des Empfängers wirklich zu diesem gehört. Diese
Bestätigung, das "Zertifikat", wird im allgemeinen auch durch ein kryptographisches Verfahren erzeugt und dem öffentlichen Schlüssel beigefügt.
Zwei bekannte asymmetrische Verschlüsselungsverfahren sind das RSAVerfahren (benannt nach den Erfindern Rivest, Shamir, Adleman) und die
Klasse der Elgamal-Verfahren. Zu letzteren gehören auch die auf Elliptischen
Kurven basierenden Verschlüsselungsverfahren.
Symmetrische und asymmetrische Chiffrierverfahren haben z. T. sich ergänzende Vor- und Nachteile:
Vorteile (guter) symmetrischer Verfahren:
- Sie sind schnell, d. h. sie haben einen hohen Datendurchsatz.
- Die Sicherheit ist im wesentlichen durch die Schlüssellänge festgelegt,
d. h. bei guten symmetrischen Verfahren sollte es keine Attacken geben,
die wesentlich besser sind als das Durchprobieren aller Schlüssel (BruteForce-Attacken).
- Sie bieten hohe Sicherheit bei relativ kurzem Schlüssel.
- Die Schlüsselerzeugung ist einfach, da gewöhnlich als Schlüssel jede Bitfolge einer festen Länge erlaubt ist und als Schlüssel eine Zufallszahl
gewählt werden kann.
Nachteile symmetrischer Verfahren:
- Jeder Teilnehmer muß sämtliche Schlüssel seiner Kommunikationspartner
geheimhalten.
- Zur Schlüsselverteilung sind sie weniger gut geeignet als asymmetrische
Verfahren, insbesondere bei einer großen Anzahl von Kommunikationspartnern.
- Für Verbindlichkeitszwecke sind sie weniger praktikabel als asymmetrische Verfahren, da bei der Verwendung symmetrischer Schlüssel nicht
ohne weiteres erkannt werden kann, welcher der beiden Kommunikationspartner die Nachricht verschlüsselt hat. Dies läßt sich nur durch eine
zwischengeschaltete dritte Partei sicherstellen, die über entsprechende
kryptographische Protokolle in den Nachrichtenfluß eingebunden wird.
Vorteile (guter) asymmetrischer Verfahren:
- Jeder Teilnehmer einer vertraulichen Kommunikation muß nur seinen
eigenen privaten Schlüssel geheimhalten.
- Sie lassen sich einfach für digitale Signaturen benutzen.
- Sie bieten elegante Lösungen für die Schlüsselverteilung in Netzen, da die
öffentlichen Schlüssel bzw. Schlüsselzertifikate frei zugänglich auf zentra-

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

len Servern gespeichert werden können, ohne die Sicherheit des Verfahrens zu beeinträchtigen.
- Sie sind gut geeignet für Nicht-Abstreitbarkeitszwecke.
Nachteile asymmetrischer Verfahren:
- Sie sind langsam, d. h. sie haben im allgemeinen einen geringen Datendurchsatz.
- Sicherheit: für alle bekannten Public-Key-Verfahren gilt:
-

Es gibt wesentlich bessere Attacken als das Durchprobieren aller
Schlüssel, deshalb werden (im Vergleich zu symmetrischen Verfahren) relativ lange Schlüssel benötigt, um ein gleich hohes Maß an
Sicherheit zu erreichen.

-

Die Sicherheit beruht "nur" auf der vermuteten, aber von der Fachwelt anerkannten, algorithmischen Schwierigkeit eines mathematischen Problems (zum Beispiel die Zerlegung einer großen Zahl in
die Primfaktoren).

- Die Schlüsselerzeugung ist i. allg. komplex und aufwendig, da die Erzeugung "schwacher" Schlüsselpaare vermieden werden muß.
Hybride Verfahren versuchen, die Vorteile beider Arten von Verschlüsselung zu kombinieren: sie benutzen asymmetrische Verschlüsselung, um einen
Sitzungsschlüssel ("Sessionkey") für ein symmetrisches Verfahren zu übermitteln, und verschlüsseln die Massendaten mit dem symmetrischen Verfahren. Der Sessionkey wird gewöhnlich nur für eine Sitzung (Übertragung)
verwendet und dann vernichtet. Das asymmetrische Schlüsselpaar wird je
nach Umständen für einen langen Zeitraum verwendet.
II.

Integritätsschutz

Das Ziel des Integritätsschutzes ist es, daß ein Empfänger einer Nachricht
feststellen kann, ob er diese Nachricht unverfälscht erhalten hat. Das Grundprinzip des Integritätsschutzes besteht darin, die Nachricht unverschlüsselt
und unverändert zu übersenden, gleichzeitig aber bestimmte Kontrollinformationen mitzuschicken, die die Kontrolle auf Unverfälschtheit der
eigentlichen Nachricht ermöglichen. Voraussetzung dazu ist allerdings, daß
der Empfänger die Kontrolldaten unmanipuliert erhält. Für diese Kontrolldaten stellen sich damit folgende Bedingungen:
- Der Umfang der Kontrollinformationen muß möglichst gering sein, um die
zusätzlich zu übertragenden Informationen zu minimieren.
- Praktisch jede Manipulation, auch nur eines einzelnen Bits der Nachricht
muß anhand der Kontrollinformationen feststellbar sein.
- Die Kontrollinformationen müssen unmanipulierbar übertragen bzw.
Manipulationen müssen entdeckt werden können.
Zur Berechnung der Kontrollinformationen werden typischerweise zwei Verfahren verwendet: Hashfunktionen und Message Authentication Codes.
Eine (Einweg-)Hashfunktion ist eine Datentransformation mit folgenden
Eigenschaften:

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

- Kompressionseigenschaft: Beliebig lange Bitfolgen werden auf Bitfolgen
fester, i. allg. kürzerer Länge abgebildet (typischerweise 128 - 160 Bit).
- "Einweg"-Eigenschaft: Es muß "praktisch unmöglich" sein, zu einem vorgegebenen Hashwert eine Nachricht zu finden, deren Hashwert der vorgegebene Hashwert ist.
- Kollisionswiderstand: Es muß "praktisch unmöglich" sein, zwei Nachrichten zu finden, die zum gleichen Hashwert führen.
Mit Hilfe einer beiden Kommunikationspartnern bekannten Hashfunktion
können A und B die Integrität einer Nachricht überprüfen: Alice hasht ihre
Nachricht, und übermittelt diese und den Hashwert so an Bob, daß die Unverfälschtheit des Hashwertes gewährleistet ist. Bob hasht die empfangene
Nachricht ebenfalls und vergleicht sein Ergebnis mit dem von Alice gelieferten Hashwert. Stimmen beide Werte überein, so kann er davon ausgehen, daß
kein Bit der Nachricht verändert wurde.
Ein Message Authentication Code (MAC) ist eine kryptographische
Checksumme zur Nachrichtensicherung, also eine Datentransformation, bei
der zusätzlich ein geheimer Schlüssel in die Berechnung eingeht, mit folgenden Eigenschaften:
- Kompressionseigenschaft: Beliebig lange Bitfolgen werden auf Bitfolgen
fester, i. allg. kürzerer Länge abgebildet.
- Fälschungssicherheit: Für jeden, der nicht im Besitz des Schlüssels ist, muß
es "praktisch unmöglich" sein, den MAC-Wert einer neuen Nachricht zu
berechnen, selbst wenn er in den Besitz einiger alter Nachrichten mit den
zugehörigen MAC-Werten gelangt ist.
Besitzen Alice und Bob einen MAC und einen gemeinsamen, geheimen
MAC-Schlüssel, so authentisiert Alice ihre Nachricht einfach dadurch, daß sie
den MAC-Wert der Nachricht berechnet und zusammen mit der Nachricht an
Bob schickt. Bob berechnet seinerseits den MAC-Wert der empfangenen
Nachricht mit dem auch ihm bekannten MAC-Schlüssel. Stimmt dieser mit
Alices Wert überein, so kann er davon ausgehen, daß die Nachricht authentisch ist (d. h. daß sie nicht verändert wurde und wirklich von Alice stammt).
Alice hat also ihre Nachricht durch Verwendung des nur ihr und Bob bekannten Schlüssels gegenüber Bob authentisiert.
MACs werden häufig auf Basis symmetrischer Chiffrierverfahren konstruiert.
Die bekannteste Variante ist hierbei die Verschlüsselung einer Nachricht mit
DES oder einem anderem Block-Chiffrierverfahren im CBC- oder CFBMode. Dabei wird als MAC der letzte verschlüsselte Block an die Nachricht
angehängt. Daneben gibt es aber auch MACs, die nicht auf Chiffrierverfahren
beruhen. Der MAC-Wert einer Nachricht kann als fälschungssichere,
schlüsselabhängige, kryptographische Checksumme dieser Nachricht angesehen werden. Die Anwendung von MACs zum Zweck der Authentisierung
erfordert, daß beide Parteien den geheimen Authentisierungsschlüssel zuverlässig schützen.
Als Nebeneffekt des Integritätsschutzes kann mit oben skizzierten Verfahren
gleichzeitig vom Empfänger der Nachricht nachgeprüft werden, daß die als
unmanipuliert verifizierte Nachricht nur vom tatsächlich bekannten Sender

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

verschickt werden konnte. Dieser Schluß läßt sich ziehen, da nur dieser
Sender die notwendigen Schlüssel zur Verschlüsselung bzw. Ermittlung der
Kontrollinformationen besitzt.
III.

Authentizitätsnachweise

Bei der Authentisierung von Benutzern gegenüber Kommunikationspartnern/IT-Systemen bzw. Clients gegenüber Servern sollen
- illegitime Zugriffe erkannt und abgewehrt werden,
- legitime Zugriffe erlaubt werden und
- sensible Daten auch bei Übertragungen über Netze geschützt bleiben.
Dazu sind Verfahren erforderlich, die allen Beteiligten die Feststellung der
Identität ihrer Kommunikationspartner unmißverständlich erlauben. Dies
schließt einen Zeitaspekt ein: Alice will Bob in "real time" davon überzeugen,
daß tatsächlich sie mit ihm kommuniziert. Die Haupttechniken für solche
Authentisierungen sind kryptographische Challenge-Response-Protokolle.
Hierbei sendet Bob Daten an Alice und fordert sie auf (Challenge), ihm den
Besitz eines Geheimnisses (also einer Schlüsselinformation) nachzuweisen,
und Alice demonstriert ihm diesen Besitz ohne das Geheimnis selbst preiszugeben, indem sie eine vom Geheimnis und seiner Challenge abhängige
Antwort sendet (Response). Bob wiederum überprüft anhand der Antwort, daß
zur Berechnung der Antwort wirklich das korrekte Geheimnis verwendet
wurde.
Für eine "starke" Authentisierung dürfen sich die Challenges nicht wiederholen. Bei Challenge-Response-Verfahren können sowohl symmetrische als
auch asymmetrische Techniken verwendet werden.
Beispiel: Alice und Bob verständigen sich vorab auf ein symmetrisches Verschlüsselungsverfahren und einen gemeinsamen kryptographischen Schlüssel.
Zur Authentisierung sendet Bob eine Zufallszahl als Challenge an Alice. Alice
wiederum verschlüsselt diese Zufallszahl mit dem gemeinsamen geheimen
Schlüssel und sendet das Ergebnis zurück an Bob. Im nächsten Schritt
entschlüsselt Bob die Nachricht und vergleicht, ob das Ergebnis seine anfangs
gewählte Zufallszahl ist. Bei Gleichheit ist es tatsächlich Alice, da nur sie den
geheimen Schlüssel kennt.
IV.

Digitale Signatur

Das kryptographische Konstrukt einer digitalen Signatur dient dem Ziel, für
digitale Dateien und Nachrichten ein Pendant zur handschriftlichen Unterschrift einsetzen zu können. Dazu werden einige der schon erläuterten
kryptographischen Verfahren wie Hashfunktionen und asymmetrische Verfahren zusammengeführt. Die wesentliche Voraussetzung für digitale Signaturen ist, daß jeder Teilnehmer ein nur ihm bekanntes Geheimnis besitzt, mit
dem er zu beliebigen Dateien eine digitale Signatur bilden kann. Anhand von
öffentlichen Informationen muß es dann möglich sein, diese digitale Signatur
zu überprüfen.
In diesem Sinne ist eine digitale Signatur ein spezieller Integritätsschutz mit
zusätzlichen Besonderheiten. Eine digitale Signatur ist eine Kontrollinfor-

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

mation, die an eine Nachricht oder Datei angehängt wird, mit der folgende
Eigenschaften verbunden sind:
- Anhand einer digitalen Signatur kann eindeutig festgestellt werden, wer
diese erzeugt hat, und
- es ist authentisch überprüfbar, ob die Datei, an die die digitale Signatur
angehängt wurde, identisch ist mit der Datei, die tatsächlich signiert wurde.
Kann also anhand der öffentlich zugänglichen Informationen die digitale
Signatur verifiziert werden, so ist einerseits die Integrität der signierten Datei
gegeben und andererseits die Nichtabstreitbarkeit, da nur die Person, der die
digitale Signatur eindeutig zugeordnet werden kann, diese Signatur anhand
ihrer geheimen Informationen gebildet haben kann. Zu beachten ist, daß
unterschiedliche Dateien auch unterschiedliche digitale Signaturen zur Folge
haben und das geringste Änderungen an den Dateien zu nicht verifizierbaren
Signaturen führen.
Beispiel: Ein weitverbreitetes Verfahren für digitale Signaturen ist die umgekehrte Anwendung des RSA-Verfahrens. Dabei besitzt jeder Teilnehmer einen
nur ihm bekannten geheimen Signierschlüssel. Öffentlich zugänglich sind
Verifizierschlüssel-Zertifikate, in denen der passende öffentliche Schlüssel
und die Angaben zum Besitzer des passenden geheimen Signierschlüssels
unfälschbar miteinander verknüpft sind. Diese Zertifikate werden von vertrauenswürdigen Stellen herausgegeben, die zuvor die Personalien der Teilnehmer geprüft haben.
Um für eine beliebige Datei eine digitale Signatur zu berechnen und zu prüfen, wird nun wie folgt vorgegangen:
1. Schritt:

Alice berechnet den Hashwert der ausgewählten Datei.

2. Schritt:

Alice verschlüsselt diesen Hashwert mit dem nur ihr bekannten
geheimen Signierschlüssel. Das Ergebnis ist die digitale Signatur
von Alice zu dieser Datei.

3. Schritt:

Alice überträgt die digitale Signatur gemeinsam mit dem Verifizierschlüssel-Zertifikat und der Datei an Bob.

4. Schritt:

Bob verifiziert das Zertifikat (z. B. mit dem öffentlichen
Schlüssel einer Zertifizierungsstelle).

5. Schritt:

Bob berechnet den Hashwert der erhaltenen Datei.

6. Schritt:

Anhand des im Verifizierschlüssel-Zertifikat enthaltenen öffentlichen Verifizierschlüssels entschlüsselt Bob die digitale
Signatur.

7. Schritt:

Bob vergleicht den in Schritt 4 berechneten Hashwert und die
entschlüsselte Signatur. Sind sie identisch, so ist die digitale
Signatur verifiziert. Besteht keine Gleichheit, kann Bob keine
weiteren Schlüsse ziehen.

8. Schritt:

Nach der Verifikation der digitalen Signatur kann Bob als
Ergebnisse festhalten:

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

- Falls sichergestellt ist, daß tatsächlich nur Alice den geheimen
Schlüssel besitzt, kann Bob sicher sein, daß die digitale
Signatur von Alice, die im Verifizierschlüssel-Zertifikat aufgeführt ist, erzeugt wurde.
- Die erhaltene Datei ist identisch mit der Datei, für die Alice
die digitale Signatur berechnet hat.
Betont sei, daß digitale Signaturen ausschließlich die Ziele Integrität und
Nichtabstreitbarkeit sicherstellen, jedoch in keiner Weise die Vertraulichkeit.
Eine digital signierte Nachricht wird im Klartext übertragen, ist sie vertraulich, muß sie zusätzlich verschlüsselt werden.
Enthält eine digital signierte Datei eine Willenserklärung des Signierers, kann
dann anhand der Signatur diese Willenserklärung unabstreitbar dem Signierer,
ggf. auch vor Gericht, zugerechnet werden.
Die verwendeten Verifizierschlüssel-Zertifikate wiederum sind selbst von der
vertrauenswürdigen Stelle digital signierte Dateien, die analog überprüft werden können und die Auskunft geben über den Verifizierschlüssel und die Person, die den dazu passenden geheimen Signierschlüssel besitzt.
Man beachte die Unterschiede zwischen MACs und digitalen Signaturen:
- Die digitale Signatur kann durch jeden, der das Verifizierschlüssel-Zertifikat besitzt, verifiziert werden, MACs dagegen nur durch die Parteien, die
den geheimen Authentisierungsschlüssel kennen.
- Alices digitale Signatur einer Nachricht kann nur von Alice erstellt werden,
der MAC-Wert einer Nachricht dagegen von beiden Parteien, Alice und
Bob (und allen anderen, die den geheimen Authentisierungsschlüssel
kennen). Es ist deshalb unmöglich, MACs für den Zweck der
Verbindlichkeit einzusetzen.
Mit Artikel 3 des Informations- und Kommunikationsdienste-Gesetzes
(Bundesgesetzblatt 1879, Teil 1, 1997) ist für die Bundesrepublik Deutschland
ein Gesetz zur digitalen Signatur in Kraft getreten. Dieses regelt, welche
Sicherheitsanforderungen die technischen Komponenten, die für digitale
Signaturen eingesetzt werden, erfüllen müssen und welche Aufgaben Zertifizierungsstellen, die Verifizierschlüssel-Zertifikate ausstellen, haben. Darüber
hinaus wird geregelt, wie die erforderliche Sicherheit der Komponenten und
Zertifizierungsstellen geprüft wird. Im Ergebnis wird digitalen Signaturen
nach dem Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt.
Schlüsselmanagement
Bei jedem Einsatz von Verschlüsselung entsteht die Aufgabe, die Schlüssel
angemessen zu verwalten. Es stellt sich die Frage, wie man
-

Erzeugung/Initialisierung,
Vereinbarung/Etablierung,
Verteilung/Transport,
Wechsel/Update,
Speicherung,
Beglaubigung/Zertifizierung,
Rückruf,

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

-

Wiedergewinnung im Fall von Vernichtung/Verlust,
Vernichtung/Löschen,
Archivierung und
Escrow (treuhänderische Hinterlegung)

während des gesamten Lebenszyklus der Schlüssel durchführt. Das Schlüsselmanagement kann und wird sich gewöhnlich auch kryptographischer
Techniken bedienen. Es muß für die Gesamtheit der Kryptomodule eines
kryptographisch basierten Sicherungssystems durchgeführt werden. Geheime
Schlüssel müssen vor unbefugter Aufdeckung, Modifizierung und Ersetzung
geschützt werden. Öffentliche Schlüssel müssen vor unbefugter Modifizierung
und Ersetzung geschützt werden. Angemessenes Schlüsselmanagement ist die
Voraussetzung dafür, daß Information durch kryptographische Methoden
überhaupt geschützt werden kann. Schlüsselmanagement benötigt eigens
dieser Aufgabe gewidmete Ressourcen!
Zertifizierungsstellen
Trust Center bzw. Zertifizierungsstellen werden immer dann benötigt, wenn
man für eine nicht mehr überschaubare Anzahl von Teilnehmern asymmetrische Kryptoverfahren für die digitale Signatur oder für Verschlüsselung
einsetzen will. Solche Verfahren benötigen bei der Signaturbildung bzw. der
Verschlüsselung einen anderen Schlüssel als bei der Signaturprüfung bzw. der
Entschlüsselung. Dazu wird benutzerbezogen ein Schlüsselpaar korrespondierender Schlüssel erzeugt. Ein Schlüssel, der sogenannte öffentliche Schlüssel, wird öffentlich bekanntgegeben. Der andere Schlüssel, der sogenannte
private Schlüssel, ist absolut geheimzuhalten. Mit dem privaten Schlüssel
- und nur mit diesem - kann eine digitale Signatur erzeugt bzw. ein Text
entschlüsselt und mit dem zugehörigen öffentlichen Schlüssel - und nur mit
diesem - verifiziert bzw. verschlüsselt werden. Will man nun die Echtheit der
öffentlichen Schlüssel und die sichere Zuordnung der Schlüssel zu Personen
sicherstellen, bedarf es der bereits erwähnten Trust Center / Zertifizierungsstellen, die die Zuordnung einer Person zu einem öffentlichen Schlüssel durch
ein Zertifikat bestätigen.
Innerhalb solcher Zertifizierungsstellen werden typischerweise folgende Aufgaben wahrgenommen:
- Schlüsselgenerierung: Es sind für die Zertifizierungsstelle und ggf. für
Teilnehmer Schlüsselpaare zu generieren.
- Schlüsselzertifizierung: Die Teilnehmerdaten, der korrespondierende
öffentliche Schlüssel und weitere Daten werden zu einem Zertifikat
zusammengefaßt und von der Zertifizierungsstelle digital signiert.
- Personalisierung: Das Zertifikat und ggf. öffentlicher und privater Schlüssel werden auf eine Signaturkomponente (i. a. eine Chipkarte) übertragen.
- Identifizierung und Registrierung: Die Teilnehmer werden gegen Vorlage
eines Ausweispapieres identifiziert und registriert.
- Verzeichnisdienst: Zertifikate werden in einem öffentlichen Verzeichnis
abrufbar gehalten. Darüber hinaus muß der Verzeichnisdienst Auskunft
darüber geben, ob ein Zertifikat gesperrt ist oder nicht.

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

- Zeitstempeldienst: Für bestimmte Daten kann es notwendig sein, diese mit
einem vertrauenswürdigen Zeitpunkt zu verknüpfen. Dazu wird der Zeitpunkt an die Daten angehängt und das Ergebnis vom Zeitstempeldienst
digital signiert.
Trust Center können außerdem zusätzlich Schlüsselaufbewahrung als Dienstleistung anbieten, wenn die kryptographischen Schlüssel für Verschlüsselung
eingesetzt werden sollen. Um bei Schlüsselverlust noch auf die verschlüsselten Daten zugreifen zu können, kann dann der Schlüsselbesitzer (und nur
dieser) eine Schlüsseldublette erhalten, die im Trust Center geschützt aufbewahrt wird.
Schlüsselverteilungszentralen
Die Sicherheit symmetrischer Verschlüsselungsverfahren hängt davon ab, ob
der gemeinsam benutzte geheime Schlüssel nur den zum Zugriff auf die
geschützten Informationen berechtigten Benutzern bekannt ist. Im Falle des
Schutzes gespeicherter Daten, auf die nur deren Eigentümer Zugriff haben
soll, ist dies relativ einfach zu gewährleisten, da dieser Eigentümer lediglich
den Schlüssel so schützen muß, daß Unbefugte nicht darauf zugreifen können.
Anders sieht es jedoch aus, wenn Nachrichten, die von einem Sender über ein
unsicheres Übertragungsmedium an einen Empfänger zu übermitteln sind, mit
einem symmetrischen Verschlüsselungsverfahren geschützt werden sollen. In
diesem Fall muß der geheime Schlüssel sowohl beim Sender als auch beim
Empfänger vorliegen, d. h. es muß eine Möglichkeit geschützten Informationsaustauschs zwischen den beiden Partnern verfügbar sein. In der Praxis
wird dies oft durch die verschlüsselte Verteilung von Kommunikationsschlüsseln durch sogenannte Schlüsselverteilungszentralen (Key Distribution
Centers, KDCs) realisiert, wobei ganze Hierarchien voneinander sicherheitstechnisch abhängiger Schlüssel aufgebaut werden. Die hier zum Einsatz
kommenden Verfahren sind teilweise sehr komplex und hängen hinsichtlich
ihrer Sicherheit von einer Vielzahl von Komponenten ab, insbesondere von
der physischen, organisatorischen, personellen und technischen Sicherheit der
KDCs und der zur Kommunikation mit den KDCs vereinbarten Schlüssel.
Eine Kompromittierung eines geheimen Schlüssels, d. h. sein Bekanntwerden
gegenüber einem unberechtigten Dritten, führt zum Verlust der Vertraulichkeit aller Daten, deren Verschlüsselung mit diesem Schlüssel erfolgte bzw.
davon abhängt. Dies ist insbesondere dann kritisch, wenn einer der zentralen
Schlüssel einer Schlüsselverteilungshierarchie kompromittiert wurde.
Einsatz kryptographischer Verfahren
Bei sachgemäßem Einsatz sind kryptographische Verfahren hervorragend
geeignet, folgende Bedrohungen abzuwehren:
- Kenntnisnahme von Informationen durch Unbefugte,
- bewußte Manipulation von Daten durch Unbefugte und
- Manipulationen an der Urheberschaft von Informationen.
Der alleinige Einsatz von Kryptographie reicht allerdings nicht aus, um alle
Bedrohungen abzuwehren.

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Juli 1999

M 3.23
Maßnahmenkatalog Personal
Bemerkungen
_____________________________________________________________________ ..........................................

- Der Einsatz kryptographischer Methoden trägt nichts dazu bei, um die
Verfügbarkeit von Daten zu gewährleisten (bei unsachgemäßem Gebrauch
von Verschlüsselung droht sogar Datenverlust!).
- Kryptographische Methoden können gegen Denial-of-Service-Attacken
(siehe auch G 5.28 Verhinderung von Diensten) nichts ausrichten. Sie
können aber zur frühzeitigen Erkennung solcher Attacken beitragen.
- Sie helfen auch nicht gegen zufällige Verfälschungen von Informationen
(etwa durch "Rauschen"). Sie können Verfälschungen aber nachträglich
erkennbar machen.

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

M4
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M4

Maßnahmenkatalog Hardware und Software

M 4.1

Paßwortschutz für PC und Server ..............................................1

M 4.2

Bildschirmsperre ........................................................................2

M 4.3

Regelmäßiger Einsatz eines Viren-Suchprogramms ..................3

M 4.4

Verschluß der Diskettenlaufwerkschächte .................................5

M 4.5

Protokollierung der TK-Administrationsarbeiten ......................6

M 4.6

Revision der TK-Anlagenkonfiguration (Soll-IstAbgleich) ...................................................................................7

M 4.7

Änderung voreingestellter Paßwörter.........................................8

M 4.8

Schutz des TK-Bedienplatzes ....................................................9

M 4.9

Einsatz der Sicherheitsmechanismen von X-Windows ............10

M 4.10

Paßwortschutz für TK-Endgeräte.............................................11

M 4.11

Absicherung der TK-Anlagen-Schnittstellen ...........................12

M 4.12

Sperren nicht benötigter Leistungsmerkmale...........................13

M 4.13

Sorgfältige Vergabe von IDs....................................................14

M 4.14

Obligatorischer Paßwortschutz unter Unix ..............................15

M 4.15

Gesichertes Login ....................................................................16

M 4.16

Zugangsbeschränkungen für Accounts und / oder
Terminals .................................................................................17

M 4.17

Sperren und Löschen nicht benötigter Accounts und
Terminals .................................................................................18

M 4.18

Administrative und technische Absicherung des
Zugangs zum Monitor- und Single-User-Modus .....................19

M 4.19

Restriktive Attributvergabe bei Unix-Systemdateien
und -verzeichnissen..................................................................20

M 4.20

Restriktive Attributvergabe bei Unix-Benutzerdateien
und -verzeichnissen..................................................................21

M 4.21

Verhinderung des unautorisierten Erlangens von
Administratorrechten ...............................................................23

M 4.22

Verhinderung des Vertraulichkeitsverlusts
schutzbedürftiger Daten im Unix-System ................................25

M 4.23

Sicherer Aufruf ausführbarer Dateien ......................................26

M 4.24

Sicherstellung einer konsistenten Systemverwaltung ..............27

M 4.25

Einsatz der Protokollierung im Unix-System...........................28

M 4.26

Regelmäßiger Sicherheitscheck des Unix-Systems..................29

M 4.27

Paßwortschutz am tragbaren PC ..............................................31

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

M4
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.28

Software-Reinstallation bei Benutzerwechsel eines
tragbaren PC ............................................................................32

M 4.29

Einsatz eines Verschlüsselungsproduktes für tragbare
PCs ...........................................................................................33

M 4.30

Nutzung der in Anwendungsprogrammen angebotenen
Sicherheitsfunktionen...............................................................35

M 4.31

Sicherstellung der Energieversorgung im mobilen
Einsatz......................................................................................36

M 4.32

Physikalisches Löschen der Datenträger vor und nach
Verwendung.............................................................................37

M 4.33

Einsatz eines Viren-Suchprogramms bei
Datenträgeraustausch und Datenübertragung...........................38

M 4.34

Einsatz von Verschlüsselung, Checksummen oder
Digitalen Signaturen ................................................................39

M 4.35

Verifizieren der zu übertragenden Daten vor Versand.............41

M 4.36

Sperren bestimmter Fax-Empfängerrufnummern.....................42

M 4.37

Sperren bestimmter Fax-Absenderrufnummern .......................43

M 4.38

Abschalten nicht benötigter Leistungsmerkmale .....................44

M 4.39

Abschalten des Anrufbeantworters bei Anwesenheit...............45

M 4.40

Verhinderung der unautorisierten Nutzung des
Rechnermikrofons....................................................................46

M 4.41

Einsatz eines angemessenen PC-Sicherheitsproduktes ............47

M 4.42

Implementierung von Sicherheitsfunktionalitäten in der
IT Anwendung .........................................................................49

M 4.43

Fax-Gerät mit automatischer Eingangskuvertierung................50

M 4.44

Prüfung eingehender Dateien auf Makro-Viren .......................51

M 4.45

Einrichtung einer sicheren Peer-to-Peer-Umgebung................53

M 4.46

Nutzung des Anmeldepaßwortes unter WfW und
Windows 95 .............................................................................56

M 4.47

Protokollierung der Firewall-Aktivitäten .................................58

M 4.48

Paßwortschutz unter Windows NT ..........................................59

M 4.49

Absicherung des Boot-Vorgangs für ein Windows NT
System......................................................................................62

M 4.50

Strukturierte Systemverwaltung unter Windows NT ...............64

M 4.51

Benutzerprofile zur Einschränkung der
Nutzungsmöglichkeiten von Windows NT ..............................74

M 4.52

Geräteschutz unter Windows NT .............................................79

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Juli 1999

M4
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.53

Restriktive Vergabe von Zugriffsrechten auf Dateien
und Verzeichnisse unter Windows NT.....................................81

M 4.54

Protokollierung unter Windows NT.........................................88

M 4.55

Sichere Installation von Windows NT .....................................92

M 4.56

Sicheres Löschen unter Windows NT und Windows 95..........96

M 4.57

Deaktivieren der automatischen CD-ROM-Erkennung ...........98

M 4.58

Freigabe von Verzeichnissen unter Windows 95 .....................99

M 4.59

Deaktivieren nicht benötigter ISDN-KartenFunktionalitäten .....................................................................101

M 4.60

Deaktivieren nicht benötigter ISDN-RouterFunktionalitäten .....................................................................102

M 4.61

Nutzung vorhandener Sicherheitsmechanismen der
ISDN-Komponenten ..............................................................103

M 4.62

Einsatz eines D-Kanal-Filters ................................................104

M 4.63

Sicherheitstechnische Anforderungen an den
Telearbeitsrechner..................................................................105

M 4.64

Verifizieren der zu übertragenden Daten vor
Weitergabe / Beseitigung von Restinformationen..................110

M 4.65

Test neuer Hard- und Software ..............................................113

M 4.66

Novell Netware - Sicherer Übergang ins Jahr 2000...............114

M 4.67

Sperren und Löschen nicht benötigter DatenbankAccounts ................................................................................116

M 4.68

Sicherstellung einer konsistenten Datenbankverwaltung .......117

M 4.69

Regelmäßiger Sicherheitscheck der Datenbank .....................119

M 4.70

Durchführung einer Datenbanküberwachung ........................121

M 4.71

Restriktive Handhabung von Datenbank-Links .....................123

M 4.72

Datenbank-Verschlüsselung...................................................124

M 4.73

Festlegung von Obergrenzen..................................................126

M 4.74

Vernetzte Windows 95 Rechner.............................................128

M 4.75

Schutz der Registrierung unter Windows NT ........................130

M 4.76

Sichere Systemversion von Windows NT..............................132

M 4.77

Schutz der Administratorkonten unter Windows NT.............134

M 4.78

Sorgfältige Durchführung von
Konfigurationsänderungen.....................................................137

M 4.79

Sichere Zugriffsmechanismen bei lokaler
Administration .......................................................................138

M 4.80

Sichere Zugriffsmechanismen bei Fernadministration...........139

_____________________________________________________________________ ..........................................
iii

IT-Grundschutzhandbuch: Stand Januar 2000

M4
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.81

Audit und Protokollierung der Aktivitäten im Netz ...............140

M 4.82

Sichere Konfiguration der aktiven Netzkomponenten ...........143

M 4.83

Update/Upgrade von Soft- und Hardware im
Netzbereich ............................................................................145

M 4.84

Nutzung der BIOS-Sicherheitsmechanismen .........................146

M 4.85

Geeignetes Schnittstellendesign bei Kryptomodulen.............148

M 4.86

Sichere Rollenteilung und Konfiguration bei
Kryptomodulen ......................................................................150

M 4.87

Physikalische Sicherheit von Kryptomodulen .......................151

M 4.88

Anforderungen an die Betriebssystemsicherheit beim
Einsatz von Kryptomodulen...................................................152

M 4.89

Abstrahlsicherheit ..................................................................153

M 4.90

Einsatz von kryptographischen Verfahren auf den
verschiedenen Schichten des ISO/OSI-Referenzmodells.......156

M 4.91

Sichere Installation eines Systemmanagementsystems ..........163

M 4.92

Sicherer Betrieb eines Systemmanagementsystems ...............165

M 4.93

Regelmäßige Integritätsprüfung.............................................168

M 4.94

Schutz der WWW-Dateien.....................................................169

M 4.95

Minimales Betriebssystem .....................................................171

M 4.96

Abschaltung von DNS ...........................................................174

M 4.97

Ein Dienst pro Server.............................................................175

M 4.98

Kommunikation durch Paketfilter auf Minimum
beschränken............................................................................176

M 4.99

Schutz gegen nachträgliche Veränderungen von
Informationen.........................................................................178

M 4.100

Firewalls und aktive Inhalte ...................................................180

M 4.101

Firewalls und Verschlüsselung ..............................................182

M 4.102

C2-Sicherheit unter Novell 4.11 ............................................184

M 4.103

DHCP-Server unter Novell Netware 4.x................................189

M 4.104

LDAP Services for NDS ........................................................193

M 4.105

Erste Maßnahmen nach einer Unix-Standardinstallation .......197

M 4.106

Aktivieren der Systemprotokollierung ...................................200

M 4.107

Nutzung von Hersteller-Ressourcen.......................................202

M 4.108

Vereinfachtes und sicheres Netzmanagement mit DNS
Services unter Novell NetWare 4.11......................................205

M 4.109

Software-Reinstallation bei

209

_____________________________________________________________________ ..........................................
iv

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.1
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.1

Paßwortschutz für PC und Server

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Der Paßwortschutz eines IT-Systems soll gewährleisten, daß nur solche
Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine
entsprechende Berechtigung nachweisen. Unmittelbar nach dem Einschalten
des IT-Systems muß der Berechtigungsnachweis erfolgen. Kann der Benutzer
die erforderliche Berechtigung nicht nachweisen, so verhindert der Paßwortschutz den Zugriff auf das IT-System.
Realisiert werden kann der Paßwortschutz an einem IT-System auf verschiedene Weise:
- Die meisten BIOS-Varianten bieten die Installation eines Boot-Paßwortes
an. Bei Fehleingaben wird der Bootvorgang nicht fortgesetzt. Ein BIOSPaßwort ist nicht schwer zu überwinden, schützt aber vor Zufallstätern,
sollte also zumindest überall da eingesetzt werden, wo keine besseren
Zugriffsschutzmechanismen vorhanden sind (siehe auch: M 4.84 Nutzung
der BIOS-Sicherheitsmechanismen).
- Gute Betriebssysteme enthalten bereits Zugriffsschutzmechanismen. In den
meisten Fällen müssen diese aber noch aktiviert werden, beispielsweise
durch die Vergabe von Paßwörtern für alle Benutzer. Näheres hierzu findet
sich in den betriebssystem-spezifischen Bausteinen.
- Es wird Zusatzhardware oder -software installiert, die vor dem eigentlichen
Start des Rechners ein Paßwort abfragt und bei falscher Paßworteingabe
die weitere Nutzung des IT-Systems verhindert.
Für den Umgang mit Paßwörtern sind die Hinweise in M 2.11 Regelung des
Paßwortgebrauchs zu beachten, insbesondere ist das Paßwort regelmäßig zu
ändern.
Ergänzende Kontrollfragen:
- Ist auf den betroffenen Rechnern ein Paßwortschutz installiert?
- Welche BIOS- Sicherheitsmechanismen sind aktiviert?

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.2
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.2

Bildschirmsperre

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Unter einer Bildschirmsperre versteht man die Möglichkeit, die auf dem Bildschirm aktuell vorhandenen Informationen zu verbergen. Die Aktivierung der
Bildschirmsperre sollte erfolgen, wenn der Benutzer den Arbeitsplatz für eine
nur kurze Zeit verläßt. Als weiteres Leistungsmerkmal sollte die Bildschirmsperre eine automatische Aktivierung bei längerer Pausenzeit aufweisen. Verfügt das Software-Produkt außerdem über eine Paßwort-Abfrage, wird bei der
Abwesenheit des IT-Benutzers zusätzlich ein Zugriffsschutz für das ITSystem gewährleistet.
Eine paßwortunterstützte Bildschirmsperre wird von MS-Windows 3.x als
Bildschirmschoner angeboten. Die Dokumentation dazu sagt jedoch: "Ist eine
Non-Windows-Anwendung
die
aktuelle
Anwendung,
wird
der
Bildschirmschoner nicht automatisch aktiviert, unabhängig davon, ob die
Anwendung in einem Fenster, von der MS-DOS-Befehlszeile oder als Symbol
ausgeführt wird." Unter Windows 95 aktiviert sich der Bildschirmschoner
jedoch auch bei DOS-Anwendungen. Neben MS-Windows gibt es weitere
Produkte, die einen paßwortunterstützenden Bildschirmschoner anbieten. Vor
dem Einsatz solcher Produkte ist zu überprüfen, ob die Bildschirmsperre unter
allen Applikationen funktioniert.
Unter Unix kann eine Bildschirmsperre mit Programmen wie lock oder - unter
X-Windows - lockscreen erfolgen.
Ergänzende Kontrollfragen:
- Ist auf den betreffenden Rechnern eine Bildschirmsperre installiert?
- Wird die Bildschirmsperre konsequent eingesetzt?

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.3
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.3

Regelmäßiger Einsatz eines VirenSuchprogramms

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Zum Schutz vor Computer-Viren können unterschiedliche Wirkprinzipien
genutzt werden. Programme, die IT-Systeme nach bekannten Viren
durchsuchen, haben sich in der Vergangenheit als effektivstes und
wirksamstes Mittel in der Viren-Bekämpfung erwiesen. Von Vorteil ist, daß
neu erhaltene Software oder Datenträger schon vor dem ersten Einsatz geprüft
werden können. Man kann daher eine Infektion mit bekannten ComputerViren grundsätzlich vermeiden. Ein weiterer Vorteil ist, daß man durch das
Viren-Suchprogramm eine genauere Information über den jeweils entdeckten
Virus erhält. Die bekannten Viren sind durch Spezialisten analysiert worden,
so daß man weiß, ob Schadensfunktionen vorhanden sind. Ein gutes VirenSuchprogramm muß daher nicht nur in der Lage sein, viele Viren zu finden,
sondern sie auch möglichst exakt identifizieren.
Zu beachten ist, daß Viren-Suchprogramme mit der Zeit ihre Wirksamkeit
verlieren, da sie nur die zu ihrem Erstellungszeitpunkt bekannten ComputerViren berücksichtigen, neu hinzugekommene jedoch meist nicht erkennen
können. Daher ist eine regelmäßige, mindestens vierteljährliche
Aktualisierung des Viren-Suchprogramms erforderlich.
Durch Parametrisierung lassen sich bei Viren-Suchprogrammen Einstellungen
vornehmen, über die festgelegt wird, welche Dateien geprüft werden sollen
und in welchem Umfang die Prüfung erfolgen soll. Hier ist es Aufgabe des ITSicherheitsmanagements, die geeigneten Einstellungen zu ermitteln und den
Benutzern mitzuteilen bzw. als Voreinstellungen an diese weiterzugeben.
Ebenso wie andere Programme können Viren-Suchprogramme durch Aufruf
(transient) oder im Hintergrund (resident) genutzt werden. Die Betriebsart des
Suchprogramms hat entscheidenden Einfluß auf die Akzeptanz bei den
Benutzern und damit auf die tatsächlich erreichte Schutzfunktion.
Beim transienten Betrieb muß das Viren-Suchprogramm durch den Benutzer
gestartet werden, der außerdem explizit festlegen muß, welche Datenträger
durchsucht werden sollen. Hierdurch können Infektionen erst im nachhinein
festgestellt werden. Ein Viren-Schutz ist zwar grundsätzlich möglich, jedoch
hängt die Wirksamkeit von der Sorgfalt der Benutzer ab.
Beim residenten Betrieb wird das Viren-Schutzprogramm beim Start des
Rechners in den Speicher geladen und verbleibt dort aktiv bis zum
Ausschalten. Es verrichtet seine Tätigkeit, ohne daß der Benutzer dabei
mitwirkt, er kann inzwischen seine eigentliche Arbeit, z. B. das Schreiben von
Texten, ausführen. Diese Betriebsart hat erst in jüngster Zeit mit dem
verstärken Einsatz von Windows-Programmen Bedeutung erlangt. Bei
Windows arbeitet die Verwaltung des Speichers effektiver als unter dem zuvor
vorwiegend genutzten MS-DOS. Die rasante technische Entwicklung hin zu
größeren Speicherkapazitäten der Computer unterstützte diesen Trend. Unter
MS-DOS waren speicherresidente Viren-Suchprogramme in ihrer

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.3
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Leistungsfähigkeit von den Herstellern oft gegenüber den transienten
vermindert, um Speicherplatz zu sparen. Der wichtigste Vorteil des residenten
Betriebes ist, daß die Sicherheitsmaßnahme (Viren-Suche) unabhängig vom
Benutzer wirksam ist. Dies erhöht die Sicherheit. Gleichzeitig führt es zu
besserer Akzeptanz bei den Benutzern, da diese sich nicht aktiv um den
Virenschutz zu kümmern brauchen. Sie merken nicht einmal, daß im
Hintergrund das Schutzprogramm läuft, solange kein Virus gefunden wird. Im
letzteren Falle wird die betroffene Datei für den Zugriff gesperrt, d. h. der
Benutzer kann sie nicht verwenden, solange das Schutzprogramm aktiv ist.
Der Einsatz speicherresidenter Viren-Schutzprogramme unter WindowsBetriebssytemen ist derzeit die beste Möglichkeit, sich vor Computer-Viren zu
schützen, weil jede Datei vor ihrer Nutzung (Öffnen zur Bearbeitung,
Kopieren, Drucken, Entpacken usw.) geprüft und bei Viren-Befall gesperrt
werden kann.
Ein weitere präventive Maßnahme ist der Einsatz von ChecksummenPrüfprogrammen. Hierbei werden zum Schutz vor Veränderung von den zu
prüfenden Dateien oder Systembereichen (z. B. Boot- und Partition-Sektor)
Prüfsummen berechnet, die regelmäßig kontrolliert werden. Auf diese Weise
können nicht nur Verseuchungen mit bisher unbekannten Computer-Viren
erkannt werden, sondern auch andere unberechtigte Veränderungen an
Dateien.
Verhaltensregeln bei Auftreten eines Computer-Virus sind unter M 6.23
Verhaltensregeln bei Auftreten eines Computer-Virus beschrieben.
Ergänzende Kontrollfragen:
- Wann wurde die letzte Überprüfung vorgenommen? Wurde das Ergebnis
dokumentiert?
- Wurden Computer-Viren gefunden? Wenn ja, so kann dies darauf
hindeuten, daß unerlaubt unautorisierte Software eingesetzt wurde.
- Wann wurde das eingesetzte Viren-Suchprogramm zuletzt aktualisiert?

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.4
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.4

Verschluß der Diskettenlaufwerkschächte

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Mittels spezieller Einschiebvorrichtungen kann ein Diskettenlaufwerkschacht
verschlossen werden. Damit kann erreicht werden,
- daß der PC oder der Server nicht mehr von Diskette unkontrolliert gebootet
werden kann,
- daß Software nicht unkontrolliert eingespielt werden kann und
- daß Daten nicht mehr unberechtigt auf Diskette kopiert werden können.
Insbesondere sollten daher die bootfähigen Diskettenlaufwerke verschlossen
werden.
Bei der Beschaffung von Diskettenschlössern ist darauf zu achten, daß herstellerseitig eine möglichst große Anzahl unterschiedlicher Schlüssel angeboten
werden. Andererseits erfordert dies organisatorische Maßnahmen im Bereich
der Schlüsselverwaltung
Ersatzweise kann auch der Ausbau der Diskettenlaufwerke erwogen werden.
Ergänzende Kontrollfragen:
- Ist sichergestellt, daß die Diskettenlaufwerke generell verschlossen sind
und nur im Falle einer autorisierten Nutzung geöffnet werden?
- Wie werden die Schlüssel aufbewahrt?
- Ist ein Duplikat des Schlüssels sicher hinterlegt?
- Ist sichergestellt, daß die Schlüssel der eingesetzten Schlösser verschieden
sind?

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.5
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.5

Protokollierung der TK-Administrationsarbeiten

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Alle Eingaben, die über die Wartungseingänge der TK-Anlage vorgenommen
werden, sollten protokolliert werden. Dies kann entweder über einen Protokolldrucker und/oder auf anderen Speichermedien erfolgen. Auf die erzeugten
Protokolldateien darf der TK-Anlagenadministrator kein Schreibrecht
besitzen. Die vom Drucker erzeugten Ausdrucke sollten laufende Seitenzahlen
besitzen, die einzelnen Protokollmeldungen laufende Meldungsnummern.
Das BSI hat in Zusammenarbeit mit dem Zentralverband der Elektro- und
Elektronikindustrie (ZVEI) einen Katalog von Anforderungen erarbeitet, der
auch eine verbesserte Protokollierung beinhaltet. Dieser Katalog soll bei der
Beschaffung neuer TK-Anlagen für Bundesbehörden zum Tragen kommen.
Bei vorhandenen TK-Anlagen sollte überprüft werden, inwieweit die Hersteller solche verbesserten Möglichkeiten als Update anbieten können.
Ergänzende Kontrollfragen:
- Findet eine Protokollierung statt?
- Besteht die Möglichkeit festzustellen, ob der Protokolldrucker ausgeschaltet wurde?

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.6
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.6

Revision der TK-Anlagenkonfiguration (Soll-IstAbgleich)

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Revisior
Nach jeder Konfigurationsveränderung, z. B. der Freigabe einer Berechtigung
für einen Teilnehmer, sollte diese in eine Ist-Bestandsliste eingetragen
werden. Diese Liste kann per Hand oder automatisiert geführt werden. In
regelmäßigen (nicht unbedingt gleichmäßigen) Abständen (z. B. alle 6
Monate) sollte diese Ist-Bestandsliste zumindest stichprobenartig mit der
Realität verglichen werden. Unstimmigkeiten sind mit Hilfe der Protokolle
aufzuklären. Insbesondere sollte kontrolliert werden, ob
- alle nicht vergebenen Rufnummern auch wirklich nicht eingerichtet sind,
- verbotene Berechtigungen auch nirgendwo vergeben sind,
- deaktivierte Leistungsmerkmale auch wirklich inaktiv sind,
- deaktivierte Dial-In-Funktionen auch wirklich inaktiv sind.
Das BSI hat in Zusammenarbeit mit dem Zentralverband der Elektro- und
Elektronikindustrie (ZVEI) einen Katalog von Anforderungen erarbeitet, der
unter anderem auch Forderungen nach einer besseren Unterstützung von
Revisionstätigkeiten beinhaltet. Dieser Katalog soll bei der Beschaffung neuer
TK-Anlagen für Bundesbehörden zum Tragen kommen. Bei vorhandenen TKAnlagen sollte überprüft werden, inwieweit die Hersteller solche verbesserten
Möglichkeiten als Update anbieten können.
Ergänzende Kontrollfragen:
- Ist es möglich, aus den Unterlagen heraus Angaben, beispielsweise über
die Berechtigungen bestimmter Anschlüsse, zu geben?
- Wann wurde die Dokumentation das letzte Mal an der Realität überprüft?

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.7
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.7

Änderung voreingestellter Paßwörter

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
Viele IT-Systeme, TK-Anlagen und Netzkoppelelemente (bspw. ISDNRouter, Sprach-Daten-Multiplexer etc.) besitzen nach der Auslieferung durch
den Hersteller noch voreingestellte Standardpaßwörter. Diese sollten als erstes
durch individuelle Paßwörter ersetzt werden. Hierbei sind die einschlägigen
Regeln für Paßwörter zu beachten (vgl. M 2.11 Regelung des
Paßwortgebrauchs).
Achtung: Bei einigen TK-Anlagen werden vorgenommene Änderungen der
Konfiguration nur im RAM abgelegt. Dies gilt auch für Paßwortänderungen.
Daher ist nach einer solchen Operation stets eine Datensicherung vorzunehmen und eine neue Sicherungskopie zu erstellen. Unterbleibt dies, so ist nach
einem "Restart" der Anlage wieder das Standardpaßwort gültig. Weiterhin
sollte überprüft werden, ob nach Einrichten eines neuen Paßworts das Standardpaßwort tatsächlich seine Gültigkeit verloren hat und nicht weiterhin für
den Systemzugang genutzt werden kann.
Ergänzende Kontrollfragen:
- Ist die Anlage noch mit einem Standardpaßwort versehen?
- Wurden die Sicherungskopien nach der Vergabe und Speicherung des
individuellen Paßworts angelegt?
- Ist der Systemzugang mit dem Standardpaßwort nach der Eingabe eines
neuen Paßworts weiterhin möglich?
- Werden die einschlägigen Regeln zum "Paßwort-Handling" beachtet?

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.8
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.8

Schutz des TK-Bedienplatzes

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Sollte die TK-Anlage mit Hilfe eines Bedien-PC administriert werden, so ist
dieser mindestens mit den für PCs üblichen Schutzmaßnahmen, siehe
Kapitel 5.1 DOS-PC (ein Benutzer), zu versehen.
Optional:
Sollte die TK-Anlage nicht über ausreichende Sicherheitsfunktionen für
Rechteverwaltung und Zugangsschutz verfügen, so kann überlegt werden,
marktgängige Zusatzeinrichtungen (Portcontroller) einzusetzen. Mit Hilfe
solcher Geräte können sichere Identifizierungs- und Authentisierungsverfahren realisiert werden.
Ergänzende Kontrollfragen:
- Ist der Bedien-PC mit einem Passwortschutz versehen?
- Steht der Bedien-PC in einer gesicherten Umgebung?
- Wer hat Zugang zum Bedien-PC?
- Wer hat Zugriffsrechte für den Bedien-PC?

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.9
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.9

Einsatz der Sicherheitsmechanismen von
X-Windows

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Release 5 der X-Window-Software bietet nur wenige Maßnahmen, um die
Sicherheit bei der Übertragung von Daten zwischen dem X-Server und dem
X-Client zu erhöhen, so dass der Einsatz von X-Window-Software nur in
einer sicheren Umgebung empfohlen werden kann.
- Rechnerspezifische Zugriffskontrolle: Auf jedem X-Server gibt es eine
Liste zugelassener Rechner, die mit dem Befehl xhost verändert werden
kann. Sie muss auf jeden Fall auf die Rechner beschränkt bleiben, die einen
Zugriff auf den X-Server benötigen, und es sollte auf keinen Fall ein
globaler Zugriff mit xhost + ermöglicht werden. Dies kann erreicht
werden, indem explizit Rechner in der xhost-Tabelle eingetragen werden.
Darüber hinaus ist zu beachten, dass jeder Benutzer auf einem der zugelassenen Rechner uneingeschränkten Zugriff auf den X-Server hat. Diese
Art der Zugriffskontrolle kann deshalb nur dann empfohlen werden, wenn
aus zwingenden Gründen keiner der folgenden Sicherheitsmechanismen
eingesetzt werden kann.

Befehl xhost

- Benutzerspezifische Zugriffskontrolle: Der X-Server Prozess lässt sich
so konfigurieren, dass bei einem Login (z. B. mit Hilfe von xdm) ein
Schlüssel generiert wird, der zur Authentisierung bei einer Übertragung
zwischen Client und Server benutzt wird. Dieser Schlüssel (MAGIC
COOKIE) wird im Heimatverzeichnis des Benutzers in der Datei
.Xauthority abgelegt und kann mit Hilfe des Befehls xauth an den X-Client
übertragen werden. Während allerdings der MIT-MAGIC-COOKIEMechanismus nur als eine Art Passwort angesehen werden muss, das bei
seiner Übertragung abgehört werden kann, bietet ein in Verbindung mit
NIS angebotener und mit einer DES-Verschlüsselung arbeitender Mechanismus mehr Sicherheit und sollte deshalb bevorzugt werden.

MIT-MAGIC-COOKIE
NIS-Authentisierung

- Zugriffskontrolle über Secure Shell: Die Kommunikation zwischen XClient und X-Server kann auch über einen abgesicherten Kanal einer sshVerbindung erfolgen (siehe auch M 5.64 Nutzung von Secure Shell). Hierbei erfolgt sowohl eine rechnerbasierte als auch eine benutzerbasierte
Zugriffskontrolle. Die Authentisierungs- und Nutzdaten werden verschlüsselt. Für einen sicheren Betrieb von X-Windows wird die Nutzung von
Secure Shell daher empfohlen.

abgesicherter Kanal

Mit einem Zusatzprogramm können unter X-Windows die Tastendrücke eines
entfernten Rechners in Klarschrift übersetzt und eingesehen werden. Bei der
Benutzung des Programms xterm kann das Weiterleiten von Tastendrücken
verhindert werden, indem verhindert wird, dass KeyPress-Events, welche es
bekommt, noch an andere Applikationen weitergeleitet werden. Dafür muss
die secure keyboard-Option über das xterm-Menü eingeschaltet werden, so
dass das entsprechende Fenster exklusiven Zugriff auf die Tastatur hat.
Ergänzende Kontrollfragen:
- Wird verhindert, dass Benutzer durch den Befehl xhost + die rechnerspezifische Zugriffskontrolle abschalten?

Abhören von Tastatureingaben

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.10
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.10

Paßwortschutz für TK-Endgeräte

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Endgeräte, insbesondere Telefone, können oft mit einem Paßwortschutz versehen werden. Bei aktiviertem Paßwortschutz stehen Leistungsmerkmale, wie
Rufumleitung, Heranholen von Rufen etc. erst nach Eingabe des Paßwortes
zur Verfügung. Ohne die Kenntnis des Paßwortes können in der Regel nur
interne Gespräche geführt werden. Um einen Mißbrauch dieser Leistungsmerkmale zu verhindern, sollte von dieser Möglichkeit des Paßwortschutzes
immer Gebrauch gemacht werden.
Ergänzende Kontrollfragen:
- Können TK-Endgeräte mit einem Paßwortschutz versehen werden?
- Sind die Benutzer über die Möglichkeit des Paßwortschutzes aufgeklärt
worden?
- Wenn ja, wird diese Option in der Praxis genutzt?

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.11
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.11

Absicherung der TK-Anlagen-Schnittstellen

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Schnittstellen einer TK-Anlage, über die Administrationstätigkeiten ausgeführt werden können, stellen schützenswerte Punkte dar. Sie sollten daher
besonders abgesichert werden. Über unbenutzte oder ungesicherte Schnittstellen können von Unbefugten, etwa unter Zuhilfenahme eines Laptops,
Manipulationen am System durchgeführt werden. Der Paßwortschutz auf
einen TK-Bedienplatz oder PC-Gateway wäre in einem solchen Fall
wirkungslos. Ziel ist es also, dies zu verhindern, zumindest aber den Versuch
erkennbar zu machen. Aus diesem Grund sollten die benutzten Schnittstellen
gut verschraubt und ggf. zusätzlich verplombt werden. Unbenutzte Schnittstellen können durch verschraubte und verplombte Abschlußkappen gesichert
werden.
Ergänzende Kontrollfragen:
- Sind alle Schnittstellen bekannt, über die die TK-Anlage konfigurierbar
ist?
- Existieren an der Anlage frei zugängliche Schnittstellen?
- Sind die vorhandenen Anschlußkabel mechanisch an beiden Enden
gesichert?

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.12
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.12

Sperren nicht benötigter Leistungsmerkmale

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Umfang der verfügbaren Leistungsmerkmale sollte auf das notwendige
Minimum beschränkt werden. Die Software nicht benötigter Leistungsmerkmale sollte, wenn möglich, von der Anlage entfernt werden. Da dies in vielen
Fällen nicht möglich ist, können diese Leistungsmerkmale nur gesperrt
(deaktiviert) werden. Von Zeit zu Zeit sollte überprüfte werden, ob diese
Leistungsmerkmale auch wirklich gesperrt sind.
Ergänzende Kontrollfragen:
- Werden freigegebene Leistungsmerkmale auf ihren tatsächlichen Bedarf
geprüft?
- Werden nicht genutzte und somit offensichtlich nicht erforderliche
Leistungsmerkmale gesperrt?

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.13
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.13

Sorgfältige Vergabe von IDs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In Unix-Systemen werden anhand von Benutzer- und Gruppenkennungen von
Prozessen und Dateien unter anderem Verursacher von Aktionen festgestellt
und Rechte vergeben. Daher ist eine sorgfältige Vergabe dieser Kennungen
erforderlich.
Jeder Login-Name, jede Benutzer-ID (UID) und jede Gruppen-ID (GID) darf
nur einmal vorkommen. Auch nach dem Löschen eines Benutzers bzw. einer
Gruppe sollen Login-Name und UID bzw. GID für eine bestimmte Zeit nicht
neu vergeben werden. Bei vernetzten Systemen muß auch systemübergreifend
darauf geachtet werden, dass Benutzernamen und IDs nicht mehrfach
vergeben werden. Dies ist insbesondere bei der Verwendung von NFS wegen
der Umsetzung der UIDs wichtig, damit keine Daten unberechtigt gelesen
werden können.
Jeder Benutzer muss Mitglied mindestens einer Gruppe sein. Jede in der Datei
/etc/passwd vorkommende GID muss in der Datei /etc/group definiert sein.
Jede Gruppe sollte nur die Benutzer enthalten, die unbedingt notwendig sind.
Dieses ist insbesondere für die Systemgruppen (wie root, sys, bin, adm, news,
uucp, nuucp oder daemon) wichtig.
Logins mit UID 0 (Super-User) dürfen außer für den Systemadministrator root
nur für administrative Logins nach vorher festgelegten Regeln vergeben
werden (siehe M 2.33 Aufteilung der Administrationstätigkeiten unter Unix).
Es ist sinnvoll, für Login-Namen und UIDs bzw. GIDs Namenskonventionen
festzulegen. Weiterhin sollte regelmäßig überprüft werden, ob alle UIDs
plausibel sind. Sie sollten also z. B. nur aus Ziffern stehen bzw. keine ungültigen Kombinationen wie 00 oder 000 enthalten.
Die Dateien /etc/passwd und /etc/group sollten nicht mit Editoren bearbeitet
werden, da Fehler die Systemsicherheit stark beeinträchtigen können. Es
sollten ausschließlich die entsprechenden Administrationstools benutzt
werden, die allerdings sehr systemspezifisch sind.
Ergänzende Kontrollfragen:
- Nach welchen Regeln werden IDs vergeben?
- Werden die Dateien /etc/passwd und /etc/group regelmäßig auf Konsistenz
überprüft?
- Stehen im UID-Feld von /etc/passwd wirklich Ziffern?
- Sind alle UIDs plausibel?

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.14
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.14

Obligatorischer Passwortschutz unter Unix

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Passwortschutz für jeden Account auf einem Unix-Rechner stellt sicher,
dass nur ein berechtigter Benutzer sich unter seinem Login-Namen einloggen
kann, indem nach Eingabe des Login-Namens eine Authentisierung durch
Eingabe des Passworts erfolgt.
Bei der Verwendung von Passwörtern für Benutzer und Gruppen sind die
unter M 2.11 Regelung des Passwortgebrauchs beschriebenen Regeln zu
beachten. Es muss beachtet werden, dass bei einigen Systemen nur eine
begrenzte Zeichenanzahl bei der Passwort-Prüfung berücksichtigt wird. Zur
Realisierung dieser Maßnahmen sollten nur Programmversionen von passwd,
die die Einhaltung dieser Regeln sicherstellen, oder administrative Maßnahmen, z. B. Shellskripts und entsprechende cron-Einträge, benutzt werden.

geeignete Version von
passwd verwenden

Als weitere Möglichkeit kann auch das Unix-Standard-Kommando passwd
durch andere Passwort-Programme mit erweiterter Funktionalität ersetzt
werden. Dazu gehören auch die Public-Domain-Programme anlpasswd,
npasswd und passwd+, die bereits beim Ändern des Passwortes durch den
Benutzer das neu gewählte Passwort auf seine Güte testen und zurückweisen,
wenn dieses zu schwach ist. Sie sind z. B. über den FTP-Server
ftp://ftp.cert.dfn.de/pub/tools/password/ erhältlich.
Die Passwörter sollen nicht in der allgemein lesbaren Datei /etc/passwd,
sondern in einer für die Benutzer nicht lesbaren shadow-Passwortdatei
gespeichert sein. In jedem neueren Unix-System ist diese shadow-Möglichkeit
enthalten, aber leider nach einer Erstinstallation nicht immer aktiviert (so
muss z. B. unter RedHat Linux nach der Standardinstallation die Verwendung
der shadow-Passwortdatei mit dem Befehl pwconv aktiviert werden).
Die Datei /etc/passwd ist regelmäßig auf Benutzer-Kennungen ohne Passwort
zu untersuchen. Wird eine solche gefunden, ist der Benutzer zu sperren. Ist für
Gruppen Passwortzwang vereinbart worden, so ist entsprechend die Datei
/etc/group zu prüfen. Es empfiehlt sich jedoch, für Gruppen keine Passwörter
zu vergeben und für jede Gruppe nur so wenig Benutzer wie möglich einzutragen. Das Wechseln zwischen Gruppen, in denen der Benutzer eingetragen
ist, wird dadurch erleichtert, und unberechtigtes Wechseln durch systematisches Ausprobieren von Passwörtern mit Hilfe entsprechender Programme
ist nicht möglich.

Benutzer-Kennungen
ohne Passwort sperren

Alle Logins, insbesondere diejenigen mit UID 0, sollten regelmäßig auf das
Vorhandensein und die Güte von Passwörtern getestet werden (siehe auch
M 2.11 und M 4.26). Neben den in M 4.26 Regelmäßiger Sicherheitscheck
des Unix-Systems beschriebenen Programmen können diese Logins auch
z. B. mit
awk -F: '{if ($3=="0") print $1}' /etc/passwd
awk -F: '{if ($2=="") print $1}' /etc/passwd
ermittelt werden.

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.14
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wird die Benutzung von Passwörtern regelmäßig kontrolliert?
- Werden die Benutzer an der Wahl von schwachen Passwörtern gehindert
(z. B. mit anlpasswd)?
- Wie lange sind die Passwörter gültig?

_____________________________________________________________________ ..........................................
15.1

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.15
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.15

Gesichertes Login

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Es sollte ein Login-Programm verwendet bzw. Optionen aktiviert werden, so
dass die folgenden Maßnahmen durchgeführt werden können:
- Die Anzahl erfolgloser Login-Versuche wird beschränkt.
- Nach jedem erfolglosen Login-Versuch vergrößert sich die Wartezeit bis
zur nächsten Login-Aufforderung. Nach einer bestimmten Anzahl von
Fehlversuchen wird der Account und / oder das Terminal gesperrt. Dabei
ist zu bedenken, dass dadurch nicht der Administrator ausgesperrt werden
darf, es muss ihm an der Konsole eine Zugangsmöglichkeit offen bleiben
(siehe auch M 1.32 Geeignete Aufstellung von Konsole, Geräten mit austauschbaren Datenträgern und Druckern).
- Der Zeitpunkt des letzten erfolgreichen Logins wird dem Benutzer beim
Login gemeldet.
- Erfolglose Login-Versuche werden dem Benutzer beim Login gemeldet.
Eventuell sollte diese Meldung bei mehreren darauf folgenden Logins
wiederholt werden.
- Der Zeitpunkt des letzten Logouts wird dem Benutzer beim Login gemeldet. Hierbei wird zwischen Logouts zu einem interaktiven Login und
solchen zu einem nicht-interaktiven Login (Logout von Hintergrundprozessen) unterschieden.
- Für das Login über Netze, in denen Passwörter unverschlüsselt übertragen
werden, empfiehlt sich die zusätzliche Verwendung von Einmalpasswörtern (siehe auch M 5.34 Einsatz von Einmalpasswörtern).
Ergänzende Kontrollfragen:
- Sind die Benutzer darauf hingewiesen worden, den Zeitpunkt des letzten
erfolgreichen Logins auf Plausibilität zu überprüfen?
- Wie häufig werden erfolglose Login-Versuche dem Benutzer gemeldet?

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.16
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.16

Zugangsbeschränkungen für Accounts und /
oder Terminals

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Account und / oder das Terminal eines Benutzers sollen außerhalb der
offiziellen Arbeitszeit gesperrt werden. Soweit das nicht mit vertretbarem
Aufwand möglich ist (zum Beispiel bei sehr unregelmäßigen oder häufig
wechselnden Arbeitszeiten), sollte die Sperrung zumindest zu den Zeiten
erfolgen, die grundsätzlich außerhalb der Arbeitszeit liegen.

Sperre außerhalb der
Arbeitszeit

Falls Mitarbeiter nur an einem bestimmten Terminal oder IT-System innerhalb
des Netzes arbeiten, ist die Nutzung der Benutzer-Kennung und des
dazugehörenden Passwortes auf diesen Rechner zu beschränken, so dass ein
Einloggen von einem anderen Rechner aus ausgeschlossen ist. Insbesondere
sollte sich der Administrator nach Möglichkeit nur von der Konsole aus
anmelden. Dies kann auch technisch forciert werden (siehe auch M 4.21
Verhinderung des unautorisierten Erlangens von Administratorrechten).

Beschränkung auf bestimmte IT-Systeme

Unter Unix ist für Terminals der jeweilige Benutzer als Eigentümer des entsprechenden Gerätetreibers einzutragen. Sobald dieser sich ausgeloggt hat,
sollte automatisch wieder root Eigentümer werden. Nur der jeweilige
Benutzer sollte hierfür Leseberechtigung haben. Falls ein Benutzer Nachrichten (z. B. mit talk) von anderen Systembenutzern empfangen möchte, muss er
ihnen Schreibberechtigung für den Gerätetreiber einräumen. Es ist zu überprüfen, ob dies unbedingt notwendig ist.

Attributvergabe auf
Gerätedateien

In PC-Netzen kann die Anzahl von gleichzeitigen Anmeldungen unter einem
Account von mehreren PCs aus beschränkt werden. Zum Schutz vor dem
unbemerktem Eindringen von Angreifern sollte verhindert werden, dass sich
ein Benutzer an mehreren PCs gleichzeitig anmelden kann.
Ergänzende Kontrollfragen:
- Wurden Zeitfenster, d. h. temporäre Zugangsbeschränkungen, für alle
Accounts und Terminals eingerichtet?

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.17
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.17

Sperren und Löschen nicht benötigter Accounts
und Terminals

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Accounts, die über einen längeren Zeitraum nicht benutzt werden, sollten
gesperrt und später gelöscht werden. Wenn beim Löschen von Accounts
Dateien übrig bleiben, die keinem existierenden Benutzereintrag mehr zugeordnet sind, besteht die Gefahr, dass diese Dateien später eingerichteten
Benutzern unberechtigt zugeordnet werden.
Beim Entfernen von Benutzern sind unter Unix die entsprechenden Einträge in
/etc/passwd, /etc/group und das Heimatverzeichnis des Benutzers zu löschen.
Ebenso ist darauf zu achten, dass weitere Benutzereinträge in Dateien wie
/etc/hosts, shadow, u. a. gelöscht werden. Die Daten des Heimatverzeichnisses
sollten vorher gesichert werden. Bei der Sperrung bzw. auf jeden Fall vor dem
Löschen eines Accounts sollte der betroffene Benutzer informiert werden.
Beim Löschen von Accounts ist darauf zu achten, dass auch die Dateien des
Benutzers gefunden werden, die nicht in seinem Heimatverzeichnis liegen.
Dies kann z. B. mit dem Programm find und der Option -uid erfolgen. Solche
Dateien müssen gelöscht oder anderen Benutzern zugeordnet werden.
Weiterhin ist darauf zu achten, dass laufende Prozesse und noch anstehende
Aufträge gelöscht werden, z. B. unter Unix in der crontab.

"verwaiste" Dateien
finden

Ebenso sollten Terminals, die über einen längeren Zeitraum nicht benutzt
werden, gesperrt und später entfernt werden.
Unter Unix sind vom System vorgegebene Logins (z. B. sys, bin, adm, uucp,
nuucp, daemon und lp), die nicht benötigt werden, zu sperren, indem in das
zugehörige Passwortfeld in der Datei /etc/passwd z. B. "LOCKED" eingetragen wird.
Wenn ein neu einzurichtender Benutzer seinen Account nur für einen
begrenzten Zeitraum benötigt, sollte dieser nur befristet eingerichtet werden.
Es kann vorteilhaft sein, Accounts grundsätzlich nur befristet einzurichten und
in regelmäßigen Abständen (z. B. jährlich) bei Bedarf zu verlängern.
Ist absehbar, dass ein Benutzer eines lokalen Netzes längere Zeit abwesend ist
(Urlaub, Krankheit, Abordnung, ...), so sollte sein Account für diese Zeit im
Netz-Server gesperrt werden, so dass das Arbeiten unter seiner BenutzerKennung für diese Zeit nicht mehr möglich ist. Jeder Benutzer sollte dem
Netzadministrator Zeiten längerer Abwesenheit mitteilen.
Ergänzende Kontrollfragen:
- Wie wird überprüft, welche Accounts länger nicht benutzt wurden?
- Wird überprüft, welche Accounts nicht mehr benötigt werden?
- Wird der Netzadministration mitgeteilt, dass ein Benutzer des Netzes für
längere Zeit abwesend sein wird?
- Wird sichergestellt, dass alle Dateien und Verzeichnisse gelöschter
Accounts anderen Benutzern zugeordnet oder gelöscht werden?

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.18
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.18

Administrative und technische Absicherung des
Zugangs zum Monitor- und Single-User-Modus

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um das Aktivieren des Monitor-Modus und das Booten in den Single-UserModus zu verhindern, sollten folgende Maßnahmen ergriffen werden:
- Wenn es (abhängig von der Unix-Variante und der zugrunde liegenden
Hardware) möglich ist, muss zum Schutz des Unix-Servers ein BIOSPasswort vergeben werden.

BIOS-Passwort

- Beim Booten in den Single-User-Modus sollte das Super-User-Passwort
abgefragt werden, um Unberechtigten den Zugang zum Unix-Server zu
erschweren.

Super-User-Passwort

- Wenn Tastaturschlösser vorhanden sind, sollten diese zum Schutz der
Systemkonsole benutzt werden, um den Zugang zum Monitor-Modus zu
verhindern.

Tastaturschlösser

Diese Maßnahme wird ergänzt durch folgende Maßnahmen:
- M 1.32 Geeignete Aufstellung von Konsole, Geräten für austauschbare
Datenträger und Druckern
- M 4.21 Verhinderung des unautorisierten Erlangens von Administratorrechten
Ergänzende Kontrollfragen:
- Ist der Zugriff auf die Konsole durch Passwörter oder andere Maßnahmen
geschützt?

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.19
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.19

Restriktive Attributvergabe bei UnixSystemdateien und -verzeichnissen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die hier genannten Maßnahmen gelten für Dateien und Verzeichnisse, für die
der Administrator zuständig ist, das heißt für solche, die entweder für alle
Benutzer von Bedeutung sind oder die Administrationszwecken dienen. Es
reicht nicht aus, die Rechte eines Programms zu überprüfen, es muss auch die
Rechtevergabe aller Programme überprüft werden, die von diesem Programm
aus aufgerufen werden (insbesondere zur Vermeidung Trojanischer Pferde).

indirekt aufgerufene
Programme prüfen

Die Attribute aller Systemdateien sollten möglichst so gesetzt sein, dass nur
der Systemadministrator Zugriff darauf hat. Verzeichnisse dürfen nur die
notwendigen Privilegien für die Benutzer zur Verfügung stellen.
Das s-Bit sollte nur gesetzt sein, wenn unbedingt erforderlich. Bei Shellskripts
soll das s-Bit nicht gesetzt sein. Das s-Bit darf nur vom Administrator gesetzt
werden, die Notwendigkeit hierfür ist zu begründen und zu dokumentieren.

s-Bit vermeiden

In Verzeichnissen, in denen alle Benutzer Schreibrechte haben müssen (z. B.
/tmp), sollte das t-Bit (Sticky-Bit) gesetzt sein.
Die Integrität aller bei Unix-Systemdateien und -verzeichnissen gesetzten
Attribute sollte regelmäßig verifiziert werden, z. B. mit Tripwire oder USEIT
(siehe auch M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems).

Integrität prüfen

Ergänzende Kontrollfragen:
- Wird die Attributvergabe bei Unix-Systemdateien regelmäßig überprüft?
- Gibt es Listen, anhand derer diese Überprüfungen durchgeführt werden?
- Ist das s-Bit nur dort gesetzt, wo es unbedingt erforderlich ist?

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.20
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.20

Restriktive Attributvergabe bei UnixBenutzerdateien und -verzeichnissen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Die hier genannten Maßnahmen gelten für Dateien und Verzeichnisse eines
Benutzers (incl. Mail-Dateien).
Die Benutzer sollten die Attribute ihrer Dateien und Verzeichnisse so setzen,
dass andere Benutzer nicht darauf zugreifen können. Wenn anderen Benutzern
der Zugriff erlaubt werden soll, sollten entsprechende Benutzergruppen
eingerichtet werden.

Fremdzugriffe
verhindern

Für benutzerspezifische Konfigurationsdateien wie .profile, .exrc, .login,
.cshrc sollte nur der jeweilige Eigentümer Rechte besitzen.
Auf Unix-Systemen haben diverse Programme benutzerspezifische Konfigurationsdateien wie .exrc, .emacs oder .mailrc, die nach Programmaufruf
automatisch durchlaufen werden und Variablen und Optionen für den
Benutzer setzen. Damit in diesen keine trojanischen Pferde installiert werden
können, sollte nur der jeweilige Eigentümer Zugriffsrechte besitzen.
Die Datei .exrc wird gelesen, bevor die Editoren ex oder vi gestartet werden.
Falls sich eine gleichnamige Datei im aktuellen Verzeichnis befindet, wird
diese bei einigen Unix-Versionen ausgewertet. Alle eingesetzten UnixVersionen müssen daraufhin überprüft werden, da damit auch die Ausführung
von Betriebssystemkommandos bei jedem Editoraufruf möglich ist.
Das s-Bit sollte nur gesetzt sein, wenn unbedingt erforderlich. Bei Shellskripts
soll das s-Bit nicht gesetzt sein. Das s-Bit sollte nur nach Einbeziehung des
Administrators gesetzt werden, die Notwendigkeit hierfür ist zu begründen
und zu dokumentieren.

s-Bit vermeiden

umask
Mit umask (user file creation mode mask) wird für jeden Benutzer festgelegt,
welche Attribute zur Regelung der Zugriffsrechte eine von ihm neu angelegte
Datei erhält. In den benutzerspezifischen Konfigurationsdateien wie
/etc/profile oder den $HOME/.profile-Dateien sollte umask = 0027 (-rw-r-----)
oder umask = 0077 (-rw-------) eingestellt sein, damit die Dateiattribute für
neu angelegte Dateien nur dem Erzeuger (und evtl. der Gruppe) Zugriffsrechte
geben.
Mail-Dateien
Die Attribute der Mail-Dateien sollten regelmäßig daraufhin überprüft
werden, ob nur der jeweilige Eigentümer auf die Dateien Zugriff hat. Die
Integrität der bei den Unix-Benutzerdateien und -verzeichnissen gesetzten
Attribute sollte regelmäßig verifiziert werden, z. B. mit Tripwire oder USEIT
(siehe auch M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems).

Integrität prüfen

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.20
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Sind die Benutzer über die Bedeutung einer minimalen Rechtevergabe
informiert?
- Werden die gesetzten umask-Werte regelmäßig vom Administrator überprüft?
- Ist das s-Bit nur dort gesetzt, wo es unbedingt erforderlich ist?

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.21
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.21

Verhinderung des unautorisierten Erlangens
von Administratorrechten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Durch den Befehl su kann jeder Benutzer Super-User-Rechte erlangen, wenn
er das entsprechende Passwort besitzt. Da die Anzahl fehlerhafter Versuche
bei su nicht beschränkt ist, besteht ein erhöhtes Risiko, dass das Passwort
durch systematisches Probieren mit Hilfe entsprechender Programme herausgefunden wird. Deshalb sollte su nur für den Super-User zugänglich sein.
Alternativ könnte ein modifiziertes su installiert werden, bei dem die Anzahl
erfolgloser Versuche beschränkt ist, sich die Wartezeit bis zur nächsten
su-Aufrufmöglichkeit nach jedem erfolglosen Login-Versuch vergrößert und
nach einer bestimmten Anzahl von Fehlversuchen die Ausführmöglichkeit
und / oder das Terminal gesperrt wird. Jede Verwendung des Befehls su sollte
protokolliert werden.

Zugriffe auf su beschränken

Wenn das System es zulässt, kann der Login-Name des Super-Users anders als
root genannt werden. Als zusätzliche Super-User-Logins sollten aber nur
administrative Logins (siehe M 2.33 Aufteilung der Administrationstätigkeiten
unter Unix) geschaffen werden.
Der Administrator darf nur von der Konsole aus arbeiten, um zu verhindern,
dass bei einem Abhören der Leitung sein Passwort bekannt wird. Unter Solaris
kann dies beispielsweise erreicht werden, indem die Datei /etc/default/login
entsprechend konfiguriert wird.

nur an der Konsole
administrieren

Bei BSD-Unix kann sich root nur an Terminals einloggen, die in der Datei
/etc/ttytab als secure gekennzeichnet sind. Ist diese Option für alle Terminaleinträge entfernt, kann sich ein Administrator an einem Terminal nur mit dem
Kommando su als root einloggen. Es sollte überlegt werden, eine Benutzergruppe einzurichten, auf die die Ausführung des Kommandos su beschränkt
ist.
Ist bei BSD-Unix die Konsole in der Datei /etc/ttytab als secure gekennzeichnet, wird kein Passwort beim Hochfahren in den Single-User-Modus
abgefragt, daher muss dieser Eintrag unbedingt entfernt werden.

Konsole nicht als secure
kennzeichnen

Die Datei /etc/ftpusers enthält die Login-Namen, die sich nicht per ftp anmelden dürfen. Bei ftp werden die Passwörter über eine ungeschützte Klartextverbindung übertragen. Daher sollten administrative Zugänge (root, bin,
daemon, sys, adm, lp, smtp, uucp, nuucp, etc.) hier eingetragen werden. Bei
einigen Standardinstallationen steht root nicht in dieser Datei.

ftp für administrative
Zugänge verbieten

Wenn ein Benutzer bzw. ein Benutzer-Programm eine Super-User-Datei
(Dateien mit Eigentümer root und gesetztem s-Bit) ausführt, erhält dieser
Benutzer bzw. dieses Programm bei der Ausführung Super-User-Rechte. Das
ist für bestimmte Anwendungen erforderlich, kann aber unter Umständen auch
missbräuchlich benutzt werden. Deshalb ist darauf zu achten, dass nur die
notwendigsten Programmdateien Super-User-Dateien sind und keine weiteren
Super-User-Dateien von Dritten hinzugefügt werden.

s-Bit vermeiden

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.21
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Automatisches Mounten von Geräten für austauschbare Datenträger:
Mit sich auf dem gemounteten Laufwerk befindenden s-Bit-Programmen kann
ein Benutzer Super-User-Rechte erlangen. Automatisches Mounten sollte
daher restriktiv gehandhabt werden. Manche Unix-Versionen bieten eine
Option des mount-Befehls, der dazu führt, dass das s-Bit für das entsprechende Filesystem ignoriert wird. Bei austauschbaren Datenträgern sollte
überlegt werden, diese Option anzuwenden.

automatisches Mounten
vermeiden

Bei der Freigabe von Verzeichnissen, die von anderen Rechnern gemountet
werden dürfen, sind die unter M 5.17 Einsatz der Sicherheitsmechanismen von
NFS beschriebenen Einschränkungen zu beachten. Es sollten insbesondere
keine Verzeichnisse mit root-Rechten und nur bei Bedarf Verzeichnisse mit
Schreibrechten freigegeben werden.
Diese Maßnahme wird ergänzt durch folgende Maßnahmen:
- M 1.32 Geeignete Aufstellung von Konsole, Geräten für austauschbare
Datenträger und Druckern
- M 4.18 Administrative und technische Absicherung des Zugangs zum
Monitor- und Single-User-Modus
Ergänzende Kontrollfragen:
- Ist der Befehl su nur für den Administrator ausführbar?
- Wird die Verwendung des Befehls su automatisch protokolliert?
- Wer hat Schreibzugriff auf die entsprechenden Konfigurationsdateien?

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.22
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.22

Verhinderung des Vertraulichkeitsverlusts
schutzbedürftiger Daten im Unix-System

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Mit Unix-Befehlen wie ps, finger, who, last lassen sich Informationen über
einen Benutzer (z. B. Arbeitsverhalten) ermitteln. Viele Unix-Derivate
enthalten dazu noch weitere Befehle wie z. B. listusers unter Solaris. Es ist zu
überlegen, ob das Ausführen dieser Befehle für jeden Benutzer erlaubt sein
soll (Datenschutz, Ausspähen von Login-Namen u. Ä.). Im Zweifelsfall sollte
der Zugriff auf diese Befehle beschränkt werden.

Zugriff auf Kommandos
beschränken

Beim Aufruf von Kommandos dürfen keine sensitiven Informationen als
Parameter mit eingegeben werden, wie z. B. ein Passwort, da andere Benutzer
mit ps diese Angaben sehen können.

Passwörter nicht als
Kommandoparameter
übergeben

Die Protokolldateien wie wtmp, utmp, wtmpx, utmpx, etc. sollten nach
Möglichkeit durch geeignete Zugriffsrechte vor unbefugtem Auslesen
geschützt werden, da hieraus eine Vielzahl von Informationen über die
Benutzer herausgelesen werden kann.

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.23
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.23

Sicherer Aufruf ausführbarer Dateien

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Es muss sichergestellt werden, dass nur freigegebene Versionen ausführbarer
Dateien und keine eventuell eingebrachten modifizierten Versionen
(insbesondere Trojanische Pferde) aufgerufen werden.
Daher soll das jeweils aktuelle Arbeitsverzeichnis (.) nicht als Pfad in der
Variable PATH enthalten sein. Ausführbare Dateien sollen nur in dafür vorgesehenen Verzeichnissen gespeichert sein. In den in einer PATH-Variable enthaltenen Verzeichnissen darf nur der Eigentümer Schreibrecht haben. Dieses
soll regelmäßig überprüft werden. Bei Unix-Systemen mit IFS-Variable soll
diese auf den Standardwert (space, tab und newline) gesetzt sein und insbesondere nicht auf "/".

aktuelles Verzeichnis
nicht im Suchpfad

Ergänzende Kontrollfragen:
- Werden die PATH-Einträge regelmäßig überprüft?
- Befinden sich ausführbare Dateien verstreut im System?
- Sind die Regelungen für ausführbare Dateien den Benutzern bekannt?
- Wird die Integrität der entsprechenden Konfigurationsdateien regelmäßig
verifiziert (z. B. mit Tripwire oder USEIT)?

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.24
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.24

Sicherstellung einer konsistenten
Systemverwaltung

Verantwortlich für Initiierung: Leiter
IT,
Administrator

IT-Sicherheitsmanagement,

Verantwortlich für Umsetzung: Administrator
In vielen komplexen IT-Systemen, z. B. unter Unix oder in einem Netz, gibt
es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. Unter
Unix ist das der Super-User root, in einem Novell-Netz der SUPERVISOR
bzw. admin. Durch fehlende Beschränkungen ist die Gefahr von Fehlern oder
Missbrauch besonders hoch.
Um Fehler zu vermeiden, soll unter dem Super-User-Login nur gearbeitet
werden, wenn es notwendig ist; andere Arbeiten soll auch der Administrator
nicht unter der Administrator-Kennung erledigen. Insbesondere dürfen keine
Programme anderer Benutzer unter der Administrator-Kennung aufgerufen
werden. Ferner sollte die routinemäßige Systemverwaltung (zum Beispiel
Backup, Einrichten eines neuen Benutzers) nur menügesteuert durchgeführt
werden können.

nicht unter Super-UserLogin arbeiten

Durch Aufgabenteilung, Regelungen und Absprache ist sicherzustellen, dass
Administratoren keine inkonsistenten oder unvollständigen Eingriffe vornehmen. Zum Beispiel darf eine Datei nicht gleichzeitig von mehreren
Administratoren editiert und verändert werden, da dann nur die zuletzt
gespeicherte Version erhalten bleibt.

Absprache unter den
Administratoren

Wenn die Gefahr des Abhörens von Leitungen zu Terminals besteht, sollte der
Administrator nur an der Konsole arbeiten, damit keine Passwörter abgehört
werden können. Bei der Administration von Unix-Systemen kann eine
verschlüsselte Kommunikation mit dem Protokoll Secure Shell erfolgen.
Hiermit ist eine gesicherte Administration von entfernten Arbeitsstationen aus
möglich (siehe auch M 5.64 Nutzung von Secure Shell).

Secure Shell verwenden

Für alle Administratoren sind zusätzliche Benutzer-Kennungen einzurichten,
die nur über die eingeschränkten Rechte verfügen, die die Administratoren zur
Aufgabenerfüllung außerhalb der Administration benötigen. Für Arbeiten, die
nicht der Administration dienen, sollen die Administratoren ausschließlich
diese zusätzliche Benutzer-Kennungen verwenden.
Alle durchgeführten Änderungen sollten dokumentiert werden, um diese
nachvollziehbar zu machen und die Aufgabenteilung zu erleichtern (siehe
auch M 2.34 Dokumentation der Veränderungen an einem bestehenden
System). Für die nachträgliche Überprüfung durchgeführter Administratortätigkeiten kann mit dem Unix-Befehl script ein Protokoll der eingebenen
Befehle angefertigt werden. Dieser Befehl protokolliert die gesamte TerminalSitzung in einer ASCII-Datei. Solch eine Datei kann dann bei Bedarf einem
elektronischen oder ausgedruckten Administrations-Journal beigefügt werden.

Änderungen dokumentieren

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.24
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wie ist sichergestellt, dass Eingriffe des Administrators nicht zu Inkonsistenzen führen?
- Werden vor größeren Eingriffen Backups gefahren?
- Haben die Administratoren zusätzliche Benutzer-Kennungen mit eingeschränkten Rechten?
- Werden standardmäßig die zusätzlichen Benutzer-Kennungen benutzt?
- Wird ein Administrations-Journal geführt? Werden dort alle Änderungen
dokumentiert?

_____________________________________________________________________ ..........................................
27.1

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.25
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.25

Einsatz der Protokollierung im Unix-System

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Protokollmöglichkeiten des einzelnen Unix-Systems sind einzusetzen und
gegebenenfalls durch Programme oder Shellskripts zu ergänzen.
Folgende Maßnahmen sollen ergriffen werden:
- Die Protokoll-Dateien müssen regelmäßig ausgewertet werden. Die
Auswertung sollte nicht immer zum selben Zeitpunkt erfolgen, um zu
verhindern, dass ein Angreifer diese Tatsache ausnutzt. Wenn z. B. der
Administrator jeden Tag um 17.00 Uhr die Systemaktivitäten überprüft,
kann ein Angreifer um 18.00 Uhr unbemerkt tätig werden.

regelmäßige Auswertung

- Je nach Art der protokollierten Ereignisse kann es erforderlich sein,
schnellstmöglich einzugreifen. Damit der Administrator über solche
Ereignisse (z. B. Protokolldatei zu groß, wichtige Serverprozesse abgebrochen, mehrfach versuchte root-Logins während ungewöhnlicher Tageszeiten, etc.) automatisch informiert wird, sollten halbautomatische
Logfileparser für die Alarmierung eingesetzt werden (z. B. swatch,
logsurfer oder checksyslog).

automatische
Alarmierung

- Soweit erforderlich, sollten die Protokolldateien gesichert werden, bevor
sie zu groß oder vom System gelöscht werden.
- Informationen aus Dateien wie wtmp, utmp, wtmpx, utmpx, etc. sollten mit
Skepsis betrachtet werden, da diese Dateien leicht zu manipulieren sind.
- Die Datei-Attribute der Protokolldateien sollten so gesetzt sein, dass
Unberechtigte keine Änderungen oder Auswertungen der Protokolle vornehmen können.
- Folgende Protokolldateien sollten mindestens erstellt und kontrolliert
werden: Logins (auch Fehlversuche), Aufruf von su, Fehlerprotokollierungsdatei / Protokollierung wichtiger Vorgänge (errorlog), Administratortätigkeiten (insbesondere von root ausgeführte Befehle). Weitere Einzelheiten finden sich in M 4.106 Aktivieren der Systemprotokollierung.
Der Befehl last zeigt Login- und Logout-Informationen wie Zeitpunkt und
Terminal für jeden Benutzer an. Der Administrator sollte mit diesem
Befehl regelmäßig überprüfen, ob sich Benutzer auf ungewöhnlichem Weg
anmelden, z. B. über Modemleitungen oder über FTP.
Wenn auf vielen Systemen Protokolldaten anfallen sollten, empfiehlt sich der
Einsatz eines dedizierten Loghosts, der besonders abgesichert ist. Das Weiterleiten (Forward) der Syslog-Meldungen auf diesen Loghost muss in der
Syslog-Konfigurationsdatei aktiviert werden (siehe M 4.106 Aktivieren der
Systemprotokollierung).

dedizierter Loghost

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.25
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Werden die Protokolldateien regelmäßig ausgewertet?
- Ist die Protokollierung noch aktiv und ausreichender Speicherplatz
vorhanden?
- Wird die Integrität der Konfigurationsdateien für die Protokollierung
regelmäßig verifiziert und protokolliert (z. B. mit Tripwire oder USEIT)?
- Wie werden die Protokolldateien archiviert und gegen Manipulation und
unbefugte Einsichtnahme geschützt?

_____________________________________________________________________ ..........................................
28.1

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.26
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.26

Regelmäßiger Sicherheitscheck des UnixSystems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Unix-Betriebssysteme bieten standardmäßig verschiedene Sicherheitseigenschaften an. Diese können jedoch nur zum Erfolg führen, wenn sie sinnvoll
eingesetzt werden. Die hierfür notwendigen Einstellungen sollen mit Hilfe von
Tools automatisiert überprüft werden, um

Tools verwenden

- Inkonsistenzen innerhalb eines Unix-Systems erkennen und beseitigen zu
können und
- den Systemverwalter in die Lage zu versetzen, das Unix-Betriebssystem
unter optimaler Ausnutzung der gegebenen Sicherheitsmechanismen zu
verwalten.
Diese Prüfung kann mit im Unix-System vorhandenen Programmen, selbsterstellten Shellskripts oder Public-Domain-Programmen erfolgen. Für einige
Unix-Varianten sind auch kommerzielle Programme verfügbar.
Beispiele:
- pwck
Dieser Befehl gehört zu den Standard-Betriebssystemkommandos. Mit
diesem Befehl nimmt man eine Konsistenzprüfung der Datei /etc/passwd
vor. Es wird überprüft, ob alle notwendigen Einträge vorgenommen
wurden, ob das Login-Verzeichnis für den Benutzer existiert und ob das
Login-Programm vorhanden ist. Ähnliche Funktionen beinhaltet unter
Solaris der Befehl logins, mit dem auch Accounts ohne Passwort gefunden
werden können.
- grpck
Mit diesem Befehl nimmt man eine Konsistenzprüfung der Datei
/etc/group vor. Er gehört ebenfalls zu den Standard-Betriebssystemkommandos. Es wird überprüft, ob alle notwendigen Einträge vorgenommen wurden, ob alle Mitglieder einer Gruppe auch in der Benutzerpasswortdatei vorhanden sind und ob die Gruppennummer mit der dort
angegebenen übereinstimmt.
- tripwire
Mit diesem Programm können Integritätsprüfungen von Dateien durchgeführt werden. Dazu werden Prüfsummen über Dateien gebildet und in
einer Datenbank gespeichert. tripwire ist in verschiedenen kostenlosen
Versionen verfügbar.
- cops
Dieses Public-Domain-Programm dient zur Überprüfung der Sicherheit
von Unix-Systemen, z. B. werden verschiedene Systemeinstellungen,
Zugriffsrechte, SUID-Dateien etc. überprüft und potentielle Sicherheitslücken aufgezeigt.

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.26
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- tiger
Mit diesem Public-Domain-Programm können Unix-Systeme ähnlich wie
mit cops auf Sicherheitslücken überprüft werden.
- SATAN
Mit diesem Public-Domain-Programm kann die Netz-Sicherheit analysiert
werden. Es überprüft vernetzte Unix-Systeme auf bekannte, aber oftmals
nicht beseitigte Schwachstellen.
- BSI-Tool Sichere Unix-Administration (USEIT)
USEIT hat das BSI entwickeln lassen, um es Systemverwaltern zu
ermöglichen, mit einem Tool die Sicherheitseinstellungen eines UnixSystems automatisiert zu überprüfen. Es werden Prüfungen der Konsistenz
von Systemdateien und des Systems selbst vorgenommen, die
Passwortstärke wird geprüft und unsichere Prozesse festgestellt. Es werden
Prüfsummen von Dateien und Dateiattributen erzeugt und geprüft. Die
Netzsicherheit wird überprüft und Penetrationstests können durchgeführt
werden. Unsichere Ports und Dienste werden geprüft. Die Protokollierung
wird überwacht. Kontrollen der eingespielten Hersteller-Patches und der
zutreffenden CERT-Veröffentlichungen werden durchgeführt. Weitere
Details zu USEIT können der IT-Grundschutz-CD entnommen werden.
- crack
Mit diesem Public-Domain-Programm überprüft man, ob zu einfache,
leicht erratbare Passwörter vorhanden sind.
Ergänzende Kontrollfragen:
- Werden die Durchführung und die Ergebnisse des Sicherheitschecks dokumentiert?
- Welche Schwachstellen werden durch die eingesetzten Programme und
Shellskripts überprüft?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Januar 2000
30

M 4.27
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.27

Paßwortschutz am tragbaren PC

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Jeder tragbare PC sollte mit einem Paßwortschutz versehen werden, der verhindert, daß der PC unberechtigt benutzt werden kann. Die im Umgang mit
Paßwörtern zu beachtenden Regeln sind in M 2.11 Regelung des Paßwortgebrauchs aufgeführt worden. Bei modernen tragbaren PCs sollte das BIOSBootpaßwort aktiviert werden, wenn dessen Nutzung möglich ist. Erst nach
Eingabe des korrekten Bootpaßwortes wird der Rechner dann hochgefahren.
Ist keine Paßwortroutine installiert, sollte, wenn keine Verschlüsselung der
Daten erfolgt, die Speicherung von schutzbedürftigen Daten auf der Festplatte
verboten und deren Speicherung stattdessen nur auf Disketten zugelassen
werden. Diese Disketten sind dann getrennt vom tragbaren PC aufzubewahren, zum Beispiel in der Brieftasche.
Einige tragbare PCs sehen auch die Möglichkeit einer Pausenschaltung vor,
die über eine spezielle Tastenkombination aktiviert werden kann. Erst nach
Eingabe des entsprechenden Paßwortes ist die weitere Nutzung des tragbaren
PC möglich. Ist eine Pausenschaltung vorhanden, so sollte sie für kurze
Arbeitsunterbrechungen genutzt werden. Ist es absehbar, daß die Unterbrechung länger dauert, ist der Rechner auszuschalten.
Ergänzende Kontrollfragen:
- Werden Paßwörter für tragbare PC benutzt? Werden die Regeln für den
korrekten Umgang mit Paßwörtern eingehalten?
- Wird bei der Übergabe eines tragbaren PC das Paßwort gewechselt?

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.28
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.28

Software-Reinstallation bei Benutzerwechsel
eines tragbaren PC

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Wechselt der Benutzer eines tragbaren PC, so muß sichergestellt sein, daß auf
dem PC weder schutzbedürftige Daten noch Computer-Viren vorhanden sind.
Die Löschung von Daten kann durch vollständiges Überschreiben oder mit
Hilfe spezieller Löschprogramme vorgenommen werden. Ein aktuelles VirenSuchprogramm muß anschließend zum Einsatz kommen. Beide Vorgänge
müssen für alle benutzen Datenträger (Festplatte, Diskette) durchgeführt
werden.
Es empfiehlt sich jedoch, die Festplatte des tragbaren PC neu zu formatieren
und anschließend die erforderliche Software und Daten neu aufzuspielen.
Beim Formatieren von DOS-Datenträgern ist darauf zu achten, daß der Parameter /U (in DOS 6.2 enthalten) benutzt wird, damit das Formatieren nicht
über den Befehl unformat wieder rückgängig gemacht werden kann.
Ergänzende Kontrollfragen:
- Wird vor der Formatierung sichergestellt, daß der vorhergehende Benutzer
keinerlei Daten von dem tragbaren PC mehr benötigt?

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.29
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.29

Einsatz eines Verschlüsselungsproduktes für
tragbare PCs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Um zu verhindern, daß aus einem trotz aller Vorsichtsmaßnahmen gestohlenen tragbaren PC schutzbedürftige Daten ausgelesen werden können, sollte
ein Verschlüsselungsprogramm eingesetzt werden. Mit Hilfe der marktgängigen Produkte ist es möglich, einzelne Dateien, bestimmte Bereiche oder die
ganze Festplatte so zu verschlüsseln, daß nur derjenige, der über den geheimen Schlüssel verfügt, in der Lage ist, die Daten zu lesen und zu gebrauchen.
Die Sicherheit der Verschlüsselung hängt dabei von drei verschiedenen
Punkten zentral ab:
- Der verwendete Verschlüsselungsalgorithmus muß so konstruiert sein, daß
es ohne Kenntnis des verwendeten Schlüssels nicht möglich ist, den Klartext aus dem verschlüsselten Text zu rekonstruieren. Nicht möglich bedeutet dabei, daß der erforderliche Aufwand zum Brechen des Algorithmus
bzw. zum Entschlüsseln in keinem Verhältnis steht zum dadurch erzielbaren Informationsgewinn.
- Der Schlüssel ist geeignet zu wählen. Nach Möglichkeit sollte ein Schlüssel zufällig erzeugt werden. Wenn es möglich ist, einen Schlüssel wie ein
Paßwort zu wählen, sollten die diesbezüglichen Regeln aus M 2.11 Regelung des Paßwortgebrauchs beachtet werden.
- Der Verschlüsselungsalgorithmus (das Programm), der verschlüsselte Text
und die Schlüssel dürfen nicht zusammen auf einem Datenträger gespeichert werden. Es bietet sich an, den Schlüssel einzeln aufzubewahren. Dies
kann dadurch geschehen, daß er auf einer Pappkarte in Form einer
Scheckkarte aufgeschrieben und anschließend wie eine Scheckkarte im
Portemonnaie aufbewahrt wird. Werden die Schlüssel auf Disketten
gespeichert, so sollten die Disketten getrennt vom tragbaren PC aufbewahrt
werden (z. B. in der Brieftasche).
Eine Verschlüsselung kann online oder offline vorgenommen werden. Online
bedeutet, daß sämtliche Daten der Festplatte (bzw. einer Partition) verschlüsselt werden, ohne daß der Benutzer dies aktiv veranlassen muß. Eine OfflineVerschlüsselung wird explizit vom Benutzer initiiert. Er muß dann auch entscheiden, welche Dateien verschlüsselt werden sollen. Zur Auswahl und
Nutzung von kryptographischen Verfahren sollte auch Kapitel 3.7 Kryptokonzept beachtet werden.
Für den Bereich der öffentlichen Verwaltung kann das BSI für den Einsatz auf
stationären und tragbaren PCs ein Offline-Verschlüsselungsprogramm unter
gewissen Randbedingungen zur Verfügung stellen, das den Sicherheitsanforderungen im Bereich des mittleren Schutzbedarfs genügt. Ein Anforderungsvordruck befindet sich im Teil Hilfsmittel des vorliegenden
IT-Grundschutzhandbuchs.

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.29
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Werden die Benutzer im Umgang mit dem Verschlüsselungsprogramm
geschult?
- Werden Daten und Schlüssel getrennt aufbewahrt?

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.30
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.30

Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Einige der Standardprodukte im PC-Bereich bieten eine Reihe von nützlichen
IT-Sicherheitsfunktionen, deren Güte im einzelnen unterschiedlich sein kann,
aber Unbefugte behindern bzw. mögliche Schäden verringern. Im folgenden
seien fünf dieser Funktionen kurz erläutert:
- Paßwortschutz bei Programmaufruf: das Programm kann nur gestartet
werden, wenn vorher ein Paßwort korrekt eingegeben wurde. Dies
verhindert die unberechtigte Nutzung des Programms.
- Zugriffsschutz zu einzelnen Dateien: das Programm kann nur dann auf eine
geschützte Datei zugreifen, wenn das mit dieser Datei verknüpfte Paßwort
korrekt eingegeben wird. Dies verhindert den unerlaubten Zugriff mittels
des Programms auf bestimmte Dateien.
- Automatische Speicherung von Zwischenergebnissen: das Programm
nimmt eine automatische Speicherung von Zwischenergebnissen vor, so
daß ein Stromausfall nur noch die Datenänderungen betrifft, die nach
dieser automatischen Speicherung eingetreten sind.
- Automatische Sicherung der Vorgängerdatei: wird eine Datei gespeichert,
zu der im angegebenen Pfad eine Datei gleichen Namens existiert, so wird
die zweite Datei nicht gelöscht, sondern mit einer anderen Kennung
versehen. Damit wird verhindert, daß versehentlich eine Datei gleichen
Namens gelöscht wird.
- Verschlüsselung von Dateien: das Programm ist in der Lage, eine Datei
verschlüsselt abzuspeichern, so daß eine unbefugte Kenntnisnahme verhindert werden kann. Die Inhalte der Datei sind damit nur denjenigen zugänglich, die über den verwendeten geheimen Kryptierschlüssel verfügen.
- Automatisches Anzeigen von Makros in Dateien: diese Funktion soll das
unbeabsichtigte Ausführen von Makros verhindern (Makro-Viren).
Je nach eingesetzter Software und damit vorhandenen Zusatzsicherheitsfunktionen kann der Einsatz dieser Funktionen sinnvoll sein. Für mobil eingesetzte
IT-Systeme bietet sich insbesondere die Nutzung des Paßwortschutzes bei
Programmaufruf und die automatischen Speicherung an.
Ergänzende Kontrollfragen:
- Welche Sicherheitsfunktionen bieten die eingesetzten Softwareprodukte?
- Welche dieser Funktionen werden regelmäßig genutzt?
- Werden die Benutzer auf diese Funktionen hingewiesen?
- Werden die sicherheitsrelevanten Hinweise in Handbüchern oder Zertifizierungsreports beachtet?

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.31
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.31

Sicherstellung der Energieversorgung im
mobilen Einsatz

Verantwortlich für Initiierung: IT-Benutzer
Verantwortlich für Umsetzung: IT-Benutzer
Um die Energieversorgung eines tragbaren PC auch im mobilen Einsatz aufrechterhalten zu können, werden üblicherweise Batterien eingesetzt. Je nach
Kapazität der Batterie und Bauweise des tragbaren PC reicht dies für einen
beschränkten Zeitraum, z. B. einige Stunden, aus. Damit nach Abfall der Betriebsspannung keine Daten in flüchtigen Speichern verloren gehen, sollten
einige Randbedingungen eingehalten werden:
- die Warnanzeigen des tragbaren PC (falls vorhanden), die den Spannungsabfall anzeigen, dürfen nicht ignoriert werden; es ist ggf. rechtzeitig eine
Datensicherung durchzuführen,
- falls es absehbar ist, daß der mobile Einsatz längerfristig ist, sind aufladbare Batterien vorher nachzuladen und ggf. geladene Ersatzbatterien mitzuführen,
- bei der Übergabe eines mobilen IT-Systems ist der ausreichende Ladezustand der Batterien sicherzustellen.
- Das Ladenetzteil kann optional mitgeführt werden.
Es empfiehlt sich darüber hinaus, während der Nutzung des mobilen ITSystems in kurzen Abständen die verarbeiteten Daten auf einem nichtflüchtigen Medium zu speichern. Dazu können auch automatische Datensicherungen in Standardprogrammen benutzt werden.

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.32
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.32

Physikalisches Löschen der Datenträger vor
und nach Verwendung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher
Neben den in Maßnahme M 2.167 Sicheres Löschen von Datenträgern
enthaltenen Hinweisen zur Löschung oder Vernichtung von Datenträgern sind
für den Datenträgeraustausch folgende Punkte zu beachten:
Magnetische Datenträger, die für den Austausch bestimmt sind, sollten vor
dem Beschreiben mit den zu übermittelnden Informationen physikalisch
gelöscht werden. Es soll damit sichergestellt werden, daß keine Restdaten
weitergegeben werden, für deren Erhalt der Empfänger keine Berechtigung
besitzt.
Eine für den mittleren Schutzbedarf ausreichende physikalische Löschung
kann erreicht werden, indem der komplette Datenträger oder zumindest die
genutzten Bereiche mit einem bestimmten Muster überschrieben werden.
Möglich ist auch eine Formatierung des Datenträgers, wenn diese nicht wieder
rückgängig gemacht werden kann (Beispiel DOS Version 5.0: format /u). Es
werden einige handelsübliche Produkte angeboten, die sogar die physikalische
Löschung einzelner Dateien gewährleisten.
In der Regel sind die übertragenen Daten auch für den Empfänger schützenswert. Analog ist auch hier nach dem Wiedereinspielen der Daten eine physikalische Löschung des Datenträgers vorzusehen.
Auf den Einsatz von optischen Datenträger (hier: WORM) ist zum Zwecke
des Datenaustausches dann zu verzichten, wenn sich darauf weitere, nicht für
den Empfänger bestimmte Informationen befinden, die nicht gelöscht werden
können.
Ergänzende Kontrollfragen:
- Ist den für den Austausch der Datenträger Verantwortlichen das Verfahren
des physikalischen Löschens bekannt?
- Stehen diesen Mitarbeitern geeignete Programme zum physikalischen
Löschen bereit?
- Sind die Empfänger von schützenswerten Informationen über den Schutzwert der übermittelten Daten informiert?

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.33
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.33

Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Neben den in M 2.3 Datenträgerverwaltung dargestellten Umsetzungshinweisen sollte unmittelbar vor und unmittelbar nach einer Datenübertragung
sowie beim Austausch bzw. beim Versand von Disketten oder anderen
Datenträgern eine Viren-Überprüfung durchgeführt werden (vgl. M 4.3
Einsatz von Viren-Suchprogrammen). Dabei ist darauf zu achten, daß das
eingesetzte Viren-Suchprogramm auch Makro-Viren erkennen kann.
Ein Protokoll der Absender-Überprüfung sollte dem übermittelten Datenträger
beigefügt oder einer Datei, die elektronisch versandt wird, angehängt werden.
Es empfiehlt sich, dieses Protokoll als Kopie zu verwahren. Der Empfänger
hätte anhand dieses Protokolls einen ersten Eindruck von der Integrität der
übermittelten Daten. Dies entbindet jedoch nicht von einer erneuten
Virenüberprüfung. Der Absender kann andererseits bei eventuellen
Beschwerden bezüglich Virenbefall der Daten plausibel machen, daß ein
Befall bei ihm unwahrscheinlich war.
Ergänzende Kontrollfragen:
- Wird ein möglichst aktuelles Viren-Suchprogramm eingesetzt?
- Werden die zum Austausch vorgesehen Daten vor dem Austausch auf
Viren überprüft?
- Wird ein Protokoll dieser Überprüfung an den Absender übermittelt?
- Werden empfangene Dateien und Datenträger vor dem Einspielen auf
Virenbefall hin überprüft?

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.34
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.34

Einsatz von Verschlüsselung, Checksummen oder
Digitalen Signaturen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Werden vertrauliche Informationen oder Informationen mit hohem Integritätsanspruch übertragen und besteht eine gewisse Möglichkeit, daß diese
Daten Unbefugten zur Kenntnis gelangen, von diesen manipuliert werden oder
durch technische Fehler verändert werden können, sollte ein kryptographisches Verfahren zum Schutz der Daten für den Transport oder die Übermittlung in Betracht gezogen werden.
Vertraulichkeitsschutz durch Verschlüsselung
Für die Übertragung vertraulicher Informationen bedarf es deren Verschlüsselung. Das entscheidende Merkmal eines Verschlüsselungsverfahrens ist die
Güte des Algorithmus sowie der Schlüsselauswahl. Ein anerkannter Algorithmus, der für den mittleren Schutzbedarf ausreicht, ist der Tripel-DES, der
auf dem Data Encryption Standard (DES) basiert. Dieser ist leicht zu programmieren, zumal der Quell-Code in vielen Fachbüchern in der Programmiersprache C abgedruckt ist. Für den Bereich der öffentlichen Verwaltung
kann das BSI für den Einsatz auf stationären und tragbaren PCs ein OfflineVerschlüsselungsprogramm (MIC 7.0) unter gewissen Randbedingungen zur
Verfügung stellen, daß den Sicherheitsanforderungen im Bereich des mittleren
Schutzbedarfs genügt. Ein Anforderungsvordruck befindet sich im Teil
Hilfsmittel des vorliegenden IT-Grundschutzhandbuchs.
Um den Anforderungen der Vertraulichkeit der zu übertragenden Informationen zu entsprechen, müssen das IT-System des Absenders und des
Empfängers den Zugriffsschutz auf das Verschlüsselungsprogramm ausreichend gewährleisten. Ggf. sollte dieses Programm auf einem auswechselbaren
Datenträger gespeichert, in der Regel verschlossen aufbewahrt und nur bei
Bedarf eingespielt/genutzt werden.
Integritätsschutz durch Checksummen, Verschlüsselung oder Digitaler
Signaturbildung
Ist für den Datenaustausch lediglich die Integrität der zu übermittelnden Daten
sicherzustellen, muß unterschieden werden, ob ein Schutz nur gegen zufällige
Veränderungen, z. B. durch Übertragungsfehler, oder auch gegen
Manipulationen geleistet werden soll. Sollen ausschließlich zufällige Veränderungen erkannt werden, können Checksummenverfahren (z. B. Cyclic
Redundancy Checks) oder fehlerkorrigierende Codes zum Einsatz kommen.
Schutz gegenüber Manipulationen bieten darüber hinaus Verfahren, die unter
Verwendung eines symmetrischen Verschlüsselungsalgorithmus (z. B. DES)
aus der zu übermittelnden Information einen sogenannten Message Authentication Code (MAC) erzeugen. Andere Verfahren bedienen sich eines asymmetrischen Verschlüsselungsalgorithmus (z. B. RSA) in Kombination mit
einer Hash-Funktion und erzeugen eine "Digitale Signatur". Die jeweiligen
erzeugten "Fingerabdrücke" (Checksumme, fehlerkorrigierende Codes, MAC,
Digitale Signatur) werden zusammen mit der Information an den Empfänger
übertragen und können von diesem überprüft werden.

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.34
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Für die Übermittlung oder den Austausch ggf. notwendiger Schlüssel sei hier
auf Maßnahme M 2.46 Geeignetes Schlüsselmanagement verwiesen. Weitere
Informationen zum Einsatz kryptographischer Verfahren und Produkte finden
sich in Kapitel 3.7 Kryptokonzept.
Ergänzende Kontrollfragen:
- Werden Verschlüsselungsprogramme oder Checksummenverfahren zum
Schutz der Vertraulichkeit oder Integrität bereitgestellt?
- Sind die für die Datenübertragung Verantwortlichen über ein ordnungsgemäßes Schlüsselmanagement informiert?
- Ist der Schutz der Vertraulichkeit/Integrität nur auf dem Transport- bzw.
Übertragungsweg oder auch auf dem Empfänger- oder Absendersystem zu
gewährleisten?

_____________________________________________________________________ ..........................................
40

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.35
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.35

Verifizieren der zu übertragenden Daten vor
Versand

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Vor dem Versenden des Datenträgers ist dieser darauf zu überprüfen, ob die
gewünschten Informationen - und auch nur diese - vom Datenträger rekonstruierbar sind.
Um die korrekte Übertragung zum Datenträger zu überprüfen, kann ein Programm eingesetzt werden, dass die ursprüngliche mit der übertragenen Datei
zeichenweise vergleicht (auf einem PC unter DOS z. B. mittels des Befehls
comp).
Auch sollten alle Dateien des Datenträgers aufgelistet werden (z. B. mit dir
unter DOS oder ls unter Unix), um sicherzustellen, dass nur für den Empfänger bestimmte Dateien auf diesem Datenträger enthalten sind.
Befanden sich vorher andere Daten auf diesem Datenträger, so sind diese
physikalisch zu löschen (M 4.32 Physikalisches Löschen der Datenträger vor
und nach Verwendung).
Ergänzende Kontrollfragen:
- Werden die auszutauschenden Datenträger vor dem Versenden darauf
überprüft, ob die gewünschten Information vollständig vom Datenträger
rekonstruierbar sind?
- Werden die auszutauschenden Datenträger vor dem Versenden üblicherweise darauf überprüft, ob nur die gewünschten Information vom Datenträger rekonstruierbar sind?

_____________________________________________________________________ ..........................................
41

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.36
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.36

Sperren bestimmter FaxempfängerRufnummern

Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fax-Verantwortlicher, Fax-Poststelle
Besteht die Notwendigkeit, das zufällige oder absichtliche Versenden von
Informationen oder Unterlagen per Fax an eine nicht gewünschte Empfängerrufnummer zu verhindern, so bietet die heutige Technik dazu mindestens drei
Lösungen:
Bei einigen Faxgeräten bzw. Faxservern ist es möglich, die Versendung von
Faxen an bestimmte Faxempfänger-Rufnummern zu unterbinden (positiver
Ausschluss) oder alternativ alle Empfängerrufnummern außer einigen
ausgewählten Rufnummern zu sperren (negativer Ausschluss).

Einstellung am Faxgerät
oder Faxserver

Die gleiche Art der Berechtigungsvergabe kann auch in modernen TKAnlagen erreicht werden, vorausgesetzt, das Faxgerät ist über eine solche
Anlage ans Telefonnetz angeschlossen.

Einstellung an der TKAnlage

Wenn ein Faxgerät oder die TK-Anlage eine solche Möglichkeit nicht bietet,
so kann zum Beispiel vom Betreiber des öffentlichen Netzes eine Zusatzeinrichtung gemietet werden, die den Verbindungsaufbau zu bestimmten
Rufnummern (positiver und negativer Ausschluss) verhindert.

Benutzung einer
Zusatzeinrichtung

Ergänzende Kontrollfragen:
- Besteht die Notwendigkeit, bestimmte Faxadressaten auszuschließen?
- Ist es vorgekommen, dass Faxsendungen an falsche Empfänger versandt
wurden?

_____________________________________________________________________ ..........................................
42

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.37
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.37

Sperren bestimmter Absender-Faxnummern

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fax-Verantwortlicher, Fax-Poststelle
Damit bestimmte Faxsendungen das eigene Faxgerät nicht blockieren können,
z. B. bei Überlastung durch spezielle Faxaktionen von Werbeagenturen, kann
ggf. eine Sperre bestimmter Sender-Faxnummern realisiert werden.
Einige moderne Faxgeräte (Gruppe 4) sind in der Lage, die übermittelte
Senderrufnummer auszuwerten und den Empfang von Faxsendungen ausgewählter Rufnummern zu verweigern. Dies gilt auch für einige Faxserver,
sofern diese an das ISDN-Netz angeschlossen sind. Daneben kann auch die
Faxabsenderkennung (CSID - Call Subscriber ID) zur Auswertung herangezogen werden. Nachteilig ist allerdings, dass der Faxabsender die
Rufnummernübermittlung unterdrücken und die übermittelte Rufnummer
sowie die Absenderkennung manipulieren kann.

Auswertung der
Senderrufnummer durch
das Faxgerät oder den
Faxserver

Eine weitere Möglichkeit besteht darin, dass beim Telefon-Netzbetreiber
kostenpflichtig eine geschlossene Benutzergruppe eingerichtet wird, wenn
Empfänger und Sender an digitalen Vermittlungsstellen angeschlossen sind.
Teilweise wird diese Möglichkeit auch von modernen TK-Anlagen angeboten
(vgl. auch Kapitel 8.1 TK-Anlage).

Einrichtung
geschlossener
Benutzergruppen

Ergänzende Kontrollfragen:
- Besteht die Notwendigkeit zur Sperre bestimmter Absender-Faxnummern?
- Sind dem Fax-Verantwortlichen die geschilderten Varianten von Gegenmaßnahmen bekannt?

_____________________________________________________________________ ..........................................
43

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.38
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.38

Abschalten nicht benötigter Leistungsmerkmale

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Nicht benötigte Leistungsmerkmale (insbesondere die Fernabfrage) sollten
nach Möglichkeit abgeschaltet werden, um vor Missbrauch und Fehlbedienung geschützt zu sein. Zur Entscheidung, ob ein Leistungsmerkmal benötigt
wird, sollten auch die damit verbundenen Sicherheitsrisiken einbezogen
werden.
Ergänzende Kontrollfragen:
- Werden die Benutzer explizit aufgefordert, nicht benötigte Leistungsmerkmale abzuschalten?

_____________________________________________________________________ ..........................................
44

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.39
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.39

Abschalten des Anrufbeantworters bei
Anwesenheit

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
In Zeiten, in denen der Anrufbeantworter nicht benötigt wird, kann er zum
Schutz gegen Mißbrauch abgeschaltet oder vom Telefonnetz getrennt werden.
Insbesondere in dem Fall, daß das Gerät über die Funktion der Raumüberwachung verfügt, sollte dies konsequent durchgeführt werden.
Zu beachten ist, daß sich in einigen Fällen die abgeschalteten Anrufbeantworter selbständig aktiveren, wenn die Verbindung nach einer gewissen Zeit
nicht aufgebaut wird (z. B. nach 10-maligem Klingeln).

_____________________________________________________________________ ..........................................
45

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.40
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.40

Verhinderung der unautorisierten Nutzung des
Rechnermikrofons

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Das Mikrofon eines vernetzten Rechners kann von denjenigen benutzt werden,
die Zugriffsrechte auf die entsprechende Gerätedatei (unter Unix zum Beispiel
/dev/audio) haben. Unter Windows NT bestimmen die Zugriffsrechte auf die
entsprechenden
Schlüssel
der
Registrierung
(HKEY_LOCAL_MACHINE\HARDWARE\.), wer das Rechnermikrofon aktivieren kann. Diese
Rechte sind daher sorgfältig zu vergeben. Der Zugriff auf die Gerätedatei
sollte nur möglich sein, solange jemand an dem IT-System arbeitet. Wenn die
Benutzung eines vorhandenen Mikrofons generell verhindert werden soll, muß
es - wenn möglich - ausgeschaltet oder physikalisch vom Gerät getrennt
werden.
Falls das Mikrofon in den Rechner integriert ist und nur durch Software einund ausgeschaltet werden kann, müssen die Zugriffsrechte so gesetzt sein, daß
es kein Unbefugter benutzen kann. Dies kann z. B. erfolgen, indem unter Unix
allen Benutzern die Leserechte auf die Gerätedatei /dev/audio bzw. unter
Windows NT die Zugriffsrechte auf die entsprechenden Schlüssel der
Registrierung entzogen werden. Dadurch ist ausgeschlossen, daß ein normaler
Benutzer das Mikrofon benutzen kann, er kann aber weiterhin Audio-Dateien
abspielen.
Bei IT-Systemen mit Mikrofon ist zu prüfen, ob Zugriffsrechte und Eigentümer bei einem Zugriff auf die Gerätedatei verändert werden. Falls dies der
Fall ist oder falls gewünscht ist, daß jeder Benutzer das Mikrofon benutzen
kann und es nicht nur in Einzelfällen durch den Systemadministrator freigegeben werden soll, muß der Administrator ein Kommando zur Verfügung
stellen, das
- nur aktiviert werden kann, wenn jemand an dem IT-System angemeldet ist,
- nur durch diesen Benutzer aktiviert werden kann und
- die Zugriffsberechtigungen dem Benutzer nach dem Abmelden wieder
entzieht.
Solange der Zugriff auf das Mikrofon durch kein sicheres Kommando geregelt
wird, muß das Mikrofon physikalisch vom Rechner getrennt werden.
Ergänzende Kontrollfragen:
- Kann das Rechnermikrofon ausgeschaltet oder physikalisch vom Rechner
getrennt werden?
- Wer hat Zugriff auf die Mikrofon-Gerätedatei bzw. auf die Teile der
Registrierung, die die Manipulation von Hardwareeinstellungen erlauben?

_____________________________________________________________________ ..........................................
46

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.41
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.41

Einsatz eines angemessenen PC-Sicherheitsproduktes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Datenschutzbeauftragter, Verantwortliche der einzelnen IT-Anwendungen
Verantwortlich für Umsetzung: Beschaffungsstelle, Administrator
Für den DOS-PC mit mehreren Benutzern ist der Einsatz eines PCSicherheitsproduktes vorzusehen. Für die Beschaffung eines Produktes oder
für die Überprüfung schon im Einsatz befindlicher Produkte kann folgende
Mindestfunktionalität als Maßstab genutzt werden. Mit ihr soll erreicht
werden, daß
- nur autorisierte Personen den PC benutzen können,
- die Benutzer auf die Daten nur in der Weise zugreifen können, die sie zur
Aufgabenerfüllung benötigen,
- Unregelmäßigkeiten und Manipulationsversuche erkennbar werden.
Empfohlene Mindestfunktionalität für PC-Sicherheitsprodukte für den
Einsatz bei DOS-PCs mit mehreren Benutzern:
- Identifikation und Authentisierung des Administrators und der Benutzer. Es
sollte eine Sperre des Systems nach 3 fehlerhaften Authentisierungsversuchen stattfinden, die nur der Administrator zurücksetzen kann. Wird ein
Paßwort verwendet, sollte das Paßwort mindestens sechs Stellen umfassen
und verschlüsselt im System gespeichert werden.
- Rechteverwaltung und -kontrolle auf Festplatten und Dateien, wobei
zumindest zwischen lesendem und schreibendem Zugriff unterschieden
werden soll.
- Rollentrennung zwischen Administrator und Benutzer. Nur der Administrator kann Rechte zuweisen oder entziehen.
- Protokollierung der Vorgänge Anmelden, Abmelden und Rechteverletzung
sollte möglich sein.
- Kein Systemzugriff auf Betriebssystemebene (DOS) darf für Benutzer
möglich sein.
- Bildschirmsperre nach zeitweiser Inaktivität der Tastatur oder Maus und
Reaktivierung mittels Identifikation und Authentisierung.
- Boot-Schutz soll verhindern, daß der PC unbefugt von Diskette gebootet
werden kann.
Sinnvolle minimale Evaluationstiefe und Mindeststärke der Mechanismen für Zertifikate nach ITSEC: E2, mittel.
Zusätzliche Forderungen an das PC-Sicherheitsprodukt:
- Benutzerfreundliche Oberfläche zur Erhöhung der Akzeptanz.
- Aussagekräftige und nachvollziehbare Dokumentation für Administrator
und Benutzer.

_____________________________________________________________________ ..........................................
47

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.41
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Wünschenswerte Zusatzfunktionalität des PC-Sicherheitsproduktes:
- Rollentrennung zwischen Administrator, Revisor und Benutzer; nur der
Administrator kann Rechte zuweisen oder entziehen und nur der Revisor
hat Zugriff auf die Protokolldaten,
- Protokollierung von Administrationstätigkeiten,
- Unterstützung der Protokollauswertung durch konfigurierbare Filterfunktionen,
- Verschlüsselung der Datenbestände mit einem geeigneten Verschlüsselungsalgorithmus und in einer Weise, daß ein Datenverlust bei Fehlfunktion (Stromausfall, Abbruch des Vorgangs) systemseitig abgefangen wird.
Die Realisierung dieser Funktionalität kann sowohl in Hardware wie auch in
Software erfolgen. Bei der Neubeschaffung eines Produktes sollte Maßnahme
M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung
berücksichtigt werden.
Eine Übersicht über PC-Sicherheitsprodukte und deren Funktionalitäten befindet sich in der BSI-BOX (s. Anhang). Die vom BSI zertifizierten IT-Produkte
und -Systeme können der BSI Schrift 7148 entnommen werden.
Übergangslösung:
Sollte eine kurzfristige Beschaffung bzw. ein zügiger Einsatz eines solchen
PC-Sicherheitsproduktes nicht möglich sein und haben die PC-Benutzer dieses
PC keine gemeinsamen Daten, kann als Übergangslösung ein Verschlüsselungsprodukt eingesetzt werden. Mit diesem Produkt muß jeder
Benutzer zu Beginn der Arbeit die ihm zugeordneten Daten entschlüsseln und
bei Beendigung der Arbeit wieder verschlüsseln. Damit kann sichergestellt
werden, daß die Vertraulichkeit der Daten gewahrt bleibt, jedoch wird nicht
verhindert, daß die verschlüsselten Daten manipuliert werden können. Die
Manipulation der Daten wird im allgemeinen bei der Entschlüsselung erkannt,
da sich nicht sinnvolle Daten ergeben.
Für den Bereich der öffentlichen Verwaltung kann das BSI für den Einsatz auf
stationären und tragbaren PCs ein Off-line-Verschlüsselungsprogramm unter
gewissen Randbedingungen zur Verfügung stellen, daß den Sicherheitsanforderungen im Bereich des mittleren Schutzbedarfs genügt. Ein Anforderungsvordruck befindet sich im Teil Hilfsmittel des vorliegenden IT-Grundschutzhandbuchs.

_____________________________________________________________________ ..........................................
48

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.42
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.42

Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Datenschutzbeauftragter, Verantwortliche der einzelnen IT-Anwendungen
Verantwortlich für Umsetzung: Anwendungsentwickler
Mehrere Gründe können zu der Notwendigkeit führen, daß innerhalb der
Anwendungsprogramme selbst Sicherheitsfunktionalitäten wie eine Zugangskontrolle, eine Zugriffsrechteverwaltung und -prüfung oder eine Protokollierung implementiert werden müssen:
- Reichen die Protokollierungsmöglichkeiten des IT-Systems einschließlich
zusätzlich eingesetzter IT-Sicherheitsprodukte nicht aus, um eine ausreichende Beweissicherung zu gewährleisten, so müssen diese Protokollelemente im Anwendungsprogramm implementiert werden. (Beispiel:
BDSG, Anlage zum § 9, Eingabekontrolle: "zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen
Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben
worden sind".)
- Reicht die Granularität der Zugriffsrechte des IT-Systems einschließlich
zusätzlich eingesetzter Sicherheitsprodukte nicht aus, um einen ordnungsgemäßen Betrieb zu gewährleisten, so muß eine Zugriffsrechteverwaltung
und -kontrolle im Anwendungsprogramm implementiert werden. (Beispiel:
eine Datenbank mit einer gemeinsamen Datenbasis. Vorausgesetzt sei, daß
je nach Funktion des Benutzers nur Zugriffe auf bestimmte Felder zulässig
sind.)
- Ist es mit dem IT-System einschließlich zusätzlich eingesetzter IT-Sicherheitsprodukte nicht möglich, den Administrator daran zu hindern, auf
bestimmte Daten zuzugreifen oder zumindest diesen Zugriff zu protokollieren und zu kontrollieren, dann muß dies bei Bedarf durch zusätzliche
Sicherheitsfunktionen im Anwendungsprogramm implementiert werden.
Zum Beispiel kann mit einer Verschlüsselung der Daten verhindert werden,
daß der Administrator diese Daten im Klartext liest, wenn er nicht im
Besitz des zugehörigen Schlüssels ist.
Diese zusätzlichen Anforderungen an IT-Anwendungen müssen schon in der
Planung und Entwicklung berücksichtigt werden, da eine nachträgliche Implementation meist aus Kostengründen nicht mehr möglich ist.
Ergänzende Kontrollfragen:
- Wird bei der Entwicklung neuer IT-Anwendungen systematisch festgestellt, welche Sicherheitsfunktionen die Anwendung bereitstellen muß?

_____________________________________________________________________ ..........................................
49

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.43
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.43

Fax-Gerät mit automatischer Eingangskuvertierung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Beschaffer
Fax-Geräte mit automatischer Eingangskuvertierung verhindern, daß eingegangene Faxe unberechtigt entnommen und unberechtigt gelesen werden.
Eingehende Faxe werden so geknickt, daß nur das Fax-Vorblatt sichtbar
bleibt, und dann in einem Klarsichtumschlag eingeschweißt. Danach fällt der
Umschlag in ein verschließbares Fach im Fax-Gerät. Zugriff auf die Umschläge hat normalerweise nur der Berechtigte, der den Schlüssel zu diesem
Fach besitzt. Eine unbefugte Kenntnisnahme ist vor Zustellung des Fax nur
durch gewaltsames Öffnen des Faches oder Aufreißen des verschweißten
Umschlages möglich und wird daher zumindest bemerkt.
Ergänzende Kontrollfragen:
- Ist die Anschaffung eines derartigen Gerätes sinnvoll?

_____________________________________________________________________ ..........................................
50

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.44
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.44

Prüfung eingehender Dateien auf Makro-Viren

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Eingehende Dateien im Wege des Datenträgeraustausch oder bei elektronischer Übermittlung sind einer Virenprüfung zu unterziehen. Dies gilt nicht
nur für reguläre Programm-Dateien, sondern auch für solche Dateien, die
mittels Anwendungsprogrammen, die eine Makrosprache verwenden können,
erstellt wurden. Für die nachfolgend aufgezählten Anwendungsprogramme ist
derzeit bekannt, daß Makros mit Schadfunktionen erzeugt wurden:
-

Winword (ab Version 2.0),
Powerpoint,
Excel,
AmiPro,
Adobe Acrobat.

Sofern ein aktuelles Virensuchprogramm eingesetzt wird, das auch MakroViren erkennt, kann auf weitere Maßnahmen verzichtet werden. Darüber
hinaus kann eine Testumgebung sinnvoll sein, um übersandte Dateien mit dem
jeweiligen Anwendungsprogramm auf Makro-Viren zu untersuchen.
Alternativ besteht die Möglichkeit, empfangene Dateien mit einem Editor zu
bearbeiten, der die Datei in ein Format umwandelt, in dem die Makros nicht
ablauffähig sind. Die empfangenen Dateien können auch mit sogenannten
Viewern geöffnet werden, die es kostenlos für die Darstellung der verbreitetsten Dateiformate gibt und die ebenfalls die Ausführung von Makros nicht
zulassen.
Dokumente sollten möglichst nur im RTF-Format nach außen gegeben
werden, da hierzu keine Makrosprache existiert und damit keine Gefahr von
Makroviren besteht. Die Umwandlung nach RTF ist im allgemeinen ohne
nennenswerte Qualitätsverluste möglich.
Als weitere Vorbeugung sollten Benutzer darauf hingewiesen werden, wie sie
die automatische Ausführung möglicherweise vorhandener Makros verhindern
können. Dies ist leider für fast alle Programme und Versionen anders und
auch nicht immer zuverlässig.
Auch in PostScript-Dateien kann es zu Problemen ähnlich wie bei MakroViren kommen. Bei PostScript-Anzeige-Programmen handelt es sich um
Interpreter, die die PostScript-Sprache abarbeiten. Ab Level 2.0 der PostScript-Spezifikation gibt es auch PostScript-Befehle, um Dateien zu schreiben.
Dadurch ist es möglich, PostScript-Dateien zu erzeugen, die während der
Bearbeitung durch einen Interpreter, auch bereits bei der Anzeige am Bildschirm, andere Dateien modifizieren, löschen oder umbenennen können.
Konkrete Probleme existieren bei dem Programm ghostscript (gs). In den
Unix-Versionen können die Schreibmöglichkeiten auf Dateien mit der Option
-dSAFER abgeschaltet werden. Allerdings ist dies nicht die Voreinstellung. In
Versionen für andere Betriebssysteme heißt diese Option ähnlich.
Die Verwendung der Option -dSAFER wird dem Benutzer überlassen. Dies
hat auch zur Folge, daß zahlreiche andere Programme, die intern ghostscript

_____________________________________________________________________ ..........................................
51

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.44
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

(gs) aufrufen (z. B. mosaic, netscape, xdvi, xfig, xv etc.), dies unterschiedlich
realisieren. Die Option sollte daher als Default eingestellt werden. Beschreibungen, wie dies zu realisieren ist, finden sich in den Sicherheitsbulletins des
DFN-CERT DSB-95:02 und DSB-95:03 vom 24. August 1995 (siehe auch
M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems).
Betroffen von diesem Problem sind z. B. alle ghostscript-Versionen von
Aladdin vor 3.22beta und die GNU-Versionen bis einschließlich 2.6.2. Bei
älteren ghostscript-Versionen kann es daneben weitere PostScript-Befehle
geben, mit denen Dateien modifiziert werden können. Es sollten nur ghostscript-Versionen eingesetzt werden, bei denen diese Probleme beseitigt
wurden.
Der PostScript-Interpreter ghostview bietet ab der Version 1.5 eine Option safer an, die die Sicherheitsfunktionen von ghostscript aktiviert. Versionen
vor 1.5 bieten diesen Schutz nicht und sollten durch die aktuelle Version
ersetzt werden.
Auch bei PDF-Dateien kann es zu ähnlichen Problemen kommen. Im Internet
findet man häufig PDF-Dateien, die mit dem kostenlos verfügbaren Acrobat
Reader gelesen werden können. In PDF-Dateien lassen sich Funktionen wie
Programmaufrufe einbetten, die ein Sicherheitsrisiko für die Dateien des lokalen IT-Systems darstellen. Die eingebetteten Funktionen können bereits beim
Öffnen des Dokuments oder durch das Bewegen im Dokument über
sogenannte Action Trigger gestartet werden, ohne daß sich der Leser dessen
bewußt ist.
Um dies zu vermeiden, sollten für das Lesen von PDF-Dateien nur Viewer
wie ghostscript eingesetzt werden, die diese Funktionalität noch nicht verarbeiten können, oder die aktuellste Version des Acrobat Reader bzw. des
Acrobat Exchange, bei denen die Benutzer über das Vorhandensein evtueller
Makros informiert werden und der Ausführung explizit zustimmen müssen.
Ergänzende Kontrollfragen
- Befindet sich ein Viren-Suchprogramm im Einsatz, das auch Makro-Viren
erkennt?
- Wurde überprüft, daß die Option -dSafer bei den eingesetzten PostScriptInterpretern aktiviert ist?

_____________________________________________________________________ ..........................................
52

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.45
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.45

Einrichtung einer sicheren Peer-to-Peer-Umgebung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für jeden Rechner im Peer-to-Peer-Netz unter WfW sollte der Administrator
die Peer-to-Peer-Funktionalitäten einzeln zulassen oder sperren und damit die
WfW-Umgebung benutzerspezifisch einschränken. Dafür benötigt er das
Administrationswerkzeug ADMINCFG.EXE.
Nach dem Aufruf von ADMINCFG.EXE muß zunächst die Sicherheitskonfigurationsdatei WFWSYS.CFG geöffnet werden, in der die Sicherheitseinstellungen des jeweiligen WfW-Rechners gespeichert sind. ADMINCFG.EXE
kann dabei nicht nach verschiedenen Benutzern auf einem WfW-Rechner
unterscheiden.
Selbst wenn die Umgebung nicht eingeschränkt werden soll, ist die
Sicherheitskonfigurationsdatei WFWSYS.CFG mit einem Paßwortschutz zu
versehen. Wird das Administrationswerkzeug ADMINCFG.EXE dazu lokal
installiert, ist es anschließend wieder zu entfernen.
Mit Hilfe des Administrationswerkzeugs ADMINCFG.EXE können unter
Sicherheitsgesichtspunkten folgende Konfigurationen für den Rechner vorgenommen werden:
Die Freigabeoptionen sind festzulegen:
- Wenn der Rechner nicht für die Freigabe von Verzeichnissen vorgesehen
ist, ist die Option "Dateifreigabe deaktivieren" einzustellen. Die
entsprechenden Funktionen stehen dann im Dateimanager nicht mehr zur
Verfügung, es ist aber weiter möglich, sich mit Verzeichnissen anderer
Rechner zu verbinden.
- Wenn der Rechner nicht für die Freigabe von Druckern vorgesehen ist, ist
die Option "Druckerfreigabe deaktivieren" einzustellen.
- Wenn der Rechner nicht für Netz-DDE-Freigabe (z. B. Telefonieren unter
WfW, Datenaustausch über die Ablagemappe) vorgesehen ist, ist die
Option "Netz-DDE-Freigabe deaktivieren" einzustellen.
Die Kennwortoptionen sind festzulegen:
- Bei aktiviertem Kennwort-Caching werden in einer Datei alle WfW-Netzverbindungen mit zugehörigen Paßwörtern gespeichert, wenn dies vom
Benutzer beim jeweiligen Verbindungsaufbau gewünscht wird.
Wiederholte Paßworteingaben sind dann später nicht mehr erforderlich.
Die Option "Kennwort-Caching deaktivieren" sollte eingestellt werden,
zumindest immer dann, wenn der WfW-Rechner nicht über einen
ausreichenden Zugangsschutz (z. B. BIOS-Paßwort) verfügt.
- "Kennworte in Freigabe-Dialogfeldern lesbar anzeigen" darf nicht aktiviert
sein, da sonst bei der Paßwort-Eingabe dieses im Klartext auf dem Bildschirm erscheint.

_____________________________________________________________________ ..........................................
53

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.45
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- "Ablauf des Anmeldekennwortes" sollte auf den in der Sicherheitsstrategie
vorgegebenen Zeitraum eingestellt werden.
- "Minimale Kennwortlänge" muß auf mindestens 6 eingestellt werden.
- "Alphanumerische Kennworte erzwingen" sollte eingestellt werden. Buchstaben-Zahlen-Kombinationen werden damit obligatorisch.
- Die Optionen "Bestätigte Anmeldung an Windows NT- oder LAN
Manager-Domäne verlangen" und "Caching von Anwenderkennwörtern
zulassen" werden an dieser Stelle nicht betrachtet, da das
Zusammenwirken von WfW mit Windows NT bzw. LAN Manager nicht
untersucht wurde.
Die Administrator-Einstellungen sind festzulegen:
- Der Administrator muß ein Paßwort für die erstellte Konfigurationsdatei
WFWSYS.CFG festlegen, das nur ihm und seinem Stellvertreter bekannt
sein darf. Dieses Paßwort ist sicher zu hinterlegen (vgl. M 2.22
Hinterlegen des Paßwortes).
- Über "Optionen aktualisieren" können voreingestellte Sicherheitsprofile
von einem Server übernommen werden. Darüber hinaus kann auch
eingestellt
werden,
daß
beim
Start
eines
Clients
die
Sicherheitskonfigurationsdatei des Servers überprüft und bei Änderungen
die lokale aktualisiert wird. Dies erleichtert dem Administrator die zentrale
Administration des WfW-Netzes, das einfache Hinzufügen weiterer WfWRechner und das Wechseln des Paßwortes für die Konfigurationsdatei.
Der Administrator muß darüber hinaus beim Einrichtung eines WfWRechners auch die weiteren Punkte beachten:
- Die Voreinstellung "Beim Start wieder freigeben" ist in den Freigabeoberflächen (Datei- und Druckmanager) zu deaktivieren.
- Die Voreinstellung "Kennwort in der Kennwortliste speichern" ist in den
Verbindungsoberflächen (Datei- und Druckmanager) zu deaktivieren.
- In der Programmgruppe SYSTEMSTEUERUNG unter Netzwerk sollte
gemäß der Namenskonvention der Computername, der Name der Arbeitsgruppe und der Standard-Anmeldename voreingestellt werden.
- Das WfW-Protokoll ist zu aktivieren (in der Programmgruppe SYSTEMSTEUERUNG unter Netzwerk). Dabei sollten sämtliche Ereignisse aufgezeichnet und die Protokolldatei ausreichend groß (z. B. 32 KByte) angelegt
werden.
- In der Programmgruppe SYSTEMSTEUERUNG unter Netzwerk sollte
über die Schaltfläche Start voreingestellt werden, ob eigene Anwendungen
des Rechners oder Zugriffe anderer mit Priorität bedient werden. Ist der
Zugriff anderer nachrangig, sollte die Priorität zugunsten schnellerer
Ausführung gewählt werden.
- Beim Einsatz von Schedule+ ist darauf zu achten, daß das standardmäßig
vergebene Recht, offene oder besetzte Zeitblöcke einzusehen, für alle nicht
berechtigten WfW-Benutzer deaktiviert wird. Jeder Teilnehmer am selben

_____________________________________________________________________ ..........................................
54

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.45
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Post-Office ist sonst in der Lage, das zeitliche Arrangement der individuellen Termine einzusehen.
Wird ein Post-Office eingerichtet, daß von mehreren Benutzern zur
Kommunikation oder zur gemeinsamen Terminplanung genutzt werden soll,
ist in Erwägung zu ziehen, von diesem eine Datensicherung in angemessenen
Zeiträumen anzulegen. Dies ist notwendig, um einem versehentlichen oder
absichtlichen Löschen des Post-Office entgegenzuwirken, da dies unter WfW
nicht sicher verhindert wird.
Ergänzende Kontrollfragen:
- Werden die vorgenommenen Einstellungen in geeigneter Form dokumentiert?
- Wurde in Erwägung gezogen, die Sicherheitseinstellungen über das Netz
zu administrieren? Dazu bietet WfW die Möglichkeit, Sicherheitsprofile
auf einem Server zu hinterlegen, die die einzelnen Clients im WfW-Netz
zur Aktualisierung abrufen.

_____________________________________________________________________ ..........................................
55

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.46
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.46

Nutzung des Anmeldepaßwortes unter WfW und
Windows 95

Verantwortlich für Initiierung: Administrator
Verantwortlich für Umsetzung: IT-Benutzer
Meldet sich ein neuer Benutzer an einem Rechner unter WfW oder
Windows 95 an, wird er gefragt, ob er eine Kennwortliste
([anmeldename].pwl) unter seinem Anmeldenamen anlegen möchte. In dieser
Liste werden dann alle diejenigen Paßwörter festgehalten, die von diesem
Benutzer beim Verbinden mit Ressourcen anderer mitgeteilt werden müssen.
Dies geschieht allerdings nur dann, wenn dieses "Caching" von Paßwörtern
auf diesem Rechner explizit erlaubt ist und der Benutzer es im Einzelfall auch
wünscht.
Das Anmeldepaßwort dient einzig und allein dem Schutz dieser Kennwortliste. Nur bei korrekter Eingabe des zum Anmeldenamen gehörigen Paßwortes
wird diese entschlüsselt und steht zur Verfügung.
Insbesondere wenn ein WfW- oder Windows 95-Rechner von mehreren
Benutzern eingesetzt wird, wird ein Schutz der gespeicherten Kennwörter
gegenüber den Benutzern desselben Rechners nur durch ein individuelles
Anmeldepaßwort gewährleistet.
Das jeweilige Paßwort ist geeignet auszuwählen, regelmäßig zu wechseln und
sicher zu hinterlegen (vgl. M 2.11 Regelung des Paßwortgebrauchs und
M 2.22 Hinterlegen des Paßwortes).
Hinweise:
Werden vom Benutzer keine Paßwörter in der Kennwortliste gespeichert, ist
auch kein Anmeldepaßwort unter WfW notwendig. Wird also PaßwortCaching grundsätzlich vom Administrator mittels ADMINCFG.EXE unter
WfW bzw. über die Systemrichtlinien unter Windows 95 deaktiviert, so ist das
Anmeldepaßwort überflüssig. Selbst Maskerade auf dem PC kann mit diesem
Authentisierungsmechanismus nicht verhindert werden, da jede Kennwortliste
umbenannt, der ursprüngliche Anmeldename erneut genutzt und anschließend
die ursprüngliche Kennwortliste wieder zurückbenannt werden kann.
Wird allerdings Paßwort-Caching erlaubt und auch genutzt, muß der Administrator mittels ADMINCFG.EXE unter WfW bzw. über die Systemrichtlinien unter Windows 95 die Mindestlänge des Anmeldepaßwortes auf 6
setzen. Damit ist die Eingabe des Paßwortes beim Anmelden unter WfW und
Windows 95 obligatorisch und kann nicht deaktiviert werden. In Ausnahmefällen, z. B. wenn der Rechner nur von einem Benutzer genutzt wird und ein
ausreichender Zugangsschutz (BIOS-Paßwort, Bildschirmsperre, usw.)
besteht, kann das Anmeldepaßwort deaktiviert werden. Eine Deaktivierung ist
möglich, wenn die Mindestlänge des Paßwortes auf Null gesetzt wird.
Werden vom Benutzer versehentlich Paßwörter in der Kennwortliste gespeichert, ist die Datei [anmeldename].pwl zu löschen.

_____________________________________________________________________ ..........................................
56

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.46
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wird den WfW- bzw. Windows 95 Benutzern mitgeteilt, daß neben dem
Paßwortschutz am PC (z. B. BIOS-Paßwort) zusätzlich das Anmeldepaßwort für den Schutz der individuellen Kennwortliste unter WfW bzw.
Windows 95 notwendig ist?

_____________________________________________________________________ ..........................................
57

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.47
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.47

Protokollierung der Firewall-Aktivitäten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Es muß festgelegt werden, welche Ereignisse protokolliert werden und wer die
Protokolle auswertet. Die Protokollierung muß den datenschutzrechtlichen
Bestimmungen entsprechen. Für Protokolldaten ist insbesondere die
Zweckbindung nach § 14 des BDSG zu beachten.
Die eingesetzten Paket-Filter müssen für jedes ein- oder ausgehende Paket IPNummer, Dienst, Zeit und Datum protokollieren können. Dabei sind auch Einschränkungen auf bestimmte Pakete (z. B. nur Pakete mit einer speziellen
Quell-Adresse) möglich.
Für jede aufgebaute und abgewiesene Verbindung muß eine Protokollierung
von Benutzer-Identifikation, IP-Nummer, Dienst, Zeit und Datum durchgeführt werden (Application-Gateway), wobei auch Einschränkungen auf
bestimmte Verbindungen (z. B. für einen speziellen Benutzer) möglich sind.
Es muß möglich sein, daß für bestimmte Benutzer keine Protokollierung vorgenommen wird, damit wegen einer zu großen Anzahl von Protokolleinträgen
keine wichtigen Informationen übersehen werden. Diese Auswahl kann z. B.
anhand des Rechteprofils einzelner Benutzer getroffen werden.
Die Protokollinformationen von allen Komponenten sollten über einen vertrauenswürdigen Pfad an eine zentrale Stelle geschickt werden, damit die
Protokollinformationen vor ihrer endgültigen Speicherung nicht verändert
werden können.
Spezielle, einstellbare Ereignisse, wie z. B. wiederholte fehlerhafte
Paßworteingaben für eine Benutzerkennung oder unzulässige Verbindungsversuche, müssen bei der Protokollierung hervorgehoben werden und sollten
zu einer unverzüglichen Warnung des Firewall-Administrators führen.
Wenn eine ordnungsgemäße Protokollierung nicht mehr möglich ist (z. B.
weil auf dem zugehörigen Datenträger kein Platz mehr ist), muß die Firewall
jeglichen Verkehr blockieren und eine entsprechende Meldung an den
Administrator weitergeben.

_____________________________________________________________________ ..........................................
58

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.48
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.48

Paßwortschutz unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Zugang zu einem Windows NT System muß für jeden Benutzer durch ein
Paßwort geschützt sein. Benutzerkonten ohne Paßwort dürfen nicht existieren,
da sie eine Schwachstelle im System darstellen. Es ist wichtig, daß auch die
Benutzer die Schutzfunktion der Paßwörter kennen, denn die Mitarbeit der
Benutzer trägt selbstverständlich zur Sicherheit des gesamten Systems bei.
Die Einrichtung eines neuen Benutzers erfolgt mit Hilfe des Dienstprogramms
Benutzer-Manager über das Kommando "Neuer Benutzer". Dabei ist dazu in
den Feldern "Kennwort" und "Kennwortbestätigung" ein Anfangspaßwort mit
maximal 14 Zeichen einzugeben. Bei Paßwörtern unter Windows NT muß die
Groß- und Kleinschreibung beachtet werden. Dabei sollte ein sinnvolles
Anfangspaßwort vergeben werden, das dem Benutzer mitgeteilt wird. Die
immer gleiche Wahl des Anfangspaßwortes oder das Setzen dieses Paßworts
gleich dem Benutzernamen eröffnet eine Sicherheitslücke, die mit geringem
Aufwand vermieden werden kann.
Die Option "Benutzer muß Kennwort bei der nächsten Anmeldung ändern"
sollte bei allen neuen Konten gesetzt sein, damit das Anmeldepaßwort nicht
beibehalten wird. Dagegen sollte die Option "Benutzer kann Kennwort nicht
ändern" nur in Ausnahmefällen verwendet werden, etwa für vordefinierte
Konten im Schulungsbetrieb. Die Option "Kennwort läuft nie ab" sollte nur
für Benutzerkonten, denen mit Hilfe der Systemsteuerungsoption "Dienste"
ein Dienst zugewiesen wird (zum Beispiel der Reproduktionsdienst) verwendet werden, da sie die Einstellung "Maximales Kennwortalter" in den Richtlinien für Konten außer Kraft setzt und verhindert, daß das Paßwort abläuft.
Über den Benutzer-Manager können Richtlinien für Benutzerkonten, Benutzerrechte und für die Systemüberwachung festgelegt werden. In den
Richtlinien für Benutzerkonten sollte als minimale Paßwortlänge der Wert 6,
bei höheren Sicherheitsanforderungen der Wert 8 eingetragen werden (siehe
auch M 2.11 Regelung des Paßwortgebrauchs).
Die Paßwort-Historie sollte grundsätzlich eingeschaltet sein und sollte
wenigstens 6 Paßwörter umfassen. Die Gültigkeitsdauer des Paßwortes
("Maximales Kennwortalter") sollte auf einem Zeitraum von maximal 6
Monaten begrenzt sein. Durch Festlegung eines Wertes für das "Minimale
Kennwortalter" kann verhindert werden, daß Benutzer ihr Paßwort mehrfach
hintereinander ändern, um so die Historienprüfung zu umgehen. Das
“Minimale Kennwortalter” sollte jedoch nicht größer als 1 Tag gewählt
werden, um dem Benutzer jederzeit eine Paßwortänderung zu ermöglichen .
Hinweis: Der Parameter "Sofortige Änderungen erlauben" darf unter der
Version 3.51 von Windows NT nicht gewählt werden, da sonst die Prüfung
der Paßwort-Historie abgeschaltet wird.
Benutzerkonten sollten nach wiederholten ungültigen Paßworteingaben
gesperrt werden, um Versuche zu erschweren, die Paßwörter der Benutzer zu
erraten. Die Option "Konto sperren" sollte auf jeden Fall aktiviert werden.

_____________________________________________________________________ ..........................................
59

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.48
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Dazu sollte die Option "Sperren nach", die die Anzahl (1 bis 999) der
ungültigen Anmeldeversuche festlegt, die zur Sperrung des Kontos führen, auf
einen Wert zwischen 3 und 10 gesetzt werden. Die Option "Konto zurücksetzen nach", die die maximale Anzahl von Minuten (1 bis 99999) zwischen
zwei ungültigen Anmeldeversuchen angibt, sollte auf etwa eine halbe Stunde
gesetzt werden. Wenn z. B. für "Sperren nach" der Wert 5 und für "Konto
zurücksetzen nach" der Wert 30 angegeben ist, erfolgt eine Sperrung nach 5
ungültigen Anmeldungsversuchen, die innerhalb von 29 Minuten unternommen wurden.
In der Regel sollte durch Aktivieren der Option "Für immer" festgelegt
werden, daß die Sperre so lange aktiv bleibt, bis ein Administrator sie aufhebt.
Sofern hierdurch eine zu hohe Belastung der Administratoren verursacht wird,
kann auch ein geeigneter Wert als "Dauer der Sperrung" angegeben werden,
damit die Kontensperre nur für eine begrenzte Zeitdauer erhalten bleibt. Wenn
beabsichtigt ist, den Ursachen der Kontensperrung direkt nachzugehen, sollte
ein hinreichend langes Zeitintervall, z. B. 1440 Minuten (1 Tag) angegeben
werden, andernfalls sollte ein Wert von etwa 30 Minuten gewählt werden.
Es ist zu beachten, daß das vordefinierte Administratorkonto von dieser
automatischen Sperrung ausgenommen ist, um ein völliges Verriegeln des
Systems zu vermeiden (siehe M 4.77 Schutz der Administratorkonten unter
Windows NT).
Dagegen sollte von der Option "Benutzer muß sich anmelden, um Kennwort zu
ändern" kein Gebrauch gemacht werden. Insbesondere mit der Einstellung
"Benutzer muß Kennwort bei der nächsten Anmeldung ändern" führt diese
Einstellung dazu, daß neue Benutzer keinen Zugang zum Rechner erhalten.

_____________________________________________________________________ ..........................................
60

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.48
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Die in der folgenden Abbildung dargestellten Werte für die Richtlinien geben
einen für mittleren Sicherheitsbedarf ausreichenden Schutz:

Ergänzende Kontrollfragen:
- Sind die Vorgaben für die Benutzerkonten-Richtlinien dokumentiert?
- Werden die Einstellungen im Benutzer-Manager regelmäßig kontrolliert?

_____________________________________________________________________ ..........................................
61

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.49
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.49

Absicherung des Boot-Vorgangs für ein Windows NT System

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Windows NT kann nur dann sicher betrieben werden, wenn vom Systemstart
an gewährleistet ist, daß eine geschlossene Sicherheitsumgebung aufgebaut
wird, also daß keine Wege an den Sicherheitsfunktionen des Betriebssystems
vorbei bestehen. Dies erfordert, daß sich alle durch Windows NT schützbaren
Ressourcen unter der Kontrolle des Betriebssystems befinden und daß es auch
keine Möglichkeit gibt, fremde Systeme oder offene Systemumgebungen zu
starten, die den durch Windows NT gebotenen Schutz unterlaufen können.
Dazu sind die folgenden Aspekte zu beachten:
- Alle vorhandenen Festplattenpartitionen müssen mit dem Dateisystem
NTFS formatiert sein. Partitionen, die mit den Dateisystemen FAT, VFAT
oder HPFS formatiert sind, können nicht gegen Zugriffe der Benutzer
geschützt werden. Dies bedeutet einerseits, daß die auf ihnen abgelegten
Daten beliebigen Zugriffen aller Benutzer ausgesetzt sind, und andererseits
können diese Partitionen zum unkontrollierten Datenaustausch zwischen
Benutzern mißbraucht werden.
- Ein ähnliches Risiko stellen Diskettenlaufwerke dar, da Disketten unter
Windows NT nur mit dem Dateisystem FAT bzw. VFAT formatiert
werden können. Aus diesem Grund sind Diskettenlaufwerke an allen
Rechnern, die nicht unter strikter physischer Kontrolle stehen,
grundsätzlich durch den Einbau von Diskettenschlössern zu sperren (siehe
M 4.4 Verschluß der Diskettenlaufwerkschächte). Auf Windows NT
Clients können auch die Diskettenlaufwerke durch Deaktivieren über die
Systemsteuerungsoption "Geräte", Gerät "Floppy", die Diskettenlaufwerke
für unprivilegierte Benutzer außer Betrieb gesetzt werden. Hiervon sollte
auf Windows NT Servern abgesehen werden (siehe hierzu M 4.52
Geräteschutz unter Windows NT).
- Verfügt der Rechner über ein offenes Diskettenlaufwerk oder ist es
möglich, von einem vorhandenen CD-ROM-Laufwerk zu booten, so
besteht die Gefahr, daß der Rechner mit einem anderen Betriebssystem als
Windows NT gestartet wird. Die gleiche Gefährdung ergibt sich, wenn auf
einer lokalen Festplatte andere Betriebssysteme installiert sind. Dann kann
der
Anwender
mit
verschiedenen
Programmen
die
Sicherheitsmechanismen von Windows NT umgehen. Inzwischen gibt es
mehrere Programme, mit denen man Dateien, die unter NTFS geschützt
sind, von einer DOS-Umgebung oder einer Linux-Umgebung lesen und
z. T. auch ändern kann. Sowohl unter dem Betriebssystem MS-DOS als
auch unter dem Betriebssystem Linux werden die vom Dateisystem NTFS
gesetzten Sicherheitsattribute ignoriert. Der Anwender hat daher von MSDOS bzw. von Linux aus Zugriff auf alle Dateien des Rechners. Aus
diesem Grund dürfen neben Windows NT keine weiteren Betriebssysteme
auf der Festplatte installiert sein. Außerdem ist der Boot-Vorgang durch
eine mit einem BIOS-Paßwort geschützte Einstellung des BIOS so abzu-

_____________________________________________________________________ ..........................................
62

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.49
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

sichern, daß das System nicht von einem eventuell vorhandenen
Diskettenlaufwerk oder von einem CD-ROM-Laufwerk aus gestartet
werden kann (siehe M 4.1 Paßwortschutz für PC und Server).
- Im Rahmen einer Neuinstallation von Windows NT hat man die Möglichkeit, die bestehende Installation des Betriebssystems zu aktualisieren oder
eine neue Version parallel zu installieren. Bei der parallelen Installation
wird die bestehende Dateistruktur nicht verändert, doch wird das
vordefinierte Administratorkonto mit einem neuen Paßwort neu angelegt.
Dieser "neue" Administrator hat dann vollen Zugriff auf alle Ressourcen
des Rechners und damit auch auf alle Daten und Programme. Um diese
Möglichkeit der Neuinstallation zu verhindern, dürfen Anwender nicht in
der Lage sein, die Datei BOOT.INI im Wurzelverzeichnis der ersten Platte
zu verändern (siehe M 4.53 Restriktive Vergabe von Zugriffsrechten auf
Dateien und Verzeichnisse unter Windows NT).
- Mit Hilfe der Installationsprogramme kann auch eine Notfalldiskette (siehe
M 6.42 Erstellung von Rettungsdisketten für Windows NT) erzeugt und mit
dieser dann eine Systemrekonstruktion durchgeführt werden. Dabei wird
der Zugriffsschutz der NTFS-Partition des Betriebssystems aufgehoben. Es
ist aus diesem Grund unbedingt erforderlich, die Installationsprogramme,
eine eventuell schon vorhandene Notfalldiskette und die Setup-Disketten
so zu verwahren, daß sie gegen unbefugten Zugriff geschützt sind. Schutz
gegen diese spezifische Bedrohung bietet auch die Sicherung der
Diskettenlaufwerke durch Laufwerkschlösser (siehe M 4.4 Verschluß der
Diskettenlaufwerkschächte) und die Absicherung des Boot-Vorgangs durch
die entsprechende Einstellung des BIOS (s. o.).
Unter Windows NT ist das Anmelden auf dem Server nur für Benutzer möglich, denen das Benutzerrecht "Lokale Anmeldung" gegeben wurde. Diese
Benutzer sind auf die ihnen zugewiesenen Rechte und Berechtigungen eingeschränkt. Um einen Mißbrauch der Möglichkeiten zum Anmelden auf dem
Server zu vermeiden, sind die Benutzerrechte und die Zuordnungen zu Benutzergruppen entsprechend restriktiv vorzusehen (siehe Maßnahmen M 2.93
Planung des Windows NT Netzes und M 4.50 Strukturierte Systemverwaltung
unter Windows NT).
Ergänzende Kontrollfragen:
- Wird die Sicherung eventuell vorhandener Diskettenlaufwerke regelmäßig
überprüft?
- Wird regelmäßig überprüft, daß keine parallele Installation eines anderen
Betriebssystems vorhanden ist?
- Werden regelmäßig die BIOS-Einstellungen, die ein Booten von anderen
Medien als der Festplatte verhindern, überprüft?

_____________________________________________________________________ ..........................................
63

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.50

Strukturierte Systemverwaltung unter
Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Benutzergruppen sind unter Windows NT Zusammenstellungen von
Benutzerkonten. Wenn ein Benutzerkonto zu einer Gruppe hinzugefügt wird,
erhält der betreffende Benutzer alle Rechte und Berechtigungen, die der
Gruppe erteilt wurden. So kann man leicht bestimmte Benutzer mit gemeinsamen Möglichkeiten ausstatten. Nach Möglichkeit sollten die Rollen der
Mitarbeiter auf Gruppen abgebildet und diesen Gruppen entsprechend ihren
Bedürfnissen die Zugriffsrechte zugeteilt werden.
Die Verwendung von Gruppen an Stelle der Zuweisung von Rechten und
Berechtigungen an einzelne Benutzer erleichtert die Administration und trägt
durch größere Transparenz zur Erhöhung der Systemsicherheit bei. Auch bei
einer geringen Anzahl von Mitarbeitern sollten Gruppen gebildet werden.
Hierdurch muß bei einer Erweiterung keine grundsätzliche Umstrukturierung
der Rechtestrukturen durchgeführt werden.
Rechte und Berechtigungen sind additiv, d. h. für einen Benutzer, der Mitglied
in mehreren Gruppen ist, gilt in Bezug auf eine Ressource die jeweils
weitestgehende Zugriffsberechtigung. Es gibt allerdings eine Ausnahme: Ist
ein Benutzer Mitglied einer Gruppe, der auf eine Ressource die Zugriffsberechtigung "Kein Zugriff" zugeteilt wurde, so kann der Benutzer auf diese
Ressource nicht zugreifen, auch dann nicht, wenn er Mitglied einer anderen
Gruppe ist, der auf diese Ressource die Zugriffsberechtigung "Vollzugriff"
erteilt wurde (siehe auch M 4.53 Restriktive Vergabe von Zugriffsrechten auf
Dateien und Verzeichnisse unter Windows NT).
Beispiel:
Benutzer Meier ist Mitglied der Gruppen "A" und "B". Der Gruppe "A" wurde
auf ein Verzeichnis "Rechnung" die Zugriffsberechtigung "Lesen", der
Gruppe "B" wurden auf dieses Verzeichnis die Zugriffsberechtigungen "Lesen
und Schreiben" zugewiesen. Der Benutzer Meier hat damit auf das
Verzeichnis "Rechnung" die Zugriffsberechtigungen "Lesen und Schreiben".
Das Benutzergruppenkonzept von Windows NT unterscheidet zwischen
globalen und lokalen Gruppen.
Lokale Gruppen
Die Gruppe wird "lokal" genannt, weil ihr Berechtigungen und Rechte nur für
den Rechner erteilt werden können, auf dem sie definiert wurde. Auf
Rechnern unter dem Betriebssystem Windows NT (d. h. sowohl Servern als
auch Workstations), die keiner Domäne angehören, gibt es nur lokale Gruppen. Um die Vergabe von Rechten und Berechtigungen zu strukturieren, wird
auf solchen Rechnern ausschließlich dieser Gruppentyp benutzt.
Gehört ein Rechner unter Windows NT einer Domäne an, so sind lokale
Gruppen ebenfalls verfügbar. Sie können dann Benutzerkonten aus dem eige-

_____________________________________________________________________ ..........................................
64

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

nen Rechner und Benutzerkonten und globale Gruppen aus der eigenen
Domäne und aus vertrauten Domänen beinhalten.
Lokale Gruppen können keine Berechtigungen auf Ressourcen anderer
Domänen erhalten. Es ist nicht möglich, eine lokale Gruppe zum Mitglied
einer anderen lokalen Gruppe zu machen. Lokale Gruppen werden im
Benutzermanager durch ein Gruppensymbol mit einem Computer dargestellt.
Globale Gruppen
Wenn ein Rechner, auf dem Windows NT ausgeführt wird, einer Domäne
angehört, gibt es einen weiteren Gruppentyp, dem der Zugriff auf die
Arbeitsstation ermöglicht werden kann. Es handelt sich um die "Globale
Gruppe", die an mehreren Orten verwendet werden kann: in der eigenen
Domäne, auf Servern, auf Arbeitsstationen der Domäne und in vertrauten
Domänen. Wenn eine Arbeitsstation einer Domäne angehört, bedeutet dies,
daß den globalen Gruppen der Domäne und der vertrauten Domänen Berechtigungen und Rechte für die Arbeitsstation sowie die Zugehörigkeit zu lokalen
Gruppen der Arbeitsstation erteilt werden können. Eine globale Gruppe kann
nur Benutzerkonten der eigenen Domäne enthalten.
Globale Gruppen können nur auf dem primären Domänencontroller definiert
werden. Es ist nicht möglich, daß andere Gruppen Mitglied einer globalen
Gruppe werden. Globale Gruppen werden im Benutzermanager durch ein
Gruppensymbol mit einem Globus dargestellt.
Zusammenfassend empfiehlt sich folgendes Vorgehen zur strukturierten
Systemverwaltung:
Rechte und Berechtigungen werden lokalen Gruppen zugewiesen. Benutzer
werden Mitglied in globalen Gruppen, und die globalen Gruppen werden
Mitglied in lokalen Gruppen.
Neben der Unterscheidung in lokale und globale Gruppen gibt es auch noch
die Unterscheidung zwischen vordefinierten Benutzergruppen, besonderen
Gruppen und frei definierten Benutzergruppen:
Vordefinierte Benutzergruppen
Welche Aktionen ein Benutzer durchführen kann, hängt von den Gruppenmitgliedschaften seines Benutzerkontos ab. Es sind mehrere Gruppen in
Windows NT vordefiniert, und standardmäßig wird jeder Gruppe ein
bestimmter Satz von Benutzerrechten erteilt. Bei Bedarf können mit dem
Benutzermanager zusätzliche Gruppen erstellt und definiert werden, mit denen
den ihnen zugewiesenen Benutzern der Zugriff auf individuell zusammengestellte Ressourcen ermöglicht wird.
Zusätzlich zu den Rechten werden einigen der vordefinierten lokalen Gruppen
vordefinierte Funktionen zugeteilt. Rechte und Zugriffsberechtigungen
können den Gruppen und Benutzerkonten direkt erteilt und ihnen entzogen
werden. Dagegen sind die vordefinierten Funktionen nicht direkt verwaltungsfähig. Vordefinierte Funktionen können für einen Benutzer nur bereitgestellt
werden, wenn der Benutzer zum Mitglied einer geeigneten lokalen Gruppe
ernannt wird.

_____________________________________________________________________ ..........................................
65

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Auf Rechnern, die unter dem Betriebssystem Windows NT als Mitgliedsserver
(Server ohne Domänencontroller-Funktionalität) oder als Workstation
konfiguriert sind, werden folgende lokale Gruppen standardmäßig bei der
Installation eingerichtet:
- Administratoren
- Sicherungs-Operatoren
- Hauptbenutzer
- Replikations-Operatoren
- Benutzer
- Gäste
Die Rechte und Funktionen, die unter Windows NT auf Workstations und
Servern, die nicht als Domänencontroller konfiguriert sind, bestimmten vordefinierten lokalen Gruppen erteilt werden, sind in der folgenden Tabelle
angegeben:

Sicherungs-Operatoren
Jeder
Gäste
Benutzer
Hauptbenutzer
Administratoren
Lokale Anmeldung

X

X

X

X

X

X

Zugriff auf diesen Computer vom Netz

X

X

Übernehmen des Besitzes an Dateien und Objekten

X

Verwalten von Überwachungs- und Sicherheitsprotokoll

X

Ändern der Systemzeit

X

X

System herunterfahren

X

X

Herunterfahren von einem Fernsystem aus

X

X

Sichern von Dateien und Verzeichnissen

X

X

Wiederherstellen von Dateien und Verzeichnissen

X

X

X

X

X

X

_____________________________________________________________________ ..........................................
66

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Sicherungs-Operatoren
Jeder
Gäste
Benutzer
Hauptbenutzer
Administratoren
Erzeugung und Verwaltung von Benutzerkonten

X

X

Erzeugung und Verwaltung lokaler Gruppen

X

X

Erteilung von Benutzerrechten

X

Sperren der Arbeitsstation

X

Zugriff auf eine gesperrte Arbeitsstation

X

Formatierung der Festplatte

X

Erzeugung gemeinsamer Gruppen

X

X

Speicherung lokaler Profile

X

X

Freigabe von Verzeichnissen

X

X

Freigabe von Druckern

X

X

Laden und Entfernen von Gerätetreibern

X

X

X

X

X

X

X

Auf Servern, die unter dem Betriebssystem Windows NT als Domänencontroller konfiguriert sind, werden folgende lokale Gruppen standardmäßig
bei der Installation eingerichtet:
-

Administratoren

-

Sicherungs-Operatoren

-

Server-Operatoren

-

Konten-Operatoren

-

Druck-Operatoren

-

Replikations-Operatoren

_____________________________________________________________________ ..........................................
67

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

-

Benutzer

-

Gäste

Außerdem werden in dieser Konfiguration folgende globale Gruppen bei der
Installation angelegt:
-

Domänen-Admins

-

Domänen-Benutzer

-

Domänen-Gäste

Die Rechte und Funktionen, die unter Windows NT auf Domänencontrollern
bestimmten vordefinierten lokalen Gruppen erteilt werden, sind in der folgenden Tabelle angegeben:
Gäste
Benutzer
Jeder
Sicherungs-Operatoren
Druck-Operatoren
Konten-Operatoren
Server-Operatoren
Administratoren
Lokale Anmeldung

X

X

X

X

X

Zugriff auf diesen Computer vom Netz

X

Übernehmen des Besitzes an Dateien und
Objekten

X

Verwalten von Überwachungs- und Sicherheitsprotokoll

X

Ändern der Systemzeit

X

X

System herunterfahren

X

X

Herunterfahren von einem Fernsystem aus

X

X

Hinzufügen von Arbeitsstationen zur
Domäne

X

Sichern von Dateien und Verzeichnissen

X

X

X

Wiederherstellen von Dateien und
Verzeichnissen

X

X

X

X

X

X

X

_____________________________________________________________________ ..........................................
68

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Gäste
Benutzer
Jeder
Sicherungs-Operatoren
Druck-Operatoren
Konten-Operatoren
Server-Operatoren
Administratoren
Erzeugung und Verwaltung von Benutzerkonten

X

X

Erzeugung und Verwaltung globaler
Gruppen

X

X

Erzeugung und Verwaltung lokaler Gruppen

X

X

Erteilung von Benutzerrechten

X

Sperren des Servers

X

Zugriff auf einen gesperrten Server

X

Formatierung der Server-Festplatte

X

X

Erzeugung gemeinsamer Gruppen

X

X

Speicherung lokaler Profile

X

X

Freigabe von Verzeichnissen

X

X

Freigabe von Druckern

X

X

Laden und Entfernen von Gerätetreibern

X

X

X

X

X

X

X

X

Hinweis: Die oben beschriebenen Rechte, die unter Windows NT standardmäßig vergeben sind, sind alle einzeln daraufhin zu überprüfen, ob sie mit der
festgelegten Sicherheitsstrategie vereinbar sind (siehe M 2.91 Festlegung
einer Sicherheitsstrategie für das Windows NT Client-Server-Netz). So sollte
beispielsweise das Recht ”Zugriff auf diesen Computer vom Netz” der Gruppe
”Jeder” entzogen werden. Ob es ersatzweise der Gruppe ”Benutzer”
zugestanden wird, ist im einzelnen zu klären.
Die folgenden vordefinierten Gruppen stehen unter Windows NT zur Verfügung:
- Administratoren - Die Gruppe "Administratoren" ist die mächtigste Gruppe
in Windows NT. Die Mitglieder dieser Gruppe verwalten die
Gesamtkonfiguration des Systems. Das vordefinierte Benutzerkonto
"Administrator" ist Mitglied der Gruppe "Administratoren". Falls ein
Rechner einer Domäne angehört, ist die Gruppe "Domänen-Admins"
standardmäßig Mitglied der Gruppe "Administratoren" dieses Rechners.

_____________________________________________________________________ ..........................................
69

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Hinweis: Benutzerkonten dieser Gruppe sollten nur zu Systemverwaltungsarbeiten verwendet werden, die die volle Kontrolle über das
System erfordern. Arbeiten, die unter eingeschränkten Rechten durchgeführt werden können, sollten nach Möglichkeit von Benutzerkonten aus
erledigt werden, die einer der anderen Gruppen angehören, um die Gefährdung des Systems durch Arbeiten mit unbeschränkten Rechten zu reduzieren. Insbesondere sollte für jeden Administrator zur Erledigung der täglichen Routinearbeiten jeweils ein Benutzerkonto angelegt werden, das nur
der Gruppe "Benutzer" oder einer bzw. mehreren frei definierten Gruppen
angehört. Die Anzahl der Benutzerkonten in der Gruppe "Administratoren"
sollte so gering wie möglich gehalten werden.
Administratoren sind der normalen Zugriffskontrolle unterworfen und
besitzen nicht automatisch Zugriff auf jede Datei. Bei Bedarf kann ein
Administrator den Besitz einer Datei übernehmen und dadurch auf sie
zugreifen. Der Administrator kann die Datei jedoch in diesem Fall nicht
wieder an den ursprünglichen Besitzer zurückgeben, da Windows NT
hierzu keine Funktion bereitstellt.
- Domänen-Admins - Die globale Gruppe der "Domänen-Admins" ist Mitglied der lokalen Gruppe der Administratoren für die betreffende Domäne
und der lokalen Gruppen der Administratoren jedes Rechners in der
Domäne, so daß die Domänen-Administratoren die Domänencontroller,
alle Server und alle anderen Rechner in der Domäne verwalten können.
Das vordefinierte Administratorkonto des Domänencontrollers ist Mitglied
der Gruppe "Domänen-Admins".
- Hauptbenutzer - Die unter Windows NT Workstation definierte lokale
Gruppe "Hauptbenutzer" stellt den Benutzerkonten ihrer Mitglieder eingeschränkte administrative Funktionen bereit. Ein Hauptbenutzer kann Verzeichnisse im Netz freigeben, die interne Uhr des Computers einstellen,
Drucker installieren, freigeben und verwalten sowie allgemeine
Programmgruppen erstellen. Sie können Benutzerkonten und Gruppen
erstellen und die von ihnen erstellten Benutzerkonten und Gruppen ändern
und löschen, und sie können für die Gruppen "Hauptbenutzer", "Benutzer"
und "Gäste" Mitglieder entfernen bzw. hinzufügen.
Hauptbenutzer können jedoch nicht die Gruppen "Administratoren",
"Domänen-Admins", "Konten-Operatoren", "Sicherungs-Operatoren",
"Druck-Operatoren" und "Server-Operatoren" verändern oder löschen,
und sie können auch keine Benutzerkonten von Administratoren verändern
oder löschen.
Hinweis: Diese Gruppe sollte verwendet werden, um Untersystemverwalter zu definieren, die den Systemverwalter von gewissen Routineaufgaben, insbesondere in der Verwaltung der Benutzerkonten, entlasten,
ohne jedoch dazu die volle Kontrolle über das System zu erhalten.
- Konten-Operatoren - Die auf Domänencontrollern definierte lokale Gruppe
"Konten-Operatoren" entspricht weitgehend der unter Windows NT
Workstation definierten Gruppe "Hauptbenutzer".
- Benutzer - Die Zugehörigkeit zur lokalen Gruppe "Benutzer" bietet die
Funktionen, die ein Benutzer zur Durchführung der alltäglichen Aufgaben

_____________________________________________________________________ ..........................................
70

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

benötigt. Mit Ausnahme der vordefinierten Administrator- und Gastkonten
gehören alle Benutzerkonten der Arbeitsstation der Gruppe "Benutzer" an.
Wird ein neues Benutzerkonto hinzugefügt, so wird es automatisch
Mitglied dieser Gruppe. Falls ein Rechner einer Domäne angehört, ist die
Gruppe der Domänen-Benutzer standardmäßig Mitglied der Gruppe
"Benutzer" dieses Rechners.
Hinweis: Normalerweise sollten alle Benutzer, die keine erweiterten
Rechte benötigen, nur dieser vordefinierten Gruppe sowie geeigneten frei
definierten Gruppen angehören, die die Organisationsstruktur widerspiegeln. Zuordnungen zu den anderen vordefinierten Gruppen sollten nur
in begründeten Einzelfällen vorgenommen werden. Dies bedeutet auch,
daß Benutzer keine Administratorrechte auf ihren Arbeitsplatzrechnern
erhalten sollten.
- Domänen-Benutzer - Die globale Gruppe der "Domänen-Benutzer" enthält
ursprünglich das eingebaute Konto des Administrators für die betreffende
Domäne. Beim Anlegen neuer Konten werden diese automatisch in die
Gruppe der "Domänen-Benutzer" eingetragen. Diese Gruppe ist standardmäßig Mitglied der lokalen Gruppe "Benutzer" für die betreffende Domäne
und der lokalen Gruppen der "Benutzer" jedes Rechners in der Domäne, so
daß die "Domänen-Benutzer" normalen Zugang und normale Rechte und
Berechtigungen bezüglich aller Rechner in der Domäne haben.
- Gäste - Die lokale Gruppe "Gäste" ermöglicht es dem gelegentlichen oder
einmaligen Benutzer, sich anzumelden und mit eingeschränktem Funktionsumfang zu arbeiten. Das vordefinierte Gastbenutzerkonto ist Mitglied
der Gruppe "Gäste". Die der Gruppe "Benutzer" erteilten Ressourcenberechtigungen können der Gruppe "Gäste" vorenthalten werden, so daß
die Möglichkeiten der Mitglieder dieser Gruppe geeignet eingeschränkt
werden können.
Hinweis: Nach Möglichkeit sollten dieser Gruppe außer dem vordefinierten Gastkonto keine weiteren Benutzerkonten angehören, und das vordefinierte Gastkonto sollte gesperrt sein (siehe M 4.55 Sichere Installation
von Windows NT). Außerdem sollte es vorsorglich mit einem Paßwort
versehen werden, um unbefugten Zugriffen vorzubeugen, falls es kurzfristig entsperrt werden sollte.
- Domänen-Gäste - Die globale Gruppe der "Domänen-Gäste" enthält
ursprünglich das eingebaute Gastbenutzerkonto für die betreffende
Domäne. Diese Gruppe ist Mitglied der lokalen Gruppe der Gäste für die
betreffende Domäne.
- Sicherungs-Operatoren - Die Mitglieder der lokalen Gruppe "SicherungsOperatoren", die standardmäßig auf allen Rechnern unter Windows NT
definiert ist, können Dateien und Verzeichnisse sichern und wiederherstellen.
Hinweis: Datensicherungen und die Wiederherstellung gesicherter Daten
sollten von einem Mitglied dieser Gruppe durchgeführt werden. Es ist
hierzu nicht erforderlich, ein Administratorkonto zu verwenden.

_____________________________________________________________________ ..........................................
71

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- Druck-Operatoren - Die Mitglieder der auf Domänencontrollern definierten lokalen Gruppe "Druck-Operatoren" können Drucker auf den
Domänencontrollern verwalten. Sie können sich auch auf diesen Servern
anmelden und sie herunterfahren.
Hinweis: Die Verwaltung von Druckern sollte von Mitgliedern dieser
Gruppe durchgeführt werden, um die unnötige Nutzung von Administratorkonten zu vermeiden.
- Server-Operatoren - Die Mitglieder der auf Domänencontrollern definierten lokalen Gruppe "Server-Operatoren" können die Drucker- und Netzfreigaben auf dem jeweiligen Domänencontroller verwalten. Weiterhin
können sie Dateien und Verzeichnisse sichern und wiederherstellen, den
Domänencontroller sperren und freigeben, die Festplatten des Domänencontrollers formatieren und die Systemzeit verändern. Schließlich können
sie sich auch auf dem Domänencontroller anmelden und ihn herunterfahren.
Hinweis: Routinearbeiten zur Steuerung der Domänencontroller sollten
von Mitgliedern dieser Gruppe durchgeführt werden, soweit sie mit den
Rechten dieser Gruppe ausgeführt werden können. Nur Arbeiten, die die
völlige Kontrolle über das System erfordern, sollten von Administratorkonten aus durchgeführt werden.
- Replikations-Operator - Die auf Rechnern unter Windows NT definierte
lokale Gruppe "Replikations-Operator" unterstützt die Funktionen der
Verzeichnisreproduktion. Der Gruppe "Replikations-Operator" sollte als
einziges Mitglied ein Domänenbenutzerkonto angehören, das zum Anmelden des Replikationsdienstes der Arbeitsstation dient.
Hinweis: Dieser Gruppe sollten keine Konten von Benutzern hinzugefügt
werden, und das dort vorhandene Benutzerkonto sollte nicht über die
Rechte "Lokale Anmeldung" und "Zugriff auf diesen Computer vom Netz"
verfügen.
Besondere Gruppen
Zusätzlich zu den oben erwähnten vordefinierten Gruppen erstellt
Windows NT einige spezielle, interne Gruppen, die vom Benutzermanager
nicht angezeigt werden. Sie werden jedoch in manchen Fällen in der Gruppenliste angezeigt, beispielsweise beim Zuweisen von Berechtigungen zu
Verzeichnissen, Dateien, freigegebenen Netzverzeichnissen oder Druckern.
- Jeder - Jeder, der am Computer arbeitet. Dazu zählen alle lokalen und
Fernbenutzer (d. h. die Gruppen "INTERAKTIV" und "NETZWERK"
zusammengenommen). Sie können auf das Netz zugreifen, sich mit den
freigegebenen Netzverzeichnissen der Arbeitsstation verbinden und den
Drucker der Arbeitsstation verwenden.
- INTERAKTIV - Jeder, der am Computer lokal arbeitet.
- NETZWERK - Alle Benutzer, die über das Netz mit diesem Computer verbunden sind.
- SYSTEM - Das Betriebssystem.

_____________________________________________________________________ ..........................................
72

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.50
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- ERSTELLER-BESITZER - Der Benutzer, der folgendes erstellt hat oder
besitzt: ein Verzeichnis, eine Datei in einem Verzeichnis, einen Drucker
oder ein Dokument, das zu einem Drucker gesendet wurde.
Frei definierte Benutzergruppen
Mit Hilfe von frei definierten Benutzergruppen ist es möglich, die Organisationsstruktur einer Institution auf die Rechtestruktur abzubilden. So kann für
jede Organisationseinheit, also z. B. für jedes Referat bzw. für jede Abteilung,
eine Gruppe gebildet werden, in der die Benutzer der jeweiligen Organisationseinheit zusammengefaßt sind. Den Gruppen werden dann die notwendigen
Berechtigungen auf Ressourcen zugewiesen. Werden innerhalb der Institution
für vorübergehende Aufgaben Projektgruppen gebildet, so können auch diese
durch Zusammenfassung der Projektgruppenmitglieder in einer entsprechenden frei definierten Gruppe abgebildet werden.
Bei der Erstellung von frei definierten Benutzergruppen auf dem primären
Domänencontroller ist festzulegen, ob diese vom Typ lokal oder global sind.
Ergänzende Kontrollfragen:
- Wurde eine Strategie zur Verteilung der Benutzer auf die vordefinierten
Gruppen entsprechend den von diesen Benutzern benötigten Rechten festgelegt?
- Ist diese Strategie dokumentiert?
- Wird regelmäßig kontrolliert, ob die Zuordnung der Benutzer zu den
Gruppen noch mit den aktuellen Aufgaben dieser Benutzer übereinstimmt?

_____________________________________________________________________ ..........................................
73

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.51
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.51

Benutzerprofile zur Einschränkung der
Nutzungsmöglichkeiten von Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Benutzerprofile dienen der Speicherung von benutzerspezifischen Einstellungen der Benutzerumgebung. Dies ist u. a. der Inhalt von Programmgruppen,
die Netzwerk- und Druckerverbindungen und die farbliche Darstellung des
Bildschirms. Weiterhin können über Benutzerprofile die Möglichkeiten der
Benutzer, mit Windows NT zu arbeiten, in verschiedener Hinsicht eingeschränkt werden. Die Verwaltung der Profile erfolgt mit dem BenutzerprofilEditor (UPEDIT.EXE unter Windows NT 3.51 bzw. POLEDIT.EXE unter
Windows NT 4.0).
Benutzerprofile können für verschiedene Einsatzzwecke erstellt werden:
- um bei Single-User-Systemen nach einer erneuten Anmeldung die
ursprünglich festgelegten Einstellungen wiederherzustellen,
- um bei Multi-User-Systemen für jeden Benutzer eigene Einstellungen
festzulegen,
- damit bei server-gespeicherten Benutzerprofilen jeder Benutzer von jeder
NT-Workstation aus dieselbe Oberfläche erhält,
- um einheitliche Benutzerumgebungen zentral vorzugeben (sowohl bei
Stand-alone-Systemen als auch bei bei vernetzten),
- um eine eingeschränkte Benutzerumgebung einzurichten, beispielweise um
zu verhindern, daß Benutzer Änderungen an Desktop-Einstellungen
vornehmen, oder den Zugriff auf die Systemsteuerung einzuschränken.
Grundsätzlich muß zwischen lokalen und server-gespeicherten Benutzerprofilen unterschieden werden. Lokale Benutzerprofile werden nur auf dem lokalem IT-System abgelegt, während server-gespeicherte Benutzerprofile zentral
auf dem NT-Server verwaltet werden.
Fällt bei Verwendung von server-gespeicherten Benutzerprofilen der Server
aus, dann wird auf die lokale Kopie zurückgegriffen.
Daneben muß zwischen persönlichen und verbindlichen Benutzerprofilen
unterschieden werden. Persönliche Benutzerprofile sind vom Benutzer beliebig änderbar, verbindliche werden vom Administrator vorgegeben.
Verbindliche Profile bleiben von einer Sitzung zur nächsten erhalten, während
einer Sitzung durchgeführte Veränderungen gehen beim Abmelden verloren.
Diese Profile werden in dem Verzeichnis abgelegt, der im Profileintrag des
betreffenden Kontos angegeben ist, und sie tragen unter der Version 3.51 von
Windows NT die Dateinamenserweiterung .MAN. Ab Version 4.0 wird ein
Profil dadurch als verbindliches Profil gekennzeichnet, daß die Datei
NTUSER.DAT in NTUSER.MAN umbenannt wird.
Persönliche Profile, die auf einem Server abgelegt werden, können verwendet
werden, um Benutzern unabhängig von der Arbeitsstation, von der aus sie sich
anmelden, dieselbe Umgebung zur Verfügung zu stellen. Persönliche Profile

_____________________________________________________________________ ..........................................
74

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.51
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

werden in dem Verzeichnis abgelegt, der im Profileintrag des betreffenden
Kontos angegeben ist, und sie tragen unter Version 3.51 die Dateinamenserweiterung .USR.
Unter Version 3.51 werden die Benutzerprofile im Verzeichnis
%SystemRoot%\system32\config in den Benutzern zugeordneten Dateien
abgelegt. Dabei werden die folgenden Einstellungen im Benutzerprofil abgelegt:
- Programm Manager: alle vom Benutzer einstellbaren Optionen einschließlich Programmgruppen, Programme und ihre Eigenschaften, sowie
alle abspeicherbaren Einstellungen
- Datei-Manager: alle vom Benutzer wählbaren Einstellungen einschließlich
der Netz-Verbindungen
- Kommandomodus: alle vom Benutzer wählbaren Einstellungen
- Druck Manager: netzweite Druckerverbindungen sowie alle abspeicherbaren Einstellungen
- Systemsteuerung: alle Einstellungen für Farben, Maus, Desktop, Zeiger,
Tastatur, Ländereinstellungen und Klänge sowie die Einträge zur
Benutzerumgebung im Element "System"
- Zubehör: alle benutzerspezifischen Einstellungen der Anwendungen
- Fremdanwendungen: alle Einstellungen, die von diesen Anwendungen als
benutzerspezifische Optionen unterstützt werden
- Anmerkungen bei der online Hilfe: alle dort eingetragenen Anmerkungen
des betreffenden Benutzers
Ab Version 4.0 werden Benutzerprofile als Verzeichnisbaum unter dem
Unterverzeichnis Profiles des Windows-Verzeichnisses %SystemRoot%, also
im allgemeinen \WINNT\Profiles, als Verzeichnis mit dem Namen des Benutzers, z. B. \WINNT\Profiles\Schmidt, abgelegt. Dabei wird die gesamte
Struktur der Arbeitsoberfläche und insbesondere die Struktur der einzelnen
Programmgruppen dort abgelegt. Die folgenden Unterverzeichnisse können
dabei vorhanden sein:
- Anwendungsdaten: Anwendungsspezifische Daten
- Desktop: Elemente der Arbeitsoberfläche einschließlich der direkt auf der
Arbeitsoberfläche abgelegten Dateien und Shortcuts
- Druckumgebung: Shortcuts zu den Einträgen in den Druckerordnern
- Favoriten: Shortcuts zu Programmeinträgen und Ordnern mit Favoriten
- Netzwerkumgebung: Shortcuts zu den Einträgen der Netzumgebung
- Persönlich: Shortcuts zu den Einträgen in den privaten Programmgruppen
- Recent: Shortcuts zu den zuletzt verwendeten Dokumenten
- SendTo: Shortcuts zu den Einträgen, die im Kontext-Menü als Ziele von
Sende-Operationen, wie etwa zu einem Diskettenlaufwerk, verwendet
werden können

_____________________________________________________________________ ..........................................
75

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.51
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- Startmenü: Struktur des gesamten Startmenüs einschließlich aller Shortcuts
zu Programmen und Programmgruppen
- Vorlagen: Shortcuts zu Dokumentenvorlagen
Sonstige Einstellungen, wie etwa der Verweis auf das als Hintergrund der
Arbeitsoberfläche verwendete Bild oder andere benutzerspezifische Einstellungen der Systemsteuerung, werden im Ordner Profiles in der Datei
NTUSER.DAT abgelegt.
Die folgenden Optionen können unter Version 3.51 verwendet werden, um die
Möglichkeiten der Benutzer mit Windows NT zu arbeiten in verschiedener
Hinsicht einzuschränken:
- Einstellungen für Programm Manager: Hier kann festgelegt werden, ob
Programme über ”Datei - Ausführen” gestartet werden dürfen, die aktuellen Einstellungen gespeichert werden dürfen und ob allgemeine Programmgruppen angezeigt werden. Außerdem kann die Autostartgruppe
festgelegt werden.
- Einstellungen für Programmgruppen: Hier kann der Zugriff auf bestimmte
Programmgruppen gesperrt werden und für ungesperrte Programmgruppen
verschiedene Änderungsbefugnisse vergeben werden.
- Den Benutzern kann das Verbinden bzw. Trennen von Netzdruckern über
den Druckmanager erlaubt oder verboten werden.
- Es kann erzwungen werden, daß die Ausführung des Anmeldeskriptes
abgewartet wird, bevor der Programm-Manager gestartet wird. Diese
Option sollte immer aktiviert sein, damit die im Anmeldeskript vorgesehenen Aktionen auf jeden Fall durchgeführt werden.
Ab der Version 4.0 können die folgenden Einschränkungen mit Hilfe des
Systemrichtlinien-Editors festgelegt werden:
- Systemsteuerung: Hier kann der Zugriff auf die Systemsteuerungsoption
"Anzeige" beschränkt werden. Wenn diese Option gewählt wurde, können
noch zusätzlich die Registerkarten "Hintergrund", "Bildschirmschoner",
"Darstellung" und "Einstellungen" einzeln ausgeblendet werden, und die
Option "Anzeige" kann auch als Ganzes deaktiviert werden.
Normalen Benutzern sollte der Zugriff auf die Systemsteuerung entzogen
werden, da unbeabsichtigte Änderungen an den Systemeinstellungen Probleme verursachen können. Wenn zusätzlich der Zugriff auf die Systemsteuerungsoption "Anzeige" bzw. die Registerkarte "Bildschirmschoner"
entzogen wird, kann verhindert werden, daß Benutzer die Bildschirmsperre
deaktivieren. Dann muß der Administrator natürlich beim Einrichten von
Benutzern die Bildschirmsperre aktivieren.
- Shell: Hier können folgende Einschränkungen festgelegt werden:
-

Befehl "Ausführen" entfernen

-

Ordner unter Einstellungen im Menü "Start" entfernen

-

"Task-Leiste" unter Einstellungen im Menü "Start" entfernen

-

Befehl "Suchen" entfernen

_____________________________________________________________________ ..........................................
76

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.51
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

-

Laufwerke im Fenster "Arbeitsplatz" ausblenden

-

Netzwerkumgebung ausblenden

-

Kein Symbol "Gesamtes Netzwerk" in der Netzwerkumgebung

-

Keine Arbeitsgruppen-Computer in Netzwerkumgebung

-

Alle Desktop-Elemente ausblenden

-

Befehl "Beenden" deaktivieren

-

Keine Einstellungen beim Beenden speichern

- System: Hier können folgende Einschränkungen festgelegt werden:
-

Programme zum Bearbeiten der Registrierung deaktivieren

-

Nur zugelassene Anwendungen für Windows ausführen

Für normale Benutzer sollte kein Zugriff auf die Registrierung möglich
sein, da Änderungen an der Registrierung schwerwiegende Probleme verursachen können.
Die meisten Benutzer müssen mit dem IT-System nur bestimmte Aufgabe
wahrnehmen und benötigen dem entsprechend nur bestimmte Anwendungen. Daher sollte ihr Zugriff auch auf diese Anwendungen, wie z. B. ein
Textverarbeitungsprogramm, eingeschränkt werden.
- Windows NT Shell: Hier können folgende Einschränkungen festgelegt
werden:
-

Nur erlaubte Shell-Erweiterungen verwenden

-

Allgemeine Programmgruppen vom Menü "Start" entfernen

Unter Windows NT können sehr differenzierte Benutzerprofile erstellt
werden. Diese sollten entsprechend der Sicherheitspolitik der Behörde bzw.
des Unternehmens erarbeitet werden. Dies kann zeitaufwendig sein, da für
verschiedene Benutzergruppen auch jeweils auf diese zurechtgeschnittene
Benutzerprofile erstellt werden sollten. Alle Benutzerprofile müssen vorher
darauf getestet werden, ob diese weder Lücken offenlassen noch die Benutzer
an ihrer Aufgabenerfüllung hindern. Es ist auch zu bedenken, daß zu weitgehende Einschränkungen nicht nur zur Unzufriedenheit der Benutzer bis hin zur
völligen Ablehnung des Systems führen können, sondern auch den
Administratoren viel Arbeit verursachen können, wenn diese ständig Benutzerwünsche umsetzen müssen, wie z. B. eine andere Schriftgröße einstellen.
Die Windows NT Umgebung wird durch die Werte des aktuellen Benutzerprofils festgelegt, selbst wenn der aktuelle Benutzer weder über ein vorgeschriebenes noch über ein persönliches Profil verfügt oder auch wenn aktuell
niemand angemeldet ist. Das User Default Profil wird unter den folgenden
Bedingungen geladen:
- wenn der aktuelle Benutzer über kein eigenes (vorgeschriebenes oder persönliches) Profil verfügt und sich noch nie auf dem aktuellen Rechner
angemeldet hat;

_____________________________________________________________________ ..........................................
77

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.51
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- wenn ein Benutzer sich auf dem Gastkonto anmeldet.
Im ersten Fall werden die aktuellen Werte der Benutzerumgebung beim
Abmelden in ein neu erstelltes lokales persönliches Profil abgespeichert, im
zweiten Fall gehen sie beim Abmelden verloren.
Wenn niemand angemeldet ist, werden die aktuellen Werte für den Bildschirmhintergrund und andere Umgebungsvariablen durch das System Default
Profil bestimmt.
Ergänzende Kontrollfragen:
- Ist das Gastkonto, sofern es nicht gesperrt ist, durch ein Profil auf die
minimal erforderliche Funktionalität eingeschränkt?

_____________________________________________________________________ ..........................................
78

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.52
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.52

Geräteschutz unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Normalerweise erlaubt Windows NT allen Programmen den Zugriff auf
Disketten und CD-ROMs. Es ist empfehlenswert, diesen Zugriff auf den
gerade interaktiv eingeloggten Benutzer zu beschränken, indem die Geräte
diesem Benutzer beim Anmelden exklusiv zugeordnet werden.
Der Zugriff auf Diskettenlaufwerke sollte unter Windows NT 4.0 durch
Eintrag / Veränderung des Wertes "AllocateFloppies" im Schlüssel "SOFTWARE\Microsoft\Windows NT\Current Version\ Winlogon" des Bereiches
HKEY_LOCAL_MACHINE
der
Registrierung
auf
den
Wert
REG_Zeichenfolge = 1 eingeschränkt werden. Hinweis: Der Typ
"REG_Zeichenfolge", wie er in dem Programm Regedit.exe verwandt wird,
entspricht dem Typ "REG_SZ" im Programm Regedt32.exe.
Analog
sollte
der
Zugriff
auf
CD-ROM-Laufwerke
durch
Eintrag/Veränderung des Wertes "AllocateCdRoms" im Schlüssel "SOFTWARE\Microsoft\Windows NT\Current Version\ Winlogon" des Bereiches
HKEY_LOCAL_MACHINE
der
Registrierung
auf
den
Wert
REG_Zeichenfolge = 1 bei Bedarf eingeschränkt werden.
Hinweis: Da die Geräte beim Abmelden wieder für den allgemeinen Zugriff
freigegeben werden, müssen die Datenträger vor dem Abmelden aus den
Geräten entfernt werden.
Sofern Diskettenlaufwerke vollständig abgeschaltet werden sollen, kann dies
auch dadurch geschehen, daß in der Systemsteuerungsoption "Geräte" das
Laden des Treiberprogramms dadurch unterbunden wird, daß dem Gerät
"Floppy" die Startart "Deaktiviert" zugewiesen wird. Nach dem nächsten
Systemstart steht dann das Diskettenlaufwerk überhaupt nicht mehr zur
Verfügung, und es kann nur von einem Administrator durch Zuweisen der
Startart "System" wieder nutzbar gemacht werden. Auf Servern sollte davon
abgesehen werden, das Laden des Treiberprogramms für das
Diskettenlaufwerk zu unterbinden. Sofern das Diskettenlaufwerk doch einmal
z. B. zum Zwecke der Administration gebraucht wird, muß dem Gerät
"Floppy" die Startart "System" zugewiesen werden und der Server muß
heruntergefahren werden, da der Treiber erst beim Neustart wieder geladen
wird. Dies kann zu Störungen des Dienstbetriebes führen. Server müssen in
einer
gesicherten
Umgebung
aufgestellt
werden,
vorhandene
Diskettenlaufwerke sollten durch ein entsprechendes Schloß verschlossen
werden.
Weiterhin erlaubt Windows NT allen Benutzern den Zugriff auf Bandlaufwerke, so daß jeder Benutzer den Inhalt jedes Bandes lesen und schreiben
kann. Normalerweise bringt dies keine Probleme mit sich, da zu einem
gegebenen Zeitpunkt jeweils nur ein Benutzer interaktiv angemeldet ist.
Sofern dieser jedoch ein Programm laufen läßt, das auch nach dem Ausloggen
noch auf das Bandlaufwerk zugreift, so kann dieses Programm
möglicherweise auf ein Band zugreifen, das der nächste Benutzer, der sich
anmeldet, auflegt. Aus diesem Grund sollten Rechner, die sich nicht in einer

_____________________________________________________________________ ..........................................
79

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.52
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

kontrollierten Umgebung befinden, neu gestartet werden, ehe das Bandlaufwerk genutzt wird.
Hinweis: Der Einsatz von selbstladenden Bandgeräten, die mehrere Bänder
aus einem Reservoir laden können, darf nur unter sehr genau kontrollierten
Randbedingungen zugelassen werden. In der Regel sollten derartige Geräte
nur zur Datensicherung an einem Server installiert werden. Der interaktive
Zugriff normaler Benutzer auf diesen Server ist nicht zulässig (siehe auch
M 6.32 Regelmäßige Datensicherung).
Ergänzende Kontrollfragen:
- Wird die Einstellung der Schlüssel "AllocateFloppies"
"AllocateCdRoms" in der Registrierung regelmäßig kontrolliert?

und

_____________________________________________________________________ ..........................................
80

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.53
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.53

Restriktive Vergabe von Zugriffsrechten auf
Dateien und Verzeichnisse unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In Windows NT wird zwischen den Zugriffsberechtigungen auf Freigabeebene
und den Zugriffsberechtigungen auf Datei- und Verzeichnisebene, die im
folgenden auch NTFS-Berechtigungen genannt werden, unterschieden. Die
Zugriffsberechtigungen auf Freigabeebene (Shares) werden in M 2.94
Freigabe von Verzeichnissen unter Windows NT betrachtet.
Zugriffsberechtigungen auf Datei- und Verzeichnisebene stehen im Gegensatz
zu den Freigabeberechtigungen (Share-Berechtigungen) nur auf Datenträgern
mit dem Dateisystem NTFS zur Verfügung. Sie werden in der Regel vom
Ersteller oder Besitzer eines Objektes (Verzeichnis oder Datei) vergeben. Auf
Servern erfolgt dies meistens durch den Administrator. Die Festlegung von
NTFS-Berechtigungen erfolgt unter Windows NT 4.0 typischerweise mittels
des Windows NT Explorers oder über das Desktopsymbol "Arbeitsplatz". Im
Kontextmenü des entsprechenden Verzeichnisses bzw. der entsprechenden
Datei ist der Menüpunkt "Eigenschaften"/"Sicherheit" auszuwählen. Dadurch
gelangt man zu folgender Zugriffskontrolliste:

Die entsprechende Zugriffskontrolliste findet sich unter Windows NT 3.51 im
Datei-Manager unter "Sicherheit"/"Berechtigungen". In diese Zugriffskontrolliste können bestehende Benutzergruppen und Benutzer aufgenommen und
hier können jeder Benutzergruppe und jedem Benutzer Berechtigungen
zugewiesen und entzogen werden. Auch ist es möglich, Benutzergruppen und
Benutzer aus der Zugriffskontrolliste zu entfernen. Durch Aktivieren der
Option "Berechtigungen für existierende Dateien ersetzen" können die für das
Verzeichnis festgesetzten Berechtigungen auf alle Dateien dieses Verzeichnisses übertragen werden. Wird die Option "Berechtigungen für Unterver-

_____________________________________________________________________ ..........................................
81

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.53
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

zeichnisse ersetzen" gewählt, werden die eingestellten Berechtigungen zudem
auf alle Unterverzeichnisse übertragen. Auf diese Weise lassen sich leicht
einheitliche Rechtestrukturen realisieren.
NTFS-Berechtigungen werden zunächst beim lokalen Zugriff wirksam.
Müssen z. B. mehrere Benutzer an einem Computer arbeiten, so ist es möglich, durch Vergabe entsprechender Datei- und Verzeichnisberechtigungen
sicherzustellen, daß jeder Benutzer nur Zugriff auf seine Daten hat.
Auch beim Zugriff über das Netz werden NTFS-Berechtigungen wirksam.
Voraussetzung für den Netzzugriff ist aber, daß das Verzeichnis, auf das
zugegriffen werden soll oder in dem sich das gewünschte Unterverzeichnis
oder die gewünschte Datei befindet, zuvor freigegeben und mit einer entsprechenden Freigabeberechtigung versehen wurde (s. M 2.94 Freigabe von
Verzeichnissen unter Windows NT). Im Zusammenspiel zwischen Freigabeberechtigung und NTFS-Berechtigung ist zu beachten, daß die jeweils
restriktivere Berechtigung maßgebend ist. NTFS-Berechtigungen lassen sich
feiner abstufen als Freigabeberechtigungen. Es ist insbesondere möglich, für
jedes Unterverzeichnis und für jede Datei gesonderte NTFS-Berechtigungen
zu vergeben. Von daher ist es auch möglich, Freigaben mit der Freigabeberechtigung "Vollzugriff" für die Gruppe der Benutzer bzw. DomänenBenutzer zu versehen und die effektiven Zugriffsrechte über die NTFSBerechtigungen zu vergeben.
Die NTFS-Berechtigungen werden unterschieden in spezifische (auch individuelle) Berechtigungen und vordefinierte Standardberechtigungen, die Kombinationen der spezifischen Zugriffsberechtigungen darstellen.
Es gibt folgende individuellen Berechtigungen:
R Lesen
W Schreiben
X Ausführen
D Löschen
P Berechtigungen ändern
O Besitz übernehmen
Aus diesen Einzelberechtigungen sind unter Windows NT vorgegebene Standardberechtigungen kombiniert worden:
Standardberechtigung

Einzelberechtigungen

Kein Zugriff

–

Lesen

RX

Ändern

RWXD

Anzeigen

RX

Hinzufügen

WX

Hinzufügen und Lesen

RWX

Vollzugriff

RWXDPO

_____________________________________________________________________ ..........................................
82

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.53
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Der Besitzer einer Datei bzw. eines Verzeichnisses hat in jedem Fall das
Recht, Berechtigungen für die Datei bzw. das Verzeichnis zu vergeben und zu
entziehen. Jeder, der ein Verzeichnis oder eine Datei erstellt, wird automatisch
Besitzer dieser Ressource. Der Besitz an einem Verzeichnis bzw. an einer
Datei kann durch "Besitz übernehmen" (P) an andere Benutzer übertragen
werden. Der Besitz an einem Verzeichnis oder einer Datei geht allerdings erst
durch die Besitzübernahme durch den Empfänger auf diesen über. Es ist im
Gegensatz zu anderen Betriebssystemen nicht möglich, Dateien und Verzeichnisse zu verschenken. Unabhängig von den Eintragungen in der
Zugriffskontrolliste können Administratoren in jedem Fall den Besitz an
Dateien und Verzeichnissen übernehmen.
Hinweis:
Benutzer sollten möglichst nie die Berechtigung „Vollzugriff“ vergeben,
sondern höchstens die Berechtigung „Ändern“, damit ihnen nicht der
Besitz entzogen werden kann und sie immer die Hoheit über die Rechtevergabe behalten.
Alle Benutzer müssen darauf aufmerksam gemacht werden, regelmäßig mit
dem Dateimanager oder dem Explorer zu überprüfen, ob sie noch Besitzer
ihrer Verzeichnisse und Dateien sind. Dies ist der einzige Weg, mit dem
Benutzer erkennen könne, ob von Ihnen gesetzte Zugriffsrechte umgangen
worden sind.
Die in den folgenden Abschnitten genannten Maßnahmen gelten hauptsächlich
für Dateien und Verzeichnisse, für die der Administrator zuständig ist, das
heißt für solche, die entweder für alle Benutzer von Bedeutung sind oder die
Administrationszwecken dienen. Es reicht nicht aus, die Rechte eines
Programms zu überprüfen, es muß auch die Rechtevergabe aller Programme
überprüft werden, die von diesem Programm aus aufgerufen werden
(insbesondere zur Vermeidung Trojanischer Pferde).
Die Attribute aller Systemdateien sollten möglichst so gesetzt sein, daß nur
der Systemadministrator Zugriff darauf hat. Verzeichnisse dürfen nur die
notwendigen Privilegien für die Benutzer zur Verfügung stellen.
Verzeichnisse des Betriebssystems und der Anwendungsprogramme
Die Dateien und Verzeichnisse des Betriebssystems selbst müssen gegen
unzulässige Zugriffe hinreichend geschützt werden. Die standardmäßig
vorgesehenen Zugriffsrechte sollten unmittelbar nach der Installation des
Systems auf schärfere Formen der Zugriffskontrolle auf die betreffenden
Dateien und Verzeichnisse (das Windows-Verzeichnis, %SystemRoot%, z. B.
\WINNT, das Windows-Systemverzeichnis %SystemRoot%\SYSTEM32 und
eventuelle weitere Programmverzeichnisse, z. B. \MsOffice und \Programme,
und alle Unterverzeichnisse) eingestellt werden.
Dabei ist jedoch zu beachten, daß manche Programme, insbesondere 16-Bit
Programme, aber auch z. B. MS Winword 7.0, im Windows-Verzeichnis
und/oder im Programmverzeichnis Initialisierungs- und Konfigurationsdateien
anlegen. Sollen solche Programme genutzt werden, so kann es erforderlich
werden, den Benutzern das Zugriffsrecht "Ändern" auf die betreffenden
Verzeichnisse und Dateien zu geben.

_____________________________________________________________________ ..........................................
83

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.53
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Nur Administratoren dürfen auf diese Dateien und Verzeichnisse schreibenden
Zugriff haben. Für alle anderen Benutzer ist der Zugriff so einzuschränken,
daß sie dort nur lesenden und ausführenden Zugriff (RX) haben:

Benutzer(gruppe)

Zugriffsrecht

SYSTEM

Vollzugriff

Administratoren

Vollzugriff

Benutzer

Lesen

Ggf. kann der Zugriff auf ausführbare Dateien (.EXE-, COM- und BATDateien) noch weiter eingeschränkt werden, so daß nur ausführender Zugriff
(X) auf diese Dateien möglich ist. In ähnlicher Weise sind die für den
Systemstart kritischen Dateien \BOOT.INI, \NTDETECT.COM, \NTLDR,
\AUTOEXEC.BAT und \CONFIG.SYS gegen unbefugte Veränderung durch
unprivilegierte Benutzer zu schützen.
Dabei sollte allerdings - am besten in einer Testumgebung - überprüft werden,
ob alle Anwendungsprogramme bei dieser restriktiven Einstellung noch lauffähig sind, oder ob einzelne Zugriffskontrollen doch um weitere Zugriffsmöglichkeiten ergänzt werden müssen, um beispielsweise die Abspeicherung
temporärer Dateien oder von Konfigurationsinformationen in einem
Programmverzeichnis zu erlauben. Generell sollte jedoch der Zugriff auf die
Programmdateien selbst (.EXE-Dateien) und auf dynamische Bibliotheken
(.DLL-Dateien) für die Gruppe "Jeder" auf lesenden Zugriff beschränkt
werden, zumal diese Maßnahme auch einen gewissen Schutz gegen die
Verbreitung von Viren bietet.
Temporäre Dateien
Temporäre Dateien, die von verschiedenen Anwendungsprogramme zum
Auslagern und Zwischenspeichern von Daten verwendet werden, werden
unter Windows NT im Verzeichnis %TEMP% (in der Regel C:\TEMP) abgelegt. Alle Anwender benötigen für dieses Verzeichnis auch das Recht, hier
Dateien abzulegen, doch muß gleichzeitig verhindert werden, daß Benutzer
auf temporäre Dateien anderer Benutzer Zugriff erhalten. Die Zugriffsrechte
für das Verzeichnis sollten daher auf folgenden Wert geändert werden:
Benutzer(gruppe)

Zugriffsrecht

SYSTEM

Vollzugriff

Administratoren

Vollzugriff

Ersteller/Besitzer

Ändern

Benutzer

Hinzufügen

_____________________________________________________________________ ..........................................
84

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.53
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Registrierung
Die Registrierung von Windows NT befindet sich im Unterverzeichnis
CONFIG des Windows-Systemverzeichnisses %SystemRoot%\SYSTEM32,
d. h. im allgemeinen im Verzeichnis C:\WINNT\SYSTEM32\CONFIG. Auf
dieses Verzeichnis muß der Anwender Zugriff haben, da die Registrierung
automatisch durch Einstellungen des Benutzers in Anwendungsprogrammen
geändert wird. Kann der Benutzer nicht auf dieses Verzeichnis zugreifen, führt
das zu Systemfehlern oder zu einem Absturz des Systems. Die auf dieses
Verzeichnis gesetzten Standardrechte, die möglichst nicht verändert werden
sollten, sind unter Version 3.51:

Benutzer(gruppe)

Zugriffsrecht

SYSTEM

Vollzugriff

Administratoren

Vollzugriff

Ersteller/Besitzer

Ändern

Benutzer

Anzeigen

Ab Version 4.0 sind die Standardrechte:

Benutzer(gruppe)

Zugriffsrecht

SYSTEM

Vollzugriff

Administratoren

Vollzugriff

Ersteller/Besitzer

Vollzugriff

Jeder

Anzeigen

Die Gruppe "Jeder" sollte allerdings durch die Gruppe "Benutzer" ersetzt
werden. Nur wenn Gäste auf dieses Verzeichnis Zugriff haben, muß die
Gruppe "Jeder" das Recht "Anzeigen" haben.
Bei
der
Installation
legt
Windows
NT
das
Verzeichnis
%SystemRoot%\REPAIR an, um dort Konfigurationsinformationen abzuspeichern, die für eine ggf. notwendige Reparatur einer bestehenden Installation benötigt werden. Diese Dateien werden mit Hilfe des Dienstprogramms
RDISK aktualisiert (siehe auch M 6.42 Erstellung von Rettungsdisketten für
Windows NT). Da da mit Hilfe dieser Dateien und entsprechender Schadsoftware Sicherheitsfunktionalitäten von Windows NT außer Kraft gesetz werden
können, sollten die Rechte auf das Verzeichnis mit allen darin befindlichen
Dateien wie folgt gesetzt werden:

_____________________________________________________________________ ..........................................
85

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.53
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Benutzer(gruppe)

Zugriffsrecht

System

Vollzugriff

Administratoren

Vollzugriff

Profile
Zum Abspeichern der Daten, die die Benutzeroberfläche und Einträge im
Menü START ab der Version 4.0 beschreiben, legt Windows NT für jeden
Benutzer vom System ein eigenes Profilverzeichnis im Unterverzeichnis
Profiles des Windows-Verzeichnisses %SystemRoot% (in der Regel
C:\WINNT\PROFILE) an. Unter der Version 3.51 werden Profile in Unterverzeichnissen des Systemverzeichnisses %SystemRoot%\SYSTEM32\CONFIG
bzw. in für die einzelnen Benutzer explizit angegebenen Verzeichnissen
abgespeichert.
Auf diese Verzeichnisse muß der Benutzer vollen Zugriff haben, sofern er
seine Benutzeroberfläche selbst verändern können soll. Dies ist jedoch nicht
immer gewünscht (vgl. M 4.51 Benutzerprofile zur Einschränkung der
Nutzungsmöglichkeiten von Windows NT). Beim ersten Anmelden des Benutzers wird sein Benutzerprofil automatisch vom System erzeugt. Die Standard-Zugriffsrechte für das Verzeichnis sehen wie folgt aus:

Benutzer(gruppe)

Zugriffsrecht

SYSTEM

Vollzugriff

Administratoren

Vollzugriff

betreffender Benutzer

Vollzugriff

Neben dem Profilverzeichnis für den einzelnen Benutzer gibt es noch ein
Verzeichnis für alle Benutzer (All Users) und ein Verzeichnis als Vorlage für
neue Benutzer (Default User). Schreibenden Zugriff auf diese Verzeichnisse
sollte nur Systemverwalter haben. Die Zugriffsrechte sollten wie folgt gesetzt
werden::

Benutzer(gruppe)

Zugriffsrecht

SYSTEM

Vollzugriff

Administratoren

Vollzugriff

Benutzer

Lesen

Diese Einstellungen sollten nur verändert werden, wenn man dem Anwender
das Recht nehmen möchte, seine Benutzeroberfläche zu verändern.

_____________________________________________________________________ ..........................................
86

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.53
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Benutzer-Verzeichnisse
Die Verzeichnisse für die Daten der einzelnen Benutzer sollten in der Regel so
geschützt werden, daß nur die betreffenden Benutzer auf ihre Dateien
zugreifen können. Andere Benutzer, auch Administratoren benötigen in der
Regel keinen Zugriff auf die Daten eines Benutzers, es sei denn, daß dieser
selbst explizit zusätzliche Zugriffsrechte vergibt. Damit ist in den meisten
Fällen die folgende Voreinstellung für die Zugriffsrechte auf Benutzerverzeichnisse ausreichend:
Benutzer(gruppe)

Zugriffsrecht

SYSTEM

Vollzugriff

betreffender Benutzer

Vollzugriff

Benutzer, die einzelne Dateien oder Verzeichnisse anderen Benutzern
zugänglich machen wollen, sollten hierfür Verzeichnisse außerhalb ihres
Basisverzeichnisses einrichten. Ebenso sollten für Projektgruppen, die
gemeinsam an bestimmten Dateien arbeiten, spezielle Verzeichnisse eingerichtet werden. Die Zugriffsrechte auf solche Verzeichnisse sollten auch
wiederum explizit auf die Benutzer in diesen Gruppen beschränkt werden.
Sperren der Zugriffsrechte für Gäste
Bei den oben beschriebenen Zugriffskontrollisten ist davon ausgegangen
worden, daß keine Benutzer der Gruppe "Gäste" zugelassen sind. Deswegen
ist die Gruppe "Jeder" durch die Gruppe "Benutzer" zu ersetzen. Mit dieser
Maßnahme wird Gästen effektiv jede Möglichkeit zur Arbeit mit dem System
und zum Zugriff auf Daten entzogen. Da dies jedoch unter Umständen dazu
führen kann, daß bestimmte Anwendungssoftware nicht mehr korrekt läuft,
sollte eine derartige Änderung zuerst an einem Testsystem vorgenommen und
hinsichtlich ihrer Auswirkungen überprüft werden, ehe sie allgemein umgesetzt wird.
Ergänzende Kontrollfragen:
- Wird die Attributvergabe bei Systemdateien und der Registrierung regelmäßig überprüft?
- Werden die Einstellungen der Benutzerprofile regelmäßig überprüft?
- Gibt es Listen, anhand derer diese Überprüfungen durchgeführt werden?

_____________________________________________________________________ ..........................................
87

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.54
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.54

Protokollierung unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die für die Protokollierung sicherheitsrelevanter Ereignisse festgelegten
Regelungen können mit Hilfe der Option "Richtlinien" des BenutzerManagers umgesetzt werden, wobei für den mittleren Schutzbedarf geeignete
Regelungen im allgemeinen denen der folgenden Abbildung entsprechen:

Sofern auf einem Rechner Daten mit höheren Schutzanforderungen gespeichert und/oder verarbeitet werden, sollten zusätzlich noch erfolgreiche und
abgewiesene Datei- und Objektzugriffe aufgezeichnet werden. Dabei sollte
sich diese Aufzeichnung auf die Dateien, die besonders schutzwürdige Informationen enthalten, sowie auf die zur Verarbeitung dieser Dateien benötigten
Programme beschränken, damit die Protokolldatei nicht so umfangreich wird,
daß sie nicht mehr mit tragbarem Aufwand auswertbar ist.
Bei höheren Sicherheitsanforderungen sollten auch Zugriffe und Zugriffsversuche auf die Registrierung, zumindest für die Schlüssel
HKEY_LOCAL_MACHINE und HKEY_USERS, aufgezeichnet werden. Dabei
empfiehlt es sich, alle abgewiesenen Versuche aufzuzeichnen und von den
erfolgreichen zumindest die folgenden, die zu Veränderungen der Registrierung führen können:

_____________________________________________________________________ ..........................................
88

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.54
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Dabei ist zu beachten, daß Zugriffe auf die Registrierung nur dann aufgezeichnet werden, wenn bei den allgemeinen Überwachungsrichtlinien die
Überwachung der Datei- und Objektzugriffe aktiviert ist.
Bei der Überwachung der Zugriffe auf die Registrierung fallen erhebliche
Mengen an Protokolldaten an, die auch ausgewertet werden müssen. Zudem
wirkt sich die Protokollierung dieser Ereignisse u. U. negativ auf die Systemperformance aus. Es bietet sich unter Berücksichtigung der Sicherheitsanforderungen ggf. das folgende alternative Vorgehen an: Abgewiesene
Zugriffsversuche auf die Schlüssel HKEY_LOCAL_MACHINE und
HKEY_USERS werden so protokolliert, wie zuvor beschrieben. Die erfolgreichen Zugriffe auf diese Schlüssel werden nicht protokolliert. Vielmehr wird
ein geeignetes Integritätssicherungsprogramm eingesetzt. So können
Veränderungen an diesen Schlüsseln leicht erkannt werden. Der Nachteil
dieser Methode ist aber, daß der Urheber von Veränderungen nicht erkannt
werden kann.
Die Protokolldatei sollte durch Festlegung entsprechender Vorgaben mit dem
Dienstprogramm Ereignisanzeige so groß angelegt werden, daß alle innerhalb
eines vorgegebenen Zeitraums (beispielsweise in einer Woche) anfallenden
Einträge mit Sicherheit abgespeichert werden können. Dabei sollte ein
Sicherheitsspielraum vorgesehen werden, so daß in der Regel maximal nur
etwa 30 % der Protokolldatei gefüllt werden. Nach Ablauf des vorgesehenen

_____________________________________________________________________ ..........................................
89

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.54
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Zeitraums ist die Protokolldatei jeweils zu analysieren, zu archivieren und
dann zu leeren, um Platz für neue Einträge zu schaffen.
Um Systemausfälle durch Vollschreiben der Protokolldatei zu vermeiden,
sollte normalerweise eine der Optionen "Überschreiben falls notwendig" oder
"Überschreiben älter als x Tage", wobei für x die Länge des vorgesehenen
Archivierungszyklus, z. B. 30 Tage, angegeben wird, gewählt werden:

Für Systeme, für die erhöhte Sicherheitsanforderungen bestehen, sollte statt
dessen die Option "Nie überschreiben (Protokoll manuell löschen)" gewählt
werden, was allerdings zum Systemstillstand bei Überlauf des Logs führt und
dann einen entsprechenden Aufwand verursacht.
Die Auswertung der Protokolle erfolgt mit dem Verwaltungsprogramm
Ereignisanzeige, das durch Auswahl geeigneter Filterregeln die gezielte Auswertung sicherheitskritischer Vorgänge ermöglicht:

_____________________________________________________________________ ..........................................
90

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.54
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Die Auswertung des Sicherheitsprotokolls sollte einer geeigneten, allgemein
verbindlichen Vorgabe folgen (siehe M 2.64 Kontrolle der Protokolldateien
und M 2.92 Durchführung von Sicherheitskontrollen im Windows NT ClientServer-Netz).
Ergänzende Kontrollfragen:
- Werden die aufgezeichneten Protokolle regelmäßig geprüft?
- Werden die möglichen Konsequenzen sicherheitskritischer Protokolleinträge analysiert?

_____________________________________________________________________ ..........................................
91

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.55
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.55

Sichere Installation von Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Vor der Installation von Windows NT sollten einige Überlegungen getroffen
werden, die im folgenden kurz dargestellt werden.
Sichere Systemversion
Schon bei der Beschaffung muß entschieden werden, ob Windows NT in der
englischen oder in der deutschen Version zum Einsatz kommen soll. Außerdem muß Windows NT, um sicher zu sein, wenigstens in der Version 3.51 mit
dem jeweils aktuellen Service Pack betrieben werden (siehe auch M 4.76
Sichere Systemversion von Windows NT). Sofern eine ältere Windows NT
Installation vorhanden ist, sollte diese nach Möglichkeit auf die Version 4
oder zumindest auf die Version 3.51 aktualisiert werden.
Partitionen und Dateisysteme
Windows NT unterstützt neben dem eigenen Dateisystem NTFS auch das
DOS-Dateisystem FAT und das OS/2-Dateisystem HPFS. Ein Großteil der
sicherheitsrelevanten Einstellungen ist allerdings nur unter NTFS gültig. Bei
der Installation von Windows NT ist daher zu beachten, daß keine HPFS- oder
DOS-Partitionen angelegt werden, da für diese kein Zugriffsschutz gilt, so daß
derartige Partitionen zum Unterlaufen des Schutzes von Windows NT
mißbraucht werden können. Statt dessen müssen alle Partitionen mit dem
NTFS-Dateisystem formatiert oder, sofern frühere Daten beibehalten werden
sollen, zu diesem Dateisystem konvertiert werden.
Allerdings ist die Unterstützung des FAT-Dateisystems für Disketten notwendig, da das NTFS-Dateisystem aufgrund seiner Größe nicht auf Disketten
untergebracht werden kann. Daher sollte der Zugriff auf Diskettenlaufwerke
beschränkt werden (siehe M 4.52 Geräteschutz unter Windows NT).
Konfiguration des Anmelde-Vorgangs
Normalerweise zeigt Windows NT beim Anmelden den Namen des letzten
Benutzers an, der sich am betreffenden Rechner eingeloggt hat. Diese Anzeige
sollte durch Eintrag/Veränderung des Wertes "DontDisplayLastUserName" im
Schlüssel "SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon"
des Bereiches HKEY_LOCAL_MACHINE der Registrierung auf den Wert
REG_SZ = "1" verhindert werden.
Um unberechtigte Benutzer vor einem unzulässigen Zugriff auf das System zu
warnen, sollte vor dem eigentlichen Anmelde-Vorgang ein Fenster mit einem
geeigneten Text angezeigt werden. Dies wird durch Eingabe geeigneter Texte
in die beiden Einträge "LegalNoticeCaption" und "LegalNoticeText" im
Schlüssel "SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon"
des Bereiches HKEY_LOCAL_MACHINE der Registrierung erreicht.
Die betreffenden Änderungen können mit Hilfe des Registrierungs-Editors
(des Programms REGEDT32.EXE im Windows-Systemverzeichnis
%SystemRoot%\SYSTEM32) vorgenommen werden. Dabei ist besondere
Vorsicht anzuwenden, da fehlerhafte Einstellungen in der Registrierung dazu

_____________________________________________________________________ ..........................................
92

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.55
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

führen können, daß das System nicht mehr lauffähig ist. Ab der Version 4.0
von Windows NT können diese Werte mit Hilfe des Systemrichtlinien-Editors
zentral für die einzelnen Arbeitsstationen vorgegeben werden.
Laden von Subsystemen
Die optionalen Subsysteme POSIX und OS/2 sollten nur dann installiert
bleiben, wenn sie zur Durchführung von Anwendungen auch tatsächlich
benötigt werden. Sofern dies nicht der Fall ist, sollte auf ihre Installation verzichtet werden, oder die Systeme sollten, falls diese schon erfolgt ist, wieder
gelöscht werden. Dazu sind dann die Unterverzeichnisse POSIX bzw. OS2 des
Windows-Systemverzeichnisses %SystemRoot%\SYSTEM32 mit ihren eventuellen Unterverzeichnissen zu löschen. Weiterhin sind die folgenden
Programme und ladbaren Bibliotheken im Windows-Verzeichnis
%SystemRoot%\SYSTEM32 zu löschen:
- OS/2:

OS2.EXE
OS2SRV.EXE
OS2SS.EXE

- POSIX:

PSXDLL.DLL
PAX.EXE
POSIX.EXE
PSXSS.EXE

Außerdem sind folgende Einträge im Teilschlüssel
\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems im
Bereich HKEY_LOCAL_MACHINE der Registrierung zu löschen:
- OS/2: Eintrag "Os2" mit dem Wert %SystemRoot%\system32\os2ss.exe
- POSIX: Eintrag "Posix" mit dem Wert %SystemRoot%\system32\psxss.exe
Starten von Diensten
Sofern Dienste, die keine Standarddienste von Windows NT sind, konfiguriert
werden sollen, sollte bei Festlegung der Startart dieser Dienste (mit der
Systemsteuerungsoption "Dienste") nach Möglichkeit ein eigenes Benutzerkonto zum Start jedes dieser Dienste vorgesehen werden, um die Befugnisse
des betreffenden Dienstes geeignet einschränken zu können. Das dabei verwendete Benutzerkonto muß über das Recht "Als Dienst starten" verfügen,
und es sollte außer für diesen Dienst nicht verwendet werden, also insbesondere auch kein Login von Benutzern zulassen. Dienste, die nicht auf diese
Weise einem speziellen Benutzerkonto zugeordnet wurden, laufen im Kontext
der speziellen Benutzergruppe SYSTEM (siehe M 4.50 Strukturierte Systemverwaltung unter Windows NT), also mit den größtmöglichen Zugriffsberechtigungen.
Geräteschutz
Sofern der Computer über Diskettenlaufwerke, CD-ROM-Laufwerke und/oder
Bandlaufwerke verfügt, sollten diese nach Möglichkeit spezifisch geschützt

_____________________________________________________________________ ..........................................
93

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.55
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

werden, wie in der Maßnahme M 4.52 Geräteschutz unter Windows NT
beschrieben.
Notfalldiskette
Bei der Installation bietet Windows NT an, eine Notfalldiskette mit den
wichtigsten Konfigurationsinformationen zu erzeugen. Von dieser Möglichkeit sollte Gebrauch gemacht werden, und die Diskette sollte bei Änderungen
am System jeweils aktualisiert werden (siehe M 6.42 Erstellung von
Rettungsdisketten für Windows NT). Dabei empfiehlt es sich, die Aktualisierung der Notfalldiskette jeweils nach dem nächsten Systemstart vorzunehmen, wenn also sichergestellt ist, daß sich das geänderte System noch
starten läßt.
Vordefinierte Benutzerkonten
Das vordefinierte Administratorkonto ist Mitglied der vordefinierten Gruppe
"Administratoren". Es erhält die Rechte und Berechtigungen, die dieser
Gruppe erteilt wurden. Das Administratorkonto wird von der Person
verwendet, welche die Gesamtkonfiguration der Arbeitsstation oder des
Servers verwaltet. Der Administrator besitzt mehr Kontrollmöglichkeiten über
den Windows NT Computer als jeder andere Benutzer. Daher ist dieses Konto
besonders zu schützen (siehe M 4.77 Schutz der Administratorkonten unter
Windows NT). Das vordefinierte Gastkonto ist Mitglied der Gruppe "Gäste".
Es erhält die Rechte und Berechtigungen, die dieser Gruppe erteilt wurden.
Beispielsweise kann sich ein Benutzer beim Gastkonto anmelden, Dateien
erstellen und diese wieder löschen sowie Dateien lesen, für die ein Administrator den Gästen die Leseerlaubnis erteilt. Das Gastkonto wird als Service
für Benutzer eingerichtet, die gelegentlich oder nur einmal den Rechner
benutzen, so daß diese sich anmelden und mit eingeschränktem Funktionsumfang arbeiten können. Das Gastkonto ist bei der Installation von
Windows NT 4.0 zunächst gesperrt, und es wird mit einem leeren Kennwort
installiert. Das Gastkonto ist auf jeden Fall mit einem sicheren Paßwort zu
versehen, und die Sperre sollte nicht aufgehoben werden, wenn es keine
schwerwiegenden Gründe für seine Benutzung gibt. Das vordefinierte Gastkonto kann umbenannt, aber nicht gelöscht werden. Es sollte unmittelbar nach
der Installation umbenannt werden.
Das Erstbenutzerkonto wird für den ersten Benutzer einer Arbeitsstation
eingerichtet. Da es Mitglied der Gruppe "Administratoren" ist, kann die
Arbeitsstation mit dem Erstbenutzerkonto vollständig verwaltet werden. Das
Erstbenutzerkonto wird bei der Installation von Windows NT erstellt, wenn
die Arbeitsstation zu einer Arbeitsgruppe hinzugefügt wird oder wenn sie
nicht für den Netzbetrieb konfiguriert wurde. Das System fordert zur Eingabe
eines Benutzernamens und eines Kennworts auf. Wenn der Rechner bei der
Installation von Windows NT zu einer Domäne hinzugefügt wird, wird das
Erstbenutzerkonto nicht erstellt, weil erwartet wird, daß sich der Benutzer
unter Verwendung eines Kontos von der Domäne anmeldet.
Hinweis: Sofern Windows NT bei der Installation ein Erstbenutzerkonto einrichtet, sollte dieses als Konto zur Systemverwaltung verwendet werden.

_____________________________________________________________________ ..........................................
94

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.55
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Installation im Netz
Weiterhin ist zu beachten, daß alle Clients bei der Konfiguration ihrer Netzsoftware als Mitglieder einer der vorher definierten Domänen (und nicht als
Mitglieder von Arbeitsgruppen) konfiguriert werden. Falls auf ihnen
Benutzerkonten benötigt werden, müssen diese immer als domänenweite
Konten und nicht als lokale Konten definiert werden, um die Entstehung
unüberschaubarer Rechtestrukturen zu vermeiden.
Zur Vereinfachung der Installation einer größeren Anzahl von Clients sollten
vorher Skripten definiert werden, die eine automatische Installation und
Konfiguration dieser Clients ermöglichen. Software aller Art sollte zentral auf
einem Server bereitgestellt und von dort aus auf dem entsprechenden Rechner
installiert werden.
Ergänzende Kontrollfragen:
- Welchen Benutzern wurde die Zugangskontrollinformation (Benutzername, Paßwort) zu den vordefinierten Benutzerkonten mitgeteilt?
- Wird regelmäßig kontrolliert, ob das Gastkonto noch gesperrt ist, bzw.
wenn es genutzt werden muß, werden die der Gruppe "Gäste" erteilten
Zugriffsrechte und die Gruppenzuordnung des Gastkontos regelmäßig
überprüft?

_____________________________________________________________________ ..........................................
95

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.56
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.56

Sicheres Löschen unter Windows NT und Windows 95

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: IT-Benutzer, Administrator
Windows NT
Windows NT legt in einer Master Dateitabelle alle Dateiinformationen wie
Namen, Pfad und Attribute ab. Diese Angaben werden nicht verschlüsselt.
Programme, die direkt auf die Festplatte zugreifen können, können unter Umgehung der Sicherheitsmechanismen von Windows NT auf alle Dateien
beliebig zugreifen. Dies gilt insbesondere für Programme, die unter einem
anderen Betriebssystem als Windows NT auf demselben Rechner laufen.
Beim Löschen einer Datei unter dem Dateisystem NTFS wird diese nicht physikalisch gelöscht oder überschrieben, sondern ähnlich wie unter MS-DOS
lediglich dem Zugriff entzogen, wobei jedoch unter Windows NT – im Gegensatz zu der Situation bei MS-DOS – sichergestellt ist, daß ein Zugriff auf diese
gelöschten Daten, etwa mit einem Rekonstruktionsprogramm oder unter Verwendung direkter Plattenzugriffe, nicht mehr möglich ist. Dennoch können
gelöschte Dateien unter anderen Betriebssystemen als Windows NT mit Programmen, die direkt auf die Festplatte zugreifen können, wieder hergestellt
werden.
Aus diesen Gründen muß Windows NT als einziges Betriebssystem installiert
sein, und es muß verhindert werden, daß andere Betriebssysteme von Diskette
gestartet werden können (siehe M 4.52 Geräteschutz unter Windows NT und
M 4.55 Sichere Installation von Windows NT).
Windows 95/ Windows NT
Ab Windows NT Version 4.0 und unter Windows 95 werden Dateien beim
Löschen, sofern der Benutzer nicht ausdrücklich ein direktes Löschen
verlangt, zunächst in einen benutzerspezifischen Bereich, den sogenannten
"Papierkorb", verlagert. Aus diesem Bereich werden sie erst dann entfernt,
wenn der von gelöschten Dateien belegte Speicherplatz die für das betreffende
Plattenlaufwerk vorgegebene Größe überschreitet oder wenn der Benutzer
explizit den Papierkorb leert. Der Inhalt des Papierkorbs sollte daher
regelmäßig gelöscht werden, damit die Festplatte nicht zu voll wird und der
Benutzer nicht den Überblick verliert. Die maximale Größe des für den
Papierkorb reservierten Speicherplatzes kann auch unter "Eigenschaften" des
Icons "Papierkorb" auf einen geeigneten kleineren Wert, z. B. 2 MByte,
eingestellt werden. Dateien mit sensitivem Inhalt sollten nicht in den
Papierkorb verschoben werden, sondern explizit gelöscht werden, indem beim
Löschen die Umschalttaste gedrückt wird.
Unter Windows 95 besteht zudem die Möglichkeit aus dem Papierkorb
gelöschte Dateien durch Hilfsprogramme zu rekonstruieren. Dateien mit
besonders sensitivem Inhalt sollten daher - bevor sie in den Papierkorb
verschoben werden - vollständig überschrieben werden (vgl. M 2.3
Datenträgerverwaltung).

_____________________________________________________________________ ..........................................
96

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.56
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Ist die Größe des Papierkorbs unter Windows NT Version 4.0 bzw. unter
Windows 95 auf einen sinnvollen Wert eingestellt?

_____________________________________________________________________ ..........................................
97

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.57
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.57

Deaktivieren der automatischen CD-ROMErkennung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Unter Windows 95 und Windows NT 4.0 können CD-ROMs automatisch
erkannt und bearbeitet werden. Dadurch können auch auf der CD-ROM
gespeicherte Programme automatisch auf dem Rechner ausgeführt werden.
Die automatische CD-ROM-Erkennung sollte unter Windows 95 und
Windows NT permanent unterbunden werden.
Unter Windows 95 ist dafür auf der Registerkarte GERÄTEMANAGER unter
der Systemsteuerungsoption SYSTEM für die CD-ROM die Eigenschaft
“Automatische Benachrichtigung beim Wechsel” zu deaktivieren.
Unter Windows NT 4.0 ist für die permanente Deaktivierung der
automatischen CD-ROM-Erkennung in der Registrierung der Eintrag
"Autorun" im Schlüssel \SYSTEM\CurrentControlSet\Services\Cdrom im
Bereich HKEY_LOCAL_MACHINE auf den Wert REG_WORD = 0 zu setzen.
Falls die automatische CD-ROM-Erkennung gewünscht wird, läßt sich die
automatische CD-ROM-Erkennung auch für jede CD-ROM einzeln durch
Drücken der Shift-Taste beim Einlegen verhindern.
Ergänzende Kontrollfragen:
- Ist die automatische CD-ROM-Erkennung ausgeschaltet?
- Sind die Benutzer informiert, wie sie die automatische CD-ROMErkennung temporär verhindern können?

_____________________________________________________________________ ..........................................
98

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.58
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.58

Freigabe von Verzeichnissen unter Windows 95

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für jeden Rechner unter Windows 95 muß entschieden werden, ob die Peerto-Peer-Funktionalitäten benötigt werden, um sie dann einzeln zuzulassen
oder zu sperren. Dafür kann über die Systemrichtlinien über die Menüpunkte
Systemsteuerung / Netzwerk / Datei- und Druckerfreigabe die Datei- und
Druckerfreigabe einzeln zugelassen oder gesperrt werden. Anschließend muß
dem Benutzer der Zugriff auf diese Registerkarte entzogen werden.
Wenn die Dateifreigabe deaktiviert ist, stehen die entsprechenden Funktionen
im Dateimanager bzw. Explorer nicht mehr zur Verfügung, es ist aber weiter
möglich, sich mit Verzeichnissen anderer Rechner zu verbinden.
Der Administrator muß darüber hinaus beim Einrichtung eines WfWRechners auch die weiteren Punkte beachten:
- Unter Windows 95 ist durch die Systemrichtlinien sicherzustellen, daß die
Benutzer weder Rechner- noch Benutzernamen selbstständig ändern
können.
- Die Voreinstellung "Kennwort in der Kennwortliste speichern" ist in den
Verbindungsoberflächen zu deaktivieren.
- Rechner- noch Benutzernamen sollten gemäß den Organisationsvorgaben
vergeben werden. Durch die Systemrichtlinien ist sicherzustellen, daß die
Benutzer weder Rechner- noch Benutzernamen selbstständig ändern können.
- Beim Einsatz von Schedule+ ist darauf zu achten, daß das standardmäßig
vergebene Recht, offene oder besetzte Zeitblöcke einzusehen, für alle nicht
berechtigten WfW-Benutzer deaktiviert wird. Jeder Teilnehmer am selben
Post-Office ist sonst in der Lage, das zeitliche Arrangement der individuellen Termine einzusehen.
Wird ein Post-Office eingerichtet, daß von mehreren Benutzern zur
Kommunikation oder zur gemeinsamen Terminplanung genutzt werden soll,
ist in Erwägung zu ziehen, von diesem eine Datensicherung in angemessenen
Zeiträumen anzulegen. Dies ist notwendig, um einem versehentlichen oder
absichtlichen Löschen des Post-Office entgegenzuwirken, da dies unter WfW
nicht sicher verhindert wird.
Unter Windows 95 ist es möglich, eine Remote-Administration einzurichten,
die Administratoren ermöglicht, über das Netz auf die einzelnen Workstations
zuzugreifen. Vor Aktivierung dieser Option ist abzuklären, ob dies mit den
Sicherheitszielen der Organisation vereinbar ist.
Durch die Aktivierung der Remote-Administration besteht die Gefahr, daß
- jemand Kennung und Paßwort für die Remote-Administration ausprobieren
kann, oder
- ein Administrator jederzeit unbemerkt auf Benutzerrechner zugreifen kann.

_____________________________________________________________________ ..........................................
99

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.58
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Falls diese Eigenschaft zur Erleichterung der Workstation-Betreuung gewünscht ist, ist zu überlegen, ob ein Adminstrator für alle von ihm betreuten
Workstations dasselbe Administrator-Paßwort verwenden soll. Dies läßt sich
zwar leichter merken, führt aber dazu, daß ein Angreifer auf alle Workstations
zugreifen kann, wenn er dieses eine Paßwort herausgefunden hat.
Ergänzende Kontrollfragen:
- Ist dokumentiert, welche Verzeichnisse auf welchen Rechnern für den
Netzzugriff freigegeben sind?
- Werden die vorhandenen Freigaben an Veränderungen im Einsatzumfeld
angepaßt?
- Ist dokumentiert,
eingerichtet ist?

auf

welchen

Rechnern

Remote-Administration

_____________________________________________________________________ ..........................................
100

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.59
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.59

Deaktivieren nicht benötigter ISDN-KartenFunktionalitäten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Moderne ISDN-Karten sowie deren Kommunikationssoftware bzw. das in das
Karten-RAM geladene Betriebssystem besitzen zahlreiche, über die reinen
ISDN-Funktionalitäten hinausgehende Leistungsmerkmale. Solche “KomfortFunktionalitäten”, welche teilweise auch bei ausgeschaltetem IT-System angesprochen werden können, sind:
- der Empfang und Versand von Faxen,
- Funktionen eines digitalen Anrufbeantworters,
- das Abhören eingegangener Aufzeichnungen des digitalen Anrufbeantworters,
- das Telefonieren über ein im Lieferumfang der Karte enthaltenes Mikrofon
bzw. einen enthaltenen Hörer.
Soweit es möglich ist, sollten nicht benötigte Karten-Funktionalitäten deaktiviert werden, am besten durch das Entfernen des jeweiligen Softwaremoduls.
Lassen sich Karten-Funktionalitäten lediglich durch Parameter konfigurieren,
so muß die korrekte Einstellung der Parameter regelmäßig geprüft werden.
Ergänzende Kontrollfragen:
- Werden die zur Verfügung stehenden Funktionalitäten auf ihren tatsächlichen Bedarf geprüft?
- Werden nicht genutzte und somit offensichtlich nicht erforderliche
Funktionen gesperrt?

_____________________________________________________________________ ..........................................
101

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.60
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.60

Deaktivieren nicht benötigter ISDN-RouterFunktionalitäten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Neben Servicefunktionen bzw. der Fernwartung (siehe M 2.108 Verzicht auf
Fernwartung der ISDN-Netzkoppelelemente) können auch Funktionen der
Router-Betriebssysteme zu Sicherheitslücken führen. Beispielsweise ist das
Aufrufen einer Telnet-Sitzung auf dem Router und das sich anschließende
Manipulieren der Management Information Base möglich, wenn dieser mit
einem Unix-Betriebssystem ausgestattet ist.
Soweit es möglich ist, sind diese nicht benötigten Funktionalitäten zu
deaktivieren, am besten durch das Entfernen des jeweiligen Softwaremoduls.
Lassen sich Karten-Funktionalitäten lediglich durch Parameter konfigurieren,
so muß die korrekte Einstellung der Parameter regelmäßig geprüft werden.
Ergänzende Kontrollfragen:
- Werden die zur Verfügung stehenden Funktionalitäten auf ihren tatsächlichen Bedarf geprüft?
- Werden nicht genutzte und somit offensichtlich nicht erforderliche
Funktionen gesperrt?

_____________________________________________________________________ ..........................................
102

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.61
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.61

Nutzung vorhandener Sicherheitsmechanismen
der ISDN-Komponenten

Verantwortlich für Initiierung: Leiter-IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Sind gemäß Maßnahme M 2.106 Auswahl geeigneter ISDN-Karten in der
Beschaffung ISDN-Karten mit Sicherheitsfunktionalitäten für das IT-System
oder den Router, wie
- Fähigkeit zur Durchführung einer Authentisierung über PAP und CHAP
(Password Authentikation Protocol und Challenge Handshake Authentication Protocol, RFC 1994),
- Einsatz eines Verschlüsselungsverfahrens (symmetrisch/asymmetrisch) in
Hard- oder Software,
- Möglichkeit der Auswertung von CLIP-Rufnummern (Calling Line
Identification Presentation) zur Authentisierung,
- Möglichkeit des Führens einer Rufnummerntabelle für das Durchführen
eines Call-Backs und
- Möglichkeit der Protokollierung nicht erfolgreicher Verbindungsaufbauten
(Ablehnung aufgrund falscher Rufnummern- oder PAP/CHAP-Authentisierung),
beschafft worden, sollten diese auch geeignet genutzt werden, wie es die Maßnahmen M 5.48 Authentisierung mittels CLIP/COLP, M 5.49 Callback
basierend auf CLIP/COLP, M 5.50 Authentisierung mittels PAP/CHAP und
M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen beschreiben. Voraussetzung hierfür ist, daß alle Kommunikationspartner
mit ISDN-Karten, die möglichst gleiche Sicherheitsfunktionalitäten aufweisen, ausgestattet werden.

_____________________________________________________________________ ..........................................
103

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.62
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.62

Einsatz eines D-Kanal-Filters

Verantwortlich für Initiierung: Leiter-IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle
Ein D-Kanal-Filter wird zwischen ISDN-Anschluß (S2M oder S0) und ISDNEndgerät oder ISDN-TK-Anlage geschaltet. Zum ISDN-Anschluß verhält es
sich wie ein ISDN-Endgerät und zum ISDN-Endgerät wie ein ISDNAnschluß. Der D-Kanal-Filter überwacht den ISDN-D-Kanal auf unzulässige
Protokollaktionen und ist damit in der Lage, Manipulationsversuche über den
D-Kanal zu detektieren und zu verhindern. Der Einsatz des D-Kanal-Filters ist
insbesondere dann sinnvoll, wenn mit qualifizierten Angriffen über RemoteZugriffe (zum Beispiel bei Fernwartung und -administration) zu rechnen ist.
D-Kanal-Filter schränken weiterhin Leistungsmerkmale und Dienste für Rufnummern bestimmter Kommunikationspartner in der Weise ein, daß es unter
konkreten Betriebszuständen nicht zu einem Mißbrauch bzw. zur Gefährdung
der ISDN-Endeinrichtung kommen kann. Versuche, unberechtigt Leistungsmerkmale und Dienste zu nutzen, werden von D-Kanal-Filtern mit einem Verbindungsabbau (Disconnect, Release) beantwortet und protokolliert.
Weitere Informationen zu dieser vom BSI initiierten Technologie können
unter der IT-Grundschutz-Hotline nachgefragt werden.

_____________________________________________________________________ ..........................................
104

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.63
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.63

Sicherheitstechnische Anforderungen an den
Telearbeitsrechner

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: Leiter IT, Administrator
Die sicherheitstechnischen Anforderungen an den Telearbeitsrechner richten
sich nach dem Schutzbedarf der zu bearbeitenden Daten am Telearbeitsplatz
und der Daten, auf die der Telearbeiter über den Kommunikationsrechner der
Institution zugreifen kann. Je höher der Schutzbedarf, desto mehr Maßnahmen
müssen ergriffen werden, um diesen Schutz zu gewährleisten. Allgemeine
Sicherheitsziele für den Telearbeitsrechner sind:
- Der Telearbeitsrechner darf nur von autorisierten Personen benutzt werden
können.
Damit wird sichergestellt, daß nur autorisierte Personen die Daten und Programme, die im Telearbeitsrechner gespeichert sind bzw. auf die über den
Kommunikationsrechner zugegriffen werden kann, nutzen können. Autorisierte Personen sind der Administrator des Telearbeitsrechners und der
Telearbeiter nebst seines Stellvertreters.
- Der Telearbeitsrechner darf nur für autorisierte Zwecke benutzt werden.
Damit wird unterstützt, daß der Telearbeiter den Rechner nicht
unautorisiert benutzt oder verändert. Dies beugt Schäden durch
Fehlbedienung und Mißbrauch vor.
- Schäden aufgrund eines Diebstahls oder Defektes des Telearbeitsrechners
müssen tolerabel sein.
Telearbeitsrechner werden üblicherweise in einer wenig gesicherten Umgebung eingesetzt, so daß mit Diebstahl zu rechnen ist. Dabei tritt ein Verlust
der Verfügbarkeit und ggf. der Vertraulichkeit der gespeicherten Daten ein.
Dennoch müssen die Schäden gering bleiben.
- Versuchte oder erfolgte Manipulationen am Telearbeitsrechner sollen für
den Telearbeiter erkennbar sein.
Damit wird sichergestellt, daß der Telearbeitsrechner in einem integren
Zustand verbleibt, auch wenn Manipulationsversuche nicht ausgeschlossen
werden können.
Für einen Telearbeitsrechner sind folgende Funktionalitäten sinnvoll:
- Der Telearbeitsrechner muß
Authentisierungsmechanismus
sicherzustellen, daß

über einen
verfügen.

IdentifizierungsInsbesondere

und
ist

-

sicherheitskritische Parameter, wie Paßwort, Benutzerkennung,
usw., sicher verwaltet werden. Paßwörter dürfen nie unverschlüsselt
auf dem Telearbeitsrechner gespeichert werden.

-

das Zugangsverfahren definiert auf Fehleingaben reagiert. Erfolgt
zum
Beispiel
dreimal
hintereinander
eine
fehlerhafte

_____________________________________________________________________ ..........................................
105

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.63
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Authentisierung, ist der Zugang zum Telearbeitsrechner zu sperren
oder alternativ sind die zeitlichen Abstände, nach denen ein weiterer
Zugangsversuch erlaubt wird, sukzessiv zu vergrößern.
-

das
Setzen
bestimmter
Minimalvorgaben
sicherheitskritischen Parameter möglich ist. So
Mindestlänge eines Paßwortes sechs Zeichen betragen.

für
sollte

die
die

-

nach zeitweiser Inaktivität der Tastatur oder Maus automatisch eine
Bildschirmsperre aktiviert wird, die erst nach erneuter Identifikation
und Authentisierung deaktiviert werden kann.

- Der Telearbeitsrechner muß über eine Zugriffskontrolle verfügen. Insbesondere ist sicherzustellen, daß
-

der Telearbeitsrechner verschiedene Benutzer unterscheiden kann.
Es muß möglich sein, mindestens zwei getrennte Rollen auf dem
Telearbeitsrechner einzurichten, nämlich Administrator und
Benutzer.

-

mittels einer differenzierten Rechtestruktur (lesen, schreiben,
ausführen, ...) der Zugriff auf Dateien und Programme regelbar ist.

- Soll der Telearbeitsrechner über eine Protokollierung verfügen, können
folgende Anforderungen sinnvoll sein:
-

Der Mindestumfang, den der Telearbeitsrechner protokollieren soll,
sollte parametrisierbar sein. Beispielsweise sollten folgende
Aktionen inklusive der aufgetretenen Fehlerfälle protokollierbar
sein:
-

bei Authentisierung: Benutzerkennung, Datum und Uhrzeit,
Erfolg, ...,

-

bei der Zugriffskontrolle: Benutzerkennung, Datum und Uhrzeit, Erfolg, Art des Zugriffs, was wurde wie geändert,
gelesen, geschrieben, ...,

-

Durchführung von Administratortätigkeiten,

-

Auftreten von funktionalen Fehlern.

-

Die Protokollierung darf von Unberechtigten nicht deaktivierbar
sein. Die Protokolle selbst dürfen für Unberechtigte weder lesbar
noch modifizierbar sein.

-

Die Protokollierung muß übersichtlich, vollständig und korrekt sein.

- Soll der Telearbeitsrechner über eine Protokollauswertung verfügen,
können folgende Anforderungen sinnvoll sein:
-

Eine Auswertefunktion muß nach den bei der Protokollierung geforderten Datenarten unterscheiden können (z. B. "Filtern aller unberechtigten Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum").

_____________________________________________________________________ ..........................................
106

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.63
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Die Auswertefunktion muß auswertbare ("lesbare") Berichte erzeugen, so daß keine sicherheitskritischen Aktivitäten übersehen
werden.
- Der Telearbeitsrechner sollte über Funktionen zur Datensicherung verfügen. Diese sollten u. a. folgende Anforderungen erfüllen:
-

Das Datensicherungsprogramm muß benutzerfreundlich und schnell
arbeiten. Es sollte automatisierbar sein.

-

Es muß konfigurierbar sein, welche Daten wann gesichert werden.

-

Es muß eine Option zum Einspielen beliebiger Datensicherungen
existieren.

-

Die Funktion muß das Sichern von mehreren Generationen ermöglichen.

-

Datensicherungen von Zwischenergebnissen aus der laufenden
Anwendung sollen möglich sein.

- Soll der Telearbeitsrechner über eine Verschlüsselungskomponente
verfügen, ist zunächst zu überlegen, welche Funktionalität benötigt wird:
die Verschlüsselung ausgewählter Daten (offline) oder automatisch der
gesamten Festplatte (online). Dies setzt voraus, daß ein geeigneter
Verschlüsselungsalgorithmus eingesetzt wird und daß ein Datenverlust bei
Fehlfunktion (Stromausfall, Abbruch der Verschlüsselung) systemseitig
abgefangen wird. Darüber hinaus sind folgende Anforderungen sinnvoll:
-

Der implementierte Verschlüsselungsalgorithmus sollte - beim
Einsatz in Behörden - vom BSI anerkannt sein. Hier empfiehlt sich
eine individuelle Beratung durch das BSI. Außerhalb der Behörden
ist bei mittlerem Schutzbedarf der DES, bei hohem Schutzbedarf der
Triple-DES geeignet.

-

Das Schlüsselmanagement muß mit der Funktionalität des Telearbeitsrechners harmonieren. Dabei sind insbesondere grundsätzliche
Unterschiede der Algorithmen zu berücksichtigen: Symmetrische
Verfahren benutzen einen geheimzuhaltenden Schlüssel für die Entund Verschlüsselung, asymmetrische Verfahren benutzen einen
öffentlichen Schlüssel für die Verschlüsselung und einen privaten
(geheimzuhaltenden) für die Entschlüsselung.

-

Der Telearbeitsrechner muß die sicherheitskritischen Parameter wie
Schlüssel sicher verwalten. So dürfen Schlüssel (auch mittlerweile
nicht mehr benutzte) nie ungeschützt, das heißt auslesbar, auf dem
Telearbeitsrechner abgelegt werden.

- Soll der Telearbeitsrechner über Mechanismen zur Integritätsprüfung
verfügen, sind folgende Anforderungen sinnvoll:
-

Es sollten Verfahren zur Integritätsprüfung eingesetzt werden, die
absichtliche Manipulationen am Telearbeitsrechner bzw. den darauf
gespeicherten Daten sowie ein unbefugtes Einspielen von Programmen zuverlässig aufdecken können.

_____________________________________________________________________ ..........................................
107

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.63
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

-

Bei der Datenübertragung müssen Mechanismen eingesetzt werden,
mit denen absichtliche Manipulationen an den Adreßfeldern und den
Nutzdaten erkannt werden können. Daneben darf die bloße Kenntnis
der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht
ausreichen, um unerkannte Manipulationen an den obengenannten
Daten vornehmen zu können.

- Der Telearbeitsrechner sollte über einen Boot-Schutz verfügen, um zu
verhindern, daß unbefugt von auswechselbaren Datenträgern, z. B. von
Diskette oder CD, gebootet werden kann.
- Es sollte möglich sein, die Benutzerumgebung des Telearbeitsrechners
einzuschränken. Damit soll der Administrator festlegen können, welche
Programme der Telearbeiter ausführen kann, welche Peripheriegeräte nutzbar sind und welche Änderungen der Telearbeiter am System vornehmen
darf. Darüber hinaus sollte der Telearbeiter Einstellungen, die für den
sicheren Betrieb notwendig sind, nicht unautorisiert ändern und nicht
unerlaubt Fremdsoftware aufspielen können.
- Auf dem Telearbeitsrechner muß ein Computer-Viren-Prüfprogramm
installiert sein, um regelmäßig den Rechner auf Computer-Viren
überprüfen zu können. Vor dem Einspielen von Daten von
auswechselbaren Datenträgern, vor der Weitergabe von Datenträgern bzw.
beim Senden und Empfangen von Daten muß ein Virencheck durchgeführt
werden. Da an Telearbeitsrechnern der Datenaustausch mit externen ITSystemen eine wesentliche Rolle spielt und da Einzelprüfungen sehr
zeitaufwendig und umständlich sind und daher häufig unterlassen werden,
sollte bei einem Telearbeitsrechner bevorzugt ein residenter Virenscanner
installiert sein.
- Wenn der Telearbeitsrechner über Fernwartung administriert werden soll,
ist sicherzustellen, daß die Fernadministration nur autorisiert durchgeführt
werden kann. Bei der Fernwartung muß eine Authentikation des Fernwartungspersonals, die Verschlüsselung der übertragenen Daten und eine
Protokollierung der Administrationsvorgänge gewährleistet sein.
- Die Software auf einem Telearbeitsrechner sollte benutzerfreundlich sein.
Sie sollte leicht bedienbar, verständlich und gut erlernbar sein, da
Telearbeiter stärker auf sich alleine gestellt sind als andere Mitarbeiter.
Insbesondere sollte den Benutzern aussagekräftige und nachvollziehbare
Dokumentationen des Betriebssystems und aller installierten Programme
zur Verfügung gestellt werden.
Aus den obigen Funktionalitäten sind diejenigen auszuwählen, die aufgrund
der Sicherheitsanforderungen an den Telearbeitsrechner benötigt werden.
Anhand dieser Funktionalitäten muß dann ein geeignetes Betriebssystem als
Plattform ausgewählt werden. Wenn dieses nicht alle benötigten
Funktionalitäten unterstützt, müssen dazu Zusatzprodukte eingesetzt werden.
Dabei sollten möglichst alle Telearbeitsrechner einer Institution gleich
ausgestattet sein, um die Betreuung und Wartung zu erleichtern. Zur
sicherheitstechnischen Eignungsprüfung sollte Kapitel 9.1 beachtet werden.
Das Gesamtsystem ist durch die Administratoren so zu konfigurieren, daß
maximale Sicherheit erreicht werden kann.

_____________________________________________________________________ ..........................................
108

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.63
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Bietet das ausgewählte Betriebssystem des Telearbeitsrechners die notwendige Funktionalität? Sind Zusatz-Sicherheitsprodukte notwendig?
- Welche der zusätzlich empfohlenen Maßnahmen sind realisiert?
- Akzeptieren die Telearbeiter die ergriffenen Sicherheitsmaßnahmen?

_____________________________________________________________________ ..........................................
109

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.64
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.64

Verifizieren der zu übertragenden Daten vor
Weitergabe / Beseitigung von Restinformationen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Vor dem Versenden einer Datei per E-Mail oder Datenträgeraustausch bzw.
vor dem Veröffentlichen einer Datei auf einem WWW-Server sollte diese
daraufhin überprüft werden, ob sie Restinformationen enthält, die nicht zur
Veröffentlichung bestimmt sind. Solche Restinformationen können verschiedenen Ursprungs sein und dementsprechend unterschiedlich können auch die
Aktionen sein, die dagegen zu unternehmen sind. Die häufigsten Ursachen für
solche Restinformationen sind im folgenden beschrieben.
Generell sollte Standard-Software wie z. B. für Textverarbeitung oder Tabellenkalkulation darauf überprüft werden, welche Zusatzinformationen in damit
erstellten Dateien gespeichert werden. Dabei werden einige dieser Informationen mit, andere ohne Wissen des Benutzers gespeichert.
Vor der Weitergabe von Dateien sollten diese zumindest stichprobenartig auf
unerwünschte Zusatzinformationen überprüft werden. Dazu sollte ein anderer
Editor benutzt werden als der, mit dem die Datei erstellt wurde.
Dabei ist darauf zu achten, daß nicht alle Restinformationen einfach gelöscht
werden können, ohne das Dateiformat zu zerstören. Wenn z. B. aus einer
Textverarbeitungsdatei einige Bytes gelöscht werden, erkennt das Textverarbeitungsprogramm unter Umständen das Dateiformat nicht mehr. Um
Restinformationen zu beseitigen,
- kann die Datei in einem anderen Dateiformat abgespeichert werden, z. B.
als "Nur-Text" oder als HTML,
- können die Nutzdaten in eine zweite Instanz derselben Standard-Software
kopiert werden, wobei auf dem IT-System keine andere Applikation laufen
sollte. Dies empfiehlt sich insbesondere bei Dateien mit einer größeren
Änderungshistorie.
Um der Weitergabe von Informationen vorzubeugen, die ursprünglich mit
Wissen der Ersteller eingebracht worden sind, wie z. B. als "verborgen" formatierter Text, dessen Vorhandensein dann aber vergessen wurde, kann es
sinnvoll sein, die Datei ausdrucken. Dabei sollten dann alle Optionen aktiviert
werden, die beim Drucken versteckte Informationen mitausgeben.
Restinformationen/Slack-Bytes
Jedes Betriebssystem hat eine kleinste physikalische Speichereinheit mit festgelegter Größe. Unter DOS ist dies ein Sektor und umfaßt 512 Byte. Bei
Unix-Systemen ist dies ein Block, die Größe eines Blocks hängt dabei von der
eingesetzten Unix-Variante ab. Unter DOS werden die einzelnen Sektoren
einer Partition logisch zu Zuordnungseinheiten (Cluster) zusammengefaßt.
Wieviele Sektoren einen Cluster bilden, hängt von der Größe der Partition ab.
Wird eine Datei geöffnet, werden ihr ein oder mehrere Cluster zugeordnet.
Die letzte Zuordnungseinheit wird dabei nicht vollständig benutzt, wenn die

_____________________________________________________________________ ..........................................
110

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.64
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Dateigröße der zu speichernden Datei nicht zufällig ein Vielfaches der
Clustergröße ist.
Dies verbraucht zum einen Speicherplatz. Der durchschnittliche Speicherplatzverbrauch hierdurch steigt mit der Clustergröße. Da diese wiederum mit
der Partitionsgröße steigt, sollten Partitionen nicht zu groß sein. Hierzu ein
Beispiel: Bei einer Partitionsgröße zwischen 1024 und 2047 MB hat ein einzelner Cluster 32 KB. Damit gehen durchschnittlich bei jeder Datei 16 KB
Speicherplatz verloren.
Ein anderes Problem hierbei ist, daß (bei DOS-basierten Betriebssystemen)
die restlichen Bytes des letzten Clusters bzw. Blocks mit zufällig im Hauptspeicher stehenden Bytes aufgefüllt werden, sogenannten Slack-Bytes. Diese
können sinnlose Einträge, Informationen über die Dateistruktur, aber auch
Paßwörter enthalten. Auch bei einem Kopiervorgang von einem Datenträger
auf den anderen kann die Datei je nach Clustergröße mit Slack-Bytes aufgefüllt werden.
Vor der Weitergabe von Dateien sollte sichergestellt werden, daß diese keine
Slack-Bytes mehr enthalten. Dies kann mit Hilfe eines geeigneten Editors
(z. B. Hex-Editor) überprüft werden. Für das Überschreiben der Slack-Bytes
steht z. B. das Public-Domain-Programm PRUNE zur Verfügung, daß von den
WEB-Seiten des BSI heruntergeladen werden kann.
Daneben haben viele Windows-Applikationen das Problem, daß das jeweilige
Programm bei der Bearbeitung einer Datei den in Anspruch genommenen
Speicherplatz nicht durchgehend mit Applikationsdaten überschreibt, sondern
daß Lücken entstehen können, die ebenfalls alte Datenbestände des ITSystems enthalten.
Verborgener Text / Kommentare
Eine Datei kann Textpassagen enthalten, die als "versteckt" oder "verborgen"
formatiert sind. Einige Programme bieten auch die Möglichkeit an, Kommentare hinzuzufügen, die auf dem Ausdruck und oft auch am Bildschirm ausgeblendet sind. Solche Textpassagen können Bemerkungen enthalten, die nicht
für den Empfänger bestimmt sind. Daher müssen in Dateien, bevor sie an
Externe weitergegeben werden, solche Zusatzinformationen gelöscht werden.
Änderungsmarkierungen
Bei der Bearbeitung von Dateien kann es sinnvoll sein, hierbei Änderungsmarkierungen zu verwenden. Da diese auf dem Ausdruck und am Bildschirm
ausgeblendet werden können, muß vor der Weitergabe von Dateien ebenfalls
überprüft werden, ob diese Änderungsmarkierungen enthalten.
Versionsführung
Unter Microsoft Word 97 gibt es die Möglichkeit, verschiedene Versionen
eines Dokumentes in einer Datei zu speichern. Dies dient dazu, um bei Bedarf
auf frühere Überarbeitungsstände zurückgreifen zu können. Dies kann aber
sehr schnell zu riesigen Dateien führen, z. B. wenn Graphiken mitgeführt
werden. Auf keinen Fall sollte die Option "Version beim Schließen automatisch speichern" gewählt werden, da hier bei jedem Schließen einer Datei die
komplette Vorgängerversion zusätzlich gespeichert wird.

_____________________________________________________________________ ..........................................
111

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.64
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Dateieigenschaften
Als Dateieigenschaften oder Datei-Info werden in der Datei Informationen
gespeichert, die bei späteren Suchen helfen sollen, Dateien wiederzufinden.
Dabei können je nach Applikation Informationen wie Titel, Verzeichnisstrukturen, Versionsstände, Bearbeiter (nicht nur der Unterschreibende),
Kommentare, Bearbeitungszeit, letztes Druckdatum, Dokumentnamen und beschreibungen enthalten sein. Einige dieser Informationen werden von den
Programmen selber angelegt und können nicht durch den Bearbeiter beeinflußt werden. Andere Informationen müssen manuell eingegeben werden. Vor
der Weitergabe einer Datei an Externe ist zu überprüfen, welche zusätzlichen
Informationen dieser Art die Datei enthält.
Schnellspeicherung
Textverarbeitungsprogramme nutzen die Option der Schnellspeicherung, um
nur die Veränderungen seit der letzten Sicherung und nicht das gesamte
Dokument speichern zu müssen. Dieser Vorgang nimmt somit weniger Zeit in
Anspruch als ein vollständiger Speichervorgang. Ein vollständiger Speichervorgang erfordert jedoch weniger Festplattenspeicher als eine Schnellspeicherung. Der entscheidende Nachteil ist jedoch, daß die Datei unter Umständen
Textfragmente enthalten kann, die durch die Überarbeitung hätten beseitigt
werden sollen. Grundsätzlich sollten daher Schnellspeicherungsoptionen
abgeschaltet werden.
Entscheidet sich der Benutzer trotzdem für die Schnellspeicheroption, sollte er
bei folgenden Situationen immer einen vollständigen Speichervorgang
durchführen:
- wenn die Bearbeitung eines Dokuments abgeschlossen ist,
- bevor eine weitere Anwendung ausgeführt wird, die viel Speicherplatz in
Anspruch nimmt,
- bevor der Dokumenttext in eine andere Anwendung übertragen wird,
- bevor das Dokument in ein anderes Dateiformat konvertiert wird und
- bevor das Dokument per E-Mail oder Datenträgeraustausch versandt wird.
Ergänzende Kontrollfragen:
- Wurden die Benutzer über die möglichen Gefährungen durch Restinformationen in Dateien informiert?
- Wurden die Benutzer über die möglichen Gefährungen durch den Einsatz
von Schnellspeicheroptionen aufgeklärt?

_____________________________________________________________________ ..........................................
112

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.65
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.65

Test neuer Hard- und Software

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement
Vor dem Einsatz neuer Hardware-Komponenten oder neuer Software müssen
diese auf speziellen Testsystemen kontrolliert werden. Neben der Lauffähigkeit des Produktes ist dabei insbesondere zu überprüfen, daß der Einsatz neuer
Komponten keine negativen Auswirkungen auf die laufenden IT-Systeme hat.
Da vor erfolgreichen Tests Schadfunktionen nicht ausgeschlossen werden
können und da bei Tests Fehler provoziert werden, sind immer vom Produktionsbetrieb isolierte Testsysteme zu verwenden.
Der Einsatz isolierter Testsysteme ist auch erforderlich, um selbstextrahierende Dateien, die z. B. per E-Mail empfangen wurden, auf Schadfunktionen
zu prüfen.
Generelle Verfahrensweisen für die Software-Abnahme und -Freigabe inklusive des Testens sind in Kapitel 9.1 Standardsoftware beschrieben. Erst nach
bestandenem Test dürfen neue Komponenten für die Installation auf Produktionssystemen freigegeben werden.
Ergänzende Kontrollfragen:
- Ist neue Hard- bzw. Software vor dem Einsatz getestet worden?
- Ist neue Software auf Computer-Viren geprüft worden?

_____________________________________________________________________ ..........................................
113

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.66
Maßnahmenkatalog Hardware/Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.66

Novell Netware - Sicherer Übergang ins
Jahr 2000

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für die Netware Versionen 2.x bis 3.11 und 4.01 sowie 4.02 werden von
Novell keine Patches für die Datumsumstellung im Jahr 2000 zur Verfügung
gestellt. Für Netware 4.10 gibt es nun doch einen Jahr 2000 Patch, trotzdem
scheint hier Netware 4.11 oder 5.0 oder höher die sicherere Jahr 2000 Lösung
zu sein.
Werden die Novell Netware Versionen 2.x bis einschließlich 3.11 eingesetzt,
so sollten frühzeitig Planungen hinsichtlich einer Umstellung auf die Novell
Netware Version 3.2 bzw. Planungen für eine Umstellung auf die Novell
Netware Version 4.11 oder höher vorgenommen werden.
Wird als Betriebssystem Novell Netware 3.12 eingesetzt, werden von Novell
sog. Patches zur Verfügung gestellt, die die korrekte Datumsumstellung im
Jahr 2000 sicherstellen.
Registrierte Kunden, die die Version Novell Netware 3.12 innerhalb eines
bestimmten Zeitrahmens erworben haben, werden ein kostenloses Update auf
die Version Novell Netware 3.2 erhalten.
Wird als Betriebssystem Novell Netware 4.11 (IntraNetWare) eingesetzt,
werden u. a. im Internet die Patches zur Verfügung gestellt, die die korrekte
Datumsumstellung zum Jahr 2000 sicherstellen.
Hinweis:
Zusätzlich zu dem Einsatz dieser Patches muß bei der Umstellung auf das
Jahr 2000 beachtet werden, daß auch die eingesetzte Hardware (BIOS) in
der Lage ist, den Jahrtausendwechsel korrekt zu verarbeiten (siehe auch
M 2.2000 Jahr-2000-Fähigkeit von Produkten, Programmen und Daten).
Unterstützende Maßnahmen:
Auf der Homepage
- http://www.novell.de/jahr2000/
- http://www.novell.com/year2000/)
von Novell wird ein Tool zur Verfügung gestellt, welches die Seriennummer
der im Netz eingesetzten Netware Lizenzen ermittelt. Diese Seriennummern
können per Fax oder E-Mail an die Firma übersandt werden, um
Informationen hinsichtlich evtl. zu ergreifender Maßnahmen übermittelt zu
bekommen (Berichtsstand Juni 1999).
Novell stellt im Internet unter der URL http://www.novell.com/year2000/ ein
eigenes Forum zur Verfügung, welches sich mit den Problemen der Datumsumstellung im Jahr 2000 auseinandersetzt. Über dieses Forum wird auch eine
kostenlose Mailingliste zur Verfügung gestellt, die die Abonnenten über
aktuelle Veränderungen im "Novell Jahr 2000 Forum" informiert.

_____________________________________________________________________ ..........................................
114

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.66
Maßnahmenkatalog Hardware/Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wurden die Patches von Novell aus dem Internet bezogen und eingespielt?
- Wurde überprüft, daß auch die Hardware der eingesetzten IT "Jahr 2000
kompatibel" ist?

_____________________________________________________________________ ..........................................
115

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.67
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.67

Sperren und Löschen nicht benötigter Datenbank-Accounts

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Datenbank-Accounts, die über einen längeren Zeitraum nicht benutzt werden,
sollten gesperrt und später - falls möglich - gelöscht werden. Bei der Sperrung
bzw. auf jeden Fall vor dem Löschen eines Datenbank-Accounts sollte der
betroffene Benutzer informiert werden.
Wenn ein neu einzurichtender Benutzer seinen Datenbank-Account nur für
einen befristeten Zeitraum benötigt, sollte dieser auch nur befristet
eingerichtet werden, falls die Datenbank eine solche Möglichkeit zur
Verfügung stellt. Es kann vorteilhaft sein, Accounts grundsätzlich nur befristet
einzurichten und in regelmäßigen Abständen (z. B. jährlich) bei Bedarf zu
verlängern.
Ist absehbar, daß ein Benutzer einer Datenbank längere Zeit abwesend ist
(durch Urlaub, Krankheit, Abordnung, o. ä.), so sollte sein Account für diese
Zeit im Datenbanksystem gesperrt werden, so daß das Arbeiten unter seiner
Benutzerkennung für diese Zeit nicht mehr möglich ist. Es muß sichergestellt
sein, daß der Datenbankadministrator alle längeren Abwesenheitszeiträume
von Benutzern mitgeteilt bekommt. Sinnvollerweise sollte dies im Rahmen
der üblichen Abwesenheitsmeldungen über die Personalstelle erfolgen.
Darüberhinaus sollte die Datenbankadministration schnellstmöglichst über das
endgültige Ausscheiden eines Benutzers informiert werden. Spätestens am
letzten Arbeitstag des Benutzers ist dessen Account zu sperren.
Ergänzende Kontrollfragen:
- Existieren organisatorische Regelungen für befristete Datenbank-Accounts,
insbesondere dann, wenn das Datenbanksystem das Einrichten solcher
Accounts nicht unterstützt?
- Wie wird überprüft, welche Datenbank-Accounts länger nicht benutzt
wurden?
- Wird regelmäßig geprüft, welche Datenbank-Accounts nicht mehr benötigt
werden?
- Wird der Datenbankadministration mitgeteilt, wenn Benutzer der
Datenbank für längere Zeit abwesend bzw. ausgeschieden sind?

_____________________________________________________________________ ..........................................
116

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.68
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.68

Sicherstellung einer konsistenten Datenbankverwaltung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement,
Administrator
Verantwortlich für Umsetzung: Administrator
Die Datenbankadministrator-Kennung unterliegt prinzipiell keinerlei Beschränkungen bei der Nutzung des Datenbanksystems, was die Gefahr von
Fehlern oder Mißbrauch erhöht. Deshalb sollte auch der Datenbankadministrator neben seiner Administrator-Kennung eine normale BenutzerKennung erhalten und nur dann unter der Administrator-Kennung arbeiten,
wenn es notwendig ist.
Durch Aufgabenteilung, Regelungen und Absprache ist sicherzustellen, daß
Administratoren keine inkonsistenten oder unvollständigen Eingriffe vornehmen. Dabei sollten folgende Bedingungen erfüllt sein:
- Die Art und Weise der Durchführung von Änderungen sowie deren Dokumentation ist festzulegen.
- Art, Umfang und Grund der Änderungen sind zu beschreiben.
- Änderungen an Datenbankobjekten oder Daten sind prinzipiell durch den
Verantwortlichen der IT-Anwendung genehmigungspflichtig. Handelt es
sich dabei um ein zentrales Datenbankobjekt, so erfordert eine Änderung
die Zustimmung aller Verantwortlichen der betroffenen IT-Anwendungen.
- Der Zeitpunkt der geplanten Änderungen ist festzulegen und bekanntzugeben.
- Vor der Durchführung von Änderungen muß die Datenbank komplett gesichert werden.
Um den Mißbrauch weitgehend einzuschränken und Inkonsistenzen zu
vermeiden, sollten zusätzlich alle Datenbankobjekte einer Anwendung unter
die Verwaltung einer eigens für die jeweilige Anwendung eingerichteten
Benutzerkennung gestellt werden. Änderungen an den Datenbankobjekten
bleiben somit diesen speziellen Benutzer-Kennungen vorbehalten, so daß
selbst unter der Administrator-Kennung der Datenbank keine Modifikationen
vorgenommen werden können. Kenntnis über das Paßwort dieser speziellen
Benutzer-Kennungen sollte nur derjenige Datenbankadministrator haben, der
für die Administration der entsprechenden anwendungsspezifischen Belange
verantwortlich ist.
Beispiel:
In einer Datenbank werden die Daten von drei Anwendungen A, B und C
verwaltet. Alle Datenbankobjekte, die ausschließlich der Anwendung A zuzuordnen sind, werden unter der Datenbank-Benutzerkennung AnwA
eingerichtet und nur über diese Kennung verwaltet. Analog wird mit den
Datenbankobjekten der anderen beiden Anwendungen verfahren. Auf diese
Weise können an den Datenbankobjekten der drei Anwendungen nur mittels
der jeweiligen Datenbank-Benutzerkennung Modifikationen vorgenommen

_____________________________________________________________________ ..........................................
117

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.68
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

werden (unter der Voraussetzung, daß die Zugriffsrechte entsprechend
restriktiv definiert wurden).
Datenbankobjekte, die von mindestens zwei der drei Anwendungen benötigt
werden, sollten unter einer zentralen Datenbank-Kennung eingerichtet und
verwaltet werden.
Das entsprechende Paßwort der drei anwendungsspezifischen Kennungen ist
nur demjenigen Administrator bekannt, der für die Verwaltung und Pflege der
Datenbankobjekte der jeweiligen Anwendung verantwortlich ist. Das Paßwort
für die Datenbank-Kennung, über die die zentralen Datenbankobjekte
verwaltet wird, ist dagegen keinem dieser Administratoren bekannt, sondern
unterliegt der Obhut eines weiteren Administrators. Auf diese Weise kann
verhindert werden, daß die Administratoren der jeweiligen Anwendungen
Modifikationen an zentralen Datenbankobjekten vornehmen können, die unter
Umständen die Funktionalität der anderen Anwendungen beeinträchtigen
könnte.
Ergänzende Kontrollfragen:
- Wie ist sichergestellt, daß Eingriffe des Datenbankadministrators nicht zu
Inkonsistenzen führen?
- Haben alle Datenbankadministratoren eine zusätzliche Benutzer-Kennung
mit eingeschränkten Rechten?
- Werden standardmäßig die zusätzlichen Benutzer-Kennungen benutzt?

_____________________________________________________________________ ..........................................
118

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.69
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.69

Regelmäßiger Sicherheitscheck der Datenbank

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Datenbankadministrator sollte regelmäßig, jedoch mindestens einmal
monatlich einen Sicherheitscheck des Datenbanksystems durchführen.
Folgende Punkte sollten dabei u. a. geprüft werden, wobei die mit (*)
markierten Punkte meist durch entsprechende Skripte automatisiert werden
können:
- Sind die erforderlichen und geplanten Sicherungs- und Sicherheitsmechanismen aktiv und greifen sie auch?
- Gibt es Datenbank-Benutzer ohne Paßwort? (*)
- Gibt es Benutzer, die längere Zeit das Datenbanksystem nicht mehr benutzt
haben?
- Wer darf bzw. kann außer dem Datenbank-Administrator auf die Dateien
der Datenbank-Software bzw. auf die Dateien der Datenbank auf Betriebssystemebene zugreifen? (*)
- Wer hat außer dem Datenbank-Administrator Zugriff auf die SystemTabellen?
- Wer darf mit einem interaktiven SQL-Editor auf die Datenbank zugreifen?
- Welche Benutzerkennungen haben modifizierende Zugriffsrechte auf die
Datenbankobjekte der Anwendungen? (*)
- Welche Benutzerkennungen haben lesende und / oder modifizierende
Zugriffsrechte auf die Daten der Anwendungen? (*)
- Welche Benutzer besitzen die gleichen Rechte wie der Datenbank-Administrator? (*)
- Verfügt das Datenbanksystem über ausreichend freie Ressourcen? (*)
Anmerkung:
System-Tabellen sind die Tabellen, mittels derer die Datenbank selbst
verwaltet wird. In diesen Tabellen werden beispielsweise die einzelnen
Datenbankobjekte, die Datenbankkennungen, die Zugriffsberechtigungen
sowie die Zuordnungen von Dateien zu Speichermedien verwaltet. Die
System-Tabellen werden vom DBMS selbst bei der Erstellung einer
Datenbank erzeugt. Eine Modifikation dieser Tabelleninhalte ist prinzipiell
immer mit Datenbankkennungen möglich, die Administratorrechte besitzen.
Werden die Daten der System-Tabellen durch UPDATE-, INSERT- oder
DELETE-Kommandos modifiziert, besteht ein hohes Risiko, daß die
Datenbank zerstört wird. Aus diesem Grund sollte man auf die Vergabe von
modifizierenden Rechten auf die System-Tabellen verzichten. Selbst ein
lesender Zugriff sollte beschränkt werden, da über die System-Tabellen alle
Informationen der Datenbank ermittelt werden können.

_____________________________________________________________________ ..........................................
119

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.69
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wann wurde der letzte Sicherheitscheck durchgeführt?
- Werden die Durchführung und die Ergebnisse der Sicherheitschecks dokumentiert?

_____________________________________________________________________ ..........................................
120

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.70
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.70

Durchführung einer Datenbanküberwachung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um die Verfügbarkeit, die Datenbankintegrität und die Vertraulichkeit der
Daten gewährleisten zu können, ist eine regelmäßige Datenbanküberwachung
erforderlich. Die wesentlichen Punkte, die es dabei zu beachten gilt, werden
im folgenden kurz erläutert.
Die Datenbank ist in regelmäßigen Zeitabständen hinsichtlich einer möglichen
Fragmentierung zu überprüfen, um gegebenenfalls Maßnahmen wie z. B. eine
Reorganisation der Datenbank planen und durchführen zu können.
Datenbanksysteme verwalten den ihnen zur Verfügung gestellten
Speicherplatz in der Regel in der Form von Blöcken fester Größe. Wenn Sätze
in eine leere Tabelle eingefügt werden, werden neue Blöcke für diese Tabelle
reserviert und mit den Datensätzen gefüllt. Bei diesem Neuanlegen ist es
möglich, die Blöcke (mit Ausnahme des letzten) fast vollständig zu nutzen.
Werden im späteren Betrieb Datensätze gelöscht, wird der von ihnen belegte
Speicherplatz in den Blöcken freigegeben. Dieser Platz kann dann
grundsätzlich für andere Datensätze genutzt werden. Da die Datensätze aber
alle unterschiedliche Längen haben, kann in der Regel ein freier
Speicherbereich nicht zu 100 % ausgenutzt werden. Dadurch entsteht durch
die Datenänderungen im Laufe der Zeit eine immer größere Anzahl kleiner
Lücken in den Blöcken der Datenbank, die meist nicht mehr genutzt werden
können. Diese Lücken entstehen nicht nur durch DELETE- und INSERTOperationen, sondern auch durch UPDATEs, da ein Datensatz nicht mehr an
derselben Stelle gespeichert werden kann, wenn sich seine Länge geändert hat.
Das Vorhandensein solcher Lücken erhöht nicht nur den Speicherbedarf, sondern verlangsamt auch Datenbankoperationen, da Datensätze oder freier Speicherplatz erst in einem größeren Plattenbereich gesucht werden müssen.
Der Grad der Fragmentierung in den Blöcken einer Tabelle kann durch den
Vergleich zwischen der Menge der Daten in den Datensätzen in der Tabelle
und dem von den Blöcken der Tabelle belegtem Speicherplatz festgestellt
werden. Auswertungen über den Fragmentierungsgrad werden für einige
DBMSe auch von der mitgelieferten Administrationssoftware oder von
Zusatzprodukten unterstützt.
Sollte die Fragmentierung der Datenbank aufgrund einer der oben genannten
Gründe zu groß werden, muß eine Reorganisation durchgeführt werden. Dies
kann z. B. manuell erfolgen, in dem zuerst alle Daten der Datenbank
exportiert, dann alle Tabellen neu berechnet und angelegt und schließlich alle
Daten in die neue Datenbank wieder importiert werden. Für manche DBMSe
sind auch Hilfsprogramme zum Defragmentieren von Tabellen erhältlich.
Ebenso sind die Datenbankdateien regelmäßig hinsichtlich ihres Füllgrades zu
überprüfen, um rechtzeitig Maßnahmen wie z. B. eine Erweiterung der Speicherkapazitäten planen und durchführen zu können. Manche DBMSe erlauben
es dem Administrator durch Definition bestimmter Parameter bereits beim
Anlegen der Tabellen einer zu starken und zu raschen Fragmentierung vorzu-

_____________________________________________________________________ ..........................................
121

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.70
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

beugen. So kann für eine Tabelle von vornherein eine bestimmte Menge
zusammenhängender Blöcke reserviert werden, in denen zusätzlich bereits
freier Platz für Änderungen im Betrieb bereitgehalten wird.
Beispiel:
Bei einer Oracle Datenbank wird jeder Tabelle eine feste Anzahl von Extents
zugeordnet. Der Begriff Extent wird im Oracle Sprachgebrauch als logische
Größeneinheit verwendet. Die Daten einer Tabelle werden in mindestens
einem Extent abgelegt. Sobald die Kapazität eines Extents ausgeschöpft ist,
legt das DBMS automatisch ein weiteres Extent an. Beim Erstellen einer
Tabelle können dabei folgende Werte definiert werden:
- Größe des ersten Extent in Bytes
- Größe des zweiten Extents in Bytes
- Wachstum aller weiteren Extents in Prozent, wobei diese Zahl in Relation
zur Größe des zweiten Extents steht.
- Maximale Anzahl an Extents, die für die Tabelle angelegt werden dürfen.
- Mit dem Parameter PCTFREE wird festgelegt, wieviel Prozent der neuen
Blöcke für spätere Änderungen freigehalten werden.
Es muß ebenfalls regelmäßig überprüft werden, ob das Datenvolumen tatsächlich in dem Maße anwächst wie es ursprünglich angenommen wurde. Wächst
es langsamer, werden unnötige Speicherressourcen gebunden, die anderweitig
verwendet werden könnten. Wächst es schneller, kann es unter Umständen zu
Speicherengpässen kommen.
Darüber hinaus ist die Auslastung der Datenbank ist regelmäßig zu prüfen,
insbesondere im Hinblick auf die eingestellten Obergrenzen (siehe M 4.73
Festlegung von Obergrenzen).
Welche Informationen für eine konkrete Datenbanküberwachung relevant
sind, hängt von deren spezieller Funktionsweise, also von der eingesetzten
Datenbank-Standardsoftware ab. Dementsprechend sind auch individuelle
Maßnahmen einzuleiten, die die Datenbankkonfiguration dahingehend
modifizieren,
daß
sie
den
Anforderungen
hinsichtlich
Zugriffsgeschwindigkeiten, durchzuführender Transaktionen usw. gerecht
wird.
Eine Automatisierung der Datenbanküberwachung kann mittels Skripten
durchgeführt werden. Eine Voraussetzung ist allerdings, daß die
Informationen in auswertbarer Form von der eingesetzten Datenbanksoftware
zur Verfügung gestellt werden.
Ergänzende Kontrollfragen:
- Werden die Datenbankdateien, wichtige Tabellen und die Auslastung der
Datenbank regelmäßig überprüft?
- Sind die Überwachungszeiträume angemessen definiert?

_____________________________________________________________________ ..........................................
122

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.71
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.71

Restriktive Handhabung von Datenbank-Links

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Über sogenannte Datenbank-Links (DB-Links) besteht die Möglichkeit, von
einer Datenbank aus auf die Daten einer anderen Datenbank zuzugreifen. Um
einen angemessenen Schutz der Daten zu gewährleisten, sollte diese Technik
jedoch nur dann verwendet werden, wenn dies unbedingt notwendig ist.
Um die Berechtigungen eines Benutzers bei der Verwendung von DB-Links
kontrollieren zu können, ist ein entsprechendes Konzept hinsichtlich der
Definition von Benutzer-Kennungen erforderlich. So erhält ein Benutzer
prinzipiell die Möglichkeit, auf eine fremde Datenbank zuzugreifen, wenn
dort die gleiche Benutzer-Kennung existiert, mit der sich der Benutzer an der
lokalen Datenbank anmeldet. Einen weitergehenderen Schutz erhält man
durch die Möglichkeit, einen DB-Link mit expliziter Angabe einer BenutzerKennung und eines Paßwortes zu erstellen.
Prinzipiell ist zunächst einmal jeder Benutzer der Datenbank befugt, solche
DB-Links zu erstellen (unter der Voraussetzung, daß er in der Lage ist, das
entsprechende CREATE-Kommando auszuführen). Im allgemeinen sollte
jedoch nur der Administrator das Recht besitzen, DB-Links zu erstellen.
Insbesondere gilt dies für DB-Links, die von allen Datenbankbenutzern
genutzt werden dürfen (sogenannte PUBLIC DB-Links). Die Berechtigung
zur Erstellung von DB-Links sollte dagegen für normale Benutzerkennungen
explizit nicht vergeben werden.
Weiterhin sollte die Anzahl von parallel nutzbaren DB-Links eines Benutzers
begrenzt werden, um die Belastung der Datenbankserver unter Kontrolle
halten zu können. Ansonsten kann ein Angreifer dies ausnutzen, um die
Verfügbarkeit der Datenbankserver zu reduzieren oder diese sogar vollständig
lahmzulegen.
Eine Dokumentation der vom Administrator angelegten DB-Links ist
unabdingbar. Die Dokumentation sollte neben der Verbindungsart (über eine
spezielle Benutzerkennung oder unter der Voraussetzung, daß die jeweilige
aktuelle Datenbankkennung ebenfalls für die verbundene Datenbank angelegt
wurde) auch beinhalten, welcher Benutzerkreis in der Lage ist, den
entsprechenden DB-Link zu nutzen. Wie bereits erwähnt, steht ein DB-Link,
der als PUBLIC definiert wurde, allen Datenbankkennungen zur Verfügung.
Ergänzende Kontrollfragen:
- Existiert ein Konzept zur Definition von Benutzer-Kennungen und
inwieweit ist darin die mögliche Verwendung von DB-Links
berücksichtigt?
- Welche Benutzer-Kennungen sind berechtigt, DB-Links zu erstellen?
- Existiert ein Konzept zur Verwendung von DB-Links? Falls ja, wurde es
umgesetzt?

_____________________________________________________________________ ..........................................
123

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.72
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.72

Datenbank-Verschlüsselung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Anwendungsentwickler
In Abhängigkeit von der Art der in einer Datenbank gespeicherten Informationen und den sich daraus ergebenden Anforderungen an deren Vertraulichkeit
und Integrität kann es notwendig werden, diese Daten zu verschlüsseln. Dabei
kann zwischen einer Online- und einer Offline-Verschlüsselung unterschieden
werden:
- Bei einer Online-Verschlüsselung werden die Daten während des
laufenden Betriebs ver- und entschlüsselt, ohne daß die betroffenen
Benutzer davon etwas merken. Dafür können Tools eingesetzt werden, mit
denen entweder auf Betriebssystemebene die gesamte Festplatte
verschlüsselt wird, oder solche, mit denen nur die Anwendungsdaten der
Datenbank verschlüsselt werden.
- Bei einer Offline-Verschlüsselung werden die Daten erst nach ihrer
Bearbeitung verschlüsselt und vor ihrer Weiterverarbeitung wieder
entschlüsselt. Dies wird im allgemeinen mit Tools durchgeführt, die nicht
in das Datenbanksystem integriert sind, und kann insbesondere für
Datensicherungen oder Datenübertragungen sinnvoll sein. Dabei ist zu
beachten, daß genügend Platz auf der Festplatte vorhanden ist, da die Verbzw. Entschlüsselung nur dann erfolgreich ausgeführt werden kann, wenn
auf der Festplatte genügend Platz für das Original und die verschlüsselte
Version der Datenbank verfügbar ist.
Darüber hinaus besteht die Möglichkeit, Daten weiterhin im Klartext in der
Datenbank abzuspeichern, beim Zugriff über ein Netz jedoch eine
verschlüsselte Datenübertragung zu realisieren. Dies kann z. B. durch die
Secure Network Services der Oracle SQL*Net Produktfamilie durchgeführt
werden.
Welche Daten mit welchem Verfahren zu verschlüsseln sind, ist am besten
bereits bei der Auswahl der Datenbank-Standardsoftware festzustellen (siehe
M 2.124 Geeignete Auswahl einer Datenbank-Software). Dabei sollten die
Anforderungen hinsichtlich der Verschlüsselung von Datenbeständen mit den
entsprechenden Leistungsmerkmalen der Datenbank-Software verglichen
werden. Als Mindestanforderung sollte sie in jedem Fall sicherstellen, daß die
Paßwörter der Benutzer-Kennungen der Datenbank verschlüsselt abgelegt
sind.
Falls die Anforderungen durch keine der am Markt verfügbaren DatenbankStandardsoftware abgedeckt werden können, sollte man den Einsatz von
Zusatzprodukten prüfen, um die entsprechende Sicherheitslücke zu schließen.
Falls auch keine Zusatzprodukte erhältlich sind, muß ein Konzept für die
Umsetzung einer Verschlüsselungsstrategie erstellt werden, das im Unternehmen bzw. in der Behörde umgesetzt wird.

_____________________________________________________________________ ..........................................
124

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.72
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Werden von der Datenbank oder durch Zusatzprodukte geeignete
Techniken zur Verschlüsselung bereitgestellt?
- Sind die Verantwortlichen über ein ordnungsgemäßes Schlüsselmanagement informiert?

_____________________________________________________________________ ..........................................
125

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.73
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.73

Festlegung von Obergrenzen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Anwendungsentwickler
Um den Zugriff auf ein Datenbanksystem besser kontrollieren zu können und
um die Performance zu verbessern, ist die Festlegung von Obergrenzen für
bestimmte Parameter sinnvoll. Dabei sind vor allem die folgenden Punkte zu
beachten:
Festlegung von Obergrenzen für selektierbare Datensätze
Insbesondere wenn große Datenmengen in einer Datenbank abgelegt wurden,
sollte eine maximale Anzahl von Datensätzen definiert werden, die im
Rahmen eines Datenzugriffs selektiert werden können.
Existieren solche Obergrenzen nicht, so kann ein Benutzer gezielt oder
unbeabsichtigt beliebig umfangreiche Selects durchführen. Dies behindert
nicht nur den einzelnen Benutzer in seiner Arbeit, sondern führt auch bei allen
anderen Benutzern der Datenbank zu langen Wartezeiten. Werden die
Datensätze dabei selektiert, um diese zu modifizieren, so sind sie solange für
alle anderen Benutzer gesperrt, bis diese Transaktion beendet ist.
Die Obergrenzen müssen im Rahmen der Anwendungen definiert werden, die
auf die Datenbank zugreifen. Dabei müssen geeignete Kontrollen bzw.
Sperren realisiert werden, die die Einhaltung der Obergrenzen überwachen.
Stellt eine Anwendung Suchfunktionalitäten bereit, so sollte die
uneingeschränkte Suche generell abgelehnt und die Eingabe von Suchkriterien
gefordert werden.
Festlegung von Ressourcenbeschränkungen
Eine weitere Möglichkeit, die von einigen Herstellern angeboten wird, ist die
Unterstützung von Ressourcenbeschränkungen in Bezug auf die Benutzung
einer Datenbank. So können beispielsweise die Anzahl von Anmeldungen pro
Benutzerkennung, der maximale Anspruch auf CPU-Zeit pro Anmeldung, die
Gesamtdauer einer Datenbankverbindung, die maximal zulässige inaktive Zeit
während einer Anmeldung und vieles mehr definiert werden.
Beispiele:
Mit folgendem Kommando wird in einer Oracle-Datenbank für die
Datenbankkennung "Meier" der temporäre Tablespace "Temp" auf 100 MB
begrenzt:
ALTER USER Meier TEMPORARY TABLESPACE Temp QUOTA
100M ON Temp;
Mit dem nachfolgenden Befehl wird ein Profile "Tester" erstellt, das die
Anzahl der Sessions, die maximale CPU-Zeit pro Session, die maximale Zeit
einer Datenbankverbindung und die maximale Leerlaufzeit (IDLE) begrenzt.
Dieses Profile kann dann einzelnen Benutzern zugeordnet werden.
CREATE PROFILE Tester LIMIT
SESSIONS PER USER

2,

_____________________________________________________________________ ..........................................
126

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.73
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

CPU_PER_SESSION 6000,
IDLE_TIME

30,

CONNECT_TIME

500;

Eine Ingres-Datenbank erlaubt beispielsweise für Benutzer und Gruppen das
Setzen von Grenzen für die maximale Ein- und Ausgabe je Abfrage oder für
die Anzahl von Sätzen pro Abfrage.
Weiterhin kann auch die Anzahl der Benutzer beschränkt werden, die
gleichzeitig auf die Datenbank zugreifen dürfen. Durch deren Begrenzung
mittels Parametereinstellungen im DBMS kann gewährleistet werden, daß die
maximal zur Verfügung stehende Zahl an Lizenzen für die DatenbankSoftware nicht überschritten wird. Außerdem verursachen viele parallel
zugreifende Benutzer eine hohe Arbeitslast, dem der Datenbankserver
eventuell nicht gewachsen ist, wodurch sich die durchschnittliche Dauer einer
Transaktion verlängert. Ist in diesem Fall aus bestimmten Gründen eine
Erweiterung der Ressourcen des Datenbanksystems nicht möglich oder nicht
gewünscht, schafft hier eine Begrenzung der maximal möglichen parallelen
Benutzerzugriffe ebenfalls Abhilfe.
Die diesbezüglichen Anforderungen sollten bereits während der Auswahl
einer Datenbank-Standardsoftware geklärt werden, um gegebenenfalls ein
Konzept zur Umsetzung der Ressourcenbeschränkungen zu erstellen (siehe
M 2.124 Geeignete Auswahl einer Datenbank-Software).
Ergänzende Kontrollfragen:
- Wird die Einhaltung von Obergrenzen in den Anwendungen kontrolliert
und umgesetzt?
- Wird eine uneingeschränkte Suche in den Anwendungen prinzipiell unterbunden?
- Wurden die Anforderungen an eine Ressourcenbeschränkung der
Datenbank formuliert und dokumentiert?

_____________________________________________________________________ ..........................................
127

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.74
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.74

Vernetzte Windows 95 Rechner

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Administrator
Werden Windows 95 Rechner in einem Netz betrieben (Novell Netware oder
Windows NT), so sollte die Möglichkeit genutzt werden, die jeweiligen
Systemrichtlinien auf Netzservern zu speichern und diese dort zentral zu verwalten.
Mit Hilfe der SYSTEMSTEUERUNG unter NETZWERK wird hierbei die
primäre Netzwerkanmeldung, d. h. der Pfad für die Systemrichtlinien festgelegt. Standardmäßig werden die Benutzerprofile auf einem Novell Netware
Server unter SYS:PUBLIC abgelegt. Erfolgt die primäre Netzanmeldung an
einem Windows NT Rechner, so werden die Benutzerprofile standardmäßig
unter NETLOGON (%SystemRoot%\SYSTEM32\REPL\IMPORT\SCRIPTS\)
abgelegt.
Die Aktivierung der Benutzerprofile wird mit Hilfe der SYSTEMSTEUERUNG-KENNWÖRTER-BENUTZERPROFILE sichergestellt.

Weiterhin sollte zudem der Betrieb von Windows 95 ohne
Netzwerkanmeldung gesperrt werden um eine Umgehung der
Systemrichtlinien auf lokaler Basis zu verhindern. Hierzu sollte mit Hilfe von
POLEDIT.EXE unter lokaler Computer-Netzwerk-Anmeldung die Option
NETZWERKBESTÄTIGUNG FÜR WINDOWS ZUGRIFF FORDERN
aktiviert werden.

_____________________________________________________________________ ..........................................
128

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.74
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Die Verwaltung der Systemrichtlinien sollte aus Gründen der Einheitlichkeit
überwiegend über die Einrichtung von Benutzergruppen erfolgen.
Gruppenrichtlinien werden unter Windows 95 über SYSTEMSTEUERUNGSOFTWARE-WINDOWS-SETUP installiert und befinden sich standardmäßig in dem Verzeichnis
ADMIN\APPTOOLS\POLEDIT\GROUPPOL.INF.
Die Namen der jeweiligen Benutzergruppen müssen hierbei den eingerichteten
Benutzergruppen unter Novell Netware bzw. Windows NT entsprechen.
Um den ordnungsgemäßen IT-Betrieb sicherzustellen, sollte zusätzlich
beachtet werden, daß das Programm POLEDIT.EXE nicht auf dem lokalen
Windows 95 Rechner installiert werden darf, da mit diesem Programm die
gültigen Systemrichtlinien von jederman dauerhaft verändert werden können.
Ebenso sollte in der Datei MSDOS.SYS der Wert BootKeys verändert werden
(BootKeys=1) um den Start von Windows 95 im "abgesicherten Modus" zu
unterbinden. Dies verhindert, daß die Systemrichtlinien nicht zur Anwendung
kommen.
Das BIOS des Computers sollte zudem einen Systemboot über Diskette
verhindern, sowie das Diskettenlaufwerk mit einem Schloß versperrt werden,
um Einsatz von nichtautorisierter Software zu erschweren.

_____________________________________________________________________ ..........................................
129

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.75
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.75

Schutz der Registrierung unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In der Registrierung eines Windows NT Systems werden alle wichtigen
Konfigurations- und Initialisierungsinformationen gespeichert. Dort wird u. a.
auch die SAM-Datenbank verwaltet, die die Benutzer- und Computerkonten
enthält.
Die Registrierung eines Windows NT Systems besteht aus mehreren Dateien,
die sich in dem Verzeichnis %SystemRoot%\SYSTEM32\Config befinden. Aus
diesem Grund sollten die Zugriffsrechte auf dieses Verzeichnis und die darin
enthaltenen Dateien so gesetzt werden, wie dies in M 4.53 Restriktive Vergabe
von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT
vorgeschlagen wird.
Zur Erhöhung des Schutzes sollten unmittelbar nach der Installation des
Betriebssystems die folgenden sicherheitsrelevanten Teile der Registrierung
durch expliziten Eintrag von Zugriffsrechten mit Hilfe des RegistrierungsEditors (des Programms REGEDT32.EXE im Windows-Systemverzeichnis
%SystemRoot%\SYSTEM32) besonders geschützt werden, so daß die Gruppe
"Jeder" für diese Teile nur über die Zugriffsrechte "Wert einsehen",
"Teilschlüssel auflisten", "Benachrichtigen" und "Zugriff lesen" verfügt:
- im Bereich HKEY_LOCAL_MACHINE:
\Software\Windows3.1MigrationStatus (mit allen Unterschlüsseln)
\Software\Microsoft\RPC (mit allen Unterschlüsseln)
\Software\Microsoft\Windows NT\CurrentVersion
unter dem Schlüssel \Software\Microsoft\Windows NT\CurrentVersion\:
+ Profile List
+ AeDebug
+ Compatibility
+ Drivers
+ Embedding
+ Fonts
+ FontSubstitutes
+ GRE_Initialize
+ MCI
+ MCI Extensions
+ Port (mit allen Unterschlüsseln)
+ WOW (mit allen Unterschlüsseln)

_____________________________________________________________________ ..........................................
130

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.75
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- im Bereich HKEY_CLASSES_ROOT:
\HKEY_CLASSES_ROOT (mit allen Unterschlüsseln)
Dabei ist sorgfältig vorzugehen, da fehlerhafte Einstellungen in der Registrierung dazu führen können, daß das System nicht mehr lauffähig ist und nach
dem nächsten Starten eventuell nicht mehr hochläuft. Die hier genannten
Einstellungen sollten daher zunächst an einem eigenen Testsystem angewendet und auf ihre Lauffähigkeit in der aktuellen Umgebung kritisch geprüft
werden, ehe sie allgemein eingesetzt werden.
Netzzugriff auf die Registrierung
Sofern diese Funktionalität nicht unbedingt gebraucht wird, sollte auch der
Zugriff über das Netz auf die Registrierung gesperrt werden. Dies ist ab der
Version 4.0 möglich, indem der Eintrag "winreg" im Schlüssel
\System\CurrentControlSet\Control\SecurePipeServers
im
Bereich
HKEY_LOCAL_MACHINE auf den Wert REG_DWORD = 1 gesetzt wird.
In der Version 3.x besteht die Möglichkeit der expliziten Sperrung von Netzzugriffen auf die Registrierung nicht. Hier kann man sich damit behelfen, daß
die Zugriffsberechtigung für "Jeder" auf die Wurzel des Bereiches
HKEY_LOCAL_MACHINE (nicht jedoch auf die darunterliegenden Schlüssel!) entfernt wird, so daß nur noch Administratoren auf diesen Bereich
Zugriff haben. Diese Änderung ist unbedingt auf einem Testsystem zu überprüfen, da sie zur Folge haben kann, daß einige Anwendungen nicht mehr
lauffähig sind. Es ist zu beachten, daß diese Änderung nur bis zum nächsten
Systemstart bestehen bleibt.

_____________________________________________________________________ ..........................................
131

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.76
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.76

Sichere Systemversion von Windows NT

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator, Beschaffer
Vor der Beschaffung des Betriebssystems Windows NT muß entschieden
werden, ob die englische oder die deutsche Version beschafft werden soll. Es
ist nicht möglich, eine eindeutige Empfehlung abzugeben. Daher soll hier nur
aufgezeigt werden, welche spezifischen Vor- und Nachteile die Entscheidung
für die eine oder andere Version mit sich bringt.
Die englische Version von Windows NT ist stärker verbreitet als die deutsche
Version. Dies führt dazu, daß Tools, Service Packs und Hot Fixes für die
englische Version schneller verfügbar sind. Es gibt auch Tools, die nur mit der
englischen Version von Windows NT einsetzbar sind. Es ist auch möglich, die
englische Version von Windows NT so zu konfigurieren, daß
Fehlermeldungen in deutscher Sprache ausgegeben werden.
Andererseits ergibt sich die gleiche Situation hinsichtlich der Verfügbarkeit
bei den Schadprogrammen. Auch diese werden für die englische Version
schneller entwickelt und sind teilweise für die deutsche Version überhaupt
nicht verfügbar.
Windows NT kann nur dann sicher betrieben werden, wenn mindestens die
Version 3.51 oder die Version 4.0 installiert ist. Weiterhin wird die Installation des jeweils aktuellen Service Packs empfohlen. Vor dem Einsatz im
Wirkbetrieb sollte jedoch getestet werden, ob das Service Pack mit allen
Komponenten in der vorliegenden Umgebung problemlos zusammenarbeitet.
Eventuell müssen neben der Installation des Service Packs weitere Updates an
Hardware- oder Software-Komponenten vorgenommen werden. Für die
Versionen 3.51 und 4.0 von Windows NT ist das Service Pack 5 verfügbar.
Die installierte Systemversion und das ggf. installierte Service Pack werden
beim Systemstart angezeigt. Außerdem werden durch Microsoft sogenannte
Hot Fixes zur Verfügung gestellt, die Updates zu dem jeweils aktuellen
Service Pack darstellen. Die jeweils aktuellen Hot Fixes sollten ebenfalls
installiert werden, soweit sie Funktionen des installierten Systems betreffen.
Hot Fixes werden als Reaktion auf aufgetretene Probleme kurzfristig erstellt.
Dies bedingt auch, daß sie nicht so ausgetestet sind, wie die Service Packs.
Deshalb sollten auf einem System auch nur die wirklich erforderlichen Hot
Fixes installiert werden. Der Systemverwalter muß sich regelmäßig darüber
informieren, welches Service Pack und welche Hot Fixes für sein System
aktuell sind.
Die einmalige Installation eines Service Packs oder eines Hot Fixes reicht
nicht für die Sicherstellung der Systemintegrität. Jede Änderung der Systemkonfiguration, die einen Zugriff auf die Installations-CD-ROM erforderlich
macht oder bei der neue Gerätetreiber installiert werden müssen, bedingt eine
erneute Installation des aktuellen Service Packs und der notwendigen Hot
Fixes. Wird dies unterlassen, besteht die Gefahr, daß Systemdateien, die aus
dem jeweiligen Service Pack oder dem Hot Fix stammen, durch eine ältere
Version ersetzt werden, was im schlimmsten Fall dazu führen kann, daß ein
Windows NT System nicht mehr in Betrieb genommen werden kann.

_____________________________________________________________________ ..........................................
132

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.76
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Nach der Installation eines Service Packs oder eines Hot Fixes sollten die
Notfalldisketten aktualisiert werden (siehe M 6.42 Erstellung von Rettungsdisketten für Windows NT). Außerdem sollte die Sicherheitskonfiguration des
betroffenen Rechners überprüft werden.

_____________________________________________________________________ ..........................................
133

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.77
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.77

Schutz der Administratorkonten unter
Windows NT

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
Bei jeder Installation eines jeden Windows NT Systems wird ein Administratorkonto angelegt. Auf Windows NT Rechnern, die als Workstation oder als
Server ohne Domänencontrollerfunktion installiert werden, ist dieses vordefinierte Administratorkonto Mitglied der Gruppe "Administratoren". Auf
Servern, die unter dem Betriebssystem Windows NT als Primäre Domänencontroller installiert werden, wird das vordefinierte Administratorkonto bei
der Installation Mitglied der Gruppen "Administratoren", "Domänen-Admins"
und "Domänen-Benutzer". Es ist weiterhin möglich, beliebige auf einem
Windows NT
Rechner
definierte
Benutzerkonten
den
Gruppen
"Administratoren" oder "Domänen-Admins" hinzuzufügen.
Das vordefinierte Administratorkonto und die nach der Installation den
Gruppen "Administratoren" bzw. "Domänen-Admins" hinzugefügten
Benutzerkonten erhalten die Rechte und Berechtigungen, die der oder den
Gruppen erteilt wurden, in denen sie Mitglied sind. Diese Konten werden von
den Personen verwendet, welche die Gesamtkonfiguration der Arbeitsstation
oder des Servers verwalten. Administratoren besitzen mehr Kontrollmöglichkeiten über den Windows NT Computer als jeder andere Benutzer.
Das vordefinierte Administratorkonto unterscheidet sich aber in wesentlichen
Punkten von allen anderen Konten unter Windows NT: Es kann nicht gelöscht
werden und es ist von der automatischen Sperre bei wiederholten Anmeldeversuchen mit falschem Paßwort ausgenommen. Außerdem kann es auf
Windows NT Workstations und auf Windows NT Servern ohne Domänencontrollerfunktionalität nicht aus der Gruppe "Administratoren" entfernt
werden. Auf Windows NT Domänencontrollern ist es nicht möglich, das vordefinierte Administratorkonto sowohl aus der Gruppe "Administratoren" als
auch aus der Gruppe "Domänen-Admins" zu entfernen. Die Entfernung aus
einer dieser beiden Gruppen ist aber möglich. Damit wird verhindert, daß ein
Administrator zeitweise oder vollständig aus dem System ausgesperrt wird.
Andererseits führt dieser Mechanismus zu einem erhöhten Einbruchsrisiko.
An dieser Stelle muß ausdrücklich darauf hingewiesen werden, daß alle
nachträglich angelegten Benutzerkonten, die durch Aufnahme in die Gruppen
"Administratoren" bzw. "Domänen-Admins" Administratorrechte erlangt
haben, selbstverständlich durch andere Administratoren gesperrt und gelöscht
bzw. aus den o. g. Gruppen wieder entfernt werden können. Auch ist die
automatische Sperre bei wiederholten Anmeldeversuchen mit falschem
Paßwort wirksam, sofern diese in den Kontenrichtlinien definiert wurde.
Auf allen Windows NT Computern sollte das vordefinierte Administratorkonto auf einen nicht leicht erratbaren Namen umbenannt werden. Es sollte
bereits bei der Installation mit einem sicheren Paßwort (siehe M 2.11
Regelung des Paßwortgebrauchs) versehen werden. Das Paßwort sollte
möglichst die maximale Länge von 14 Zeichen ausnutzen und ist sicher zu
hinterlegen. Es ist sinnvoll, für die tägliche Administration nicht das vor-

_____________________________________________________________________ ..........................................
134

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.77
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

definierte Administratorkonto zu benutzen, sondern Benutzerkonten, die der
Gruppe "Administratoren" oder "Domänen-Admins" hinzugefügt wurden. Die
Paßwortlänge dieser Konten sollte mindestens 8 Zeichen betragen. Das vordefinierte Administratorkonto sollte lediglich für den Fall benutzt werden, daß
ein Zugriff über die nachträglich angelegten Konten mit Administratorrechten
nicht möglich ist, z. B. weil diese Konten wegen wiederholten
Anmeldeversuchen mit falschem Paßwort gesperrt sind.
Auch ist es sinnvoll, danach ein neues Konto mit dem Namen "Administrator"
anzulegen, dieses mit einem Paßwort zu versehen, es zu deaktivieren und
dieses Konto nur in der Gruppe "Gäste" aufzunehmen. Diesem Konto dürfen
keine besonderen Systemrechte zugewiesen werden, da es lediglich dazu
dient, einen potentiellen Angreifer auf eine falsche Spur zu führen.
Weiterhin sollte das Sicherheitsprotokoll regelmäßig auf Anmeldeversuche
mit Konten, die über Administratorrechte verfügen, überprüft werden (siehe
M 4.54 Protokollierung unter Windows NT).
Es existiert eine spezielle Schadsoftware, mit der ein lokal angemeldeter
Benutzer der Gruppe "Administratoren" beliebige Benutzerkonten hinzufügen
kann. Um dies zu verhindern, sollte auf allen Computern unter dem Betriebssystem Windows NT 4.0 mit dem Service Pack 3 der Hot Fix "getadmin-fix"
installiert werden, der durch Microsoft kostenlos zur Verfügung gestellt wird.
Nach der Installation des Service Packs 4 ist es nicht mehr erforderlich, den
o. g. Hotfix zu installieren.
Um ein Extrahieren des Administratorpaßwortes zu verhindern, sollten außerdem die Rechte auf die Verzeichnisse %SystemRoot%\SYSTEM32\Config und
%SystemRoot%\SYSTEM32\Repair so gesetzt werden, wie dies in M 4.53
Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter
Windows NT vorgeschlagen wird. Auch müssen Notstartdisketten und evtl.
vorhandene Bandsicherungen unter Verschluß gehalten werden.
Abhängig vom Schutzbedarf der Daten, die mit Windows NT Workstations
verarbeitet werden, ist zu entscheiden, ob für alle lokalen Administratorenkonten das gleiche Paßwort benutzt wird. Eine generelle Empfehlung kann
nicht gegeben werden, es sollte jedoch bei einer Entscheidung zugunsten des
gleichen Paßwortes für alle Workstations bedacht werden, daß ein Angreifer
im Falle der Kompromittierung dieses Paßwortes auf allen betroffenen
Workstations Administratorrechte hat.
Bei Windows NT Servern sollten noch folgende weitere Maßnahmen getroffen werden. Es sollten die Administratorenkonten auf den verschiedenen
Servern nicht alle mit dem gleichen Paßwort versehen werden. Weiterhin
sollte möglichst nicht über das Netz fernadministriert werden. Dies wird
erreicht, indem der Gruppe "Administratoren" das Recht "Zugriff auf diesen
Computer vom Netz" entzogen wird. Wo auf eine Fernadministration z. B.
aufgrund räumlicher Gegebenheiten nicht verzichtet werden kann, sollten die
Angriffsmöglichkeiten, die sich dadurch eröffnen, so gering wie möglich
gehalten werden. Dazu gehört, daß eine Anmeldung über das Netz für
Benutzerkonten mit Administratorrechten nur über in den Kontenrichtlinien
festgelegte Rechner, die unter dem Betriebssystem Windows NT betrieben
werden, erlaubt wird. Diese Rechner sollten möglichst in gesicherten

_____________________________________________________________________ ..........................................
135

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.77
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Bereichen aufgestellt werden. Auf diesen Rechnern sollte zwingend die LANManager-Kompatibilität abgeschaltet werden, um so zu vermeiden, daß
Paßwörter von Benutzerkonten mit Administratorrechten unverschlüsselt bzw.
nur schwach verschlüsselt über das Netz gesendet werden. Dazu ist es erforderlich, bei einem Windows NT 4.0 mit Service Pack 3 den Hot Fix "lm-fix"
zu installieren. Sofern auf dem System bereits das Service Pack 4 installiert
wurde, ist eine Installation des v. g. Hot Fix nicht notwendig. In jedem Fall ist
aber in der Registrierung der folgende Schlüssel zu ergänzen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\Lsa um den
Eintrag "LMCompatibilityLevel" vom Typ "REG_DWORD" und dem Wert
"2".
Ein so modifizierter Windows NT Rechner ist danach nicht mehr in der Lage,
auf Ressourcen zuzugreifen, die sich auf Rechnern befinden, die das
Windows NT Authentisierungsschema nicht beherrschen. Dies sind u. a. alle
Rechner, die unter dem Betriebssystem Windows 95 betrieben werden.
Auf Domänencontrollern reicht es nicht aus, der Gruppe "Administratoren"
das Recht "Zugriff auf diesen Computer vom Netz" zu entziehen, weil auf
Domänencontrollern das vordefinierte Administratorkonto automatisch Mitglied in den Gruppen "Domänen-Admins" und "Domänen-Benutzer" geworden ist. Das vordefinierte Administratorkonto sollte daher aus der Gruppe der
"Domänen-Admins" entfernt werden. Dies ist möglich, solange dieses Konto
Mitglied der Gruppe "Administratoren" bleibt. Außerdem sollte das vordefinierte Administratorkonto aus der Gruppe "Domänen-Benutzer" entfernt
werden. Dies ist allerdings nicht ohne weiteres möglich, da es die primäre
Gruppe dieses Kontos ist. Es muß daher eine beliebige globale Gruppe angelegt werden, die nicht über das Recht "Zugriff auf diesen Computer vom Netz"
verfügt. Das vordefinierte Administratorkonto ist dieser Gruppe hinzuzufügen
und es ist einzustellen, daß dies nunmehr die primäre Gruppe des Kontos sein
soll. Erst danach kann das vordefinierte Administratorkonto aus der Gruppe
"Domänen-Benutzer" entfernt werden.

_____________________________________________________________________ ..........................................
136

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.78
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.78

Sorgfältige Durchführung von Konfigurationsänderungen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
Die Durchführung von Änderungen an einem IT-System im Echtbetrieb ist
immer als kritisch einzustufen und entsprechend sorgfältig muß hierbei vorgegangen werden.
Bevor mit Änderungen am System begonnen wird, muß als erstes die alte
Konfiguration gesichert werden, so daß sie schnell verfügbar ist, wenn Probleme mit der neuen Konfiguration auftreten.
Bei vernetzten IT-Systemen müssen die Benutzer rechtzeitig über die
Durchführung von Wartungsarbeiten informiert werden, damit sie zum einen
ihre Planung auf eine zeitweise Systemabschaltung einrichten können, und
damit sie zum anderen nach Änderungen auftretende Probleme richtig
zuordnen können.
Die Konfigurationsänderungen sollten immer nur schrittweise durchgeführt
werden. Zwischendurch sollte immer wieder überprüft werden, ob die
Änderungen korrekt durchgeführt wurden und das IT-System sowie die
betroffenen Applikationen noch lauffähig sind.
Bei Änderungen an Systemdateien ist anschließend ein Neustart
durchzuführen, um zu überprüfen, ob sich das IT-System korrekt starten läßt.
Für Problemfälle sind alle für einen Notstart benötigten Datenträger vorrätig
zu halten, z. B. Boot-Disketten, Start-CD-ROM.
Komplexere Konfigurationsänderungen sollten möglichst nicht in den
Originaldateien vorgenommen werden, sondern in Kopien. Alle
durchgeführten Änderungen sollten von einem Kollegen überprüft werden,
bevor sie in den Echtbetrieb übernommen werden.
Bei IT-Systemen mit hohen Verfügbarkeitsanforderungen ist auf
Ersatzsysteme zurückzugreifen bzw. zumindest ein eingeschränkter IT-Betrieb
zu gewährleisten. Das Vorgehen kann sich dabei idealerweise nach dem
Notfall-Handbuch richten.
Die durchgeführten Konfigurationsänderungen sollten Schritt für Schritt
notiert werden, so daß bei auftretenden Problemen das IT-System durch
sukzessive Rücknahme der Änderungen wieder in einen lauffähigen Zustand
gebracht werden kann (siehe auch M 2.34 Dokumentation der Veränderungen
an einem bestehenden System).
Ergänzende Kontrollfragen:
- Werden Systemveränderungen schrittweise dokumentiert?
- Lassen sich die Änderungen nachträglich rückgängig machen?

_____________________________________________________________________ ..........................................
137

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.79
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.79

Sichere Zugriffsmechanismen bei lokaler
Administration

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Bei einigen aktiven Komponenten kann über einen lokalen Zugriff die Administration der Komponenten erfolgen. Solch ein lokaler Zugriff ist zumeist
über einen seriellen Anschluß (üblicherweise eine V.24 bzw. EIA-232-E
Schnittstelle) realisiert. Für einen sicheren lokalen Zugriff sind die folgenden
Maßnahmen zu beachten:
- Die aktiven Netzkomponenten und ihre Peripheriegeräte, wie z. B. angeschlossene Terminals, müssen sicher aufgestellt werden (siehe M 1.29
Geeignete Aufstellung eines IT-Systems),
- der lokale Zugriff zur Administration der lokalen Komponenten muß softwaretechnisch und/oder mechanisch gesperrt werden,
- eine eventuell vorhandenes Standardpaßwort des lokalen Zugriffs muß
sofort nach Inbetriebnahme geändert werden (zur Auswahl des neuen Paßwortes siehe M 2.11 Regelung des Paßwortgebrauchs),
- die Sicherheitseigenschaften dauerhaft angeschlossener Terminals oder
Rechner, wie z. B. automatische Bildschirmsperre oder Auto-Logout, sind
zu aktivieren (siehe M 5.11 Konsolen der Server und aktiven Netzkomponenten sperren).
Eine lokale Administration bietet folgende Vorteile:
- Die Gefahr des Abhörens von Paßwörtern wird reduziert.
- Auch bei einem Ausfall des Netzsegmentes, in dem sich die aktive Komponente befindet, oder bei einem Ausfall des gesamten Netzes ist eine Administration weiterhin möglich.
Eine lokale Administration bietet allerdings auch folgende Nachteile:
- Aktive Netzkomponenten können im allgemeinen so konfiguriert werden,
daß eine lokale oder eine zentrale Administration der aktiven Netzkomponenten möglich ist. Für die Auswahl der Konfigurationsmethode kann
jedoch keine generelle Empfehlung gegeben werden. Zu berücksichtigen
ist jedoch, daß bei der Konfiguration für eine ausschließlich lokale
Administration keine zentrale Administration der aktiven Netzkomponenten mehr möglich ist. Diese muß dann immer vor Ort direkt an den
entsprechenden Komponenten vorgenommen werden. In diesem Fall
erhöht sich auch die Reaktionszeit im Störungsfall, da unter Umständen
längere Wege bis zum Standort der Komponente zurückzulegen sind.
- Der lokale Zugriff ist durch die Realisierung über eine V.24 bzw.
EIA-232-E Schnittstelle im allgemeinen langsamer als ein Fernzugriff über
das Netz.
Ergänzende Kontrollfragen:
- Sind die Standardpaßwörter für den lokalen Zugriff gegen sichere ausgetauscht worden?

_____________________________________________________________________ ..........................................
138

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.80
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.80

Sichere Zugriffsmechanismen bei Fernadministration

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Einige aktive Netzkomponenten können über einen Netzzugriff
fernadministriert oder überwacht werden. Der Zugriff erfolgt entweder über
verbindungsorientierte oder verbindungslose Protokolle. Hierzu gehören:
- Protokolle zur reinen Datenübertragung, beispielsweise um neue
Firmware-Versionen oder Konfigurationsdateien zu übertragen, z. B. FTP,
TFTP (von letzterem wird prinzipiell abgeraten) oder RCP (siehe auch
M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver
Netzkomponenten),
- Protokolle zur interaktiven Kommunikation, z. B. Telnet,
- Protokolle für das Netzmanagement, z. B. SNMP oder CMIP.
Bei allen Zugriffsarten ist dafür Sorge zu tragen, daß kein unautorisierter
Zugriff erfolgen kann.
Hierzu sind die Standardpaßwörter bzw. Community-Namen der Netzkomponenten gegen sichere Paßwörter bzw. Community-Namen auszutauschen
(siehe M 4.82 Sichere Konfiguration der aktiven Netzkomponenten). Die
Kopplung von Community-Namen und Paßwort betrifft bei vielen aktiven
Netzkomponenten die Protokolle FTP, Telnet, SNMP und CMIP. Einige
Komponenten bieten auch die Möglichkeit, den Zugriff auf der Basis von
MAC- oder IP-Adressen zu beschränken. Soweit möglich, sollte diese Option
genutzt werden, um den Zugriff nur von dedizierten Managementstationen aus
zu gestatten.
Protokolle zur Datenübertragung (TFTP, FTP, RCP) sollten nur von der Netzkomponente selbst aus initiiert werden können. Dies trifft insbesondere für
nicht authentifizierende Protokolle wie TFTP zu. Für interaktive
Kommunikationsprotokolle (Telnet) sollte die Auto-Logout-Option der
Netzkomponente aktiviert werden.
Bei den meisten der genannten Protokollen ist zu beachten, daß die
Übertragung der Paßwörter bzw. Community-Namen im Klartext erfolgt, also
prinzipiell abgehört werden kann (siehe hierzu M 5.61 Geeignete
physikalische Segmentierung und M 5.62 Geeignete logische Segmentierung)
Beispiel: Die bei SNMP standardmäßig voreingestellten Community-Namen
“public” und “private” sollten gegen andere Namen ausgetauscht werden.
Ergänzende Kontrollfragen:
- Wurden alle Standardpaßwörter und Community-Namen gegen sichere
selbstgewählte ausgetauscht?
- Können Datenübertragungen nur von den Netzkomponenten aus initiiert
werden?

_____________________________________________________________________ ..........................................
139

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.81
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.81

Audit und Protokollierung der Aktivitäten im
Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Revisor
Eine angemessene Durchführung von Protokollierung, Audit und Revision ist
ein wesentlicher Faktor der Netzsicherheit.
Eine Protokollierung innerhalb eines Netzmanagementsystems oder an
bestimmten aktiven Netzkomponenten erlaubt es, gewisse (im allgemeinen zu
definierende) Zustände für eine spätere Auswertung abzuspeichern. Typische
Fälle, die protokolliert werden können, sind z. B. die übertragenen
fehlerhaften Pakete an einer Netzkomponente, ein unautorisierter Zugriff auf
eine Netzkomponente oder die Performance eines Netzes zu bestimmten
Zeiten. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln
erlaubt beispielsweise einen Rückschluß, ob die Bandbreite des Netzes den
derzeitigen Anforderungen genügt, oder die Erkennung von systematischen
Angriffen auf das Netz.
Unter einem Audit wird die Verwendung eines Dienstes verstanden, der insbesondere sicherheitskritische Ereignisse betrachtet. Dies kann online oder
offline erfolgen. Bei einem Online-Audit werden die Ereignisse mit Hilfe
eines Tools (z. B. einem Netzmanagementsystem) in Echtzeit betrachtet und
ausgewertet. Bei einem Offline-Audit werden die Daten protokolliert oder aus
einer bestehenden Protokolldatei extrahiert. Zu den mit Hilfe eines OfflineAudits überwachten Faktoren gehören häufig auch Daten über Nutzungszeiten
und angefallene Kosten.
Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von
einem oder mehreren unabhängigen Mitarbeitern (4-Augen-Prinzip) überprüft,
um Unregelmäßigkeiten beim Betrieb der IT-Systeme aufzudecken und die
Arbeit der Administratoren zu kontrollieren.
Die mit einem Netzmanagement-System möglichen Protokollierungs- und
Audit-Funktionen sind in einem sinnvollen Umfang zu aktivieren. Neben Performance-Messungen zur Überwachung der Netzlast sind dabei insbesondere
die Ereignisse (Events) auszuwerten, die von einem Netzmanagement-System
generiert werden, oder spezifische Datensammler (z. B. RMON-Probes)
einzusetzen, mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden können.
Bei der Protokollierung fallen zumeist sehr viele Einträge an, so daß diese nur
mit Hilfe eines Werkzeuges sinnvoll ausgewertet werden können. Beim Audit
liegt die Fokusierung auf der Überwachung von sicherheitskritischen Ereignissen. Zusätzlich werden beim Audit häufig auch Daten über
Nutzungszeiträume und anfallende Kosten erhoben.
Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse:
- Daten über die Betriebsdauer von IT-Systemen (wann wurde welches ITSystem ein- bzw. wieder ausgeschaltet?),
- Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?),

_____________________________________________________________________ ..........................................
140

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.81
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagementkomponenten mit oder ohne Erfolg,
- Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines
Monats und die allgemeine Performance des Netzes.
Weiterhin sollten folgende Vorkommnisse protokolliert werden:
- Hardware-Fehlfunktionen, die zu einem Ausfall eines IT-Systems führen
können,
- Unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem
TCP/IP-Umfeld).
Ein Audit kann sowohl online als auch offline betrieben werden. Bei einem
Online-Audit werden entsprechend kategorisierte Ereignisse direkt dem
Auditor mitgeteilt, der ggf. sofort Maßnahmen einleiten kann. Dafür müssen
Ereignisse in geeignete Kategorien eingeteilt werden, damit der zuständige
Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und
nicht unter einer Flut von Informationen den Überblick verliert. Ist Rollentrennung notwendig? Bei einem Offline-Audit werden die Daten aus den
Protokolldateien oder speziellen Auditdateien mit Hilfe eines Werkzeuges für
Auditzwecke aufbereitet und durch den Auditor überprüft. Im letzteren Fall
können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur
zeitverzögert eingeleitet werden. Im allgemeinen wird eine Mischform aus
Online- und Offline-Audit empfohlen. Dabei werden für das Online-Audit die
sicherheitskritischen Ereignisse gefiltert und dem Auditor sofort zur Kenntnis
gebracht. Zusätzlich werden weniger kritische Ereignisse offline ausgewertet.
Für Protokollierung und Audit können die Standard-Managementprotokolle,
wie z. B. SNMP und das darauf aufsetzende RMON, aber auch spezifische
Protokolle des eingesetzten Netzmanagementproduktes verwendet werden.
Auf keinen Fall dürfen Benutzer-Paßwörter im Rahmen eines Audits oder
einer Protokollierung gesammelt werden! Dadurch wird ein hohes
Sicherheitsrisiko erzeugt, falls es zu einem unberechtigten Zugriff auf diese
Informationen kommt. Auch falsch eingegebene Paßwörter sollten nicht
protokolliert werden, da sie sich von den gültigen Paßwörtern meist nur um
ein Zeichen bzw. um eine Vertauschung zweier Zeichen unterscheiden.
Es muß weiterhin festgelegt werden, wer die Protokolle und Audit-Daten auswertet.
Hierbei
muß
eine
angemessene
Trennung
zwischen
Ereignisverursacher und -auswerter (z. B. Administrator und Auditor)
vorgenommen werden. Weiterhin ist darauf zu achten, daß die datenschutzrechtlichen Bestimmungen eingehalten werden. Für alle erhobenen
Daten ist insbesondere die Zweckbindung nach § 14 BDSG zu beachten.
Die Protokoll- oder Auditdateien müssen regelmäßig ausgewertet werden. Sie
können sehr schnell sehr umfangreich werden. Um die Protokoll- oder
Auditdateien auf ein auswertbares Maß zu beschränken, sollten die
Auswertungsintervalle daher angemessen, aber dennoch so kurz gewählt
werden, daß eine sinnvolle Auswertung möglich ist.

_____________________________________________________________________ ..........................................
141

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.81
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Werden die aufgezeichneten Protokoll- und Auditdaten regelmäßig
kontrolliert?
- Werden die möglichen Konsequenzen sicherheitskritischer Ereignisse
analysiert?
- Werden die Benutzer-Paßwörter protokolliert?

_____________________________________________________________________ ..........................................
142

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.82
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.82

Sichere Konfiguration der aktiven Netzkomponenten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche
Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig
konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration
eines Serversystems nur diejenigen Benutzer betroffen sind, die die
entsprechenden Dienste dieses Systems nutzen, können bei einer
Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte
Netz ausfallen oder Daten unbemerkt kompromittiert werden.
Im Rahmen des Netzkonzeptes (siehe M 2.141 Entwicklung eines Netzkonzeptes) sollte auch die sichere Konfiguration der aktiven Netzkomponenten
festgelegt werden. Dabei gilt es insbesondere folgendes zu beachten:
- Für Router und Layer-3-Switching muß ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann
durch die Implementation geeigneter Filterregeln geschehen.
- Es muß festgelegt werden, welche IT-Systeme in welcher Richtung über
die Router kommunizieren. Auch dies kann durch Filterregeln realisiert
werden.
- Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte
festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches
und Hubs des lokalen Netzes haben. Hierzu wird die MAC-Adresse des
zugreifenden IT-Systems ausgewertet und auf ihre Berechtigung hin
überprüft.
Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein
geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur
Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische
Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen.
Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden:
- Paßwörter
Die Verwendung von Paßwörtern schützt die so konfigurierten Router vor
der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Paßwort verfügen. Hierdurch können also Router davor
geschützt
werden,
falsche
oder
ungültige
Routing-Updates
anzunehmen.Der Vorteil von Paßwörtern gegenüber den anderen
Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite
und Rechenzeit benötigt.
- Kryptographische Prüfsummen
Prüfsummen schützen vor der unbemerkten Veränderung von gültigen
Routing-Updates auf dem Weg durch das Netz. Zusammen mit einer
Sequenznummer oder einem eindeutigen Bezeichner kann eine Prüfsumme
auch vor dem Wiedereinspielen alter Routing-Updates schützen.

_____________________________________________________________________ ..........................................
143

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.82
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Die Auswahl eines geeigneten Routing-Protokolls ist die Voraussetzung für
einen angemessenen Schutz der Routing-Updates. RIP-2 (Routing Information
Protocol Version 2, RFC 1723) und OSPF (Open Shortest Path First, RFC
1583) unterstützen Paßwörter in ihrer Basis-Spezifikation und können durch
Erweiterungen auch kryptographische Prüfsummen nach dem MD5 (Message
Digest 5) Verfahren verwenden.
Ergänzende Kontrollfragen:
- Wurde bei der Erstellung des Netz-Konzeptes die sichere Konfiguration
der aktiven Netzkomponenten berücksichtigt?
- Wird ein geeignetes Routing-Protokoll eingesetzt?
- Wie werden die Routing-Updates geschützt?

_____________________________________________________________________ ..........................................
144

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.83
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.83

Update/Upgrade von Soft- und Hardware im
Netzbereich

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Durch ein Update von Software können Schwachstellen beseitigt oder Funktionen erweitert werden. Dies betrifft beispielsweise die Betriebssoftware von
aktiven Netzkomponenten wie z. B. Switches oder Router, aber auch eine
Netzmanagementsoftware. Ein Update ist insbesondere dann notwendig, wenn
Schwachstellen bekannt werden, die Auswirkungen auf den sicheren Betrieb
des Netzes haben, wenn Fehlfunktionen wiederholt auftauchen oder eine
funktionale Erweiterung aus sicherheitstechnischen oder fachlichen
Erfordernissen notwendig wird.
Auch ein Upgrade von Hardware kann in bestimmten Fällen sinnvoll sein,
wenn z. B. eine neue Version eines Switches eine höhere Transfer- und Filterrate bietet. Durch diese Maßnahmen kann der Grad der Verfügbarkeit, der
Integrität und der Vertraulichkeit unter Umständen erhöht werden.
Bevor jedoch ein Upgrade oder ein Update vorgenommen wird, muß die
Funktionalität, die Interoperabilität und die Zuverlässigkeit der neuen Komponenten genau geprüft werden. Dies geschieht am sinnvollsten in einem
physikalisch separaten Testnetz, bevor das Update oder Upgrade in den produktiven Einsatz übernommen wird (siehe M 4.78 Sorgfältige Durchführung
von Konfigurationsänderungen).
Ergänzende Kontrollfragen:
- Werden die Updates bzw. Upgrades vor einem produktiven Einsatz auf die
Interoperabilität mit den bereits vorhandenen Komponenten überprüft?

_____________________________________________________________________ ..........................................
145

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.84
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.84

Nutzung der BIOS-Sicherheitsmechanismen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen
an, mit denen sich die Benutzer oder die Systemadministration vertraut
machen sollten. Auf keinen Fall sollten aber ungeschulte Benutzer BIOSEinträge verändern, da hierdurch schwerwiegende Schäden verursacht werden
können.
- Paßwortschutz: Bei den meisten BIOS-Varianten kann ein Paßwortschutz
aktiviert werden. Dieser kann verhältnismäßig einfach überwunden werden, sollte aber auf jeden Fall benutzt werden, wenn keine anderen
Zugriffsschutzmechanismen zur Verfügung stehen. Meist kann ausgewählt
werden, ob das Paßwort vor jedem Rechnerstart oder nur vor Zugriffen auf
die BIOS-Einstellungen überprüft werden soll. Teilweise können sogar
verschiedene Paßwörter für diese Prüfungen benutzt werden. Um zu verhindern, daß Unbefugte die BIOS-Einstellungen ändern, sollte das Setupoder Adminstrator-Paßwort immer aktiviert werden.
Mit einigen (leider wenigen) BIOS-Varianten kann zusätzlich der Zugriff
auf die Diskettenlaufwerke durch ein Paßwort geschützt werden. Dies
sollte benutzt werden, um das unbefugte Aufspielen von Software oder das
unbemerkte Kopieren von Daten zu verhindern.
- Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein, daß
immer als erstes von der Festplatte gebootet wird. Beispielsweise sollte
also “C,A” eingestellt werden. Dies schützt vor der Infektion mit BootViren, falls versehentlich eine Diskette im Laufwerksschacht vergessen
wird, spart Zeit und schont das Diskettenlaufwerk.
Die Umstellung der Boot-Reihenfolge soll verhindern, daß der Boot-Vorgang von einem externen Datenträger erfolgt. Hiermit soll gewährleistet
werden, daß während des Boot-Vorgangs nicht auf eine im Diskettenlaufwerk eingelegte Diskette zugegriffen wird, woduch ein Boot-Virus den
PC infizieren könnte (siehe G 5.23 Computer-Viren). Je nach verwendetem
BIOS und Betriebssystem muß auch das Booten von anderen
austauschbaren Datenträgern wie CD-ROMs verhindert werden.
Ohne eine Umstellung der Boot-Reihenfolge können auch weitere Sicherheitsmaßnahmen wie Zugriffsschutzmechanismen (siehe M 4.1
Paßwortschutz für PC und Server) umgangen werden. Ein Beispiel hierfür
ist das Starten eines anderen Betriebssystems, so daß gesetzte
Sicherheitsattribute ignoriert werden (siehe M 4.49 Absicherung des BootVorgangs für ein Windows NT System).
Generell sollte die Wirksamkeit der Umstellung der Boot-Reihenfolge
durch einen Boot-Versuch geprüft werden, da einige Controller die interne
Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern.

_____________________________________________________________________ ..........................................
146

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.84
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- Virenschutz, Virus-Warnfunktion: Wird diese Funktion aktiviert, verlangt
der Rechner vor einer Veränderung des Bootsektors bzw. des MBR
(Master Boot Record) eine Bestätigung, ob diese durchgeführt werden darf.
Ergänzende Kontrollfragen:
- Welche BIOS- Sicherheitsmechanismen sind aktiviert?

_____________________________________________________________________ ..........................................
147

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.85
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.85

Geeignetes Schnittstellendesign bei Kryptomodulen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Ein Kryptomodul sollte so beschaffen und konfigurierbar sein, daß der
gesamte Informationsfluß von und zu dem Modul oder gar ein unmittelbarer
physikalischer Zugriff auf den Datenbestand des Moduls kontrolliert bzw.
eingeschränkt werden kann. Je nach Anwendungsfall bzw. Schutzbedarf
empfiehlt sich die Verwendung von physikalisch getrennten Ein- und Ausgabeports. In jedem Fall sollten die Modulschnittstellen so aufgebaut sein, daß
die einzelnen Datenkanäle logisch voneinander verschieden sind, obwohl sie
möglicherweise einen gemeinsamen Ein- oder Ausgangsport teilen. Im
Zusammenhang mit dem Schlüsselmanagement des Kryptomoduls muß
gewährleistet sein, daß die Ausgabekanäle von der internen Schlüsselgenerierung bzw. dem Eingabeport für die manuelle Schlüsseleingabe zumindest
logisch getrennt sind. In vielen Fällen werden zum Anschluß einer externen
Versorgungsspannung bzw. eines externen Versorgungstakts und zur ausschließlichen Verwendung von Reparatur- oder Wartungsaufgaben separate
Schnittstellen zur Verfügung stehen. Aus der Perspektive des Kryptomoduls
ist daher die folgende Aufteilung und Verwendung zweckmäßig:
- Dateneingabeschnittstelle, die all diejenigen Eingabedaten des Kryptomoduls führt, die im Modul weiterverarbeitet oder bearbeitet werden (z. B.
kryptographische Schlüssel, Authentisierungsinformationen, Statusinformationen von anderen Kryptomodulen, Klartextdaten etc.).
- Datenausgabeschnittstelle, die all diejenigen Daten des Kryptomoduls
führt, die vom Modul an dessen Umgebung gelangen sollen (z. B. verschlüsselte Daten, Authentisierungsinformationen, Steuerinformationen für
andere Kryptomodule, etc.).
- Steuereingabeschnittstelle, die sämtliche Steuerbefehle, -signale und -daten
zur Ablaufsteuerung und Einstellung der Betriebsweise des Moduls führt.
- Statusausgabeschnittstelle, die alle Signale, Anzeigen und Daten an die
Umgebung abführt, um den inneren Sicherheitszustand des Kryptomoduls
anzuzeigen.
Und schließlich
- Maintenance-Schnittstelle, die ausschließlich Wartungs- und/oder Reparaturzwecken dient.
Die Dokumentation für eine Kryptokomponente sollte eine Beschreibung
sämtlicher Komponenten enthalten (Hard-, Firm- und/oder Software).
Ferner sollte die Dokumentation die komplette Spezifikation der Modulschnittstellen beinhalten zuzüglich der physikalischen oder logischen Ports,
manuellen oder logischen Steuereinheiten, physikalischen oder logischen
Anzeigeelementen sowie deren physikalischen, logischen oder elektrischen
Eigenschaften. Wenn eine Kryptokomponente eine Maintenance-Schnittstelle
enthält, sollte die Dokumentation auch die vollständige Spezifikation der

_____________________________________________________________________ ..........................................
148

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.85
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

durchzuführenden Wartungsprozesse zur Verfügung stellen. Alle physikalischen und logischen Ein- und Ausgabekanäle innerhalb des Moduls müssen
explizit offengelegt sein. Neben der konkreten Einbindung der Kryptokomponente in eine vorgesehene Einsatzumgebung ist auch die Bedienung und
Benutzung der Kryptokomponente zu beschreiben.
Die Dokumentation sollte weiterhin eine Zusammenstellung der Sicherheitsfunktionalität enthalten und womöglich die Abhängigkeit von Hard-, Firmoder Software aufzeigen, die je nach Konzeption der Kryptokomponente nicht
unmittelbar zum Lieferumfang der Kryptokomponente gehören.
Die Dokumentation über die Modulschnittstellen sind vom Modulhersteller
zur Verfügung zu stellen. Die Dokumentation wird beispielsweise von einem
Administrator benötigt, der beabsichtigt, das Kryptomodul in seine
Systemumgebung zu integrieren, oder von einem Evaluator, der eine
Sicherheitsbeurteilung des Kryptomoduls vornehmen möchte.

_____________________________________________________________________ ..........................................
149

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.86
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.86

Sichere Rollenteilung und Konfiguration bei
Kryptomodulen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Viele kryptographische Sicherheitskomponenten bieten die Möglichkeit, daß
mehrere Nutzerrollen sowie die zugehörigen Handlungen, die durch das
autorisierte Personal ausgeführt werden können, unterschieden werden können. Abhängig vom Schutzbedarf sind hierzu Zugriffskontroll- und Authentisierungsmechanismen erforderlich, um verifizieren zu können, ob ein Nutzer
zur Ausführung des gewünschten Dienstes auch tatsächlich autorisiert ist. In
Bezug auf die unterschiedlichen Rollen bietet sich folgende Unterteilung an:
- Benutzerrolle, der die Benutzung und Verwendung der Sicherheitskomponente obliegt (z. B. Endteilnehmer, Benutzer).
- Operatorrolle, die für die Installation und das Kryptomanagement verantwortlich ist (z. B. Sicherheitsadministrator).
Und zumindest eine
- Maintenance-Rolle, die für Wartungs- und Reparaturarbeiten zuständig ist
(z. B. Wartungstechniker, Revisor).
Bei Kryptokomponenten, bei denen die Benutzer- und die Administratorrolle
getrennt werden kann, sollte diese Möglichkeit auch genutzt werden und
durch die Administration Grundeinstellungen vorgegeben werden, wie z. B.
Paßwortlänge oder Schlüssellänge, so daß die Benutzer nicht aus Bequemlichkeit oder Unkenntnis unsichere Einstellungen wählen können.
Neben den unterschiedlichen Rollen gilt es entsprechend auch die verschiedenen Handlungen bzw. die von der Sicherheitskomponente bereitgestellten
Dienste zu unterscheiden. Ein Kryptomodul sollte zumindest folgende Dienste
zur Verfügung stellen:
- Statusanzeige zur Ausgabe des momentanen Status der Kryptokomponente,
- Selbsttest zur Initialisierung und Durchführung von selbständigen Selbsttests,
- Bypass zur Aktivierung und Deaktivierung eines Bypass mittels dessen
durch das Kryptomodul Klarinformationen bzw. ungesicherte Daten transportiert werden.
Zur erforderlichen Authentisierung des Personals gegenüber der Sicherheitskomponente bieten sich eine Vielzahl von unterschiedlichen Techniken an:
Paßwort, PIN, kryptographische Schlüssel, biometrische Merkmale etc. Die
Kryptokomponente sollte so konfiguriert sein, daß bei jedem Rollenwechsel
oder bei Inaktivität nach einer bestimmten Zeitdauer die Authentisierungsinformationen erneut eingegeben werden müssen. Ferner empfiehlt sich an
dieser Stelle eine Beschränkung der Authentisierungsversuche (z. B. indem
der Fehlbedienungszähler auf 3 gesetzt wird).

_____________________________________________________________________ ..........................................
150

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.87
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.87

Physikalische Sicherheit von Kryptomodulen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Wie in M 2.165 Auswahl eines geeigneten kryptographischen Produktes
beschrieben, können Kryptomodule in Software, Firmware oder Hardware
realisiert sein. Firmware- bzw. Hardware-Produkte werden insbesondere dann
gewählt, wenn das Kryptomodul besonders manipulationsresistent sein soll.
Unter diesem Gesichtspunkt sollte das Kryptomodul unter Verwendung von
physikalischen Sicherheitsmaßnahmen oder unter Ausnutzung entsprechender
Materialeigenschaften so konstruiert sein, daß ein unautorisierter physikalischer Zugriff auf Modulinhalte erfolgreich verhindert werden kann. Dies soll
möglichen technischen Manipulationen oder sonstigen Beeinträchtigungen im
laufenden Betrieb vorbeugen. In Abhängigkeit von der Sicherheitsstufe des
Kryptomoduls sind hierzu beispielsweise die Verwendung von
Passivierungsmaterialien, geeignete Tamperschutzmaßnahmen oder mechanische Schlösser in Betracht zu ziehen. Eine automatische Notlöschung, die
eine aktive Löschung oder die Vernichtung aller im Klartext enthaltenen
sensitiven Schlüsseldaten und -parameter bewerkstelligen kann, innerhalb des
Kryptomoduls nach identifizierten Angriffsversuchen, zählt ebenfalls in diese
Maßnahmenkategorie.
Mit dem Einsatz von diversen Sensoren und Überwachungseinrichtungen läßt
sich sicherstellen, daß das Kryptomodul - was Spannungsversorgung,
Taktung, Temperatur, mechanische Beanspruchung, elektromagnetische
Beeinträchtigung etc. anbelangt - in seinem vorgesehenen Arbeitsbereich
betrieben wird.
Zur Aufrechterhaltung seiner beabsichtigten Funktionalität sollte das
Kryptomodul Selbsttests initiieren und durchführen können. Diese Tests
können sich auf folgende Bereiche erstrecken: Algorithmentests, Software und
Firmwaretests, Funktionstests, statistische Zufallstests, Konsistenztests,
Bedingungstests sowie Schlüsselgenerierungs- und -ladetests. Im Anschluß an
ein negatives Testergebnis sollte dem Benutzer des Kryptomoduls eine
entsprechende Fehlermeldung signalisiert und ein entsprechender
Fehlerzustand eingenommen werden. Erst nach Behebung der
Fehlerursache(n) darf eine Freischaltung aus diesem Fehlerzustand möglich
sein.
Beim Einsatz von Softwareprodukten muß die physikalische Sicherheit des
Kryptomoduls durch das jeweilige IT-System bzw. dessen Einsatzumgebung
geleistet werden. Sicherheitstechnische Anforderungen an solche IT-Systeme
können den systemspezifischen Bausteinen entnommen werden.
Eine Softwarelösung sollte Selbsttests durchführen können, um Modifikationen durch Trojanische Pferde oder Coputer-Viren erkennen zu können.

_____________________________________________________________________ ..........................................
151

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.88
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.88

Anforderungen an die BetriebssystemSicherheit beim Einsatz von Kryptomodulen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Beim Einsatz von Kryptomodulen spielt deren Einbindung ins bzw. Abhängigkeit vom jeweiligen Betriebssystem des Hostsystems eine wesentliche
Rolle. Das Zusammenwirken von Betriebssystem und Kryptomodul muß
gewährleisten, daß
- das Kryptomodul nicht abgeschaltet oder umgangen werden kann (z. B.
durch Manipulation oder Austausch von Treibern),
- die angewendeten oder gespeicherten Schlüssel nicht kompromittiert
werden können (z. B. durch Auslesen von RAM-Bereichen),
- die zu schützenden Daten nur mit Wissen und unter Kontrolle des
Anwenders auch unverschlüsselt auf Datenträgern abgespeichert werden
können bzw. das informationsverarbeitende System verlassen (z. B. bei
Netzanbindung),
- Manipulationsversuche am Kryptomodul erkannt werden.
Je nach Art des Kryptomoduls (Hardware- oder Software-Realisierung,
Einbindungsstrategie in die IT-Komponente etc.), den Einsatzbedingungen
und dem Schutzbedarf der zu sichernden Daten können sich unterschiedlich
starke Anforderungen bzgl. der Betriebssystem-Sicherheit ergeben. Bei in
Software realisierten Kryptomodulen ist der Einsatz eines sicheren Betriebssystems besonders wichtig. Kommerzielle PC-Betriebssysteme sind in der
Regel derart komplex und kurzen Innovationszyklen unterworfen, daß die
Daten- bzw. Systemsicherheit kaum nachweisbar oder beweisbar ist. Eine
Ausnahme können proprietäre oder für spezielle Anwendungen optimierte
Betriebssysteme bilden (z. B. spezielle Betriebssysteme in Kryptogeräten).
Daher ist es beim Einsatz von kryptographischen Produkten auf StandardBetriebssystemen wie z. B. zur Dateiverschlüsselung oder zur E-MailAbsicherung wichtig, daß alle Standardsicherheitsmaßnahmen für dieses
Betriebssystem umgesetzt sind. Die sicherheitstechnischen Anforderungen an
diese IT-Systeme können den jeweiligen systemspezifischen Bausteinen entnommen werden, so etwa für Clients in Kapitel 5, für Server in Kapitel 6.
In Hardware realisierte Kryptomodule können so konstruiert sein, daß sie
Mängel der Betriebssystem-Sicherheit kompensieren oder vollständig ausräumen. Hier liegt die Verantwortung zur Erfüllung der o. g. Anforderungen
allein beim Kryptomodul. Es muß z. B. erkennen können, ob unverschlüsselte
Daten berechtigt oder unberechtigt am Modul vorbei auf Datenträger oder
andere Geräteschnittstellen geschrieben werden. Der Anwender muß in
Übereinstimmung mit der für sein Umfeld individuell erstellten Sicherheitspolitik entscheiden, welche Kombination Betriebssystem / Kryptomodul
erforderlich ist.

_____________________________________________________________________ ..........................................
152

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.89
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.89

Abstrahlsicherheit

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Jedes elektronische Gerät strahlt mehr oder weniger starke elektromagnetische
Wellen ab. Diese Abstrahlung ist als Störstrahlung bekannt und ihre maximal
zulässige Stärke ist im Gesetz über die elektromagnetische Verträglichkeit von
Geräten (EMVG) geregelt. Bei Geräten, die Informationen verarbeiten (PC,
Drucker, Fax-Gerät, Modem, etc.) kann diese Störstrahlung auch die gerade
verarbeitete Information mit sich führen. Derartige informationstragende
Abstrahlung wird bloßstellende Abstrahlung genannt. Wird die bloßstellende
Abstrahlung in einiger Entfernung, z. B. in einem Nachbarhaus oder auch in
einem in der Nähe abgestellten Fahrzeug empfangen, kann daraus die
Information rekonstruiert werden. Die Vertraulichkeit der Daten ist damit in
Frage gestellt. Die Grenzwerte des EMVG reichen im allgemeinen nicht aus,
um das Abhören der bloßstellenden Abstrahlung zu verhindern. Hierzu
müssen in aller Regel zusätzliche Maßnahmen getroffen werden.
Bloßstellende Abstrahlung kann einen Raum auf unterschiedliche Weise verlassen:
- in Form von elektromagnetischen Wellen, die sich wie Rundfunkwellen
durch den freien Raum ausbreiten.
- als leitungsgebundene Abstrahlung entlang metallischer Leiter (Kabel,
Klimakanäle, Heizungsrohre).
- durch Überkoppeln von einem Datenkabel in parallel hierzu verlegte
Kabel. Auf dem Parallelkabel breitet sich die Abstrahlung aus und kann
von diesem noch in großer Entfernung abgegriffen werden.
- als akustische Abstrahlung, z. B. bei Druckern. Die Detailinformationen
des Druckvorgangs breiten sich über Schall beziehungsweise Ultraschall
aus und können mit Mikrofonen aufgenommen werden.
- in Form von akustischer Überkopplung auf andere Geräte. Die Schallwandlung in elektrische Signale erfolgt dabei durch schallempfindliche
Geräteteile, die unter bestimmten Voraussetzungen ähnlich wie ein
"Mikrofon" arbeiten können. Die weitere Ausbreitung erfolgt dann entlang
metallischer Leiter oder auch in Form elektromagnetischer Raumstrahlung.
- Bloßstellende Abstrahlung kann auch durch eine äußere Manipulation von
Geräten verursacht werden. Wird z. B. ein Gerät mit Hochfrequenzenergie
bestrahlt, können die im Gerät ablaufenden elektrischen Vorgänge die eingestrahlten Wellen so beeinflussen, daß diese nun die verarbeitete Information mit sich tragen.
In allen Fällen hat die Installation, also die Verkabelung der Geräte untereinander und mit dem Stromversorgungsnetz, einen wesentlichen Einfluß auf
die Ausbreitung und damit auch auf die Reichweite der Abstrahlung.
Vom BSI wurden und werden verschiedene Schutzmaßnahmen entwickelt,
welche die Gefährdung ohne wesentliche Kostensteigerung wirksam reduzieren. Dazu gehören:

_____________________________________________________________________ ..........................................
153

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.89
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- Zonenmodell
Vom BSI wurde ein Zonenmodell entwickelt, welches die Ausbreitungsbedingungen für bloßstellende Abstrahlung bei den jeweiligen Gebäudeund Geländeverhältnissen berücksichtigt. Dabei wird die Abschwächung
der Abstrahlung auf ihrem Weg vom verursachenden IT-Gerät zum potentiellen Empfänger meßtechnisch erfaßt. Abhängig von den Gegebenheiten
am Einsatzort können gegebenenfalls Geräte eingesetzt werden, an denen
nur geringfügige oder gar keine Sonderentstörmaßnahmen durchgeführt
wurden.
- Quellenentstörung
Die Quellenentstörung bewährt sich besonders bei der Neuentwicklung von
IT-Produkten. Hier wird die bloßstellende Abstrahlung bereits am
Entstehungsort innerhalb des Gerätes unterdrückt oder so verändert, daß
sie nicht mehr auswertbar ist. Durch diese Methode kann z. B. auch der
Einsatz kostengünstiger Kunststoffgehäuse möglich werden, mit vernachlässigbar geringen Auswirkungen auf den Serienpreis.
- Abstrahlkriterienwerk
Ein detailliertes Abstrahlkriterienwerkes dient zur abgestuften Prüfung von
IT-Geräten bzw. -systemen. Grundgedanke dieses Konzeptes ist es, den
Umfang der Schutzmaßnahmen so gut wie möglich an die vom Anwender
angenommene Bedrohungslage anzupassen, um so bei minimalem
Kostenaufwand ein Optimum an Abstrahlsicherheit zu erzielen.
- Kurzmeßverfahren
Die Erarbeitung von Kurzmeßverfahren und Manipulationsprüfverfahren
erlaubt, auch nach Wartung, Reparatur oder möglichen unberechtigten
Zugriffen die Abstrahlsicherheit mit möglichst geringem Aufwand
sicherzustellen.
- Einsatz abstrahlarmer bzw. abstrahlgeschützter Geräte
Hersteller von PC-Bildschirmen werben häufig mit dem Begriff
"abstrahlarm" nach MPR II, TCO oder SSI. Diese Richtlinien berücksichtigen jedoch ausschließlich mögliche gesundheitsschädliche Auswirkungen
der Gerätestrahlung. Die Meßverfahren und Grenzwerte für die Strahlung
sind daher für den Nachweis bloßstellender Abstrahlung völlig ungeeignet
und ermöglichen keine Bewertung der Sicherheit gegen unberechtigtes
Mitlesen der Daten über bloßstellende Abstrahlung.
Daneben werden aber auch speziell abstrahlgeschützte IT-Systeme angeboten. In diesem Bereich gibt es zahlreiche Abstufungen des angebotenen
Abstrahlschutzes. Um insbesondere bei hochschutzbedürftigen IT-Systemen eine Einstufung zu ermöglichen, wurden vom BSI sogenannte
TEMPEST-Kriterien (Temporary Emission and Spurious Transmission)
entwickelt. Ob ein Hersteller abstrahlgeschützte Geräte gemäß diesen
TEMPEST-Kriterien in seinem Lieferprogramm anbietet, sollte durch eine
Rückfrage beim Hersteller, beim BSI bzw. durch Einsicht in die offizielle
Produktübersicht BSI 7206 geklärt werden. Dabei gehört zu der Aussage,

_____________________________________________________________________ ..........................................
154

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.89
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

daß für ein Gerät eine TEMPEST-Zulassung vorliegt, immer auch die
Aussage des Zulassungsgrades.

_____________________________________________________________________ ..........................................
155

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.90
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.90

Einsatz von kryptographischen Verfahren auf
den verschiedenen Schichten des ISO/OSIReferenzmodells

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Das OSI-Referenzmodell nach ISO
Kryptographische Verfahren können auf den verschiedenen Schichten des
ISO/OSI-Referenzmodells implementiert werden. Dieses Modell, welches in
Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung
dieses Handbuches kurz erläutert wird, definiert vier transportorientierte
Schichten und drei anwendungsorientierte Schichten. Instanzen einer Schicht
in verschiedenen Systemen kommunizieren über Protokolle miteinander. Jede
Schicht bietet der nächst höheren Schicht ihre Dienste an. Das kann neben den
üblichen Kommunikationsdiensten auch ein Sicherheitsdienst sein. Welcher
Sicherheitsdienst in welcher Schicht des Schichtenmodells plaziert werden
sollte und welche Mechanismen dazu genutzt werden können, ist im Teil 2 der
ISO 7498 (Security Architecture) beschrieben.
Auch wenn konkrete Kommunikationssysteme, Referenzmodelle oder Protokolle sich nicht immer konform zum ISO-Referenzmodell verhalten, so hilft
die Kenntnis des ISO-Referenzmodells bei der Beurteilung von Sicherheitsfunktionen von Produkten und erleichtert damit auch die systematische Erstellung "sicherer" Gesamtsysteme.
Anwendung

Anwendung
Anwendungslevel
HTTP, DNS,
SMTP, FTP,
SNMP, POP3,
Telnet

7

S/MIME, PGP, PEM, SSH,
Kerberos, SET, S-HTTP

5

Anwendungslevel

7

HTTP, DNS,
SMTP, FTP,
SNMP, POP3,
Telnet

-

Transportlevel
UDP / TCP

4

5

SSL, TLS
Transportlevel
UDP / TCP

4

Vermittlungslevel
IP

3

Netzwerklevel
Ethernet, FDDI,
Token Ring, PPP

IPsec

2

Vermittlungslevel
IP
Netzwerklevel

3
2

ECP, CHAP

1

Ethernet, FDDI,
Token Ring, PPP

1

Physikalisches Transportmedium

Im folgenden soll erläutert werden, welche Vor- bzw. Nachteile mit dem Einsatz von kryptographischen Verfahren auf den jeweiligen Schichten verbunden sind.

_____________________________________________________________________ ..........................................
156

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.90
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Sicherheitsdienste
Kryptographische Verfahren werden zur Sicherung verschiedener bei der
Kommunikation anfallender Informationen eingesetzt, also um Informationen
zu verschlüsseln, mit kryptographischen Prüfsummen zu versehen oder zu
signieren. Zum einen können die vom Benutzer zu übermittelnden Daten
gesichert werden, zum anderen aber auch Informationen, die sich beim
Informationsaustausch implizit ergeben (z. B. Verkehrsflußinformationen).
Sicherheitsbeziehungen können für verschiedene Sicherheitsdienste in verschiedenen OSI-Schichten gleichzeitig existieren. Oberhalb der Schicht, in der
ein Sicherheitsdienst realisiert ist, liegen die Informationen (bezüglich dieses
Dienstes) ungesichert vor. Kryptographische Mechanismen (Verschlüsselung,
digitale Signatur, kryptographische Prüfsummen) liefern Beiträge zur
Realisierung wichtiger Sicherheitsdienste (Authentizität, Vertraulichkeit,
Integrität, Kommunikations- und Datenursprungsnachweise).
Hierzu wird zunächst ein Überblick über die Gesichtspunkte gegeben, die für
oder gegen den Einsatz von kryptographischen Verfahren auf den verschiedenen OSI-Schichten sprechen:
Verwendung von kryptographischen Verfahren auf
oberen Schichten:
+: sinnvoll, wenn die Anwendungsdaten nahe der Anwendung geschützt werden sollen bzw. der
"unsichere Kanal" möglichst kurz
gehalten werden soll
+: auf jeden Fall immer dann, wenn
die Daten nicht auf den tieferen
Schichten geschützt werden
+: sinnvoll bei vielen, wechselnden
Kommunikationspartnern an verschiedenen Standorten
+: Benutzer können sie nach eigenen
Anforderungen einsetzen
+: Absicherung näher am Benutzer
und für diesen erkennbarer
-: höhlen Absicherung durch Firewalls aus
-: werden häufig fehlbedient
-: basiert häufig auf Software,
kryptographische Schlüssel und
Algorithmen sind einfacher manipulierbar
-: höhere
Abhängigkeit
vom
Betriebssystem bzw. darunter
liegender Hardware

unteren Schichten:
+: sinnvoll für die Kopplung zweier
Netze, die als sicher gelten, über
eine unsichere Verbindung, z. B.
Kopplung zweier Liegenschaften
über öffentliche Netze
+: zur Sicherung eines Netzes gegen
unbefugte Zugriffe
+: immer dann, wenn Verkehrsflußinformationen geschützt werden
sollen, z. B. Adreßinformationen
+: alle höherliegenden Header- und
die Benutzerinformationen sind
verschlüsselt
+: transparent
für
Benutzer,
geringeres Fehlbedienungsrisiko
+: einfacheres
Schlüsselmanagement
-: Schutz nur bis in die Schicht, in
der die Sicherheitsprotokolle
realisiert sind
-: häufig Hardware, also teuer und
unflexibel
-: bietet häufig keine Ende-zu-Ende
Sicherheit

_____________________________________________________________________ ..........................................
157

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.90
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Ein einfaches Schlüsselmanagement ergibt sich i.d.R. dann, wenn
Gruppenschlüssel verwendet werden können, z. B. beim Aufbau von sicheren
Teilnetzen (VPNs), bei denen die Zugänge mit Kryptogeräten versehen
werden.
Kryptographische Produkte für die unteren Schichten liegen im
Anschaffungspreis meist deutlich über solchen für obere Schichten, dafür
werden allerdings auch weniger benötigt. Außerdem ist der Administrationsund Implementierungsaufwand meist niedriger, da Sicherheitsdienste nicht in
verschiedensten Anwendungen implementiert werden müssen. Auch
"exotische" Anwendungen - ohne eigene Sicherheitsfunktionalität - können
dadurch gesichert Daten austauschen.
In vielen Fällen bietet sich auch eine Kombination von kryptographischen
Diensten auf verschiedenen Schichten an. Dies hängt von den jeweiligen
Sicherheitsanforderungen und den Einsatzbedingungen ab, wie Kosten, Performance und inwieweit entsprechende Komponenten erhältlich sind. Entscheidende Faktoren sind auch die angenommenen Gefährdungen, gegen die
die implementierten Sicherheitsdienste wirken sollen, sowie die zugrundeliegende Systemarchitektur.
Sicherheits-Endgeräte <-> Sicherheits-Koppelelemente
Sicherheitssysteme können als Endgerät bzw. Teil eines Endgeräts oder als
Koppelelement bzw. Teil eines Koppelelements ausgelegt sein.
Koppelelemente sind z. B. aktive Netzkomponenten wie Router oder
Gateways.
Im Unterschied zu Endgeräten weisen Sicherheits-Koppelelemente gewöhnlich zwei Netzschnittstellen auf, die auf einer für dieses System typischen
Schicht über ein Kryptomodul (Hard- oder Software) gekoppelt sind. Eine
Schnittstelle ist mit dem "sicheren" Netz verbunden (z. B. Hausnetz), die
andere Schnittstelle mit einem als "unsicher" bewerteten Netz (z. B. öffentliche Netze).
Sicherheits-Endgeräte haben den Vorteil, daß die Sicherheitsmechanismen gut
an die Anforderungen der Anwendung angepaßt werden können. Typische
SicherheitsEndgeräte sind Kryptotelefone, Kryptofaxgeräte oder hard/softwarebasierte Sicherheitslösungen für PCs. Sicherheits-Endgeräte bieten
i.d.R. Lösungen für einzelne Arbeitsplätze. Teilweise unterstützen diese
Lösungen lediglich einen Dienst. Die Grenzen sind hier jedoch fließend
(Telefonie über Internet-PC, Kryptotelefon mit Dateneingang). In Endgeräten
ist im Gegensatz zum Koppelelement die Wahl der Sicherheitsschicht nicht
eingeschränkt, da Endgeräte grundsätzlich vollständig sind, also über 7
Schichten verfügen.
Sicherheits-Koppelelemente sind häufig derart leistungsfähig konstruiert, daß
sie größere Arbeitseinheiten bis hin zu ganzen Liegenschaften absichern
können. Dabei versuchen die Hersteller solcher Systeme möglichst viele
Dienste bzw. übergeordnete Protokolle zu unterstützen, damit eine universelle
Verwendung möglich ist. Auch die weitgehende Unabhängigkeit von den
Betriebssystemen der Endgeräte liefert einen Beitrag zur universellen Einsatzbarkeit von Koppelelementen. Natürlich können auch einzelne Endgeräte
durch Sicherheits-Koppelelemente abgesichert werden. Jedoch führt die

_____________________________________________________________________ ..........................................
158

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.90
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

höhere Leistungsfähigkeit der Geräte häufig zu höheren Kosten. Bei
Koppelelementen handelt es sich definitionsgemäß um unvollständige OSISysteme. Daher ist auch die Implementierung von Sicherheitsdiensten auf die
Schichten beschränkt, die das Koppelelement aufweist.
Auch Mischformen sind im Einsatz. Das setzt voraus, daß SicherheitsEndgeräte und Sicherheits-Koppelelemente aufeinander abgestimmt sind,
insbesondere bezüglich der verwendeten Sicherheitsmechanismen und
Sicherheitsparameter (z. B. kryptographische Schlüssel).
Nutzer-, Steuer- und Managementinformationen
Ein Anwender ist hauptsächlich an der Übermittlung von Nutzerinformationen
an entfernte Anwender interessiert. Je nach konkretem Referenzmodell (z. B.
ISDN) werden aber zwischen den Systemen (Endgeräte, Koppelelemente)
zudem Steuer-, Signalisier- und Managementinformationen zwecks
Aufbau/Abbau von Verbindungen, Aushandeln von Dienstgüteparametern,
Konfiguration und Überwachung des Netzes durch Netzbetreiber, usw. übertragen.
Das jeweilige Netz hat dabei die Aufgabe, Benutzerinformationen unverändert
und unausgewertet zu übertragen, d. h. Benutzerinformationen müssen nur
von den Endgeräten interpretiert werden können. Damit lassen sich diese
Informationen unabhängig von der übrigen Netzinfrastruktur sichern, notfalls
sogar unter Verwendung proprietärer Sicherheitsfunktionen (geschlossene
Benutzergruppe). Steuer-, Signalisier- und Managementinformationen der
Transportschichten müssen von Netzelementen des Netzbetreibers
ausgewertet, geändert oder erzeugt werden können. Damit entziehen sich
diese Informationen einer vom Netzbetreiber unabhängigen Sicherung (z. B.
Verschlüsselung) weitgehend. Die Sicherung dieser Informationen erfordert
neben entsprechenden Standards die vertrauensvolle Zusammenarbeit mit dem
Netzbetreiber. Bedrohungen können sich dadurch ergeben, daß
Sicherheitsfunktionen von Produkten falsch eingeschätzt werden. Bei der
Auswahl von Kryptogeräten ist genau zu prüfen, welche Informationsanteile
gesichert oder gefiltert werden. Ebenso ist im Umkehrschluß zu überprüfen,
welche Informationen trotz des Einsatzes von Kryptogeräten ungesichert
bleiben und in wieweit dies zu tolerieren ist.
Beispiel: Beim ISDN erfolgt die Übertragung der Benutzerinformationen
i.d.R. über die B-Kanäle. Aber auch der D-Kanal, welcher primär für die
Signalisierung genutzt wird, kann zur Übertragung paketierter Daten verwendet werden. Ist das Ziel die Sicherung aller Benutzerdaten, so reicht im Fall
der Übertragung von paketierten Daten über den D-Kanal die Absicherung der
B-Kanäle offensichtlich nicht aus.
Sicherheit in leitungsvermittelten Netzen
Bei leitungsvermittelten Netzen werden durch den Verbindungsaufbau Kanäle
definierter Bandbreite eingerichtet, die den Kommunikationspartnern exklusiv
zur Verfügung stehen. Nach Einrichten der Verbindung erfolgt die Übertragung der Nutzdaten, anschließend der Verbindungsabbau. Der Netzbetreiber kann Festverbindungen einrichten, bei denen dann der durch den Teilnehmer gewöhnlich durchzuführende Verbindungsauf- und -abbau entfällt.
Ein Beispiel für ein leitungsvermitteltes Netz ist ISDN.

_____________________________________________________________________ ..........................................
159

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.90
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Durch den Verbindungsaufbau werden Nutzdatenkanäle auf OSI-Schicht 1
zwischen den Kommunikationspartnern eingerichtet, die beim ISDN B-Kanäle
heißen. Um die Vertraulichkeit der übertragenen Nutzdaten zu gewährleisten,
kann dieser Kanal verschlüsselt werden. Soll darüber hinaus der
Signalisierungskanal abgesichert werden, bei N-ISDN also der D-Kanal
(Schicht 1-3), so muß bedacht werden, daß als Gegenstellen eines Endgeräts
sowohl das Endgerät des Kommunikationspartners als auch Vermittlungsstellen des Netzbetreibers auftreten können. Der D-Kanal wird normalerweise
nicht verschlüsselt, da hierzu besondere Anforderungen an den Netzbetreiber
zu stellen wären. In diesem Fall sollte man die Überwachung und Filterung
des D-Kanals vorsehen (siehe auch M 4.62 Einsatz eines D-Kanal-Filters).
Leitungsverschlüssler: Als Sonderfall muß die Verschlüsselung synchroner
vollduplex Festverbindungen gesehen werden, da in diesem Fall die Vertraulichkeit - auch des Verkehrsflusses - gewährleistet werden kann. Stehen keine
Daten zur Übertragung an, werden Fülldaten verschlüsselt, so daß auf der
Leitung immer ein kontinuierliches "Rauschen" zu sehen ist. Der Leitungsverschlüssler stellt eine Alternative zur Verlegung geschützter Leitungen dar.
Sicherheit in paketvermittelten Netzen
Bei paketvermittelten Netzen ist zwischen verbindungsorientierter und verbindungsloser Paketvermittlung zu unterscheiden. Bei der verbindungsorientierten Paketvermittlung wird während der Verbindungsaufbauphase eine
virtuelle Verbindung eingerichtet, wodurch der Datenpfad durch das Paketnetz
im Anschluß festgelegt ist. Datenpakete werden nach dem Verbindungsaufbau
auf Basis der zugeordneten virtuellen Kanalnummer auf dem selben Pfad
durch das Netz geroutet. Sende- und/oder Empfängeradressen sind hierzu
nicht mehr erforderlich. Ein Beispiel hierfür ist das X.25-Netz.
Bei verbindungsloser Paketvermittlung gibt es keine Verbindungsauf und
-abbauphasen. Datenpakete werden - u. a. ausgestattet mit Quell- und Zieladresse - einzeln vermittelt. Dies ist typisch für LAN-Datenverkehr.
Die Wahl der Schicht, in der die Sicherheitsmechanismen wirken, bestimmt,
welche Informationsanteile gesichert werden. Je niedriger die gewählte
Sicherheitsschicht, desto umfangreicher die Informationssicherung. Beim
Durchlauf der Benutzerdaten durch die Instanzen der Schichten 7 bis 1
(Sender) werden den Daten zusätzliche Steuerinformationen hinzufügt. Geht
es also nicht nur um die Sicherung von Benutzerdaten, sondern auch um die
Sicherung des Verkehrsflusses, so bietet sich die Wahl einer niedrigen OSISchicht an. Andererseits gilt: je niedriger die gewählte OSI-Schicht, desto
weniger Koppelelemente (Repeater, Bridge, Switch, Router, Gateway) lassen
sich transparent überwinden.
Koppelelement
Repeater
Bridge, Layer-2-Switch
Router, Layer-3-Switch, X.25-Packet Handler
Gateway

höchste Schicht des
Koppelelements
1
2
3
7

_____________________________________________________________________ ..........................................
160

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.90
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Sollen Sicherheitsdienste über Koppelelemente hinweg wirken, dann sind sie
in einer Schicht zu implementieren, die oberhalb der höchsten (Teil-) Schicht
der Koppelelemente liegt. Dadurch wird sichergestellt, daß die Übermittlungseinrichtungen die gesicherten Informationen unverarbeitet/ uninterpretiert weiterleiten können.
Beispiele und Folgen fehlerhafter Netzkonfigurationen:
Beispiel 1: Sämtliche Endgeräte zweier über Router und öffentliche Kommunikationsnetze gekoppelter LANs sollen zur Gewährleistung der Vertraulichkeit - insbesondere im Bereich öffentlicher Kommunikationsnetze - mit
Schicht-2-Verschlüsselungskomponenten ausgestattet werden. Der Router
muß zur Weiterleitung der LAN-Datenpakete über das öffentliche Netz die
Adressen der Schicht 3 auswerten. Da sämtliche Schicht-3-Daten jedoch durch
die Schicht-2-Verschlüsselung verborgen sind, kann die Auswertung der
Schicht-3-Adressen nicht erfolgreich durchgeführt werden. Dadurch wird die
Datenübertragung verhindert. Zur Abhilfe müssen hier die Verschlüsselungskomponenten für Schicht 3 (obere Teilschicht) oder höher eingesetzt werden.
Beispiel 2: Ein Großteil des Schriftverkehrs einer Institution soll zukünftig
elektronisch über X.400 (Schicht 7) abgewickelt werden. Zur Sicherung der
Datenintegrität plant die Institution den Einsatz von Schicht-4-Kryptokomponenten in den Endgeräten (hier PCs). Zum Zweck der Sicherung werden die
Datenpakete beim Sender auf Schicht 4 mit kryptographischen Prüfsummen
versehen, welche von der zugehörigen Schicht-4-Kryptokomponente des
Empfängers geprüft wird. Nur Datenpakete mit korrekten Prüfsummen sollen
zugestellt werden. Falls aber nicht alle MTAs (Message Transfer Agents, also
die Vermittler für elektronische Mitteilungen auf Schicht 7) ebenfalls mit
interoperablen Kryptokomponenten ausgestattet sind, können die MTAs ohne
Kryptokomponente keine gültigen Prüfsummen erzeugen, so daß nachfolgende MTAs oder Endgeräte mit Kryptokomponente die Daten laut Vorgabe
verwerfen müssen.
Aber selbst wenn sämtliche genutzten MTAs ebenso wie die Endgeräte mit
interoperablen Kryptokomponenten und Sicherheitsparametern ausgestattet
sind, ist die Datenintegrität nicht sichergestellt. Dann kann die abschnittsweise
Sicherung der Daten zwar gewährleistet sein, eine Verfälschung der Daten
innerhalb der MTAs ist jedoch unbemerkt möglich. Ferner könnten (je nach
Protokoll) einzelne Schicht-4-Datenpakete verloren gehen, was zu Lücken in
der Gesamtnachricht führt, deren Unversehrtheit eigentlich gesichert werden
sollte. Eine Abhilfe ist hier die Integritätssicherung der Daten auf Schicht 7.
Wie die Beispiele zeigen, ist genau zu untersuchen, welche Netztopologie
vorliegt und welche Netzbereiche wie gesichert werden müssen, damit eine
angepaßte Lösung mit den gewünschten (Sicherheits-)Merkmalen gefunden
werden kann.
Abschnittsweise Sicherheit <-> Ende-zu-Ende-Sicherheit
Benutzer von Kommunikationssystemen erwarten häufig, daß Sicherheitsdienste durchgängig erbracht werden (Ende-zu-Ende-Sicherheit), also von der
Eingabe der Information (Daten, Sprache, Bilder, Text) am Endgerät A bis zur
Ausgabe der Information an einem entfernten Endgerät B. Ist kein durchgehender Sicherheitsdienst gewährleistet, so existieren - abgesehen von den

_____________________________________________________________________ ..........................................
161

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.90
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

beteiligten Endgeräten - weitere Systeme, auf denen die Informationen ungesichert vorliegen. Existiert beispielsweise keine Ende-zu-Ende-Verschlüsselung zur Sicherung der Vertraulichkeit einer Kommunikationsbeziehung
zwischen zwei Teilnehmern, so liegen die Daten in mindestens einem weiteren Netzelement unverschlüsselt vor. Solche Netzelemente müssen lokalisiert
und durch zusätzliche Maßnahmen abgesichert werden. Personal, welches
Zugriff auf insbesondere solche ungesicherten Netzelemente hat (z. B.
Administrator), muß entsprechend vertrauenswürdig sein. Sicherheitsdienste
werden in diesem Fall nicht durchgängig, sondern abschnittsweise erbracht.
Auf die angemessene Sicherung aller relevanten Abschnitte ist zu achten.
Mehrfache Sicherung auf verschiedenen OSI-Schichten
Gegen eine Mehrfachsicherung der zu übertragenden Informationen auf verschiedenen OSI-Schichten ist nichts einzuwenden, wenn gewisse Regeln
befolgt werden, die bei standardkonformen Produkten jedoch implizit
gewährleistet sind. Insbesondere bei der Verschlüsselung sind die aus der
Schule bekannten Klammerregeln anzuwenden. So entspricht das Verschlüsseln dem Öffnen einer Klammer, das Entschlüsseln dem Schließen einer
Klammer. Innerhalb der Klammer können nun wiederum weitere Sicherheitsmechanismen zur Anwendung kommen.
Nachteilig kann sich die Mehrfachsicherung dadurch auswirken, daß der
Datendurchsatz aufgrund zusätzlicher Operationen reduziert wird oder daß
sich die übertragbare Nutzdatenmenge dadurch vermindert, daß zusätzliche
Daten zur Erhöhung der Redundanz (z. B. kryptographische Prüfsummen)
übertragen werden müssen. Auch durch Daten, die vor der Übermittlung über
Kryptosysteme gesichert werden, z. B. digital signierte Dokumente, ergibt
sich implizit eine Mehrfachsicherung. Dadurch erhöht sich die Sicherheit der
Datenübertragung hinsichtlich der verwendeten Sicherheitsdienste.
Oft läßt sich die Sicherheit des Gesamtsystems erst durch die Kombination
mehrerer Sicherheitsprotokolle oder Sicherheitsprodukte erreichen. Sind
beispielsweise anwendungsnahe Sicherheitslösungen verfügbar, deren vertrauenswürdige Implementierung jedoch nicht (von unabhängiger Seite)
überprüft wurde (z. B. Evaluierung nach ITSEC, CC) und existieren gleichzeitig vertrauenswürdige transportorientierte Sicherheitsprodukte zur
Absicherung unsicherer Netzabschnitte zwischen entfernten Liegenschaften,
so kann durch die Kombination der Maßnahmen u. U. eine den Anforderungen genügende Gesamt-Sicherheitslösung geschaffen werden. Nachteilig wirken sich dabei meist der erhöhte Administrationsaufwand und/oder erhöhte
Anschaffungskosten aus.

_____________________________________________________________________ ..........................................
162

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.91
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.91

Sichere Installation eines Systemmanagementsystems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Installation eines Systemmanagementsystems erfordert eine umfangreiche
und sorgfältige Planung. Nach erfolgter Systemanalyse (siehe M 2.168),
Festlegung der Managementstrategie (siehe M 2.169) und Auswahl eines
geeigneten Managementsystems (siehe M 2.171) muß die Installation des
Produktes detailliert geplant und entsprechend umgesetzt werden. In
Abhängigkeit von der dem Management-Produkt zugrundeliegenden
Architektur ist für das lokale Netz die konkrete Managementsystemkonfiguration zu erstellen, die insbesondere der formulierten Managementstrategie Rechnung trägt.
Zur Installation der meisten Managementsysteme muß auf den beteiligten
Rechnern Managementsoftware installiert werden, die die Kommunikation
zwischen Managementkonsole oder -servern und dem lokalen Rechner übernimmt. Oft müssen auf den zentralen Rechnern (Server oder Gateways) auch
Datenbanksysteme installiert werden, in denen die Managementinformationen
von der Managementsoftware persistent abgelegt werden. Je nach Produkt ist
hier auch die Einbindung eines schon vorhandenen Datenbanksystems möglich. Generell stellt die zusätzlich zu installierende Software Anforderungen
an die lokalen Ressourcen des Rechners. Daher ist bei der Planung zu beachten, welche Systemressourcen lokal vorhanden sind. Unter Umständen müssen
einzelne Systeme aufgerüstet werden. Diese Kosten sollten bei der Auswahl
des Management-Produktes berücksichtigt werden.
Neben diesen Kriterien, die im wesentlichen den geregelten technischen
Ablauf des Systems garantieren sollen, ist aus Sicherheitsgesichtspunkten die
dem Managementsystem zugehörige Software und die entsprechenden Daten
in die Schutzbedarfsfeststellung gemäß IT-Grundschutzhandbuch (siehe
Kapitel 2) aufzunehmen und der Schutzbedarf als "hoch" bis "sehr hoch"
einzustufen. Die Kompromittierung des Managementsystems kann nicht nur
den Ausfall des gesamten Netzes nach sich ziehen; durch unbemerkte
Veränderungen am System kann vielmehr beträchtlicher Schaden entstehen,
der sehr schnell existenzbedrohende Formen annehmen kann.
Insbesondere ist bei der Installation auf folgende Punkte zu achten:
- Alle Rechner, auf denen Managementinformationen gelagert werden, sind
besonders zu sichern:
-

Es sind die Maßnahmen gemäß IT-Grundschutzhandbuch Kapitel 5
und 6, je nach vorliegendem System, durchzuführen.

-

Insbesondere sind die Betriebssystemmechanismen so zu konfigurieren, daß auf die lokal gespeicherten Managementinformationen
nicht unberechtigt zugegriffen werden kann.

-

Der Zugang zur Managementsoftware ist nur den berechtigten
Administratoren und Revisoren zu gestatten.

_____________________________________________________________________ ..........................................
163

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.91
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

-

Der Zutritt zu den Rechnern sollte beschränkt werden.

- Die Kommunikation zwischen den Managementkomponenten sollte verschlüsselt erfolgen – sofern dies vom Produkt unterstützt wird – um zu
verhindern, daß Managementinformationen mitgehört und gesammelt
werden können. Unterstützt das Produkt keine Verschlüsselung, so sind
gesonderte Maßnahmen zu ergreifen, um die Kommunikation abzusichern
(siehe
M 5.68
Einsatz
von
Verschlüsselungsverfahren
zur
Netzkommunikation).

_____________________________________________________________________ ..........................................
164

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.92
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.92

Sicherer Betrieb eines Systemmanagementsystems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für den sicheren Betrieb eines Systemmanagementsystems, welches auch aus
verschiedenen Management-Tools (siehe M 2.171 Geeignete Auswahl eines
Systemmanagement-Produktes) bestehen kann, ist die sichere Konfiguration
aller beteiligten Komponenten zu prüfen und sicherzustellen (siehe auch
M 4.91 Sichere Installation eines Systemmanagementsystems). Hierzu ist es
nötig, die jeweiligen Betriebssysteme der Komponenten, die durch das
Systemmanagementsystem verwaltet werden und damit Teile des Systems in
Form von Software und/oder Daten installiert haben, entsprechend zu sichern.
Zur Absicherung gehört dabei auch die sichere Aufstellung der Rechner, die
zentrale Aufgaben für das Managementsystem erfüllen (Managementserver,
Rechner mit Managementdatenbanken). Daneben muß für die sichere Datenübertragung Sorge getragen werden (siehe M 5.68 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation).
Auf die folgenden Punkte ist insbesondere während des laufenden Betriebs
eines Managementsystems zu achten:
- Im Rahmen der Fortschreibung der Systemdokumentation müssen die
durch das Managementsystem neu hinzugekommenen Hard- und Softwarekomponenten dokumentiert werden.
- Auch Änderungen am Managementsystem selbst müssen dokumentiert
und/oder protokolliert werden.
- Die Fortschreibung gilt in gleicher Weise für das Notfallhandbuch. Insbesondere sind einerseits die Anlauf- und Recovery-Pläne zu modifizieren,
da viele Standardfunktionen der verwalteten Betriebssysteme nach Einführung eines Managementsystems nun nur noch mit Hilfe der Funktionen des
Managementsystems erfolgen können. Andererseits muß das Notfallhandbuch aber auch Anweisungen dafür enthalten, wie das System ohne
Managementsystem (etwa bei Totalausfall zentraler Komponenten) innerhalb kurzer Zeit in hinreichendem Maße (Notbetriebsregelung) verfügbar
gemacht werden kann (siehe auch Kapitel 3.3 Notfallvorsorge-Konzept).
- Ein Zugriff auf die Komponenten oder Daten des Managementsystems
erfolgt in der Regel ausschließlich durch das Managementsystem selbst
oder berechtigte andere Systemmechanismen (z. B. Datensicherungssystem). Daher ist der Zugriff für normale Benutzer zu unterbinden. Dies
gilt im Normalfall auch für die Rolle des lokalen Administrators eines
einzelnen Rechners. Muß in Ausnahmefällen tatsächlich direkt auf einem
Rechner auf die lokalen Komponenten des Managementsystems zugegriffen werden (z. B. bei Crashrecovery oder Neuinstallation von Komponenten, sofern das Managementsystem dies nicht im Rahmen des
Managements unterstützt), so sollte diese Berechtigung explizit und nur für
die Durchführung dieser Aufgabe erteilt werden.

_____________________________________________________________________ ..........................................
165

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.92
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- Im Rahmen der Sicherheitspolitik müssen die Befugnisse festlegt sein.
Auch für den Bereich Management ergibt sich eine Rollentrennung
Administrator und Revisor – je nach Produkt auch zwischen Administratoren mit unterschiedlichen Rechten (z. B. Arbeitsgruppenadministrator,
Bereichsadministrator). Es empfiehlt sich, bestimmte Rollen zu definieren
und gemäß diesen verschiedenen Rollen Benutzer mit entsprechenden
Berechtigungen einzurichten. Dadurch werden dem Zugreifenden lediglich
die Rechte auf Komponenten oder Daten des Managementsystems erlaubt,
die für seine momentane Aufgabe nötig sind. Je nach Managementsystem
geschieht die Einrichtung der Benutzer im Managementsystem oder in der
Benutzerverwaltung der Rechner. Da die existierenden Systeme nicht
direkt die Definition unterschiedlicher Rollen (etwa Administrator und
Revisor) vorsehen, müssen die Rollen bestmöglich durch das Einrichten
unterschiedlicher Benutzerkonten (z. B. "Administrator", "Revisor",
"RechnerAdmin", "Datenschutzbeauftragter") mit entsprechenden Berechtigungen nachgebildet werden. Je nach System ist diese Nachbildung der
Rollen nur unvollständig und mit einigem Aufwand möglich, da u. U. für
jede Systemkomponente (Dateien, Programme) die Berechtigungen für die
einzelnen Rollen explizit vergeben und gewartet werden müssen.
- Der Zugang zur Managementsoftware ist durch sichere Paßwörter zu
schützen. Die Paßwörter sollten gemäß Sicherheitspolitik regelmäßig
geändert werden.
- Funktionen der Managementsoftware, die gemäß Managementstrategie
nicht zum Einsatz kommen sollen, sind - wenn möglich - zu sperren.
- Die Protokollierungsdateien sind in regelmäßigen Abständen auf Anomalien (z. B. Ausführung von Funktionen, die nicht zum Einsatz kommen
sollen) zu untersuchen. Hier empfiehlt sich der Einsatz von ProtokollAnalysatoren, die entweder in das Managementprodukt integriert oder auch
als Zusatzsoftware erhältlich sein können und die (meist) regelgesteuert im
Bedarfsfall Alarmmeldungen (z. B. Mail, Pager) erzeugen können.
- Das Managementsystem ist in Abständen Integritätstests zu unterziehen, so
daß unberechtigte Änderungen so früh wie möglich entdeckt werden
können. Dies gilt insbesondere für sämtliche Konfigurationsdaten des
Managementsystems.
- Wird über das Systemmanagementsystem auch Software verteilt, so sind
auch die zu verteilenden Programmdaten regelmäßig auf Veränderungen zu
überprüfen, um das Verteilen modifizierter Software über das gesamte
Netz zu verhindern.
- Das Managementsystem sollte auf sein Verhalten bei einem Systemabsturz
getestet werden. Je nach Management- und Sicherheitspolitik muß ein
automatischer Neustart des Managementsystems oder lokaler Teilkomponenten des Systems sichergestellt werden. Damit wird verhindert, daß
Rechner, die dem Managementsystem angeschlossen sind, längere Zeit
nicht für das Management zugreifbar sind (siehe auch M 6.57 Erstellen
eines Notfallplanes für den Ausfall des Managementsystems).
- Beim Systemabsturz dürfen die Managementdatenbanken nicht zerstört
werden oder in einen inkonsistenten Zustand gelangen, damit vermieden

_____________________________________________________________________ ..........................................
166

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.92
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

wird, daß ein möglicher Angreifer provozierte Inkonsistenzen zum Angriff
nutzen kann. Dazu muß das Managementsystem entweder auf ein Datenbanksystem zurückgreifen, das entsprechende Recovery-Mechanismen
unterstützt, oder diese Mechanismen selbst implementieren (siehe M 2.170
Anforderungen an ein Systemmanagementsystem). Werden diese Mechanismen von dem gewählten System nicht zur Verfügung gestellt (z. B.
beim Einsatz von mehreren Management-Tools), sollten die Rechner, die
Managementinformationen speichern, maximal möglich (auch physikalisch) gesichert werden (siehe Kapitel 4 bis 6).
- Das Managementsystem sollte einen geeigneten Backupmechanismus zur
Sicherung der Managementdaten enthalten oder mit einem Backupsystem
zusammenarbeiten. Beim Einspielen alter Datenbestände aus einer Datensicherung ist darauf zu achten, daß diese in der Regel manuell nachbearbeitet werden müssen, um der aktuellen Systemkonfiguration zu entsprechen.
- Auch mittels Backupverfahren gesicherte Managementdatenbestände sind
so zu lagern, daß kein unberechtigter Dritter Zugriff darauf erlangen kann.
In der Regel sind die Daten nicht in sicherer Form auf dem
Backupdatenträger gespeichert, so daß sie von jedem, der über das
Backupprogramm und ein entsprechendes Laufwerk verfügt, eingesehen
werden können.
- Die Aufteilung in Managementdomänen und deren Zuständigkeiten sollte
in regelmäßigen Abständen auf Gültigkeit hin untersucht werden. Dies gilt
insbesondere für den Fall innerbetrieblicher Umstrukturierungen.

_____________________________________________________________________ ..........................................
167

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.93
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.93

Regelmäßige Integritätsprüfung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Eine regelmäßige Kontrolle des Dateisystems auf unerwartete Veränderungen
hilft dabei, Inkonsistenzen zu erkennen. Dadurch können auch Angriffe
zeitnah entdeckt werden. Sollte tatsächlich ein Angriff vorliegen, ist es
wichtig, das Vorgehen des Angreifers zu rekonstruieren. Dies dient einerseits
dazu, sicherzustellen, daß die Benutzer nicht auf verfälschte Daten
zurückgreifen, andererseits dazu, verborgene Hintertüren zu erkennen, die ein
Angreifer für einen späteren Zugriff auf den Rechner installiert haben könnte.
Dazu können Programme genutzt werden, die kryptographische Prüfsummen
über einen Großteil der Dateien des Dateisystems berechnen. Unter Unix
bieten z. B. das Programm tripwire, welches auch in kostenlosen Versionen
verfügbar ist, oder das im Auftrag des BSI entwickelte Tool zur sicheren
Unix-Administration (USEIT) diese Funktionalität. Vergleichbare Programme
sind auch für das Betriebssystem Windows NT verfügbar. Dabei sollte es auch
möglich sein, neben dem Dateisystem die Schlüssel der Registrierung einer
Integritätsprüfung zu unterziehen.
tripwire und USEIT können jede Veränderung am Dateisystem feststellen, da
die Prüfsummen bei einer Veränderung nicht mehr übereinstimmen. Dabei
testen sie nicht nur, ob die Datei modifiziert wurde, auch eine Veränderung
der Zugriffsrechte oder ein Löschen mit anschließendem Zurückspielen wird
festgestellt. Mit einer speziellen Einstellung kann in den meisten Fällen auch
ein nur lesender Zugriff auf die Datei bemerkt werden.
Um zu verhindern, daß das Programm oder die Prüfsummendatei von einem
Angreifer verfälscht werden können, sollten sich diese auf einem Datenträger
befinden, der wahlweise nur einen lesenden Zugriff gestattet. Allerdings muß
die Prüfsummendatei bei Veränderungen am Dateisystem ebenfalls geändert
werden, so daß sich bei kleinen Dateisystemen Disketten, bei größeren
Wechselplatten empfehlen.
Eine Integritätsprüfung sollte regelmäßig, beispielsweise jede Nacht,
durchgeführt werden. Eine Benachrichtigung über das Ergebnis sollte, auch
wenn keine Veränderungen festgestellt wurden, automatisch per E-Mail an
den Administrator erfolgen.
Ergänzende Kontrollfragen:
- Welche Integritätschecker werden eingesetzt?
- Wie häufig werden die Ergebnisse der Integritätschecker geprüft?
- Wie sind die Prüfsummendatei
Manipulationen gesichert?

und

das

Programm

selbst

vor

_____________________________________________________________________ ..........................................
168

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.94
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.94

Schutz der WWW-Dateien

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Dateien und Verzeichnisse auf einem WWW-Server müssen gegen unbefugte Veränderungen, aber auch - je nach Sicherheitsanforderungen - gegen
unbefugten Zugriff geschützt werden.
Generelle Aspekte
Falls Skripte über cgi-bin eingebunden werden, muß auf eine sichere
Programmierung geachtet werden, um zu verhindern, daß diese Skripte zur
Umgehung der Schutzmechanismen des Servers genutzt werden können. Eine
Möglichkeit, unbefugten Zugang zu erschweren, ist es, die Skripte unter einer
Benutzer-ID auszuführen, die nur Zugang zu ausgewählten Dateien hat.
Insbesondere ist es wichtig, die Konfigurationsdateien zu schützen, da sonst
alle Zugangsrestriktionen leicht ausgeschaltet werden können.
Die Schreib- und Leserechte der WWW-Dateien sollten als lokale Dateien nur
berechtigten Benutzern Zugang erlauben.
Schutz vor unbefugten Veränderungen
Auf einem typischen WWW-Server ändern sich nur die Protokolldateien
ständig, alle anderen Dateien sind statisch. Dies trifft insbesondere auf
Systemprogramme und die WWW-Seiten zu. WWW-Seiten werden zwar
regelmäßig aktualisiert, sollten aber nicht auf dem WWW-Server selber
bearbeitet werden.
Um sicherzustellen, daß keine Dateien auf dem WWW-Server unbemerkt
abgeändert werden können, sollten über alle statischen Dateien und Verzeichnisse Prüfsummen gebildet (z. B. mit einem Programm wie tripwire,
siehe auch M 4.93 Regelmäßige Integritätsprüfung) und regelmäßig überprüft
werden.
Um zu verhindern, daß WWW-Dateien überhaupt von Unbefugten geändert
werden können, können statische Daten auf einem schreibgeschützten
Speichermedium (z. B. CD-ROM oder Festplatte mit Schreibschutz) gespeichert werden.
Schutz vor unbefugtem Zugriff
Der Zugriff auf Dateien oder Verzeichnisse eines WWW-Servers kann auf
verschiedene Arten geschützt werden:
- Der Zugriff kann auf frei wählbare IP-Adressen, Teilnetze oder Domänen
beschränkt werden.
- Es können benutzerspezifische Kennungen und Paßwörter vergeben
werden.
- Die Dateien können verschlüsselt abgelegt werden und die zugehörigen
kryptographischen Schlüssel werden nur dem Zielpublikum bekanntgegeben.

_____________________________________________________________________ ..........................................
169

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.94
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Authentisierung über Adressen
Die Authentisierung über numerische IP-Adressen bietet nicht den Schutz
kryptographischer Verfahren, da sie über einen auf IP-Spoofing basierenden
Angriff unwirksam gemacht werden kann. Bei IP-Spoofing fälscht ein
Angreifer IP-Pakete, um vorzugeben, von einem vertrauenswürdigen ITSystem zu kommen (siehe G 5.48 IP-Spoofing). Über eine Firewall kann
jedoch verhindert werden, daß Externe vortäuschen können, Interne zu sein.
Wird der Zugriff nicht auf numerische IP-Adressen oder Teilnetze sondern auf
bestimmte Rechnernamen oder Domainnamen beschränkt, ist außerdem die
Gefährdung durch DNS-Spoofing zu betrachten.
Wenn der WWW-Browser über einen Proxy-Server auf den WWW-Server
zugreift, ist zu bedenken, daß der WWW-Server nur die IP-Adresse des Proxy
erfährt. Ein Proxy kann aber nur dann als vertrauenswürdig angesehen
werden, wenn alle IT-Systeme und Benutzer, die hinter ihm verborgen sind,
ebenfalls vertrauenswürdig sind.
Wenn der Zugriff auf WWW-Dateien auf vorgegebene IP-Adressen, Teilnetze
oder Domänen beschränkt wird, kann es daher sinnvoll sein, diese zusätzlich
mit einem Paßwort zu schützen.
Paßwortschutz
Um WWW-Dateien per Paßwort zu schützen, muß zuerst eine Paßwortdatei
angelegt werden, in der die autorisierten Benutzer und ihre Paßwörter eingetragen werden. Diese Datei darf auf keinen Fall in Bereichen des WWWServers liegen, auf die ein Zugriff von außen möglich sein könnte. Die Datei
muß aber für den Webserver lesbar sein. Es empfiehlt sich, ein Verzeichnis
speziell für diese Paßwortdateien anzulegen. Auf die dort gespeicherten
Dateien darf nur der Besitzer der Datei und der WWW-Server Zugriff haben.
Ein Problem beim Schutz von WWW-Dateien über Paßwörter ist, daß die
zugelassenen Benutzer sorgfältig mit den Paßwörtern umgehen müssen, sie
also z. B. nicht weitergeben, sicher verwahren, regelmäßig wechseln und gut
auswählen (siehe M 2.11 Regelung des Paßwortgebrauchs). Ein anderes
Problem ist, ob und wie Paßwörter gegen Abhören bei der Übertragung
geschützt werden können. Paßwörter dürfen auf keinen Fall innerhalb einer
URL übertragen werden.
Es empfiehlt sich, wenn möglich, zusätzlich die Authentisierung über Adressen zu benutzen.
Verschlüsselung
Eine weitere Möglichkeit ist es, Dateien verschlüsselt auf einem WWWServer abzulegen, so daß nur diejenigen die Dateien lesen können, die im
Besitz des richtigen kryptographischen Schlüssels sind. Dieses Vorgehen
verlangt allerdings ein entsprechendes, unter Umständen aufwendiges,
Schlüsselmanagement.
Um ein Mitlesen der Dateien und Paßwörter während der Übertragung zu
unterbinden, können Verfahren wie SSL oder S-HTTP eingesetzt werden.

_____________________________________________________________________ ..........................................
170

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.95
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.95

Minimales Betriebssystem

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Rechner in einem sicherheitskritischen Umfeld sollten so konzipiert sein, daß
sie möglichst wenig Angriffspunkte bieten. Da heutige Betriebssysteme
standardmäßig viele Netzdienste bereitstellen, reicht für den Betrieb eines
sicheren Servers ein gut konzipierter Serverdienst (z. B. ein SSL-basierter
Webserver) nicht aus. Vielmehr muß auch das Betriebssystem abgesichert
werden, da ansonsten über eine Schwachstelle im Betriebssystem die
Sicherheitsfunktionen des Serverdienstes umgangen werden könnten. Ein
sogenanntes minimales Betriebssystem zeichnet sich dadurch aus, daß es im
Idealfall keinen einzigen Netzdienst zur Verfügung stellt. Ein potentieller
Angreifer kann also eine Schwachstelle in einem Netzdienst dieses
Betriebssystems nicht ausnutzen. Und sollte ein Angreifer doch durch eine
Schwachstelle Zugriff auf den Rechner bekommen haben, so wird er durch
das Minimalsystem weiter behindert. Je weniger Programme ein Angreifer auf
einem Zielrechner vorfindet, desto schwieriger wird es für ihn, weitere
Schwachstellen in dem Zielrechner zu finden bzw. auszunutzen. Außerdem
erleichtert dies die Pflege eines Servers sehr stark, da die Patches bzw. Service
Packs für Diensteprogramme nicht mehr eingespielt werden müssen, wenn
diese nicht vorhanden sind.
Im folgenden wird die Konfiguration eines Betriebssystems anhand eines
Internetservers beschrieben, da hier im allgemeinen sehr hohe
Sicherheitsanforderungen an das Betriebssystem gestellt werden müssen.
Ein Internetserver hat meist nur eine einzige Aufgabe: stabil eine bestimmte
Anzahl von Diensten (z. B. die Bereitschaft, E-Mail entgegenzunehmen)
anderen Rechnern zur Verfügung zu stellen. Das zugrunde liegende
Betriebssystem sollte keine weiteren Dienste anbieten. Deshalb sollte bei der
Installation eines Internetservers folgendes Vorgehen eingehalten werden:
1. Grundinstallation des Betriebssystems
Kann man bei der Installation den Umfang der zu installierenden Pakete
beeinflussen, so sollten schon hier nur die notwendigen Pakete eingespielt
werden. Die Notwendigkeit bestimmter Pakete ist allerdings nicht immer
zu erkennen, so daß zumindest die offensichtlich überflüssigen Pakete
nicht eingespielt werden sollten.
2. Abschalten nicht benötigter Programme
Beim Start eines Rechners werden eine Vielzahl von Programmen
automatisch gestartet. Einige dieser Programme sind für einen
Internetserver völlig überflüssig und sollten deaktiviert werden. Die
Deaktivierung kann durch das Verhindern des automatischen Starts
erfolgen (Startskripte unter Unix, Autostart und Dienstemanager unter
Windows NT) und durch zusätzliches Löschen der entsprechenden
Programme. Aus Gründen der Sicherheit wird das Löschen empfohlen, da
dann ein Angreifer die Dienste nicht wieder reaktivieren kann. Allerdings
ist es manchmal sehr schwierig, alle zu einem bestimmten Dienst

_____________________________________________________________________ ..........................................
171

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.95
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

gehörigen Dateien zu finden und zu löschen, so daß im Zweifel das
Löschen unterbleiben sollte.
3. Konfiguration der Netzparameter
Falls dies nicht schon bei der Installation geschehen ist, müssen die
Netzparameter des Internetservers eingestellt werden. Relevant für die
Sicherheit des Internetservers sind unter anderem die Wahl eines Default
Gateways und eines Domain Name Servers. Findet beispielsweise die
Kommunikation des Internetservers mit dem Internet über einen Proxy
(siehe M 2.73 Auswahl eines geeigneten Firewall-Typs) statt, so ist ein
Default Gateway überflüssig. Ohne ein Default Gateway ist eine direkte
Antwort vom Internetserver ins Internet nicht möglich, so daß bei
Umgehung des Proxies keine Kommunikation, d. h. auch kein Angriff,
stattfinden kann. Auch DNS ist für einen Internetserver häufig überflüssig
und sollte möglichst vermieden werden, da dies einen direkten
Kommunikationskanal zum Betriebssystem ermöglicht (siehe M 4.96).
Zusätzlich gibt es noch eine Vielzahl von Parametern, die den sogenannten
TCP/IP-Stack direkt beeinflussen, z. B. die maximale Größe von IPPaketen. Diese Parameter sind extrem stark vom jeweiligen Betriebssystem
abhängig, so daß hier nur das Abschalten von IP-Forwarding erwähnt
werden kann. Weitere Änderungen könnten beispielsweise die Stabilität
gegenüber fehlerhaften IP-Paketen oder aber auch den Netzdurchsatz
erhöhen.
4. Abschalten nicht benötigter Netzdienste
Einige benötigte Diensteprogramme stellen eine Vielzahl weiterer Dienste
bereit (insbesondere ist hier der inetd unter Unix gemeint). Die
entsprechenden Konfigurationsdateien sind auf die notwendigen
Netzdienste einzuschränken (siehe auch M 5.16 Übersicht über
Netzdienste).
5. Installation von Sicherheitsprogrammen
Das Betriebssystem sollte um zusätzliche Sicherheitsprogramme erweitert
werden, falls diese nicht schon Teil des Betriebssystems sind. Insbesondere
sinnvoll sind ein Integritätsprüfprogramm (siehe M 4.93 Regelmäßige
Integritätsprüfung) und ein Softwarepaketfilter (bei Windows NT schon
enthalten). Empfehlenswert sind zusätzlich Programme zur Virensuche und
zur Auswertung der Protokolleinträge. Ist eine Fernadministration des
Internetservers gewünscht, so muß ein entsprechendes Sicherheitsprodukt
installiert werden, z. B. der Secure Shell Daemon (siehe M 5.64), und
regelmäßig die Sicherheit des Systems überprüft werden (siehe auch
M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems).
6. Konfiguration und Überprüfung der Netzdienste
Idealerweise stellt ein minimales Betriebssystem keinen einzigen
Netzdienst zur Verfügung und ist somit von außen nicht angreifbar. Gerade
in größeren Netzen ist dieses Vorgehen aufgrund der Administration nicht
mehr praktikabel, so daß ein Fernzugang notwendig ist. Ob der
Internetserver Dienste bereitstellt, kann sowohl unter Unix als auch
Windows NT mit dem Befehl netstat -a überprüft werden. Jeder der

_____________________________________________________________________ ..........................................
172

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.95
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

aufgelisteten Dienste sollte in seiner Konfiguration so eingeschränkt
werden, daß nur berechtigte Rechner auf ihn zugreifen können (z. B. ist der
Fernzugang zum Internetserver auf die Rechner des Netzmanagements
einzuschränken).
7. Löschen nicht mehr benötigter Programme
Sobald die Installation eines minimalen Betriebssystems abgeschlossen ist,
sollten verschiedene Programme gelöscht werden, die einem potentiellen
Angreifer hilfreich sein könnten. Insbesondere sind eventuell vorhandene
Compiler zu entfernen, da diese einem Angreifer ein wertvolles Hilfsmittel
sein könnten. Außerdem sind Compiler auf Internetservern auch deshalb
nicht sinnvoll, da diese Rechner Produktionsmaschinen sind und
Programmentwicklung und Tests auf anderen Rechnern durchgeführt
werden sollten. Ebenfalls denkbar ist das Löschen aller Editoren, was
einem Angreifer die Manipulation von Konfigurationsdateien sehr stark
erschweren würde. Allerdings ist dann auch die Administration
komplizierter. Bei Änderungen an Konfigurationsdateien muß dann jeweils
wieder ein Editor installiert werden oder aber, und dies ist empfehlenswert,
die Konfigurationsdateien müssen auf einem anderen Rechner editiert und
dann überspielt werden.
Ein minimales Betriebssystem sollte natürlich kein Selbstzweck sein. Für
einen Internetserver muß selbstverständlich noch der eigentliche Serverdienst
installiert werden. Ob dies am Ende der obigen Liste geschieht oder
beispielsweise zwischen den Punkten 6 und 7 oder auch direkt nach Punkt 1,
hängt von der jeweiligen Installation ab. Problematisch wird es, wenn die
Installation wegen fehlender Betriebssystempakete fehlschlägt, da man dann
die fehlenden Pakete suchen und selber nachinstallieren muß. Besser wäre es,
der Hersteller des Serverdienstes gäbe die Betriebssystemabhängigkeiten an,
so daß das Minimalsystem von Anfang an darauf ausgerichtet werden könnte.
Auch ein mit einem Minimalsystem konfigurierter Rechner ist nicht gänzlich
vor Angriffen geschützt. Die wahrscheinlichste Ursache für einen
erfolgreichen Angriff ist sicherlich der Serverdienst, aber auch das
Minimalsystem selber ist noch angreifbar, insbesondere nämlich der TCP/IPStack, der die Netzpakete zur Applikation weiterleiten muß. Nahezu alle
bisher bekannt gewordenen Angriffe gegen den TCP/IP-Stack betrafen
allerdings nur die Verfügbarkeit, indem die betroffenen Rechner abstürzten,
d. h. ein Eindringen in Rechner ist noch nicht beobachtet worden. Um auch
diese Gefahr weiter zu verkleinern, sollte auch M 4.98 Kommunikation durch
Paketfilter auf Minimum beschränken umgesetzt werden.

_____________________________________________________________________ ..........................................
173

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.96
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.96

Abschaltung von DNS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Ein Internetserver braucht normalerweise kein DNS (Domain Name System),
um Informationen zur Verfügung zu stellen, es sei denn, über ihn wird die EMail versandt, wovon aber abzuraten ist (siehe dazu auch M 4.97 Ein Dienst
pro Server). So wird bei den meisten WWW-Servern DNS nur dazu
verwendet, in den jeweiligen Protokolldateien Rechnernamen statt IPAdressen einzutragen. Diese Umwandlung von IP-Adressen zu Rechnernamen
könnte auch später bei der Analyse der Protokolldateien durchgeführt werden.
Zwar ist dann der Umgang mit den Protokolldateien etwas umständlicher, aber
die Vertrauenswürdigkeit der Protokolldaten steigt. Die Zuordnung zwischen
einer IP-Adresse und einem Rechnernamen ist nämlich weder eindeutig noch
statisch. Ein Verzicht auf DNS gibt zusätzlich Schutz vor DNS-Spoofing
(siehe M 5.59 Schutz vor DNS-Spoofing) und erhöht häufig die Performanz
des Internetservers.
Folgendes Szenario zeigt mögliche negative Auswirkungen:
Ein Angreifer verfüge über eine eigene Domain mit einem Test-PC. Dieser
Test-PC ist gleichzeitig auch DNS-Server für diese Domain. Mit dem Test-PC
baut er eine Verbindung zu einem Internetserver auf. Der Internetserver kennt
am Anfang der Verbindungsanfrage nur die IP-Adresse des Test-PCs und
versucht, sich über DNS den Rechnernamen des Test-PCs zu verschaffen. Zu
diesem Zweck muß das Betriebssystem eine Verbindung mit einem DNSServer aufnehmen, der sich wiederum die Daten von dem Test-PC holen muß,
da dieser der DNS-Server der Angreifer-Domain ist. Anstatt nun dem DNSServer des Internetservers zu antworten, kann der Angreifer nun auch direkt
eine beliebige Antwort zum Internetserver selber schicken (unter Verwendung
von IP-Spoofing, siehe G 5.78). Auf diese Weise kann der Angreifer nicht nur
Daten zu dem eigentlichen DNS-Server schicken, sondern auch direkt zum
Internetserver. Eventuelle Fehler in dessen Betriebssystem könnten so
ausgenutzt werden.
Hinweis: Soll beispielsweise der Zugriff auf einen WWW-Server nur einer
bestimmten Domain erlaubt sein, z. B. nur *.de, so kann allerdings nicht auf
DNS verzichtet werden. Jedoch ist ein solcher Zugriffsschutz sehr schwach
und daher nicht empfehlenswert.

_____________________________________________________________________ ..........................................
174

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.97
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.97

Ein Dienst pro Server

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen
Angreifer ausnutzbar. Häufig wird erst durch die Kombination von
Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Eine
Empfehlung für den Betrieb von sicheren Servern ist deshalb: Verschiedene
Dienste gehören auf verschiedene Rechner!
Auf einem Minimalsystem (siehe auch M 4.95 Minimales Betriebssystem)
sollte deshalb nur ein einziger Dienst aufgesetzt werden, also beispielsweise
entweder ein WWW-Server oder ein E-Mail-Server. Außerdem sind einzelne
Dienste auch unterschiedlich in ihrer Sicherheitseinstufung. So ist ein
erfolgreiches Eindringen in einen WWW-Server unter Umständen sehr
ärgerlich, insbesondere wenn der Angreifer die extern verfügbaren WWWSeiten abändert. Zugriff auf interne Informationen ist dem Angreifer hierdurch
aber nicht möglich. Ist der WWW-Server aber gleichzeitig der E-Mail-Server,
so kann der Angreifer unter Umständen den gesamten E-Mail-Verkehr
mitlesen, was möglicherweise viel schlimmere Auswirkungen hat.
Die Aufteilung kann sogar noch verstärkt werden, indem für einen einzelnen
Dienst verschiedene Aufgaben auf unterschiedliche Rechner verteilt werden.
So könnte es beispielsweise einen E-Mail-Server A geben, der E-Mails aus
dem Internet annimmt und in das interne Netz weiterleitet, und einen anderen
E-Mail-Server B, der E-Mails aus dem internen Netz an das Internet
weiterleitet. Da die Kommunikationsaufnahme aus dem Internet nur mit dem
E-Mail-Server A möglich ist, kann ein Angreifer auch nur diesen attackieren.
Der E-Mail-Server A darf selber keine E-Mails in das Internet verschicken,
deshalb kann dieser Rechner auch nicht für E-Mail-Spamming mißbraucht
werden.
Eine Aufteilung verschiedener Dienste auf unterschiedliche Rechner hat unter
anderem folgende Vorteile:
- Leichtere Konfiguration der einzelnen Rechner
- Einfachere und sicherere Konfiguration eines vorgeschalteten Paketfilters
- Erhöhte Widerstandsfähigkeit gegenüber Angriffen
- Erhöhte Ausfallsicherheit
Eine eventuelle negative Auswirkung wie erhöhte Hardwarekosten für die
Anschaffung mehrerer Rechner sollte dadurch ausgeglichen werden können,
daß die einzelnen Rechner weniger Leistung erbringen müssen und dadurch in
der Summe bei gleicher Performanz nicht teurer als ein besonders
leistungsfähiger Rechner sein müssen. Auch muß der Administrationsaufwand
nicht zwangsläufig mit der Anzahl der Rechner steigen, da eine einfachere
Konfiguration der einzelnen Rechner für Zeitersparnis sorgt.

_____________________________________________________________________ ..........................................
175

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.98
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.98

Kommunikation durch Paketfilter auf Minimum
beschränken

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Paketfilter sind IT-Systeme mit spezieller Software, die die Informationen der
unteren Schichten des OSI-Modells filtern und entsprechend spezieller Regeln
Pakete weiterleiten oder abfangen (siehe M 2.74 Geeignete Auswahl eines
Paketfilters).
Die Konfiguration eines Paketfilters, der zum Schutz von Internetservern
eingesetzt wird, sollte sehr restriktiv sein, um die Widerstandsfähigkeit gegen
Angriffe zu maximieren. Zwar sollte ein gut konfigurierter Internetserver
(siehe M 4.95) sich selbst vor Angriffen schützen können, jedoch ist die
Software eines Internetservers viel komplexer und fehleranfälliger als die
eines auf Sicherheit konzipierten Paketfilters. Der Paketfilter sollte nur
diejenigen Kommunikationskanäle durchlassen, die für die Funktion der
Internetserver notwendig sind. Insbesondere ist nicht nur die Kommunikation
zu kontrollieren, die vom Internet zum Internetserver initiiert wird, sondern
auch die Kommunikation, die der Internetserver zum Internet hin aufbauen
darf. Für viele Angriffe ist es eine notwendige Voraussetzung, daß der
angegriffene Rechner neue Verbindungen zum Internet hin aufbauen kann. Ist
dies nicht möglich, so sind auch viele Angriffe nicht erfolgreich. So war 1997
ein Angriff auf News-Server sehr "beliebt", bei dem sich der Angreifer über
einen Fehler in einem News-Daemon per E-Mail wichtige
Systeminformationen zuschicken lassen konnte. Hätten die angegriffenen
Rechner nicht die Berechtigung zum Verschicken von E-Mails gehabt, so
hätte der Angreifer auch keine Rückmeldung bekommen. Der Angriff wäre
nicht erfolgreich gewesen.
Im folgenden werden einige Beispiele für die Konfiguration von Paketfiltern
für verschiedene Internetserver dargestellt.
1. WWW-Server:
Internet darf auf Port 80 des WWW-Servers TCP
WWW-Server darf ins Internet von Port 80 TCP/ack, sonst nichts!
2. News-Server:
Newsfeed-Server dürfen auf Port 119 des News-Servers TCP
News-Server darf von Port 119 auf Newsfeed-Server TCP/ack
News-Server darf auf Port 119 der Newsfeed-Server TCP
Newsfeed-Server dürfen von Port 119 auf den News-Server TCP/ack
3. E-Mail-Server (Provider stellt E-Mail-Gateway zur Verfügung):
E-Mail-Server des Providers darf auf Port 25 des E-Mail-Servers TCP
E-Mail-Server darf von Port 25 auf E-Mail-Server des Providers TCP/ack
E-Mail-Server darf auf Port 25 des E-Mail-Servers des Providers TCP
E-Mail-Server des Providers darf von Port 25 auf E-Mail-Server TCP/ack

_____________________________________________________________________ ..........................................
176

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.98
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

4. E-Mail-Server (eigenes Verschicken ins Internet):
Internet darf auf Port 25 des E-Mail-Servers TCP
E-Mail-Server darf von Port 25 ins Internet TCP/ack
E-Mail-Server darf auf Port 25 im Internet TCP
Internet darf von Port 25 auf den E-Mail-Server TCP/ack
Werden nur diese Regeln implementiert, ist eine Kommunikationsaufnahme
aus dem Internet nur auf die freigegebenen Dienste beschränkt. Können
zusätzlich die Kommunikationspartner noch weiter eingeschränkt werden
(siehe obige Beispiele 2 und 3), so kann ein Angreifer gar keine direkte
Verbindung zu dem Internetserver aufbauen.
Hinweis: Obige Regeln können bewirken, daß der Internetserver nicht von
jedem Rechner aus erreicht werden kann, da ICMP nicht durchgelassen wird.
Deshalb empfiehlt es sich, den ICMP Subtype icmp unreachable vom Internet
hin zum Internetserver durchzulassen.

_____________________________________________________________________ ..........................................
177

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.99
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.99

Schutz gegen nachträgliche Veränderungen von
Informationen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Dateien, die an Dritte weitergegeben werden, können von diesen im
allgemeinen auch weiterbearbeitet werden. Dies ist nicht immer im Sinne des
Erstellers. Daher wäre ein Schutz gegen nachträgliche Veränderungen,
auszugsweise Weitergabe oder Verarbeitung wünschenswert.
Häufig steht man vor dem Problem, daß Informationen über das Internet oder
andere Netze Dritten zwar zur Verfügung gestellt, aber nicht hundertfach
ausgedruckt oder nahtlos in andere Werke integriert werden sollen.
Hierzu gibt es verschiedene Lösungen, die teilweise auch miteinander
kombiniert werden können. Beispiele hierfür sind:
- Die Verwendung von digitalen Signaturen, um unbemerkte Änderungen an
Dateien zu verhindern (siehe auch M 4.34 Einsatz von Verschlüsselung,
Checksummen oder Digitalen Signaturen oder M 3.23 Einführung in
kryptographische Grundbegriffe).
- Das Hinzufügen von Copyright-Vermerken zu WWW-Informationen oder
Dateien. Diese können wie folgt lauten: "Das Werk einschließlich aller
seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der
engen des Urheberrechtsgesetzes ohne Zustimmung des Autors ist
unzulässig und strafbar." sowie "Copyright (©) 7/1999 by BSI".
- Die Verwendung von Dateiformaten, die nachträgliche Änderungen bzw.
auszugsweise Weiterverarbeitung erschweren. Hierfür kann z. B. Postscript
genutzt
werden
oder
die
Sicherheitseigenschaften
von
Anwendungsprogrammen, z. B. bei PDF-Dateien.
PDF-Dokumente können bei der Erstellung mit Zugriffsbeschränkungen
versehen werden. So kann z. B. das Öffnen, Drucken oder Kopieren von
PDF-Dateien eingeschränkt werden.
Mit Acrobat Exchange, also der Anwendung, mit der PDF-Dateien erstellt
und nachbearbeitet werden können, ist die Vergabe von zwei Arten von
Paßwörtern möglich. Die einen werden zum Öffnen des Dokuments, die
anderen zum Ändern der Sicherheitsattribute benötigt. Gegen unbefugtes
Öffnen geschützte PDF-Dokumente werden dabei mit RC4 verschlüsselt.
Über die Sicherheitsattribute können folgende Funktionen eingeschränkt
werden:
- Drucken
- Ändern des Dokuments
- Text oder Graphik auswählen
- Notizen und Formularfelder hinzufügen oder ändern
So können sehr einfach die Rechte beschränkt werden, so daß niemand mit
Cut and Paste die Inhalte einer Veröffentlichung übernehmen kann. Wenn

_____________________________________________________________________ ..........................................
178

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.99
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

im Extremfall sogar das Ausdrucken verhindert wird, kann die Datei nur
online gelesen werden.
Leider bietet dies nur einen rudimentären Schutz, da PDF-Dateien nämlich
auch mit Programmen geöffnet werden können, die diese
Sicherheitsattribute ignorieren. Solange z. B. Drucken erlaubt wird, kann
das Dokument sogar jederzeit wieder in eine PDF-Datei ohne jegliche
Einschränkungen verwandelt werden.

_____________________________________________________________________ ..........................................
179

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.100
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.100

Firewalls und aktive Inhalte

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Eines der größten Probleme bei der Konzeption einer Firewall ist die
Behandlung der Probleme, die durch die Übertragung aktiver Inhalte zu den
Rechnern im zu schützenden Netz entstehen. Hierunter fällt nicht nur die
Erkennung und Beseitigung von Computer-Viren, die verhältnismäßig einfach
auch auf den Rechnern der Anwender durchgeführt werden kann, sondern
auch das weit schwieriger zu lösende Problem der Erkennung von ActiveXControls, Java-Applets oder Scripting-Programmen mit einer Schadfunktion.
Hierfür existieren zur Zeit noch keine brauchbaren Programme, die eine
ähnlich wirksame Erkennung von Schadfunktionen ermöglichen, wie sie im
Bereich der Computer-Viren möglich ist.
Die Größe der Gefährdung, die von aktiven Inhalten für die Rechner im zu
schützenden Netz ausgeht, läßt sich anhand des folgenden Beispiels darstellen.
Ein Java-Applet bzw. der Browser darf gemäß der Java-Spezifikationen eine
Netzverbindung zu dem Server aufbauen, von dem es geladen worden ist.
Diese zur Zeit noch recht wenig benutzte Möglichkeit ist eine zentrale
Voraussetzung, wenn Netz-Computer (NC) oder ähnliches eingesetzt werden
sollen, die auch ohne spezielle Initiierung durch den Anwender Programme
vom Server laden müssen. Um diese Eigenschaft trotz der Verwendung eines
Paket-Filters vollständig unterstützen zu können, müssen sehr viel mehr
Portnummern freigeschaltet werden oder es muß ein dynamischer Paket-Filter
eingesetzt werden. Ist das der Fall, können Java-Applets verwendet werden,
um kaum zu kontrollierende IP-Verbindungen aufbauen zu können.
Es gibt generell zwei Ansätze, wie der Problematik ”aktive Inhalte mit
Schadfunktion” begegnet werden kann. Zum einen kann die Kontrolle und
damit auch die Verantwortung für die Ausführung auf die Benutzer verlagert
werden, die in ihren Browsern die Möglichkeit haben, die aktiven Inhalte
abzuschalten und nur bei einzelnen ”vertrauenswürdigen” Angeboten wieder
einzuschalten. Das Hauptproblem bei dieser Lösung ist, wie festgestellt
werden kann, welche Anbieter vertrauenswürdig sind und welche nicht.
Die zweite Möglichkeit, aktive Inhalte zu kontrollieren, besteht im Einsatz
eines entsprechenden Filters in Verbindung mit einer Firewall. Proxy-Prozesse
sind aufgrund ihres Aufbaus prinzipiell sehr gut dazu geeignet, die
übertragenen Nutzdaten zu analysieren. Die entsprechenden Programme
werden über spezielle Tags (Tag = Kennzeichen für Strukturen innerhalb einer
HTML-Seite) innerhalb einer HTML-Seite aufgerufen. Denkbar ist also die
Lösung, alle Zeilen mit entsprechenden Tags aus einer HTML-Seite zu
löschen oder sie durch Ausgabezeilen zu ersetzen, die dem Anwender einen
Hinweis geben, daß das gewünschte Java-Applet von der Firewall abgeblockt
worden ist.
Das Problem bei dieser Vorgehensweise besteht darin, daß es nicht auf
einfache Weise möglich ist, alle HTML-Seiten und in diesen wiederum alle zu
löschenden Tags zu erkennen. So können, und dies wird heute schon vielfach
gemacht, HTML-Seiten als Inhalt einer E-Mail übertragen werden.

_____________________________________________________________________ ..........................................
180

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.100
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Intelligente E-Mailprogramme erkennen dies und starten automatisch einen
Browser, der diese HTML-Seite anzeigen kann und der dann natürlich auch
das Java-Applet bzw. ActiveX-Control ausführt. Auch die Erkennung eines
speziellen Tags innerhalb einer HTML-Seite ist aufgrund der komplexen
Möglichkeiten der aktuellen HTML-Version nicht einfach.
Leider werden Java-Applets nicht durchgängig als Datei mit der Endung .class
verschickt. Statt dessen können auch komprimierte Dateien eingesetzt werden,
die z. B. die Endung .jar (Java-Archive) haben. Das bedeutet, daß ein JavaFilter auch alle von den verwendeten Browsern unterstützten
Komprimierungsverfahren kennen und berücksichtigen muß.
Eine weitere Alternative, Programme für aktive Inhalte mit Schadfunktion zu
erkennen, besteht darin, ähnlich wie bei Programmen zur Abwehr von
Computer-Viren eine Datenbank mit Signaturen anzulegen und jedes aus dem
Internet geladene Programm mit diesen Signaturen zu vergleichen. Leider
steht dieses Verfahren noch ganz am Anfang seiner Entwicklung und es bleibt
abzuwarten, ob die entsprechenden Programme ähnlich wirksam werden, wie
es die Programme zur Abwehr von Computer-Viren sind.
Zusätzliches Schadenspotential resultiert aus der Möglichkeit, JavaScript aus
Java heraus auszuführen. Eine abgestufte Filterung von Java und JavaScript
sollte deshalb auf ihre Wirksamkeit überprüft werden.

_____________________________________________________________________ ..........................................
181

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.101
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.101

Firewalls und Verschlüsselung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Da im Internet die Daten über nicht vorhersagbare Wege und Knotenpunkte
verschickt werden, sollten die versandten Daten möglichst nur verschlüsselt
übertragen werden. Hierbei wäre es sinnvoll, wenn entsprechende
Mechanismen schon in den unteren Schichten des Protokolls vorgesehen
würden.
Zunächst sollte aber unterschieden werden zwischen
- Verschlüsselung auf der Firewall bzw. auf Netzkoppelelementen, die zum
Aufbau sicherer Teilnetze eingesetzt werden kann, und
- Verschlüsselung auf den Endgeräten,
bedarfsabhängig eingesetzt wird.

die

z. B.

von

Benutzern

Verschlüsselung auf der Firewall
Um mit externen Kommunikationspartnern Daten über ein offenes Netz
auszutauschen und /oder diesen Zugriff auf das eigene Netz zu geben, kann
der Aufbau von virtuellen privaten Netzen (VPNs) sinnvoll sein. Dafür sollten
alle Verbindungen von und zu diesen Partnern verschlüsselt werden, damit
Unbefugte keinen Zugriff darauf nehmen können. Zum Aufbau von
verschlüsselten Verbindungen können eine Vielzahl von Hard- und
Softwarelösungen eingesetzt werden. Sollen hierbei nur wenige
Liegenschaften miteinander verbunden werden, sind insbesondere
Hardwarelösungen basierend auf symmetrischen kryptographischen Verfahren
eine einfache und sichere Lösung.

Mögliches Schlüsselgerät
Application-Gateway
Paketfilter

Paketfilter

Internes
Netz

Externes
Netz

Server für externe
Zugriffe
Abb.: Einbindung eines Kryptomoduls in eine Firewall
Die Ver- bzw. Entschlüsselung kann auf verschiedenen Geräten erfolgen. So
könnte ein Hardwarelösung im Paketfilter als Schlüsselgerät arbeiten. Dies ist
insbesondere dann sinnvoll, wenn keine unverschlüsselte Kommunikation
über dies Gerät gehen soll.

_____________________________________________________________________ ..........................................
182

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.101
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Die Integration der Verschlüsselung auf dem Application Gateway hat
dagegen den Vorteil einer leichteren Benutzerverwaltung. Zudem kann ein
Angreifer, der einen externen Informationsserver unter seine Kontrolle
gebracht hat, die verschlüsselte Kommunikation nicht belauschen.
Verschlüsselung auf den Endgeräten
Zum Schutz der Vertraulichkeit bestimmter Daten, insbesondere bei der
Versendung von E-Mails, bietet sich auch der Gebrauch von Mechanismen an,
die eine Ende-zu-Ende-Verschlüsselung ermöglichen. Hierfür wird zum
Beispiel das frei verfügbare Programmpaket PGP (Pretty Good Privacy) sehr
häufig eingesetzt (siehe M 5.63 Einsatz von PGP). Für eine vertrauenswürdige
Datenübertragung mit ausgewählten Partnern im Internet sollten geänderte
telnet und ftp Programme eingesetzt werden, die eine Verschlüsselung der
übertragenen Daten unterstützen.
Die Verschlüsselung auf den Endsystemen wird auf absehbare Zeit noch
applikationsgebunden sein, z. B. durch den Einsatz von SSL oder PGP. Die
Verschlüsselung von Daten stellt andererseits aber auch ein großes Problem
für den wirksamen Einsatz von Firewalls dar, d. h. den Filtern. Wenn die
Übertragung verschlüsselter Daten über die Firewall zugelassen wird (z. B.
SSL), sind Filter auf der Anwendungsschicht nicht mehr in der Lage, die
Nutzdaten z. B. in Hinblick auf Viren oder andere Schadprogramme zu
kontrollieren. Auch die Protokollierungsmöglichkeiten werden durch eine
Verschlüsselung stark eingeschränkt. Eine erste ad-hoc-Lösung könnte darin
bestehen, von bestimmten internen Rechnern den Aufbau von SSLVerbindungen zu erlauben, u. U. nur zu ausgewählten Zielsystemen.
Andererseits sind die Daten selbst dann geschützt, wenn ein Angreifer das
Application Gateway unter seine Kontrolle gebracht hat.
Eine temporäre Entschlüsselung auf einer Filterkomponente
Analysezwecken ist weder praktikabel noch wünschenswert.

zu

Eine generelle Empfehlung für oder gegen den Einsatz von Verschlüsselung
über oder an der Firewall kann nicht gegeben werden, dies hängt von den
Anforderungen im Einzelfall ab.
Vor- und Nachteile der verschiedenen Realisierungsmöglichkeiten
Auf Firewall:

Auf den Endgeräten:

+

Zentrale Datenprüfung

+

Ende-zu-Ende Sicherheit

+

Zentrale Schlüsselverteilung

+

Keine Protokollprobleme

+

Detailliertes Accounting

+/-

benutzerabhängig

-

Zugriff von Firewall auf
internes Netz

-

Keine Kontrollmöglichkeiten
auf der Firewall

-

Keine Ende-zu-EndeSicherheit

-

Public-Key Infrastrukturen
benötigt

_____________________________________________________________________ ..........................................
183

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.102
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.102

C2-Sicherheit unter Novell 4.11

Verantwortlich für Initiierung:

Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung:

Administrator

Zur Bewertung von IT-Produkten bzw. IT-Systemen haben sich als einheitlicher Beurteilungsmaßstab international die US-amerikanischen Kriterien
TCSEC (Trusted Computer System Evaluation Criteria) bzw. die europäischen ITSEC (Information Technology Security Evaluation Criteria) und
mittlerweile deren Weiterentwicklung CC (The Common Criteria for Information Technology Security Evaluation) durchgesetzt. Novell Netware 4.11
hat im Herbst 1997 eine Zertifizierung gemäß Funktionalitätsklasse C2 der
TCSEC durch das National Computer Security Center (NCSC) erhalten, dies
entspricht ITSEC Klasse F-C2/E2.
Der Einsatz eines zertifizierten Produktes bietet die Gewähr, daß die Sicherheitsfunktionalität dieses Produktes unabhängig geprüft wurde und den im
Evaluationslevel spezifizierten Standard nicht unterschreitet (siehe auch
M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung).
Vielfach anzutreffende Standardfälle sind in den genannten Sicherheitskriterien zu Funktionalitätsklassen zusammengefaßt. Die Anforderungen der
Funktionalitätsklassen F-C2 sind im wesentlichen für Betriebssysteme
gedacht. Darin sind z. B. folgende Merkmale definiert:
- Übernahme der C1 Spezifikationen
-

Existenz von Mechanismen zur Zugriffsbeschränkung von Benutzern auf bestimmte Dokumente

-

Identifizierung von Benutzern

- Verfeinerung der Zugriffsberechtigungen
- Auditing aller sicherheitsrelevanten Ereignisse mit Zeitstempel, Benutzername, Objekt und Meldung über Erfolg bzw. Mißerfolg
- Verwaltung der Audit Dateien (Zugriffsschutz, Steuerung des Umfangs,
etc.)
- Abgrenzung der Ressourcen (Zugriffsschutz)
- Abgrenzung von Daten aus verschiedenen Prozessen gegenüber anderen
Prozessen selbst nach Freigabe
Die Einhaltung dieser Vorgaben wird in speziellen Testverfahren überprüft.
Um C2-Sicherheit zu erreichen, reicht es allerdings nicht aus, ein C2-zertifiziertes Produkt zu erwerben. Wesentlich für die tatsächliche Realisierung
eines C2-Systems ist die genaue Umsetzung der Vorgaben des Zertifizierungsreports.
Die zur Erreichung der C2-Sicherheit bei Netware 4.11 notwendigen Sicherheitsoptionen wurden in der Datei SECURE.NCF zusammengefaßt. In den
nachfolgenden Abschnitten wird die Datei SECURE.NCF dargestellt und die
einzelnen Optionen näher erläutert.

_____________________________________________________________________ ..........................................
184

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.102
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Die Datei SECURE.NCF und ihre Optionen
Damit ein Novell Netware 4.11 Server die erweiterten Sicherheitsmechanismen nutzen kann, sind folgende Punkte zu beachten:
- Die Datei SECURE.NCF muß auf dem Server in SYS:SYSTEM gespeichert sein.
- Die Datei SECURE.NCF ist eine Ablaufdatei ähnlich einer Batch-Datei
unter DOS und sollte daher nur mit einem ASCII-Editor (z. B.
EDIT.NLM) bearbeitet werden.
- Für den Aufruf der Datei SECURE.NCF muß in der AUTOEXEC.NCF die
Zeile "SET ENABLE SECURE.NCF=ON" eingefügt werden. Alternativ
hierzu kann auch der Befehl "SECURE" in die AUTOEXEC.NCF eingefügt oder dieser Befehl auf der Server-Konsole abgesetzt werden.
Der nachfolgende Auszug aus der Datei SECURE.NCF zeigt nur die darin
enthaltenen Befehle. In der Originaldatei ist zu jedem Befehl eine kurze
Erläuterung enthalten.
SET ALLOW UNENCRYPTED PASSWORDS = OFF
SET ALLOW AUDIT PASSWORDS = OFF
SET AUTOMATICALLY REPAIR BAD VOLUMES = ON
SET REJECT NCP PACKETS WITH BAD LENGTHS = ON
SET REJECT NCP PACKETS WITH BAD COMPONENTS = ON
SET IPX NETBIOS REPLICATION OPTION = 0
SET ADDITIONAL SECURITY CHECKS = ON
# SET CHECK EQUIVALENT TO ME = ON
# SET NCP PACKET SIGNATURE = 3
# SECURE CONSOLE
## DISPLAY NCP BAD COMPONENT WARNINGS
## DISPLAY NCP BAD LENGTH WARNINGS
Alle Befehlszeilen, die mit einem "#" auskommentiert wurden, sind zusätzliche Sicherheitsparameter und für die Einhaltung der C2 bzw. F-C2/E2
Bestimmungen nicht notwendig. Befehlszeilen, die mit "##" gekennzeichnet
sind, gehören nicht zum Standardumfang der Datei SECURE.NCF, stellen
aber im alltäglichen Gebrauch eine sinnvolle Bereicherung dar.
Die Befehle im Einzelnen
Alle Befehle bzw. SET-Anweisungen können auch an der Konsole abgesetzt
oder mittels des Programms SERVMAN.NLM bzw. MONITOR.NLM gesetzt
werden.
Nachfolgend werden alle SET-Parameter der Datei SECURE.NCF beschrieben und die Standardwerte (Default) angegeben.

_____________________________________________________________________ ..........................................
185

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.102
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

SET ALLOW UNENCRYPTED PASSWORDS = OFF (Default=OFF)
Dieser Parameter dient dazu, die Kompatibilität von Netware 2.x Clients und
Print-Servern zu gewährleisten. Ein Setzen des Parameters auf den Wert ON
hat zur Folge, daß ein Paßwort, das zur Authentifizierung notwendig ist,
unverschlüsselt zum Server übertragen werden kann. Dies begünstigt ein
unberechtigtes Eindringen in das betreffende System. Der Standardwert OFF
stellt sicher, daß beim Anmeldevorgang jedes Paßwort verschlüsselt werden
muß. Unverschlüsselte Paßwörter werden nicht akzeptiert.
SET ALLOW AUDIT PASSWORDS = OFF (Default=OFF)
Dieser Parameter steht in Verbindung mit den Auditing Mechanismen des
Netware-Betriebssystems. Beim Auditing werden gemäß der Vorgaben der
Konfigurationen mittels des Programms AUDITCON.NLM Veränderungen
(Manipulationen) an Objekten aufgezeichnet. Durch entsprechende Berechtigungen, die z. B. in der allgemeinen Berechtigungsvergabe des Betriebssystems für jeden Auditor individuell eingestellt werden können, ist ein
Auditor in der Lage, die Auditing-Datei zu lesen. Die jeweilige Berechtigung
schränkt dabei den Leseumfang ein. Der Standardwert OFF bewirkt, daß sich
der Auditor nicht durch ein zusätzliches Paßwort identifizieren muß.
SET AUTOMATICALLY REPAIR BAD VOLUMES = ON (Default=ON)
Mit diesem Parameter wird das Betriebssystem angewiesen, ein Volume, das
beim Systemstart nicht gemountet werden kann, durch den Aufruf des
Programms VREPAIR.NLM zu reparieren. Dies stellt sicher, daß nach einem
unkontrollierten Systemabsturz und dem darauf folgenden Neustart mögliche
Fehler auf Volumes (Datenbereichen der Plattenstapel) ohne zusätzlichen
Eingriff des Systemadministrators behoben werden.
SET REJECT NCP PACKETS WITH BAD LENGTHS = ON (Default=OFF)
Dieser Parameter bewirkt in der Einstellung ON, daß NCP Pakete mit inkorrekter Länge abgewiesen werden. Dabei kann es zu Fehlern mit älteren
Anwendungen (Utilities) kommen.
SET REJECT NCP PACKETS WITH BAD COMPONENTS = ON
(Default=OFF)
Dieser Parameter bewirkt in der Einstellung ON, daß NCP Pakete mit inkorrekten Komponenten abgewiesen werden. Auch hier kann es zu Fehlern mit
älteren Anwendungen (Utilities) kommen.
SET IPX NETBIOS REPLICATION OPTION = 0 (Default=2)
Dieser Parameter legt die Vorgehensweise des IPX Routers fest, wie mit
NetBIOS Broadcast Meldungen umzugehen ist. Für die Werteauswahl stehen
zur Verfügung:
0=

keine Replizierung von Typ 20 IPX Paketen

1=

Replizierung von Typ 20 IPX Paketen an alle verfügbaren
Netzadapter

2=

Replizierung von Typ 20 IPX Paketen mit zwei speziellen Filterfunktionen

_____________________________________________________________________ ..........................................
186

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.102
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

a) Reverse Path Forwarding: Typ 20 IPX Pakete von derselben
Quelle werden nur einmal an alle verfügbaren Netzkarten
weitergeleitet, selbst wenn die Pakete über unterschiedliche
Netzadapter empfangen wurden.
b) Split Horizon: Typ 20 IPX Pakete werden nicht in das Netz
zurückgeleitet, aus dem sie empfangen wurden.
3=

Replizierung wie bei Option 2, aber nicht über Weitverkehrsstrecken

SET ADDITIONAL SECURITY CHECKS = ON
Dieser Parameter aktiviert zusätzliche Sicherheitsüberprüfungen, die mit früheren NDS Versionen inkompatibel sind.
Die zuvor aufgeführten Parameter sind für die Einhaltung der Sicherheitszertifizierung gemäß Klasse C2 und Klasse F-C2/E2 zwingend erforderlich.
Die nachfolgenden Parameter können zur Erweiterung der Sicherheitsfunktionen eingesetzt werden.
SET CHECK EQUIVALENT TO ME = ON (Default=OFF)
Dieser Parameter erzwingt am Server die Überprüfung des NDS Attributes
"Equivalent To Me". Wenn der Wert für die erweiterte Sicherheit auf ON
gesetzt wird, müssen mit der Anwendung DSREPAIR die Attribute
"Equivalence" und "Equivalent To Me" synchronisiert werden. Das Aktivieren
der Option hat möglicherweise nachteilige Effekte auf die Authentifizierungsgeschwindigkeit des Systems.
SET NCP PACKET SIGNATURE = 3 (Default=1)
Die Kommunikation eines Novell Netware Clients mit einem Novell Netware
Server wird durch das Netware Core Protokoll (NCP) gesteuert. Client und
Server tauschen hierbei einzelne Pakete aus, in denen die Daten enthalten
sind. Ein potentieller Angreifer kann diese Pakete mittels spezieller
Programme (siehe G 5.58 "Hacking Novell Netware") überwachen und die
Datenpakete höher privilegierter Benutzer manipulieren.
Um dieser Bedrohung entgegenzuwirken, wurde die Paket-Signatur entwikkelt. Bei der Anmeldung eines Benutzers am Netz wird ein geheimer Schlüssel ermittelt. Wann immer die Workstation daraufhin eine Anfrage über NCP
an das Netz sendet, wird diese mit einer Signatur versehen, die aus dem
geheimen Schlüssel und der Signatur des vorherigen Pakets gebildet wird.
Diese Signatur wird an das betreffende Paket angehängt und zum Server
gesandt. Bevor die eigentliche Anfrage bearbeitet wird, verifiziert der Server
die Paket-Signatur.
Durch den Parameter kann die Paket-Signatur am Server aktiviert werden.
Hierbei sind folgende NCP-Paket-Signatur Level möglich:
0=

Es findet keine NCP-Paket-Signatur statt.

1=

Der Novell Netware Server arbeitet auf Anforderung des Clients mit
der NCP-Paket-Signatur.

2=

Der Novell Netware Server fordert vom Client NCP-Paket-Signatur
an. Sollte der Client dieses nicht realisieren können, so wird die

_____________________________________________________________________ ..........................................
187

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.102
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Kommunikation zwischen Client und Novell Netware Server trotzdem zugelassen.
3=

Die NCP-Paket-Signatur ist zwingend vorgeschrieben.

Zur Gewährleistung der IT-Sicherheit sollte die NCP-Paket-Signatur mit dem
Wert "3" gewählt werden und der Novell Netware Server sowie die ClientSoftware der Arbeitsstationen entsprechend konfiguriert werden. Da sich
jedoch die Netzlast beim Einsatz der NCP-Paket-Signatur erhöht, sollte im
Vorfeld des Einsatzes geklärt werden, ob die Performance hierdurch nicht
unzumutbar eingeschränkt wird.
SECURE CONSOLE
Mit diesem Befehl werden mehrere Funktionen ausgelöst. Daher sollte dieser
Befehl nur an sicherheitssensitiven Systemen ausgeführt werden. Die Funktionen sind:
1.

Alle Suchpfaderweiterungen werden rückgängig gemacht. Für den
Aufruf von NLMs steht nur noch der Suchpfad auf das Laufwerk
SYS:SYSTEM zur Verfügung.

2.

Eine Suchpfaderweiterung mit dem Befehl SEARCH ADD ist nicht
mehr möglich.

3.

Das Verändern von verschiedenen Server-Parametern mit dem
Befehl SET ist nicht mehr möglich.

4.

Das Verändern von Systemzeit und Systemdatum ist nicht mehr
möglich.

5.

Der System Debugger kann nicht mehr durch die spezielle Tastenkombination aufgerufen werden.

Hinweis: Da SECURE CONSOLE die Suchpfade auf das Systemminimum
reduziert, kann es zu erheblichen Problemen mit Serverapplikationen
kommen, die eine spezielle Suchpfaderweiterung benötigen.
DISPLAY NCP BAD COMPONENT WARNINGS
Mit diesem Parameter wird der Server angewiesen, eine Warnmeldung auf der
Konsole auszugeben, wenn NCP Pakete mit ungültigem Inhalt bzw. Anteilen
empfangen werden. Dies könnte auf Angriffe hindeuten.
DISPLAY NCP BAD LENGTH WARNINGS
Mit diesem Parameter wird der Server angewiesen, eine Warnmeldung auf der
Konsole auszugeben, wenn NCP Pakete mit ungültiger Länge empfangen
werden. Dies könnte auf Angriffe hindeuten.

_____________________________________________________________________ ..........................................
188

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.103
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.103

DHCP-Server unter Novell Netware 4.x

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Beim Einrichten von TCP/IP-Protokollen entsteht ein hoher Aufwand, wenn
für jede Workstation manuell die IP-Adresse, die Subnetz-Maske, das Default
Gateway, etc. vergeben werden müssen. Soll z. B. in einem Segment nur der
Default Gateway Eintrag geändert werden, erfordert dies einen hohen
Arbeitsaufwand und erhöht zudem die Gefahr von Falscheingaben. Durch den
Einsatz eines DHCP-Servers (Dynamic Host Configuration Protocol) können
diese Aufgaben zentralisiert und automatisiert werden.
Um einen sicheren Umgang mit dem DHCP-Server von Novell Netware 4.x
zu gewährleisten, ist es erforderlich, daß die Struktur des TCP/IP-Netzes,
dessen Adressen mit Hilfe des DHCP-Servers verwaltet werden sollen,
bekannt ist. Wichtig sind hierbei neben der Adreßklasse (TCP/IP-Netz Klasse
A - C) auch die eingesetzten Subnetz-Masken und die Adressen der Default
Gateways, um segmentübergreifenden Datenverkehr auf TCP/IP Basis zu
ermöglichen.
Im folgenden wird auf einige Aspekte bei der Konfiguration des DHCPDienstes unter Novell Netware 4.x eingegangen, die für die Sicherheit des
Gesamtsystems von besonderer Relevanz sind.
Konfiguration der TCP/IP-Segmente
Über die Option SUBNETWORK PROFILE werden die TCP/IP-Segmente
definiert, die vom Server versorgt werden sollen. Dabei werden Werte wie
Subnetzname, Adreßbereich und Zuweisungsart vom Konfigurationsmenü des
DHCP-Servers bei dessen Start automatisch ausgelesen. Soll der DHCPServer mehrere IP-Segmente versorgen, so ist es empfehlenswert, die automatisch eingelesenen Werte zu löschen und durch "sprechende", manuell
konfigurierte Werte zu ersetzen. Wurde z. B. als Subnetzname "3CX9_1_EII"
ausgelesen, so ist es für die Fehlersuche und für spätere Konfigurationsarbeiten für dieses Segment einfacher, wenn dieser Eintrag manuell durch einen
Eintrag ersetzt wird, der das Segment besser beschreibt, z. B. der Name
"EthernetII". Andere sprechende Namensgebungen, die das Segment etwa
nach seiner topologischen Anordnung bezeichnen (Gebäude A, 2. OG oder
Geschäftsführung), sind ebenfalls einsetzbar.
Automatische Zuordnung von IP-Adressen
Ein wesentlicher Dienst des DHCP-Servers ist die automatische Zuordnung
von IP-Adressen. Der Parameter AUTOMATIC IP ADDRESS ASSIGNMENT kennzeichnet den Adreßbereich, aus dem heraus der DHCP-Server
dynamisch die Adressen an die Netzknoten verteilt, die eine Adresse anfordern. Dieser Bereich sollte so ausgewählt werden, daß die Adressen für
Server, Drucker und Router nicht in den Bereich der dynamischen Zuteilung
fallen. Generell sollten Servern, Druckern, Routern und den Netzknoten mit
dynamischer Adreßzuordnung klar unterscheidbare IP-Adreßbereiche zugewiesen werden. Dadurch ist gewährleistet, daß bereits am Adreßbereich

_____________________________________________________________________ ..........................................
189

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.103
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

erkennbar ist, zu welchem Typ ein Netzknoten gehört, wenn Probleme im IPBereich auftreten.
Statische Zuordnung von IP-Adressen
Für bestimmte Komponenten im Netz ist es empfehlenswert, mittels einer
statischen Adreßzuordnung die erforderliche IP-Adresse permanent auf die
MAC-Adresse (Medium Access Control) des Netzknotens zu binden. Hierzu
gehören z. B. Netzdrucker und Router. Der Vorteil einer statischen Zuordnung
durch einen DHCP-Server im Vergleich zu einer manuellen Konfiguration vor
Ort am Netzknoten ist die zentrale Verwaltung der Zuordnungen über das
Konfigurationstool des DHCP-Servers. Obwohl Server ebenfalls zwingend
ihre IP-Adresse statisch zugeordnet bekommen müssen, werden diese nicht
über den DHCP-Server vergeben. Bei Netware Servern erfolgt die Zuteilung
ihrer IP-Adresse immer manuell.
Die Konfiguration der statischen Adreßzuordnung geschieht über die Option
IP ADDRESS ASSIGNMENT. Der Knoten wird über einen beliebigen
Namen dem Menü hinzugefügt und die IP-Adresse direkt auf die Netzkarte
(MAC-Adresse) des Knotens gebunden. Für die Auswahl des Namens
empfiehlt Novell, den Login-Namen des Benutzers zu verwenden, der an
diesem Arbeitsplatzrechner arbeitet.
Lease Time
Anhand der Lease Time wird festgelegt, wie lange ein Netzknoten, der seine
TCP/IP-Adresse vom DHCP-Server dynamisch erhält, diese behalten kann.
Die Zuteilung der IP-Adressen wird dabei beim Booten des Netzknotens realisiert. Für die Lease Time sollte ein Zeitraum von mindestens 24 Stunden
gewählt werden, da sonst folgende Probleme auftreten können:
- Programme, deren Zugriffsberechtigungen anhand von TCP/IP-Adressen
erteilt werden, können nach einem Reboot des Rechners unter Umständen
nicht mehr ausgeführt werden, da sich die IP-Adresse des darauf zugreifenden Rechners geändert hat. Die neue Adresse ist evtl. nicht berechtigt,
das Programm auszuführen.
- Wenn Arbeitsplatzrechner instabil laufen und pro Tag mehrfach erneut
gestartet werden, entsteht nach jedem Neustart eine unnötige Netzlast
durch die Zuweisung einer neuen IP-Adresse.
- Beim Zugriff auf das Internet protokollieren zwischengeschaltete Proxy
Server die Internetseiten, die von den Arbeitsplatzrechnern aus aufgerufen
wurden. In den entsprechenden Protokolldateien werden meist die DNS
Namen der aufgerufenen Internetseiten den IP-Adressen der Rechner
zugeordnet, von denen aus diese Seiten angefordert wurden. Wenn sich
diese IP-Adressen ständig ändern, dann ist im Problemfall nur sehr schwer
nachvollziehbar, welcher Arbeitsplatzrechner zu welchem Zeitpunkt die
entsprechende IP-Adresse zugewiesen bekommen hat.
Die Vergabe einer Lease Time wird beim Einsatz von DHCP-Servern benötigt, wenn sich in einem Netz mehr Knoten befinden, als IP-Adressen zur
Verfügung stehen. Mittels einer geeignet gewählten Lease Time kann so eine
IP-Adresse, die frei geworden ist, weil der Knoten sie nicht mehr braucht (PC
wurde ausgeschaltet), einem anderen Knoten, der eine Adresse vom DHCP-

_____________________________________________________________________ ..........................................
190

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.103
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Server anfordert, zugewiesen werden. In Netzen, die über mindestens genauso
viele IP-Adressen verfügen wie Knoten installiert sind, kann auf die Konfiguration der Lease Time verzichtet werden. Seit geraumer Zeit kann in LANs
mit sogenannten privaten IP-Adressen (siehe RFC 1597) gearbeitet werden.
Das Problem, mehr Knoten als IP-Adressen zu haben, kann somit umgangen
werden. Die Vergabe von privaten IP-Adressen nach diesen Vorgaben ist z. B.
aus Revisionsgründen für Netze, die einen Internetzugang realisieren,
empfehlenswert. Datenschutzrechtliche und mitbestimmungsrechtliche
Aspekte sind zu beachten.
Im DHCP-Server von Netware 4.x kann die Lease Time derzeit noch nicht
abgeschaltet werden. Es ist daher empfehlenswert, diese auf den maximalen
Wert von 10000 Tagen und 23 Stunden einzustellen.
Ausschluß bestimmter Netzknoten von der Adreßzuordnung
Für bestimmte Netzknoten kann die Zuweisung einer IP-Adresse unterbunden
werden. Unter dem Menüpunkt EXCLUDED NODES sind hierzu dieselben
Schritte auszuführen, wie bei der statischen Zuordnung von IP-Adressen.
Hiermit wird erreicht, daß bestimmte Programme, die auf TCP/IP aufsetzen,
von diesen Arbeitsplätzen aus nicht aufgerufen werden können. Diese
"Sperre" ist allerdings leicht zu unterwandern, indem dem "gesperrten" Netzknoten manuell eine IP-Adresse zugeordnet wird (sofern auf diesem Knoten
der TCP/IP-Protokollstack geladen wurde). Sobald bei der manuellen Zuordnung eine freie IP-Adresse gefunden wird, kann mit diesem Rechner genauso
über TCP/IP kommuniziert werden, wie mit Knoten, die ihre IP-Adresse vom
DHCP-Server erhalten haben. Der Weg, Netzknoten über EXCLUDED
NODES von der Vergabe einer IP-Adresse auszuschließen, bietet daher nur
eine relative Sicherheit.
Das Sperren von MAC-Adressen für die Vergabe durch den DHCP-Server
kann zudem dazu dienen, in Netzen mit mehreren DHCP-Servern die Lastverteilung zu steuern. Außerdem kann verhindert werden, daß Knoten, in deren
Segment sich ein eigener DHCP-Server befindet, die IP-Adresse von einem
DHCP-Server anfordern, der sich in einem anderen Segment befindet. Hierbei
sollte beachtet werden, daß in diesem Fall bei Ausfall des lokalen DHCPServers lokalen Clients keine IP-Adresse zugeordnet werden kann. Der Einsatz der Option EXCLUDED NODES bedarf daher sorgfältiger Planung.
DHCP-Dienst in gerouteten Netzen
Ein zwischengeschalteter Router, der sich zwischen dem Segment des DHCPClients und dem Segment des DHCP-Servers befindet, unterbindet u. U. die
DHCP-Anfrage. Router, die RFC 1542 kompatibel sind, besitzen einen sogenannten DHCP/BOOTP Relay Agenten. Dieser Agent sorgt dafür, daß DHCP
Relay Pakete weitergeroutet werden. Bei Routern, die nicht RFC 1542 kompatibel sind, müssen in jedem Netzsegment jeweils eigene DHCP-Server
definiert sein. Die Zuteilung einer IP-Adresse durch den DHCP-Server
geschieht dann auf dieselbe Art und Weise wie in nicht gerouteten Netzen.
Durch die Weiterleitung der DHCP Relay Pakete werden aber nicht automatisch die gesamten Broadcast Pakete weitergeleitet. "Normale" Broadcast
Datenpakete werden weiterhin vom Router herausgefiltert.

_____________________________________________________________________ ..........................................
191

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.103
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Einsatz von mehreren DHCP-Servern in Netzen
In Netzen, die über eine entsprechende Größe verfügen, sollte unter Umständen mit mehreren DHCP-Servern gearbeitet werden. Als Lastobergrenze gilt
in manchen Betriebssystemen die Verwaltung von 10000 IP-Adressen pro
DHCP-Server. Dieser Wert kann vom Netware DHCP-Server um ein Vielfaches überschritten werden. Zudem sollte bei der Überlegung, wieviele
DHCP-Server im Netz erforderlich sind, die Position der Router berücksichtigt werden.
Unabhängig von der Struktur des IP-Netzes ist bei Verwendung von mehreren
DHCP-Servern unbedingt zu verhindern, daß zwei (oder mehr) Netzknoten,
die von verschiedenen DHCP-Servern "versorgt" werden, dieselbe IP-Adresse
zugewiesen bekommen. Diese Gefahr besteht, wenn jeder DHCP-Server im
Netz (bzw. im Segment) jeweils den gesamten IP-Bereich verwaltet, der für
die dynamische Vergabe eingerichtet wurde, da sich die DHCP-Server unter
Netware 4.x untereinander nicht synchronisieren. Jeder einzelne DHCP-Server
speichert seine Konfigurationsdaten in einer separaten DHCPTAB-Datei. Da
diese Datei unter Netware 4.x aber nicht Bestandteil der NDS ist, wird sie
auch nicht über deren Replizierungsmechanismen auf andere Server verteilt,
bzw. mit anderen DHCPTAB-Dateien abgeglichen. Daher sollte bei
Verwendung mehrerer DHCP-Server jedem Server ein eigener IP-Adreßbereich zugewiesen werden, den er exklusiv verwaltet.

_____________________________________________________________________ ..........................................
192

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.104
Maßnahmenkatalog Hardware/Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.104

LDAP Services for NDS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Das Lightweight Directory Access Protocol (LDAP) hat sich zum De-factoStandard
für
den
Zugriff
auf
X.500-Standard
basierende
Verzeichnisinformationen über das Internet/Intranet entwickelt. Die Novell
Directory Services (NDS) gehören zu den LDAP Directories, deren
Hauptaufgabe darin liegt, eine Vielzahl von Suchoperationen gleichzeitig
bearbeiten zu können. Über die NDS ist es dem Administrator möglich, alle
Firmenmitarbeiter und alle im Netz verfügbaren Ressourcen als Objekte in
einem hierarchischen Verzeichnisbaum anzulegen und zu verwalten. So
können z. B. den Benutzern Zugriffsrechte auf Unix-, Microsoft
Windows NT-, Novell Netware Server oder anderen Ressourcen wie der
Zugriff auf das Mailing-System und Druckern zugewiesen werden. Bisher
mußte die Information in applikationsspezifischen Listen gepflegt und über
die unterschiedlichen Systemgrenzen hinaus konsolidiert werden. Werden
verzeichnisfähige Applikationen eingesetzt, so entsteht ein "Single Point of
Administration", d. h. die Pflege der Gesamtinformation geschieht von einer
Stelle aus.
Alle auf X.500 basierenden Verzeichnisdienste verwenden ein Directory
Access Protocol (DAP), um die Verzeichnisinformationen zu synchronisieren
und eine Kommunikationsschnittstelle zwischen den unterschiedlichen
Netzkomponenten bereitzustellen.
Bei LDAP handelt es sich um ein Directory Access Protocol, dessen
Hauptaufgabe die schnelle Informationsextraktion, gestützt auf einen
geringeren Protokolloverhead, ist. Es wird nicht der gesamte OSIProtokollstack implementiert, sondern LDAP setzt direkt auf dem TCP/IP
Protokoll auf. Als Folge daraus sind die LDAP Clients weit weniger komplex
als die DAP Clients. Da sich die Implementierung von LDAP auf den
Internetstandard RFC 1777 abstützt, sind die Entwickler in der Lage,
plattformunabhängige Application Program Interfaces (APIs) zu verwenden.
Es muß daher keine Rücksicht auf die herstellerspezifische Notation
genommen werden, da der LDAP Server das Umsetzen einer LDAP Anfrage
in das erforderliche Format vornimmt.
In den LDAP Services for NDS für Netware 4.11 ist LDAP Version 2
implementiert worden, die sich mit der Client-to-Directory Kommunikation
beschäftigt. Die Version 3 von LDAP beinhaltet Spezifikationen zur
Directory-to-Directory Kommunikation, wie z. B. die Replikation und die
Synchronisation von Verzeichnisinformationen im Netz. Der Standard
(RFC 2551) ist aber bisher noch nicht endgültig verabschiedet worden. Eine
Implementierung von LDAP Version 3 kommt unter Netware 5 zum Einsatz.
Die LDAP Services for NDS übernehmen eine Mittlerfunktion zwischen der
NDS, die natürlich installiert sein muß, und dem LDAP Client. Der Client
stellt eine LDAP Anfrage an den Server, auf dem die LDAP Services laufen.
Diese Anfrage wird entgegengenommen und von den LDAP Services for NDS
in eine NDS Anfrage umgewandelt. Die NDS wertet die Anfrage aus und

_____________________________________________________________________ ..........................................
193

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.104
Maßnahmenkatalog Hardware/Software
Bemerkungen
_____________________________________________________________________ ..........................................

liefert die angeforderten Informationen an die LDAP Services for NDS
zurück. Diese wiederum generieren aus der NDS Antwort eine LDAP Antwort
und leiten diese an den Client weiter.
Novell selbst bietet keinen LDAP Client an. Die gebräuchlichsten Clients sind
derzeit Browser, wie z. B. der Netscape Communicator, die eine
entsprechende LDAP Schnittstelle haben. Es gibt aber auch andere, frei
verfügbare LDAP Clients im Internet. Dabei sind jedoch vor dem Einsatz
dieser Clients einige Dinge zu beachten. So ist zum Beispiel der Netscape
Communicator nicht in der Lage, Zugriffe auf LDAP Server zu gewähren, die
einen Benutzernamen und ein Paßwort erfordern. Daher erkennen die LDAP
Services for NDS einen Benutzer, der diesen Browser als Client verwendet,
als Anonymous User und machen ihn standardmäßig zum Trustee von
[Public], was typischerweise nur ein Browse-Recht auf die NDS beinhaltet.
Wenn zusätzliche Rechte benötigt werden, so ist ein Proxy User einzurichten,
der über die entsprechenden NDS Rechte verfügt. Zusätzlich muß im LDAP
Group Objekt noch das Proxy User Feature freigegeben werden.
Da die LDAP Services for NDS vollständig in die NDS integriert sind, muß
bei der Installation eine Erweiterung des NDS Schemas vorgenommen
werden. Dies kann nur über einen Account mit Supervisor Berechtigung auf
das [Root] Objekt erfolgen. Bei der Installation des ersten LDAP Servers in
einem NDS Baum wird das Datenbankschema der NDS erweitert, so daß die
zwei neuen NDS Objekte LDAP Server und LDAP Group zur Verfügung
stehen. Über diese beiden Objekte werden die LDAP Services for NDS
konfiguriert. Werden weitere LDAP Server in diesem NDS Baum installiert,
so ist es nicht notwendig, die Schemaerweiterung noch einmal zu installieren,
da die NDS bereits das aktuelle Datenbankschema besitzt.
Die Konfiguration der LDAP Services for NDS wird über die Eigenschaften
("Properties") der beiden Objekte LDAP Server und LDAP Group festgelegt.
Die Einstellung ist an Hand der erarbeiteten Sicherheitsstrategie
vorzunehmen. Im folgenden wird auf einige Properties eingegangen, die im
Hinblick auf die Sicherheit des Systems besonders relevant sind.
Log file size limit (LDAP Server Objekt)
Mit dieser Property kann die maximale Größe der in der Property Log
filename angegebenen Log-Datei eingerichtet werden. Erreicht die Log-Datei
die festgelegte Dateigröße, so werden die Informationen der Log filename
Datei in die unter Backup log file angegebene Datei kopiert. Alle neuen LogDaten werden in die Log filename Datei geschrieben.
Default:

1.000.000

Minimum: 0 (unbegrenzte Dateigröße)
Maximum: 4.294.967.295
Wird der Wert auf Null gesetzt, so besteht keine Größenlimitation für die LogDatei. In diesem Fall sollte man die Datei nicht auf dem Volume SYS
ablegen, da die Datei so stark anwachsen kann, daß der verfügbare
Speicherplatz auf dem Volume komplett belegt wird. Als Folge können
Inkonsistenzen innerhalb der NDS auftreten, und die Verfügbarkeit des
Servers wird reduziert.

_____________________________________________________________________ ..........................................
194

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.104
Maßnahmenkatalog Hardware/Software
Bemerkungen
_____________________________________________________________________ ..........................................

Im LDAP Group Objekt sind die folgenden Properties besonders
sicherheitsrelevant:
Suffix
Über das Feld Suffix wird der Unterbaum definiert, der den LDAP Clients zur
Verfügung gestellt wird. Ist dieses Feld leer, so wird den Clients Zugriff auf
den gesamten NDS Baum gewährt, also vom [Root] Objekt aus. Stellt ein
Client eine Anfrage an den Server, die sich auf ein Objekt außerhalb des
definierten Unterbaums bezieht, so wird ein Fehler zurückgegeben, außer das
Feld Referral ist mit einem Wert belegt worden.
Referral
In dieses Textfeld kann ein Uniform Resource Locator (URL) eines
alternativen LDAP Servers eingetragen werden. Stellt z. B. ein Client eine
Anfrage an den Server, die dieser nicht beantworten kann, da das Suffix
gesetzt wurde, so wird diese URL an den LDAP Client zurückgeliefert. Der
Client ist nun in der Lage, seine Anfrage an diesen Server weiterzuleiten.
Enable NDS User Bind
Ist diese Checkbox aktiviert, so muß sich ein Benutzer bei einem Bind
Request mit seinem NDS Paßwort authentifizieren. Die Paßwörter werden
jedoch zwischen dem LDAP Client und dem LDAP Server nicht verschlüsselt,
d. h. sie werden im Klartext über das Netz übertragen. Durch einen geeigneten
Netzmonitor (Lanalyzer) ist deshalb ein Angreifer in der Lage, auf diese
Weise Paßwörter auszuspionieren. Aus Sicherheitsgründen sollte dieser Wert
nicht gesetzt werden, außer man verwendet Accounts, die speziell für LDAP
Zugriffe eingerichtet worden sind und ansonsten keine weiteren Rechte in der
NDS und auf das Netware Dateisystem haben.
Proxy Username
Beim Proxy User handelt es sich um einen NDS Account, der kein Paßwort
und auch keine Paßwortänderung benötigt. Wird ein Anonymous Bind
(Verbindungsaufbau ohne Benutzername und Paßwort) angefordert, so
authentifiziert der LDAP Server diese Anforderung mit dem Proxy Username
in der NDS. Typischerweise sind diese Proxy User in ihren Rechten stark
eingeschränkt. Ist aber kein Proxy Username definiert worden, so werden
diese Anonymous Binds als Benutzer [Public] validiert und erhalten daher
auch die entsprechenden Rechte.
Über die Access Control Page erhalten die LDAP Services for NDS ein
zusätzliches Sicherheitsfeature, die Access Control List (ACL). Die LDAP
ACL definiert die Zugriffsrechte auf die LDAP Objekt Properties für Benutzer
und Gruppen. Der LDAP Server benutzt die ACL um festzustellen, ob eine
Benutzeranfrage an die NDS weitergereicht oder zurückgewiesen wird. Hat
ein Benutzer die entsprechenden Rechte, so wird die Anfrage an die NDS
weitergereicht. Die NDS ihrerseits prüft, basierend auf den NDS Rechten, ob
die Anfrage bearbeitet oder zurückgewiesen wird.
Über das LDAP ACL Dialogfenster können den Benutzern Rechte
zugewiesen werden. Dabei sind folgende Abstufungen möglich:

_____________________________________________________________________ ..........................................
195

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.104
Maßnahmenkatalog Hardware/Software
Bemerkungen
_____________________________________________________________________ ..........................................

None
Ist diese Option aktiviert, erhält der Benutzer keinerlei Rechte auf den
NDS Baum.
Search
Dieses Recht erlaubt dem Benutzer, nach LDAP Objekt Properties zu
suchen. Diese müssen aber in der Access To Liste definiert sein. Über den
Add Button können Properties explizit freigegeben werden.
Compare
Über dieses Recht wird es dem Benutzer erlaubt, LDAP Objekt Property
Werte mit den korrespondierenden NDS Objekt Property Werten zu
vergleichen.
Read
Besitzt ein Benutzer das Read Recht, so ist es ihm erlaubt, die in der
Access To Liste definierten LDAP Property Werte zu sehen. Das Read
Recht umfaßt das Search und das Compare Recht.
Write
Besitzt ein Benutzer das Write Recht, so kann er die in der Access To Liste
definierten LDAP Property Werte schreiben. Das Write Recht umfaßt das
Search, Compare und Read Recht.
Neben diesen fünf Sicherheitsstufen im Zugriff (Access Level) läßt sich der
Zugriff noch weiter einschränken. Z. B. kann durch das Feld IP Address
erzwungen werden, daß eine Anfrage nur von einer oder einer Gruppe von IPAdressen akzeptiert wird.

_____________________________________________________________________ ..........................................
196

IT-Grundschutzhandbuch: Stand Juli 1999

M 4.105
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.105

Erste Maßnahmen nach einer UnixStandardinstallation

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die meisten Unix-Systeme entsprechen nach einer Standardinstallation nicht
den Anforderungen an einen sicheren Systembetrieb. Hier werden von den
Herstellern häufig zu viele sicherheitskritische Dienste und Konfigurationen
aktiviert bzw. mit zu weitreichenden Rechten versehen.
Die folgende Übersicht soll exemplarisch das erste Absichern einer Standardinstallation aufzeigen:
- Vor der Installation ist der Administrator entsprechend zu schulen, insbesondere hinsichtlich der Sicherheitsaspekte. In diesem Rahmen sollte er
sich über alle potentiellen Sicherheitslücken des IT-Systems kundig
machen (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems). Dazu gehört auch die Subskription entsprechender
Mailinglisten.
- Nach der Installation sollte das Account des Systemadministrators ein
gutes Passwort erhalten (siehe M 2.11 Regelung des Passwortgebrauchs).
- Es sollte überprüft werden, welche Dienste auf dem IT-System laufen.
Dies kann z. B. mit dem Befehl netstat -a | grep listen überprüft werden.
Nicht benötigte Dienste sollten deaktiviert oder entfernt werden (siehe
M 5.72 Deaktivieren nicht benötigter Netzdienste).
- Wenn das System nicht als Mailserver fungiert, sollte der Maildaemon als
Netzdienst deaktiviert werden. Wenn Mail lokal auf dem System zugestellt
werden soll, kann sendmail mit der Option -q15 oder als Cron-Prozess
gestartet werden:
1 * * * * /usr/sbin/sendmail -q 2>&1 >/dev/null
Die Mail-Queue wird in regelmäßigen Abständen geleert und die Mail
lokal zugestellt.
- Die aktuellste sendmail-Version des Herstellers sollte installiert werden
(siehe auch M 4.107 Nutzung von Hersteller-Ressourcen und M 5.19
Einsatz der Sicherheitsmechanismen von sendmail). Alternativ kann auch
auf Public-Domain-Mailprogramme wie z. B. qmail zurückgegriffen
werden. Die laufende sendmail-Version kann mit dem Befehl telnet
localhost 25 herausgefunden werden.
- Nach der Standardinstallation sollten die verfügbaren Security-Patches des
Herstellers installiert werden (siehe auch M 4.107 Nutzung von HerstellerRessourcen). Danach ist unbedingt zu überprüfen, dass durch die PatchInstallation keine nichtbenötigten Dienste aktiviert wurden.
- Die Filesysteme sollten restriktiv im- bzw. exportiert werden. Es ist darauf
zu achten, dass Filesysteme nicht für alle schreibbar exportiert werden.
- Wenn zum Einsatz von NIS keine Alternativen existieren, sollte NIS+
eingesetzt werden, das über erweiterte Sicherheitsmechanismen verfügt.

_____________________________________________________________________ ..........................................
197

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.105
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

- Wenn tftp verfügbar sein muss, dann sollte es mit der Option -s gestartet
werden, damit nicht jede Datei vom System kopiert werden kann (siehe
auch M 5.21 Sicherer Einsatz von telnet, ftp, tftp und rexec und M 5.72
Deaktivieren nicht benötigter Netzdienste).
- Die Protokollierungsfunktion des inetd sollte mit -t aktiviert werden, damit
jeder Verbindungsaufbauversuch protokolliert wird (vgl. M 5.72
Deaktivieren nicht benötigter Netzdienste). Hilfreich ist die Installation der
Public-Domain-Tools xinetd oder TCP-Wrapper. Mit diesen Tools können
u. a. alle Verbindungsversuche frühzeitig protokolliert werden, noch bevor
der angesprochene Daemon via inetd gestartet wird.
- Protokolldateien sollten täglich bzw. wöchentlich untersucht werden. Zur
halb-automatischen Auswertung sollten Analyseprogramme wie swatch,
logdaemon oder logsurfer installiert werden (vgl. M 2.64 Kontrolle der
Protokolldateien).
- Regelmäßig sollten Sicherheitschecks mit USEIT, COPS, Tripwire oder
Tiger durchgeführt werden.
- Neben allen anderen nicht benötigten Diensten sollten rshd, rlogind,
rexecd unbedingt deaktiviert werden (vgl. M 5.72 Deaktivieren nicht
benötigter Netzdienste). Zur Konvertierung von RPC-Programmnummern
in Portadressen wird von den meisten Herstellern das Programm rpcbind
mit ausgeliefert. Als Ergänzung bzw. als Ersatz sollte der Daemon
portmapper eingesetzt werden, wenn er für die vorliegende Plattform
verfügbar ist.
Alle Clients, die diese Dienste benutzen, sollten für normale Anwender
nicht ausführbar gemacht werden. Weitere Authentisierungsverfahren, die
auf Hostnamen beruhen, sollten vollkommen abgelöst werden.
- Telnet sollte durch ssh ersetzt werden. ssh ermöglicht eine stark verschlüsselte und authentisierte interaktive Verbindung zwischen zwei Systemen.
ssh ist als Ersatz für telnet, rsh, rlogin und rcp zu verstehen. X-Windows
kann dadurch auch abgesichert übertragen werden (siehe auch M 5.64
Secure Shell).
- Xauth ist xhost vorzuziehen - es sollte niemals "xhost +" verwendet werden
(siehe auch M 4.9 Einsatz der Sicherheitsmechanismen von X-Windows).
- Aus der Konfigurationsdatei /etc/inetd.conf sollten alle nicht benötigten
Einträge entfernt werden (siehe M 5.72 Deaktivieren nicht benötigter
Netzdienste).
- Die Konfigurationsdatei /etc/syslog.conf ist für die Aktivierung der
Protokollfunktionen zu modifizieren (siehe M 4.106 Aktivieren der
Systemprotokollierung).
- Eine Liste aller world-writable Dateien und Verzeichnisse kann mit
folgenden Befehlen erstellt werden:
find / -type f -perm -22 -exec ls -l {} \;
find / -type d -perm -22 -exec ls -ld {} \;

_____________________________________________________________________ ..........................................
198

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.105
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Die Ergebnisse sollten regelmäßig mit dem Installationszustand verglichen
werden.
- Die Programme Tripwire oder USEIT sollten vor der Inbetriebnahme
installiert werden, um eine Checksummenübersicht des installierten
Systems bei der Aufnahme in den Wirkbetrieb zu bekommen. Die erstellte
Übersicht sollte auf einem nichtbeschreibbaren Datenträger gespeichert
werden.
- /var sollte eine große Partition sein, damit ein vorsätzliches Produzieren
von Protokolldaten das Unix-System nicht zum Stillstand bringt.
Alle durchgeführten Veränderungen sollten sorgfältig dokumentiert werden
und unter allen Systemadministratoren abgestimmt werden. Diese Dokumentation kann in Papierform erfolgen oder in einer Datei auf dem jeweiligen
System geführt werden. Sie sollte aber jederzeit eingesehen und aktualisiert
werden können (siehe auch M 2.34 Dokumentation der Veränderungen an
einem bestehenden System).
Ergänzende Kontrollfragen:
- Welche Dienste laufen auf dem IT-System?
- Sind alle verfügbaren Security-Patches ordnungsgemäß installiert?
- Werden alle Änderungen zeitnah dokumentiert und unter allen Systemadministratoren abgestimmt?
- Sind alle vorgenommenen Änderungen an der Betriebssystemkonfiguration
dokumentiert und nach einer Neuinstallation nachvollziehbar?

_____________________________________________________________________ ..........................................
199

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.106
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.106

Aktivieren der Systemprotokollierung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die systemeigene Unix-Protokollierung syslog dient dem Festhalten von
Informationen, die vom Betriebssystem oder von Anwendungsprozessen
generiert werden. Sicherheitsrelevante Ereignisse, wie versuchte Anmeldung
bzw. Ausführung des Befehls su sollten unbedingt protokolliert werden und
einer späteren Auswertung zur Verfügung stehen.
Der erforderliche Daemon syslogd wird in der Regel automatisch gestartet und
über die Datei /etc/syslog.conf konfiguriert. Durch geeignete Rechtevergabe
muss sichergestellt werden, dass nur Systemadministratoren diese Datei
ändern können und dass die Protokolldateien in /var/log und /var/adm nur von
Systemadministratoren gelesen werden können. Alle Änderungen an
/etc/syslog.conf sind zu dokumentieren. Bei der Anpassung an das vorliegende
IT-System sollte zunächst alles protokolliert werden, danach können bei
Bedarf stufenweise einzelne Bereiche deaktiviert werden. Durch eine ausreichende Dimensionierung der /var-Partition ist sicherzustellen, dass ausreichend Platz für die Protokolldateien zur Verfügung steht. Das folgende
Beispiel für eine Konfigurationsdatei ist in Anlehnung an eine SunOSKonfiguration erstellt worden und definiert eine ausführliche Protokollierung
in verschiedenen Dateien.
#ident "@(#)syslog.conf
1.3
93/12/09 SMI"
/*
#
#
# Alle Meldungen werden zu einem Loghost geschickt, der in
# /etc/hosts definiert werden muss.
#
#
# Es muss TAB als Separator verwendet werden!
#
# Test: . syslogd mit der Option "-d" starten
#
. syslogd mit kill –HUP nach jeder Änderung dieser
#
. die Logdatei muss vor dem Start/Neustart bereits
#
. mit/usr/ucb/logger können Testmeldungen für jede
#
und priority generiert werden
#
#
*.err;kern.warning;auth.err;daemon.err
*.alert;kern.err;daemon.err
*.alert
# zeigt emerg-Meldungen
*.emerg
#
#
kern.info
user.info
mail.info
daemon.info
auth.info
lpr.info
news,uucp.info
cron.info
#

SunOS 5.0 */
der Datei

Datei starten
existieren
facility

/dev/console
operator
root

auf Terminals an (verwendet WALL)
*
ifdef(`LOGHOST',
ifdef(`LOGHOST',
ifdef(`LOGHOST',
ifdef(`LOGHOST',
ifdef(`LOGHOST',
ifdef(`LOGHOST',
ifdef(`LOGHOST',
ifdef(`LOGHOST',

/var/log/kernlog, @loghost)
/var/log/userlog, @loghost)
/var/log/maillog, @loghost)
/var/log/daemonlog, @loghost)
/var/log/authlog, @loghost)
/var/log/lprlog, @loghost)
/var/log/newslog, @loghost)
/var/log/cronlog, @loghost)

## alle anderen "local" Nachrichten, für eigene Programme
local0,local1.info
ifdef(`LOGHOST', /var/log/locallog, @loghost)
local2,local3,local4.info ifdef(`LOGHOST', /var/log/locallog, @loghost)

_____________________________________________________________________ ..........................................
200

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.106
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................
local5,local6,local7.info

ifdef(`LOGHOST', /var/log/locallog, @loghost)

#
# alle Alarme und höher werden in eine separate Datei geschrieben:
*.err
ifdef(`LOGHOST', /var/log/alertlog, @loghost)
#
#
#
#
#
#

Beispiel Log levels:
-----------------------------------'su root' failed for ..
auth.err
ROOT LOGIN REFUSED ON ...
auth.err
'su root' succeeded for..
auth.notice

Ergänzende Kontrollfragen:
-

Sind die Änderungen in /etc/syslog.conf dokumentiert worden?

-

Ist sichergestellt, dass nur der Systemadministrator die Konfiguration
ändern darf?

-

Ist sichergestellt, dass die Protokolldateien in /var/log bzw. /var/adm
nur für den Systemadministrator lesbar sind?

_____________________________________________________________________ ..........................................
201

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.107
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.107

Nutzung von Hersteller-Ressourcen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Alle Hersteller von IT-Systemen oder IT-Komponenten bieten diverse Unterstützungs- und Informationsangebote für die Anwender ihrer Produkte. Dazu
gehören beispielsweise Hilfestellungen zur Problembehebung (Support,
Hotline, Updates, Patches, etc.) und Informationsmöglichkeiten über Sicherheitslösungen (WWW-Seiten, Newsgroups, Mailinglisten, etc.). Einige dieser
Angebote sind kostenfrei, andere nicht.
Bereits bei der Beschaffung von IT-Systemen oder -Produkten sollte überlegt
werden, welche Unterstützungsangebote der Hersteller in Anspruch genommen werden sollen, insbesondere wenn dies laufende Kosten verursacht.
Es sollte sichergestellt sein, dass für alle eingesetzten IT-Systeme und
-Produkte regelmäßig überprüft wird, ob neue Informationen über Sicherheitsprobleme und Lösungsmöglichkeiten seitens der Hersteller vorhanden
sind. Dies ist besonders bei allen Server-Betriebssystemen wichtig, da eine
Sicherheitslücke auf einem Server wesentlich mehr Schäden verursachen kann
als eine, die nur ein einzelnes IT-System betrifft.
Sicherheitsspezifische Updates sollten, wenn sie nicht direkt vom Hersteller
auf CD-ROM geliefert werden, nur von vertrauenswürdigen Stellen bezogen
werden, z. B. von CERTs (siehe auch M 2.35 Informationsbeschaffung über
Sicherheitslücken des Systems). Die Updates sind auf Unversehrtheit mittels
kryptographischer Methoden (MD5, PGP) zu überprüfen, soweit die Dateien
entsprechend verschlüsselt bzw. signiert angeboten werden.
Damit jederzeit auf sicherheitsrelevante Hinweise der Hersteller zugegriffen
werden kann, sollte für alle eingesetzten Betriebssysteme und alle wichtigen
IT-Produkte eine Übersicht geführt werden. Aus dieser sollte hervorgehen,
unter welchen WWW-Adressen sicherheitsspezifische Updates und Patches
bzw. Informationen der Betriebssystemhersteller gefunden werden können.
Dafür kann z. B. eine Tabelle wie die Folgende genutzt werden, die einen
Überblick über die entsprechenden Links zu bekannten Server-Betriebssystemen gibt. Die Tabelle enthält zu dem jeweiligen Hersteller in der mit U
gekennzeichneten Zeile Adressen zu (sicherheitsspezifische) Updates und
Patches und in der mit I gekennzeichneten Zeile Adressen mit sicherheitsspezifischen Informationen.

Berkeley Software Design, Inc. - BSD/OS
U ftp://ftp.bsdi.com/bsdi/patches/
I http://www.bsdi.com/services/support/
Caldera OpenLinux
U ftp://ftp.caldera.com/pub/openlinux/updates/
I http://www.calderasystems.com/support/security/

_____________________________________________________________________ ..........................................
202

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.107
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Deban Linux
U http://cgi.debian.org/www-master/debian.org/security/ (deutsch)
http://cgi.debian.org/www-master/debian.org/
security/index.en.html (englisch)
I http://www.debian.org/security
http://www.debian.org/security/index.en.html
Digital Equipment Corporation - DEC
U http://www.service.digital.com/patches/
I http://www.unix.digital.com/
The FreeBSD Project -- FreeBSD
U ftp://ftp.FreeBSD.org/pub/FreeBSD/
I http://www.freebsd.org/security/security.html
Hewlett Packard -- HP
U http://europe-support.external.hp.com/
http://us-support.external.hp.com/
ftp://ftp.hp.com/pub/security/patches/
I http://europe-support.external.hp.com/
http://us-support.external.hp.com/
IBM
U http://service.software.ibm.com/aixsupport/
I http://www.ers.ibm.com/tech-info/index.html
The Open BSD Project -- OpenBSD
U http://www.openbsd.org/errata.html
I http://www.openbsd.org/security.html
RedHat Linux
U ftp://www.redhat.com/pub/updates/
http://www.redhat.com/download/mirror.html
http://www.redhat.com/corp/support/errata/index.html
I http://www.redhat.com/LinuxIndex/Administration/Security/
S.u.S.E. Linux
U ftp://ftp.suse.de/pub/suse_update/
I http://www.suse.de/de/support/security/index.html (auch englisch)
Santa Cruz Operation -- SCO
U ftp://ftp.sco.com/SSE/
I http://www.sco.com/security/

_____________________________________________________________________ ..........................................
203

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.107
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Silicon Graphic Inc. -- SGI
U ftp://sgigate.sgi.com/patches/
I http://www.sgi.com/Support/security/security.html
Sun MicroSystems Inc. -- Sun
U http://sunsolve.sun.de/pub-cgi/us/pubpatchpage.pl
http://sunsolve.sun.com/pub-cgi/us/pubpatchpage.pl (abhängig von
Adresse des lokalen SunSolve Servers)
I http://sunsolve.sun.de/sunsolve/securitypub.html
http://sunsolve.sun.com/sunsolve/securitypub.html (abhängig von
Adresse des lokalen SunSolve Servers)
NT
U http://www.microsoft.com/security/
I http://www.microsoft.com/security/
Novell
U http://support.novell.de/
http://support.novell.com
I http://www.novell.com/corp/security/
Leider verändern sich Links erfahrungsgemäß häufig, so dass es wichtig ist,
diese regelmäßig auf ihre Korrektheit zu überprüfen und, wenn es erforderlich
ist, zu aktualisieren. Für die Inhalte, die sich unter den oben beispielhaft
angegebenen Links finden, kann daher selbstverständlich auch keine Verantwortung übernommen werden.
Ergänzende Kontrollfragen:
- Woher werden Hersteller-Patches bezogen?
- Wie ist sichergestellt, dass immer die Informationen über die aktuellsten
Patches vorliegen?
- Wie wird der Patch-Level-Stand der Systeme verifiziert?
- Wird die Integrität der Patches kryptographisch verifiziert (PGP, MD5)?

_____________________________________________________________________ ..........................................
204

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.108
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.108

Vereinfachtes und sicheres Netzmanagement
mit DNS Services unter Novell NetWare 4.11

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Jedem IT-System in einem TCP/IP-Netz muss eine eindeutige Adresse
zugewiesen werden. Das Internet Protocol (IP) beschreibt diese Adresse als
vier Dezimalzahlen getrennt durch einen Punkt, mit jeweils einem Wertebereich von 0-255. Da sich numerische Adressen schwer merken lassen,
können den IT-Systemen zusätzlich erklärende Hostnamen, z. B.
www.bsi.bund.de, zugewiesen werden. Die Auflösung von Hostnamen in IPAdressen kann über zwei Mechanismen durchgeführt werden. Zum einen kann
eine ASCII-Textdatei namens HOSTS, die im SYS:ETC Verzeichnis abgelegt
wird, manuell erstellt werden. Diese Methode sollte unter sicherheitstechnischen und administrativen Gesichtspunkten nur in kleinen Netzen
angewandt werden, da diese Datei individuell auf jedem Server und jeder
Workstation abgelegt werden muss, um eine lokale Auflösung zu ermöglichen. Durch spezielle Routinen (z. B. Login Scripts) kann die Verteilung der
HOSTS Datei automatisiert werden.

Verknüpfung zwischen
IP-Adressen und Hostnamen

Der zweite Mechanismus ist die Nutzung eines DNS-Servers. Im folgenden
werden einige Aspekte der Einrichtung und Konfiguration eines DNS-Servers
unter Novell NetWare 4.11 betrachtet, die im Hinblick auf die Sicherheit des
Systems besonders zu beachten sind.
Funktion der DNS-Komponenten
Die zwei Hauptbestandteile von DNS sind zum einen der Nameserver, zum
anderen der Resolver, der auf dem Client geladen wird und die Anfragen an
den Nameserver stellt.
- Primärer Nameserver
Er erhält die DNS-Einträge für die Zonen, für die er autorisiert ist, aus
einer Datei auf seiner Festplatte. Autorisiert bedeutet, dass der primäre
Nameserver die DNS-Information nicht mit einem weiteren Nameserver
der Zone gegenprüfen muss. Der primäre Nameserver ist gleichzeitig auch
der Single Point of Administration für die Domäne. Es existiert nur ein
primärer Nameserver für jede Zone.

ein primärer Nameserver
pro Zone

- Sekundärer Nameserver
Dieser Server besitzt eine schreibgeschützte Kopie der DNS-Datenbank
des primären Nameservers. Aktualisiert wird diese Kopie in einem definierten Zeitraum, der in dem Record Typ SOA (Start of Authority) festgelegt wird. Record Typen definieren die Resource Records, die die Einträge
in der DNS-Datenbank bilden. Der Kopiervorgang wird Zonentransfer
genannt und bildet die Grundlage für die Aktualisierung der verteilten
DNS-Datenbank einer Domäne. Sekundäre Nameserver übernehmen
Aufgaben der Lastenverteilung, bieten die Möglichkeit, die DNS-Datenbank in der Nähe der Resolver zur Verfügung zu stellen, und schaffen die
Redundanz der DNS-Domäneninformation. Mindestens ein sekundärer

Lastverteilung, Reduzierung des Netzverkehrs und Redundanz

_____________________________________________________________________ ..........................................
205

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.108
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Nameserver sollte aus Gründen der Ausfallsicherheit für jede Zone eingerichtet werden.
- Resolver
Der Resolver ist die Software, die DNS-Anfragen an einen der definierten
Nameserver sendet. Dabei kann ein Nameserver, der die Namensauflösung
nicht durchführen kann, ebenfalls zum Resolver werden und die Anfrage
an einen Nameserver außerhalb der Domäne senden. Der Resolver übernimmt ebenfalls die Interpretation der Antworten des Nameservers und
gibt Informationen an die Programme zurück, die diese angefordert haben.

Anfragen an den DNSServer und Interpretation
der Antworten

Einrichten des DNS-Servers
DNS wird bei einem NetWare 4.11 Server über UNICON.NLM eingerichtet.
Zunächst wird über Manage Global Objects unter Configure Server Profile
der DNS Client Access aktiviert. Es muss zumindest ein Nameserver aufgeführt werden, der die Adressauflösung durchführt. Maximal können drei
Nameserver eingetragen werden. Damit ein großer Adressbereich schneller
erfasst werden kann und es sichergestellt ist, dass die Namensauflösung
durchgeführt werden kann, sollten die Angaben für die drei Nameserver
ausgeschöpft werden. Die Reihenfolge der Nameserver bestimmt die
Abfragereihenfolge und sollte im Hinblick auf die Geschwindigkeit der
Namensauflösung festgelegt werden.

drei Nameserver eintragen

Der erste Nameserver kann der Haupt-DNS-Server der Behörde bzw. des
Unternehmens sein. Auch wenn dieser Server nicht jeden Host außerhalb der
eigenen Domäne adressieren kann, bietet er die Möglichkeit, die Auflösung
von Hostnamen innerhalb der Organisation schnell durchführen zu können.
Der zweite Nameserver kann der des Internet Service Providers (ISP) sein, um
Zugang zu einem umfangreicheren Datenbestand an Hostnamen zu
bekommen. Die Auflösungsgeschwindigkeit wird dabei durch die höhere
Auslastung, die Entfernung sowie die zur Verfügung stehende Bandbreite
meist etwas geringer sein als beim lokalen Nameserver. Hat die Redundanz
der eigenen Domäne Priorität, so sollte der Server mit der schreibgeschützten
Kopie der DNS-Datenbank (sekundärer Nameserver) als zweiter Nameserver
eingetragen werden.
Der dritte definierte Nameserver kann ein sogenannter Root Server sein. Auf
diesen Servern sind die Daten aller registrierten Domänen abgelegt. Eine Liste
der Root Server kann unter ftp://rs.internic.net/netinfo/root-servers.txt
abgerufen werden.
Konfiguration der DNS-Server
Im Hauptmenü von UNICON.NLM gelangt man über Manage Services und
DNS zu den Konfigurations- und Administrationsfunktionen für das Domain
Name System. Der Menüpunkt Administer DNS erlaubt sowohl das Einrichten
einer Master Database als auch einer schreibgeschützten Replica Database.
Die Domänen bzw. Zonen, für die der primäre Nameserver autorisiert ist,
werden im Hauptmenü von UNICON.NLM über Manage Services - DNS Administer DNS - Manage Master Database - Delegate Subzone Authority
eingegeben.

_____________________________________________________________________ ..........................................
206

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.108
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Über Manage Services - DNS - Administer DNS - Manage Master Database
werden die DNS-Datenbankeinträge eingegeben. Bei einer Standard
Implementation von DNS müssen der Start of Authority (SOA), der den
Beginn für die Autorität einer Zone innerhalb der DNS-Hierarchie kennzeichnet, und der Record Typ Name Server (NS) eingetragen werden. Der primäre
Nameserver muss Einträge für alle sekundären Nameserver der Zone enthalten. Die Verbindung dieser Zone zur DNS-Hierarchie wird durch Nameserver
Einträge für primäre Nameserver, die Autorität für übergeordnete oder untergeordnete Zonen besitzen, sichergestellt. Damit die Namensauflösung für die
Hosts in der Zone gewährleistet ist, muss für jedes zu adressierende Endgerät
der Record Typ Address (A) eingetragen werden.

alle sekundären Nameserver in die Datenbank
eintragen

Innerhalb des Record Typ SOA werden unter anderem der Name und die
Adresse des Zonen-Verantwortlichen (Zone Supervisor) eingetragen.
Standardmäßig ist diese Adresse auf root.<domain_name> gesetzt. Weiterhin
werden im Record Typ SOA die Einstellungen für das Synchronisationsverhalten der sekundären Nameserver getroffen.
Refresh Validity Period bestimmt die Zeit, innerhalb der ein sekundärer
Nameserver noch Anfragen von Hosts beantwortet, nachdem er vergeblich
versucht hat, den primären Nameserver zu kontaktieren. Je kürzer diese Zeit
eingestellt ist, desto geringer ist die Wahrscheinlichkeit, dass der sekundäre
Nameserver ungültige DNS-Einträge verschickt und so keine Namensauflösung möglich ist. Aus Gründen der Ausfallsicherheit sollte diese Zeit nicht
zu kurz eingestellt werden, da bei einem Ausfall des primären Nameservers
das Domain Name System für diese Zone dann nicht mehr funktioniert. Für
diesen Parameter muss ein Kompromiss gefunden werden zwischen der
Wahrscheinlichkeit, einzelne Hostnamen nicht auflösen zu können, oder - bei
zu kurzer Periode - keine Endgeräte über individuelle Hostnamen ansprechen
zu können.
Das Minimum Caching Interval bestimmt die Zeit, in der Informationen aus
Anfragen im Cache des primären Nameserver gehalten werden. Wird diese
Einstellung zu kurz gewählt, kann dies die Netzlast bei häufigen Anfragen
nach denselben Hosts erhöhen und die Auflösung der Hostnamen in IPAdressen verzögern. Auf der anderen Seite kann ein zu großer Wert für das
Minimum Caching Interval dazu führen, dass veraltete Informationen weitergegeben werden.
Verbindung zur externen DNS-Hierarchie
Anfragen über Hostadressen außerhalb der eigenen Domäne werden automatisch durchgeführt, sobald der DNS-Server läuft. Informationen über die
DNS-Hierarchie
erhält
der
DNS-Server
aus
der
Datei
SYS:ETC\DNS\ROOT.DB, die eine Liste über Nameserver der US Top Level
Domänen enthält. Unter dem Menüpunkt Manage Services - DNS - Administer
DNS - Link to existing DNS Hierarchy kann über zwei verschiedene
Methoden, nämlich Link Direct und Link Indirect via Forwarder, eine
Querverbindung zu anderen Domänen aufgebaut werden. Wird häufig auf
bestimmte Domänen zugegriffen, kann über diese Verfahren die Auflösung
der Hostnamen beschleunigt werden.

Querverbindungen zur
Beschleunigung der
Namensauflösung

_____________________________________________________________________ ..........................................
207

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.108
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

Prüfen von Nameservern
Mit Manage Services - DNS - Administer DNS - Query Remote Name Server
kann zum einen überprüft werden, welche Informationen auf anderen Nameservern abgelegt sind, und zum anderen ist es möglich festzustellen, ob ein
bestimmter Nameserver auf Anfragen antwortet. Dabei muss der Name bzw.
die IP-Adresse des Servers angegeben werden. Ebenso ist der Resource
Record Type, der abgefragt wird, und die Domäne, aus der die Information
benötigt wird, anzugeben.
Backup der DNS-Datenbank
Regelmäßig sollte ein Backup der DNS-Datenbank angelegt werden. Dieses
Backup kann beispielsweise verwendet werden, um
- eine unbrauchbar gewordene DNS-Datenbank wiederherzustellen,
- die Datenbank auf einen anderen Server zu verschieben.
Über Manage Services - DNS - Save DNS Master to Text Files wird die
Datenbank in SYS:ETC/DBSOURCE/DNS/HOSTS abgelegt.
Verwendung von UNICON.NLM
Mit UNICON werden u. a. die Einstellungen für das Domain Name System
getroffen. Aus administrativen und sicherheitstechnischen Gesichtspunkten ist
es unter Umständen erforderlich, eine Aufgabenverteilung und Zugriffsbeschränkung vorzunehmen. Bei der Installation eines NetWare Produktes,
das über UNICON gesteuert wird, werden im NDS-Verzeichnisbaum
Gruppenobjekte angelegt, die bestimmte Aufgabenbereiche innerhalb von
UNICON regeln. Benutzer, die bestimmte Aufgaben mit UNICON durchführen sollen, werden der jeweiligen Gruppe als Mitglied zugefügt.

Gruppenname

Verantwortungsbereich

Zugängliche UNICON
Menü Optionen

UNICON
MANAGER

Voller Umfang von
UNICON

Zugang zu allen Menü
Optionen

UNICON SERVICES Starten, Anhalten und
Verwalten der Services
MANAGER
UNICON HOST
MANAGER

Verändern von Host
Einträgen

Zugriffsbeschränkungen
vornehmen

Start/Stop Services und
Manage Services
Manage Global Objects Manage Hosts

Kompatibilität mit bind (Berkeley Internet Name Domain)
TCP/IP-Netze entwickelten sich aus der Unix-Umgebung heraus. Das am
weitesten verbreitete DNS-Programm für Unix ist bind. Deshalb ist es wichtig,
dass andere DNS-Produkte auf bind abgestimmt sind. Der DNS-Service von
Novell ist mit der bind-Version 4.8.3 voll kompatibel.

_____________________________________________________________________ ..........................................
208

IT-Grundschutzhandbuch: Stand Januar 2000

M 4.109
Maßnahmenkatalog Hardware und Software
Bemerkungen
_____________________________________________________________________ ..........................................

M 4.109

Software-Reinstallation bei
Arbeitsplatzrechnern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Bei Arbeitsplatzrechnern kann es häufiger zu Problemen mit dem Betriebssystem oder den Anwendungen kommen, die nur durch den Benutzersupport
wieder behoben werden können. Dies kann z. B. durch Softwarefehler,
Konfigurationsänderungen, Aufspielen neuer Software oder Computer-Viren
verursacht werden.
Damit die Administratoren bei den oben beschriebenen Problemen auf den
Benutzerrechnern nicht zeitaufwendig nach Fehlern suchen müssen, sollte
eine Software-Reinstallation der Standardkonfiguration vorgenommen
werden.

Standardkonfiguration
wiederherstellen

Dafür muss zunächst der Rechner eindeutig identifiziert werden und dann über
eine entsprechende Dokumentation oder ein Programm anhand dieser
Identifikation genau ermittelt werden, welche Software in welcher Konfiguration auf genau diesem Rechner installiert werden muss. Dabei ist es hilfreich, wenn sich die Systeme weitestgehend gleichen, zumindest in Bereichen
mit ähnlicher Aufgabenstellung.

Identifikation des ITSystems

Es empfiehlt sich, die Festplatte des Arbeitsplatzrechners neu zu formatieren
und anschließend die erforderliche Software und Daten neu aufzuspielen.
Eine Software-Reinstallation kann auf verschiedene Weise durchgeführt
werden, so gibt es z. B. spezielle Programme, die eine vorgegebene Konfiguration von einem Server auf den neu zu installierenden Arbeitsplatzrechnern
überspielen. Hierbei ist zu beachten, dass solche Arbeiten meist in zweierlei
Hinsicht zeitkritisch sind: Die Neueinrichtung sollte möglichst schnell erfolgen können, damit das IT-System wieder verfügbar ist, und das Netz sollte
möglichst wenig belastet werden. Dies ist insbesondere bei Schulungsrechnern
oder PC-Pools wichtig.

zeitkritische
Reinstallation

Natürlich kann eine Reinstallation auch "von Hand" vorgenommen werden.
Zu diesem Zweck sollte als erstes eine Standardinstallation vorgenommen
werden. Im Anschluß daran werden die Besonderheiten der einzelnen Rechner
kopiert, wie spezielle Gerätetreiber, andere Konfigurationsdateien oder
spezielle Software. Dafür müssen diese allerdings vorkonfiguriert verfügbar
sein, z. B. auf dem Netz oder auf mobilen Datenträgern. Ein aktuelles VirenSuchprogramm muss anschließend zum Einsatz kommen.

_____________________________________________________________________ ..........................................
209

IT-Grundschutzhandbuch: Stand Januar 2000

M5
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M5

Maßnahmenkatalog Kommunikation

M 5.1

Entfernen oder Kurzschließen und Erden nicht
benötigter Leitungen ..................................................................1

M 5.2

Auswahl einer geeigneten Netz-Topographie ............................2

M 5.3

Auswahl geeigneter Kabeltypen unter
kommunikationstechnischer Sicht..............................................7

M 5.4

Dokumentation und Kennzeichnung der Verkabelung ............11

M 5.5

Schadensmindernde Kabelführung ..........................................13

M 5.6

Obligatorischer Einsatz eines Netzpaßwortes ..........................14

M 5.7

Netzverwaltung ........................................................................15

M 5.8

Monatlicher Sicherheitscheck des Netzes ................................16

M 5.9

Protokollierung am Server .......................................................17

M 5.10

Restriktive Rechtevergabe .......................................................18

M 5.11

Server-Konsole sperren............................................................19

M 5.12

Einrichtung eines zusätzlichen Netzadministrators..................20

M 5.13

Geeigneter Einsatz von Elementen zur Netzkopplung .............21

M 5.14

Absicherung interner Remote-Zugänge ...................................26

M 5.15

Absicherung externer Remote-Zugänge...................................30

M 5.16

Übersicht über Netzdienste ......................................................33

M 5.17

Einsatz der Sicherheitsmechanismen von NFS ........................34

M 5.18

Einsatz der Sicherheitsmechanismen von NIS .........................36

M 5.19

Einsatz der Sicherheitsmechanismen von sendmail .................37

M 5.20

Einsatz der Sicherheitsmechanismen von rlogin, rsh und
rcp ............................................................................................40

M 5.21

Sicherer Einsatz von telnet, ftp, tftp und rexec ........................41

M 5.22

Kompatibilitätsprüfung des Sender- und
Empfängersystems ...................................................................42

M 5.23

Auswahl einer geeigneten Versandart für den
Datenträger...............................................................................44

M 5.24

Nutzung eines geeigneten Fax-Vorblattes................................45

M 5.25

Nutzung von Sende- und Empfangsprotokollen ......................46

M 5.26

Telefonische Ankündigung einer Fax-Sendung .......................47

M 5.27

Telefonische Rückversicherung über korrekten FaxEmpfang...................................................................................48

M 5.28

Telefonische Rückversicherung über korrekten FaxAbsender ..................................................................................49

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

M5
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.29

Gelegentliche Kontrolle programmierter Zieladressen
und Protokolle..........................................................................50

M 5.30

Aktivierung einer vorhandenen Callback-Option ....................51

M 5.31

Geeignete Modem-Konfiguration ............................................52

M 5.32

Sicherer Einsatz von Kommunikationssoftware ......................53

M 5.33

Absicherung der per Modem durchgeführten
Fernwartung .............................................................................54

M 5.34

Einsatz von Einmalpaßwörtern ................................................56

M 5.35

Einsatz der Sicherheitsmechanismen von UUCP.....................58

M 5.36

Verschlüsselung unter Unix und Windows NT........................63

M 5.37

Einschränken der Peer-to-Peer-Funktionalitäten bei
Nutzung von WfW, Windows 95 oder Windows NT in
einem servergestützten Netz ....................................................65

M 5.38

Sichere Einbindung von DOS-PCs in ein Unix-Netz...............66

M 5.39

Sicherer Einsatz der Protokolle und Dienste............................68

M 5.40

Sichere Einbindung von DOS-PCs in ein Windows NT
Netz..........................................................................................73

M 5.41

Sichere Konfiguration des Fernzugriffs unter Windows
NT ............................................................................................75

M 5.42

Sichere Konfiguration der TCP/IP-Netzverwaltung
unter Windows NT...................................................................78

M 5.43

Sichere Konfiguration der TCP/IP-Netzdienste unter
Windows NT............................................................................84

M 5.44

Einseitiger Verbindungsaufbau ................................................87

M 5.45

Sicherheit von WWW-Browsern .............................................88

M 5.46

Einsatz von Stand-alone-Systemen zur Nutzung des
Internets ...................................................................................94

M 5.47

Einrichten einer Closed User Group ........................................95

M 5.48

Authentisierung mittels CLIP/COLP .......................................97

M 5.49

Callback basierend auf CLIP/COLP ........................................98

M 5.50

Authentisierung mittels PAP/CHAP ........................................99

M 5.51

Sicherheitstechnische Anforderungen an die
Kommunikationsverbindung Telearbeitsrechner Institution ...............................................................................101

M 5.52

Sicherheitstechnische Anforderungen an den
Kommunikationsrechner ........................................................103

M 5.53

Schutz vor Mailbomben .........................................................105

M 5.54

Schutz vor Mailüberlastung und Spam ..................................106

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Juli 1999

M5
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.55

Kontrolle von Alias-Dateien und Verteilerlisten....................108

M 5.56

Sicherer Betrieb eines Mail-Servers.......................................109

M 5.57

Sichere Konfiguration der Mail-Clients .................................111

M 5.58

Installation von ODBC-Treibern............................................112

M 5.59

Schutz vor DNS-Spoofing .....................................................113

M 5.60

Auswahl einer geeigneten Backbone-Technologie ................114

M 5.61

Geeignete physikalische Segmentierung................................119

M 5.62

Geeignete logische Segmentierung ........................................125

M 5.63

Einsatz von PGP ....................................................................129

M 5.64

Nutzung von Secure Shell......................................................135

M 5.65

Einsatz von S-HTTP ..............................................................138

M 5.66

Verwendung von SSL ............................................................139

M 5.67

Verwendung eines Zeitstempel-Dienstes ...............................142

M 5.68

Einsatz von Verschlüsselungsverfahren zur
Netzkommunikation...............................................................143

M 5.69

Schutz vor aktiven Inhalten....................................................145

M 5.70

Adressumsetzung – NAT (Network Address
Translation) ............................................................................148

M 5.71

Intrusion Detection und Intrusion Response Systeme............149

M 5.72

Deaktivieren nicht benötigter Netzdienste .............................152

M 5.73

Sicherer Betrieb eines Faxservers ..........................................153

M 5.74

Pflege der Faxserver-Adressbücher und der
Verteillisten............................................................................157

M 5.75

Schutz vor Überlastung des Faxservers .................................158

_____________________________________________________________________ ..........................................
iii

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.1
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.1

Entfernen oder Kurzschließen und Erden nicht
benötigter Leitungen

Verantwortlich für Initiierung: Leiter Haustechnik
Verantwortlich für Umsetzung: Administrator, Haustechnik
Nicht mehr benötigte Leitungen sollten nach Möglichkeit entfernt werden. Ist
dies aufgrund der damit verbundenen Beeinträchtigung des Dienstbetriebes
(Öffnen von Decken, Fensterbank- und Fußbodenkanälen) nicht möglich, sind
folgende Maßnahmen sinnvoll:
- Kennzeichnen der nicht benötigten Leitungen in der Revisionsdokumentation und Löschen der Eintragungen in der im Verteiler befindlichen
Dokumentation,
- Auftrennen aller Rangierungen und Verbindungen der freien Leitungen in
den Verteilern (soweit möglich),
- Kurzschließen der freien Leitungen an beiden Kabelenden und in allen
berührten Verteilern,
- Auflegen der freien Leitungen auf Erde (Masse) an beiden Kabelenden und
in allen berührten Verteilern; bei dadurch entstehenden Masse-BrummSchleifen ist nur einseitig zu erden,
- Gewährleisten, daß nicht mehr benötigte Leitungen bei ohnehin anstehenden Arbeiten im Netz entfernt werden.
Ergänzende Kontrollfragen:
- Wer entscheidet über die Notwendigkeiten von Leitungen und über die
Größe von Reserven?
- Wer prüft das ordnungsgemäße Kurzschließen und Erden?

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.2
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.2

Auswahl einer geeigneten Netz-Topographie

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Netzplaner, Leiter Haustechnik
Unter der Topographie eines Netzes wird die rein physikalische Struktur eines
Netzes in Form der Kabelführung verstanden. Im Gegensatz dazu handelt es
sich bei der Netz-Topologie um die logische Struktur eines Netzes. Die
Topographie und Topologie eines Netzes sind nicht notwendig identisch. Die
Topographie orientiert sich naturgemäß fast immer an den räumlichen Verhältnissen, unter denen das Netz aufgebaut wird. Dies sind u. a.:
- Standorte der Netzteilnehmer,
- verfügbarer Platz für Trassen und Kabel (M 1.21 Ausreichende Trassendimensionierung),
- erforderliche Kabeltypen (M 1.20 Auswahl geeigneter Kabeltypen unter
physikalisch-mechanischer Sicht),
- Anforderungen an den Schutz von Kabeln (M 1.22 Materielle Sicherung
von Leitungen und Verteilern).
Nachfolgend werden die Vor- und Nachteile möglicher Topographien aufgeführt. Weitere denkbare Topographien, die an dieser Stelle nicht genannt sind,
können als Spezialfall der betrachteten Strukturen aufgefaßt werden.
Im allgemeinen können zwei Grundformen unterschieden werden: der Stern
und der Bus. Daraus lassen sich als Erweiterungen aus dem Stern eine baumförmige Struktur und aus dem Bus eine ringförmige Struktur ableiten. Diese
vier Formen werden im folgenden kurz dargestellt:
Stern
Bei einem Stern sind alle Teilnehmer des Netzes über eine dedizierte Leitung
mit einem zentralen Knoten verbunden. Die häufig anzutreffende Token-RingArchitektur wird topographisch als Stern verkabelt, bildet topologisch jedoch
einen Ring.
Die Vorteile:
- Die Beschädigung einer Leitung beeinträchtigt nur den Betrieb des daran
angeschlossenen Systems.
- Änderungen der Zuordnung von Netzteilnehmern zum Anschlußpunkt am
zentralen Knoten sowie Trennungen einzelner Teilnehmer lassen sich
zentral durchführen.
- Mit einer Sternverkabelung können alle denkbaren logischen Topologien
nachgebildet werden.
Die Nachteile:
- Bei einem Ausfall des zentralen Knotens fallen alle angeschlossenen ITSysteme aus.
- Durch die Einzelanbindung jedes Teilnehmers an den zentralen Knoten ist
ein hoher Kabelaufwand erforderlich.

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
2

M 5.2
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Mit zunehmender Zahl individueller Leitungen wächst die Gefahr des
Übersprechens.
- Durch die sternförmige Verkabelung können Reichweitenprobleme in
Abhängigkeit vom verwendeten Kabeltyp und vom eingesetzten Protokoll
auftreten (vgl. M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer Sicht). In diesem Fall können Verstärker (Repeater) eingesetzt werden, was jedoch u. U. bei einer hohen Zahl von Leitungen sehr
kostenintensiv ist. Hinzu kommt, daß nicht beliebig viele Verstärker in
eine Leitung geschaltet werden dürfen. Dies ist ebenfalls vom verwendeten
Protokoll abhängig. Eine andere Möglichkeit ist hier der Übergang zu einer
baumförmigen Struktur.
Baum
Eine Baumstruktur entsteht durch die Verbindung mehrerer Sterne. In diesem
Fall werden die Netzteilnehmer zu Gruppen zusammengefaßt, die an dezentrale Netzknoten sternförmig angeschlossen werden. Diese dezentralen Netzknoten sind wiederum über eine Leitung oder mehrere dedizierte Leitungen
miteinander verbunden. Unter Umständen werden auch alle dezentralen Netzknoten an einem zentralen Netzknoten zusammengeführt.
Die Vorteile:
- Für den Anschluß der Systeme an die dezentralen Netzknoten gelten die
gleichen Vorteile wie beim Stern.
- Für neue Teilnehmer muß nur im Bereich des dezentralen Netzknotens neu
verkabelt werden.
- Bei entsprechender Auslegung der dezentralen Netzknoten ist ein Datenaustausch zwischen den Teilnehmern eines solchen Knotens auch bei
einem Ausfall der anderen Knoten möglich.
- Durch die Verbindung der dezentralen Knoten untereinander über eine
Leitung reduziert sich der Verkabelungsaufwand.
- Zur Überwindung großer Entfernungen zwischen den Knoten reicht die
Verstärkung auf einer Leitung (Kostenersparnis).
- Für die Verbindung der Knoten ist der Einsatz hochwertigerer (meist
teurerer) Kabel sinnvoll, mit denen auch größere Distanzen ohne zusätzliche Verstärkung überwunden werden können. Das bringt gegenüber den
sonst notwendigen Verstärkern Vorteile in bezug auf Ausfallsicherheit und
Kostenreduzierung.
- Eine Baumstruktur ermöglicht es, durch Vermaschung der einzelnen
Knoten redundante Verbindungen aufzubauen.
Die Nachteile:
- Bei Störung eines Übergangs zu einem anderen dezentralen Netzknoten
wird der Betrieb mit allen daran angeschlossenen Teilnehmern unterbrochen.

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.2
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Bus
Bei einem Bus werden alle Netzteilnehmer an eine gemeinsame Leitung
angeschlossen. Dies geschieht im allgemeinen durch ein zentrales Kabel, an
das mit Stichleitungen die einzelnen Teilnehmer angebunden werden.
Die Vorteile:
- Die Verkabelung reduziert sich auf ein Kabel, hinzu kommen evtl. notwendige Stichleitungen.
- Die Nachinstallation neuer Teilnehmer erfordert im allgemeinen nur
geringen Verkabelungsaufwand. Sie werden einfach an das vorhandene
Buskabel angeschlossen.
- Der Bus ist durch den Einsatz von Verstärkern einfach verlängerbar. Dabei
sind jedoch die Längenrestriktionen aufgrund des eingesetzten Kabeltyps
und des verwendeten Protokolls zu beachten (vgl. M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer Sicht).
- Ressourcen können an nahezu beliebigen Stellen am Bus angeschlossen
werden.
- Eine Busverkabelung erfordert durch das zentrale Kabel deutlich weniger
Platz als eine vergleichbare Sternverkabelung mit TP-Kabel.
Die Nachteile:
- Störungen, die auf das Kabel wirken, beeinträchtigen den gesamten Bus.
- Unterbrechungen des Buskabels bringen den gesamten Datenverkehr zum
Erliegen.
- Ab einer gewissen maximalen Länge und einer bestimmten Anzahl von
Teilnehmern ist keine einfache Erweiterung des Busses mehr möglich.
- Abhängig vom Kabeltyp müssen Restriktionen beim Anschluß neuer Teilnehmer beachtet werden (z. B. der Mindestabstand zwischen zwei Teilnehmern).
Ring
Der Ring ist aus topographischer Sicht ein Bus, dessen beide Enden miteinander verbunden sind. Eine Sonderform des Rings besteht in der doppelten
Ausführung als Doppelring, wie sie z. B. bei FDDI Verwendung findet.
Die Vorteile:
- Der Ring kann bei einer Leitungsunterbrechung mit gewissen Beeinträchtigungen weiterarbeiten. Die Art der Beeinträchtigung hängt vom für den
Ring verwendeten Netzzugangsprotokoll ab. Beeinträchtigungen können
z. B. Bandbreitenverluste sein.
- Die mögliche Ausführung als Doppelring ermöglicht eine zusätzliche
Redundanz bzw. Fehlertoleranz.
Die Nachteile:
- Die verfügbaren Protokolle für Ring- und Doppelringsysteme sind
beschränkt, d. h. es können nicht alle Protokolle auf diesen eingesetzt

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
4

M 5.2
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

werden. Dies kann sich für die zukünftige Weiterentwicklung des Netzes
nachteilig auswirken.
Collapsed und Distributed Backbone
Ein Collapsed Backbone ist eine spezielle Ausprägung eines Netzknotens,
der innerhalb seiner Backplane (eine lokale Hochgeschwindigkeitsverbindung
innerhalb eines Gerätes) eine der o. g. Strukturen oder eine Mischform daraus
realisiert. Bei einem Collapsed Backbone werden alle Kabel zentral zu einem
Netzknoten geführt, so daß es sich im Prinzip um eine Sternverkabelung handelt. Innerhalb des Netzknotens können nun die unterschiedlichsten Strukturen
unterstützt werden. So werden beispielsweise bei einer Baumstruktur die
nötigen Verbindungswege zwischen den dezentralen Sternen durch sehr kurze
Verbindungen innerhalb des Netzknotens realisiert.
Die Vorteile:
- Alle Kabelanschlüsse können zentral kontrolliert und verwaltet werden.
- Es werden im allgemeinen hohe Übertragungsraten in der Backplane
erreicht. Hierdurch steht, je nach Produkt, zwischen den Segmenten die
volle Netzbandbreite zur Verfügung. Die Nachteile:
- Bei einem Ausfall des Collapsed Backbones fallen alle Netzzugänge aus.

TokenRing 1
Etage 2
Etage 1
TokenRing 2

Etage 0
Koppelelement

Zentraler Backbone (Collapsed Backbone)
auf der Backplane
Bei einem Distributed Backbone sind die einzelnen Netzkomponenten, die
zum Backbone gehören, räumlich verteilt und werden durch die normale
Netzinfrastruktur gekoppelt. Topographische Bäume werden beispielsweise
im allgemeinen durch einen Distributed Backbone realisiert.

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.2
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Bei der Auswahl einer geeigneten Netztopographie kann, wie bereits eingangs
erwähnt, keine allgemeingültige Empfehlung gegeben werden. Solch eine
Entscheidung wird u. a. immer stark durch bauliche Gegebenheiten beeinflußt.
Allgemein üblich ist heute bei Neuinstallationen eine strukturierte
Verkabelung in Stern- oder Baumform. Hierbei ist es sinnvoll, im BackboneBereich (Primär- und Sekundärbereich) Lichtwellenleiter und für die Etagenverkabelung (Tertiärbereich) Twisted-Pair-Kabel mind. der Kategorie 5 zu
verwenden. Mit Primärbereich wird dabei der Bereich der Kabelführung, der
Gebäude miteinander verbindet, bezeichnet und mit Sekundärbereich die
Verkabelung zur Verbindung der aktiven Netzkomponenten einzelner
Abschnitte innerhalb eines Gebäudes (z. B. zur Verbindung von Stockwerken).
Die Wahl dieser Medien für die einzelnen Bereiche gewährleistet aus heutiger
Sicht eine zukunftssichere Verkabelung, die auch höheren Bandbreitenanforderungen v. a. im Backbone-Bereich gerecht wird. Im Einzelfall ist jedoch
auch zu prüfen, ob es sinnvoll oder notwendig ist, eine Mischform aus Sternund Ringverkabelung zu installieren. Hier bietet sich häufig die Möglichkeit,
die Primärverkabelung zwischen Gebäuden als FDDI-Doppelring und die
Sekundär- und Tertiärverkabelung wie o. g. als Stern- oder Baum auszuführen.

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
6

M 5.3
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.3

Auswahl geeigneter Kabeltypen aus
kommunikationstechnischer Sicht

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Netzplaner, Leiter Haustechnik
Die Auswahl des Kabels aus kommunikationstechnischer Sicht wird u. a.
durch die erforderliche Übertragungsrate (Bandbreite) und durch die Entfernungen, die ohne Verstärker zu überwinden sind, bestimmt. Bei der Auswahl
sind zusätzlich die Anforderungen durch die baulichen Gegebenheiten zu
beachten. Vor- und Nachteile werden nachfolgend unter IT-Sicherheitsgesichtspunkten beschrieben.
Für die kabelgebundene Kommunikation können derzeit zwei Übertragungsmedien unterschieden werden: Kommunikation über Kupferkabel oder über
ein optisches Medium (Lichtwellenleiter, LWL). Bei beiden Medientypen
lassen sich wiederum verschiedene Unterkategorien unterscheiden. Die wichtigsten Vertreter für das Medium Kupfer sind das Koaxialkabel (ein Mittelleiter mit einer Gesamtabschirmung) und das mehradrige Kupferkabel mit
paarweise verdrillten Adern (Twisted-Pair-Kabel, TP-Kabel). Diese werden
im folgenden näher erläutert.
Twisted-Pair-Kabel
Twisted-Pair-Kabel gibt es in vielen Ausführungen. Sie unterscheiden sich
zum einen in der Art ihrer Abschirmung und zum anderen in der möglichen
Bandbreite. An Abschirmungsklassen gibt es derzeit
- das ungeschirmte (unshielded, UTP),
- das ungeschirmte mit einer Gesamtabschirmung (screened-unshielded,
S/UTP),
- das geschirmte, bei dem die einzelnen Aderpaare abgeschirmt sind
(shielded, STP), und
- das geschirmte TP-Kabel mit einer zusätzlichen Gesamtabschirmung
(screened-shielded, S/STP).
Zusätzlich den Bezeichnungen der Abschirmung werden TP-Kabel bezüglich
der Bandbreite und anderer elektrischer Eigenschaften in Kategorien von derzeit 1 bis 5 eingeteilt. Ein Normentwurf für die neuen Kategorien 6 und 7 liegt
vor. Hierbei gilt, um so höher die Kategorie umso höher ist auch die mögliche
Bandbreite. Die Bandbreite bestimmt sich hierbei aus verschiedenen
physikalischen Eigenschaften des Kabels.Mit den üblichen Kabeln der
Kategorien 3 bis 5 in UTP oder STP-Ausführung lassen sich mit Ethernet
bzw. Fast-Ethernet zwischen 10 und 100 MBit/s bei einer maximalen Länge
von 100 m übertragen, mit ATM lassen sich auf Kategorie 5-Kabeln bis zu
155 MBit/s übertragen. Kabel der Kategorie 6 werden eine Bandbreite von
600 MHz besitzen und ermöglichen damit Übertragungsraten bis 1 GBit/s.
Das TP-Kabel wird heute vor allem für Sternverkabelungen und zum Teil
auch für Ringverkabelungen eingesetzt.

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.3
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Die Vorteile:
- TP-Kabel, insbesondere deren Konfektion, sind bei geringerem Bandreitenbedarf im Vergleich zu LWL relativ billig.
- TP-Kabel bis zur Kategorie 5 lassen sich relativ einfach verlegen und
konfektionieren.
- TP-Kabel können als Universalverkabelung angesehen werden, da andere
Dienste ohne größeren technischen Aufwand hierüber genutzt werden
können (z. B. Telefonie). Bei geringerem Bandbreitenbedarf können vorhandene Telefonnetze auf TP-Basis auch als Datennetze genutzt werden.
- Bestehende Installationen können meßtechnisch leicht überprüft werden.
Die Nachteile:
- Je nach Ausführung des Kabels (UTP bis S/STP) wird das Kabel durch ein
mehr oder weniger starkes elektrodynamisches Feld umgeben. Hierdurch
besteht sowohl die Gefahr einer Wechselwirkung mit anderen Feldern
(z. B. benachbartes Kabel oder von Starkstrominstallationen) als auch die
Möglichkeit des Abhörens.
- Die maximale Kabellänge ist bei den heute üblichen Anforderungen auf
100 m (inkl. der notwendigen Anschluß- und Patchkabel) beschränkt (vgl.
untenstehende Tabelle).
- Bei ungeschirmtem Installationskabel (UTP) mit vielen Paaren kann es
zum Übersprechen zwischen einzelnen Paaren kommen.
Koaxial-Kabel
Koaxial-Kabel werden vor allem für Busverkabelungen oder z. B. zur Verbindung der Netzknoten in Baumstrukturen eingesetzt. Durch die Gesamtabschirmung des Mittelleiters kann hier im allgemeinen von einer guten
elektromagnetischen Verträglichkeit (EMV) ausgegangen werden.
Die Vorteile:
- Die Bandbreite und die unverstärkte Übertragungsstrecke sind höher als
beim TP-Kabel. Für die beiden Kabeltypen, die für das Ethernet-Protokoll
eingesetzt werden können, liegen die maximalen Obergrenzen je nach
Kabeltyp bei 185 bzw. 500 m (Thin- bzw. Thick-Ethernetkabel).
- Die Gefahr des Übersprechens ist bei Koaxialkabeln kleiner als bei TPKabeln.
Die Nachteile:
- Koaxialkabel sind im allgemeinen teurer als TP-Kabel.
- Trotz der Koaxialbauweise ist das Kabel abhörbar und empfindlich gegenüber Störungen.
- Abhängig vom verwendeten Koaxialkabel haben diese relativ große
Biegeradien und sind damit schwieriger zu verlegen als beispielsweise TPKabel.

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.3
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Für Koaxialkabel sind nur wenige Netzzugangsprotokolle definiert.
Beispielsweise kann Fast-Ethernet nicht über Koaxialkabel betrieben
werden.
Lichtwellenleiter (LWL)
Lichtwellenleiter verwenden Licht im sichtbaren bis zum stark infraroten
Bereich zur Signalübertragung. Ein Lichtwellenleiter ist ähnlich wie ein
Koaxialkabel aufgebaut. Um den eigentlichen Lichtwellenleiter in der Mitte
ist ein Mantel gelegt, der andere optische Eigenschaften als der Kern hat. Um
diese Gesamtheit ist ein weiterer Mantel zum Schutz vor mechanischen und
optischen Einflüssen gelegt. LWL gibt es in zwei verschiedenen Ausführungen: als Multimode- und als Singlemode-LWL. Diese beiden Typen unterscheiden sich vor allem in der möglichen Bandbreite und der maximalen
Länge, die ohne zusätzliche Verstärker erreicht werden können.
LWL werden im allgemeinen zur Überbrückung von großen Distanzen (z. B.
Verbindungen zwischen Gebäuden oder Stockwerken) in einem Backbone und
zum Teil in Doppelringsystemen eingesetzt.
Die Vorteile:
- Die Bandbreite und die unverstärkte Reichweite ist höher als bei Kupferkabel .
- Abhören ist nur mit hohem technischen Aufwand möglich.
- Unzulässige Umrangierungen sind durch verfügbare Technik einfach zu
erkennen.
- LWL sind unempfindlich gegenüber allen nicht zerstörenden Umfeldbedingungen, insbesondere gegenüber elektromagnetischen Feldern.
- LWL benötigen relativ wenig Platz.
- Ein Übersprechen oder eine Beeinflussung zwischen verschiedenen LWL
oder einem LWL und TP-Kabeln findet nicht statt.
- Die Brandlast ist bei LWL im Vergleich zu Kupferkabeln geringer, da sie
weniger bzw. eine andere Ummantelung besitzen und in der Regel weniger
Kabelmaterial auf einer Strecke benötigt wird.
Die Nachteile:
- Der Installationspreis für LWL liegt vor allem durch die notwendigen
Spleißarbeiten sehr viel höher als bei Kupferkabel.
- Die Koppel-Komponenten zum Betrieb von LWL, insbesondere für
Singlemode-LWL, sind teurer als solche für Kupferkabel.
- Die Verlegung und Konfektion von LWL erfordert Spezialkenntnisse,
Sonderwerkzeuge und besondere zusätzliche Komponenten (z. B. Spleißboxen).
- LWL können nicht in jedem beliebigen Radius geführt werden. Hieraus
kann sich eine schwierigere Installation durch Beachtung der möglichen
und notwendigen Kabelführungen ergeben.

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.3
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Eine Übersicht über die Längenbeschränkungen von Kabeln für einige der
üblichen Protokolle (Ethernet, Fast-Ethernet, FDDI und CDDI, vgl. M 5.60
Auswahl einer geeigneten Backbone-Technologie) gibt die folgende Tabelle:

Netzzugangsprotokoll
Ethernet

Fast Ethernet

FDDI

Kabeltyp

max.
Länge

10Base2

Koaxial

185 m

10Base5

Koaxial

500 m

10Base-T

TP

100 m

10Base-FL Monomode

LWL

2 km

10Base-FL Singlemode LWL

5 km

100Base-TX

TP

100 m

100Base-FX

LWL

412 m

Monomode

LWL

2 km

Singlemode

LWL

60 km

TP

100 m

CDDI

Zu beachten ist, daß hier die jeweilige maximale Länge genannt ist. Diese
setzt sich häufig aus dem eigentlichen Installationskabel und den Anschlußkabeln (Patchkabeln) zusammen. Für 10Base-T sollte also z. B. die Länge des
Installationskabels 90 m nicht überschreiten, um genügend Längenspielraum
für Patchkabel zu haben. Bei einigen Verfahren (z. B. 100Base-FX) reduziert
sich die Länge durch den Einsatz und die Art von Repeatern!
Für Neuinstallationen ist es sinnvoll, im Primär- und Sekundärbereich LWL
einzusetzen, da diese durch die hohe verfügbare Bandbreite auch zukünftigen
Anforderungen gerecht werden können. Für den Tertiärbereich ist zu prüfen,
ob ein Einsatz von TP-Kabeln oder LWL aus technischer und sicherheitsteschnischer Sicht möglich bzw. notwendig ist und jeweils auch aus wirtschaftlicher Sicht vertretbar ist (vgl. auch M 5.2 Auswahl einer geeigneten
Netz-Topographie).

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.4
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.4

Dokumentation und Kennzeichnung der Verkabelung

Verantwortlich für Initiierung: Leiter IT, Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Für Wartung, Fehlersuche, Instandsetzung und für erfolgreiche Überprüfung
der Verkabelung ist eine gute Dokumentation und eindeutige Kennzeichnung
aller Kabel erforderlich. Die Güte dieser Revisionsdokumentation ist abhängig
von der Vollständigkeit, der Aktualität und der Lesbarkeit.
In dieser Dokumentation (auch Bestandsplan genannt) sind a l l e das Netz
betreffenden Sachverhalte aufzunehmen:
- genauer Kabeltyp,
- nutzungsorientierte Kabelkennzeichnung,
- Standorte von Zentralen und Verteilern mit genauen Bezeichnungen,
- genaue Führung von Kabeln und Trassen in der Liegenschaft
(Einzeichnung in bemaßte Grundriß- und Lagepläne),
- Trassendimensionierung und -belegung,
- Belegungspläne aller Rangierungen und Verteiler,
- Nutzung aller Leitungen, Nennung der daran angeschlossenen Netzteilnehmer,
- technische Daten von Anschlußpunkten,
- Gefahrenpunkte,
- vorhandene und zu prüfende Schutzmaßnahmen.
Es muß möglich sein, sich anhand dieser Dokumentation einfach und schnell
ein genaues Bild über die Verkabelung zu machen.
Da es mit zunehmender Größe eines Netzes nicht möglich ist, alle Informationen in einem Plan unterzubringen, ist eine Aufteilung der Informationen sinnvoll. Tatsächliche Lageinformationen sind immer in maßstäbliche Pläne
einzuzeichnen. Andere Informationen können in Tabellenform geführt
werden. Wichtig dabei ist eine eindeutige Zuordnung aller Angaben
untereinander.
Um die Aktualität der Dokumentation zu gewährleisten, ist sicherzustellen,
daß alle Arbeiten am Netz rechtzeitig und vollständig demjenigen bekannt
werden, der die Dokumentation führt. Es ist z. B. denkbar, die Ausgabe von
Material, die Vergabe von Fremdaufträgen oder die Freigabe gesicherter
Bereiche von der Mitzeichnung dieser Person abhängig zu machen.
Da diese Dokumentation schutzwürdige Informationen beinhaltet, ist sie
sicher aufzubewahren und der Zugriff zu regeln.

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.4
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wer ist für die Dokumentation der Verkabelung zuständig?
- Wird die Dokumentation hinreichend schnell aktualisiert?
- Wie wird die Revisionsdokumentation vor unerlaubtem Zugriff geschützt?

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.5
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.5

Schadensmindernde Kabelführung

Verantwortlich für Initiierung: Netzplaner, Leiter IT, Leiter Haustechnik
Verantwortlich für Umsetzung: Haustechnik
Bei der Planung von Kabeltrassen ist darauf zu achten, daß erkennbare Gefahrenquellen umgangen werden. Grundsätzlich sollen Trassen nur in den Bereichen verlegt werden, die ausschließlich dem Benutzer zugänglich sind. Ein
übersichtlicher Aufbau der Trassen erleichtert die Kontrolle. Trassen und
einzelne Kabel sollen immer so verlegt werden, daß sie vor direkten Beschädigungen durch Personen, Fahrzeuge und Maschinen geschützt sind.
Der Standort von Geräten sollte so gewählt werden, daß Kabel nicht im Laufoder Fahrbereich liegen. Ist dies nicht zu vermeiden, sind die Kabel den zu
erwartenden Belastungen entsprechend durch geeignete Kanalsysteme zu
schützen.
Grundsätzlich ist bei Geräteanschlußleitungen auf eine ausreichende Zugentlastung der Kabel in den Steckern zu achten. Bisweilen kann es sinnvoll sein,
auf die vorgesehene Verschraubung von Steckern zu verzichten. Bei Zugbelastung werden nur Steckverbindungen auseinandergerissen und nicht die
Stecker-Kabel- oder Stecker-Geräte-Verlötung.
Tiefgaragen stellen ein großes Problem für eine schadensmindernde Kabelführung dar. Durch die Sicherheitsschaltungen und die langen Offenzeiten von
Einfahrtstoren ist der Zutritt von Fremdpersonen zu Tiefgaragen nie
auszuschließen. Durch die in der Regel geringen Deckenhöhen ist es mit einfachen Mitteln möglich, sich Zugriff zu dort verlaufenden Trassen zu verschaffen. Durch Trassen im Fahrbereich kann die zulässige Fahrzeughöhe
unterschritten werden. Beschädigungen oder Zerstörungen der Trassen und
Kabel durch Fahrzeuge sind dann nicht auszuschließen.
Bei gemeinsam mit Dritten genutzten Gebäuden ist darauf zu achten, daß
Kabel nicht in Fußbodenkanälen durch deren Bereiche führen. Fußboden- und
Fensterbank-Kanalsysteme sind gegenüber den fremdgenutzten Bereichen
mechanisch fest zu verschließen. Besser ist es, sie an den Bereichsgrenzen
enden zu lassen.
Bereiche mit hoher Brandgefahr sind zu meiden. Ist dies nicht möglich und ist
der Betriebserhalt aller auf der Trasse liegenden Kabel erforderlich, ist der
entsprechende Trassenbereich mit Brandabschottung zu versehen. Ist der
Betriebserhalt nur für einzelne Kabel erforderlich, ist dafür ein entsprechendes
Kabel zu wählen.
In Produktionbetrieben ist mit hohen induktiven Lasten und daraus resultierenden Störfeldern zu rechnen. Auch diese sind bei der Trassen- und Kabelverlegung zu berücksichtigen. Für den Schutz der Kabel gilt sinngemäß das
gleiche wie bei der Brandabschottung.
Bei Erdtrassen ist ca. 10 cm über der Trasse ein Warnband zu verlegen. Bei
einzelnen Kabeln (ohne Rohr) ist der Einbau von Kabelabdeckungen sinnvoll.

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.6
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.6

Obligatorischer Einsatz eines Netzpaßwortes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Standardmäßig sollte jeder Benutzer (und auch die Administratoren) in einem
lokalen Netz mit einem Benutzer-Paßwort ausgestattet werden. Für den
korrekten Umgang mit dem Paßwort sind die Bedingungen aus Maßnahme
M 2.11 Regelung des Paßwortgebrauchs einzuhalten.
Ergänzende Kontrollfragen:
- Ist jeder Benutzer im Netz mit einem Paßwort ausgestattet?
- Sind die Benutzer über den korrekten Umgang mit Paßwörtern unterrichtet
worden?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
14

M 5.7
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.7

Netzverwaltung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Netze können zentral oder lokal an den einzelnen Knoten verwaltet werden.
Das ist neben den technischen Möglichkeiten davon abhängig, wer den
Netzknoten administriert. In jedem Fall ist eine zentrale Koordinierung aller
Netzaktivitäten einer Behörde oder eines Unternehmens notwendig, damit
Redundanzen vermieden werden. Zentral gesteuert werden sollten:
- die Auswahl und Verlegung der Kabel,
- die Auswahl der eingesetzten IT-Systeme und Anwendungen, um Unverträglichkeiten zu vermeiden,
- die zentrale Vergabe von Netzadressen und Benutzer-IDs,
- die organisatorische Zuteilung von Netzkomponenten z. B. zu Abteilungen.
Die einzelnen Netzknoten und die dort angeschlossenen IT-Systeme können
auch lokal verwaltet werden.
Die Aufgaben- und Verantwortungsbereiche der Systemverwalter müssen
dabei klar spezifiziert und eindeutig geregelt sein (siehe auch M 2.26
Ernennung eines Administrators und eines Vertreters).

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.8
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.8

Monatlicher Sicherheitscheck des Netzes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Netzadministrator sollte regelmäßig, mindestens monatlich, einen
Sicherheitscheck des Netzes durchführen. Einige Netzbetriebssysteme bieten
Programme an, mit denen diese Untersuchung automatisiert durchgeführt
werden kann. Ein Beispiel ist das Programm SECURITY im Verzeichnis
SYS:SYSTEM bei Novell 3.11. Folgende Parameter werden u. a. geprüft:
- Gibt es Benutzer ohne Passwort?
- Gibt es Benutzer, die längere Zeit das Netz nicht mehr benutzt haben?
- Gibt es Benutzer, deren Passwort nicht die erforderlichen Bedingungen
einhält?
- Welche Benutzer besitzen die gleichen Rechte wie der Supervisor?
Auch Unix-Systeme sind mit Programmen ausgestattet, mit denen solche
Prüfungen automatisiert durchgeführt werden können. Eine Vielzahl von
Public-Domain- und kommerziellen Programmen bieten weitere Prüfmöglichkeiten. In M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems sind
verschiedene dieser Programme beschrieben. Auch das im Auftrag des BSI
entwickelte BSI-Tool Sichere Unix-Administration (USEIT) bietet umfangreiche Möglichkeiten, die Netzsicherheit eines Unix-Systems zu prüfen. Es
werden u. a. folgende Tests durchgeführt:
- Prüfung auf Logins ohne oder mit schwachem Passwort,
- Prüfung der voreingestellten Mindestpasswortlänge,
- Prüfung der Netzdienste und ihrer Konfiguration,
- Penetrationstests im lokalen Subnetz,
- Inkonsistenzprüfungen der Systemdateien und des Systems,
- Prüfung auf unsichere Ports und Dienste.
Ergänzende Kontrollfragen:
- Werden die Durchführung und die Ergebnisse des Sicherheitschecks
dokumentiert?

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.9
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.9

Protokollierung am Server

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die am Netz-Server mögliche Protokollierung ist in einem sinnvollen Umfang
zu aktivieren. In regelmäßigen Abständen muß der Netzadministrator die Protokolldateien des Netz-Servers überprüfen. Dabei sind insbesondere folgende
Vorkommnisse von Interesse:
- falsche Paßworteingabe für eine Benutzerkennung bis hin zur Sperrung der
Benutzerkennung bei Erreichen der Fehlversuchsgrenze,
- Versuche von unberechtigten Zugriffen,
- Stromausfall,
- Daten zur Netzauslastung und -überlastung.
Da diese Log-Dateien mit der Zeit sehr umfangreich werden können, sollten
die Auswertungsintervalle so kurz gewählt werden, daß eine sinnvolle
Auswertung möglich ist.
Ergänzende Kontrollfragen:
- Wer wertet die Log-Dateien in welchen Abständen aus?
- Werden die Auswertungen dokumentiert?

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.10
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.10

Restriktive Rechtevergabe

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Zugriffsrechte auf Dateien, die auf der Festplatte des Netz-Servers gespeichert
sind, müssen restriktiv vergeben werden. Jeder Benutzer erhält nur auf die
Dateien ein Zugriffsrecht, die er für seine Aufgabenerfüllung benötigt. Das
Zugriffsrecht selbst wiederum wird auf die notwendige Zugriffsart beschränkt
(Dazu siehe auch M 2.5 Aufgabenverteilung und Funktionstrennung, M 2.7
Vergabe von Zugangsberechtigungen und M 2.8 Vergabe von Zugriffsrechten). So ist es zum Beispiel in den seltensten Fällen notwendig, ein
Schreibrecht auf Programmdateien zu vergeben.
Meist darf über die Vererbung von Rechten auf Dateien in Unterverzeichnissen zugegriffen werden, wenn ein Zugriffsrecht auf das übergeordnete
Verzeichnis bestand. Daraus ergibt sich, daß Zugriffsrechte auf höchster
Ebene (Volume-Ebene) nur sehr eingeschränkt erteilt werden sollten. Insbesondere ist bei der Installation neuer Softwareprodukte die Rechtevergabe
erneut zu überprüfen.
Sind die PCs mit Diskettenlaufwerken ausgestattet, so ist auf restriktive
Rechtevergabe besonderen Wert zu legen.
Sollte der Speicherplatz des Netz-Servers gering ausgelegt sein, kann eine
Beschränkung der maximalen Speicherkapazität, die ein Benutzer auf dem
Netz-Server belegen darf, eingestellt werden.
Ergänzende Kontrollfragen:
- Kann anhand der Dokumentation der Rechtestruktur festgestellt werden,
daß nur die minimal notwendigen Rechte vergeben wurden?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
18

M 5.11
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.11

Server-Konsole sperren

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Von der Server-Konsole aus kann die Administration des Netz-Servers vorgenommen werden. Sollte die Server-Konsole nicht gesperrt sein während das
Netz läuft, kann jeder, der sich Zutritt zum Serverraum verschafft, sich dies
für Manipulationen zu Nutze machen. Daher muß der Regelfall sein, daß die
Server-Konsole gesperrt ist und nur mit einem speziellen Paßwort entsperrt
werden kann.
Diese Maßnahme kann ersetzt, besser ergänzt werden durch M 1.23 Abgeschlossene Türen.
Ergänzende Kontrollfragen:
- Ist die Server-Konsole standardmäßig gesperrt?

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.12
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.12

Einrichtung eines zusätzlichen Netzadministrators

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für den Fall, daß der Netzadministrator wie auch sein Stellvertreter die Administrationsaufgaben nicht wahrnehmen können, ist Vorsorge zu treffen. Dazu
ist ein zusätzlicher Benutzer einzurichten, der über die Rechte des Netzadministrators verfügt. Die Benutzer-Kennung und das dazugehörende Paßwort ist
in einem versiegelten Umschlag sicher zu hinterlegen. Der Gebrauch dieses
Paßwortes ist zu dokumentieren und mit dem Vier-Augen-Prinzip zu kontrollieren.
Ergänzende Kontrollfragen:
- Ist ein Ersatz-Benutzer für den Netzadministrator und seinen Stellvertreter
eingerichtet worden?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
20

M 5.13
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.13

Geeigneter Einsatz von Elementen zur Netzkopplung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Geräte zur Netzkopplung wie Router, Bridges oder Gateways verbinden nicht
nur Netze, sie können auch zur physikalischen oder logischen Segmentierung
von Netzen benutzt werden. Durch die Aufteilung von großen Netzen in Teilnetze kann z. B. die Verfügbarkeit verbessert werden, da ein Fehler nur einen
begrenzten Bereich des Netzes betrifft und dort schneller lokalisiert werden
kann. Bei zunehmender Anzahl von Netzstationen können Antwortzeiten
unakzeptabel und eine Teilnetzbildung zur Lasttrennung notwendig werden.
Der Schutz von sensitiven Informationen kann ein weiterer Grund zur
Segmentierung von Netzen sein, so daß diese nicht auf dem Gesamtnetz verfügbar sind. Um sich vor externen Angreifern zu schützen, kann es sinnvoll
sein, einen Transfer von Paketen nur vom sicheren ins unsichere Netz zuzulassen, zum Schutz von vertraulichen Daten kann es andererseits sinnvoll sein,
keinen Transfer von Paketen vom sicheren ins unsichere Netz zuzulassen.
Die Aufteilung in Netzsegmente bzw. die Netzkopplung kann auf verschiedenen Schichten nach dem OSI-Modell erfolgen. Netzkoppelkomponenten auf
der physikalischen Schicht (Schicht 1) des OSI-Modells sind z. B. Repeater,
auf der Sicherungsschicht (Schicht 2) z. B. Bridges, auf der Vermittlungsschicht (Schicht 3) z. B. Router und auf der Anwendungsschicht (Schicht 7)
im allgemeinen Gateways. Zum besseren Verständnis ist das OSI-Modell in
der folgenden Abbildung dargestellt.

Das OSI/ISO Referenzmodell

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.13
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Eine Verbindung mit einem anderen Netz auf einer höheren Schicht (ab
Schicht 3) des OSI-Modells ermöglicht es z. B. den Datenfluß nach Sicherheitsanforderungen zu reglementieren und somit zu schützende und unsichere
Netze kontrolliert zu verbinden.
Andererseits kann das Trennen von Netzen erforderlich sein, wenn diese vor
Zugriffen aus dem jeweils anderen Netz geschützt werden sollen oder um die
Verfügbarkeit der Netze im Fehlerfall zu erhöhen bzw. die Netzlast in den
jeweiligen Netzsegmenten zu verringern.
Um Manipulationen zu verhindern, müssen alle Geräte zur Netzkopplung so
aufgestellt werden, daß nur Berechtigte physikalischen Zugang haben.
Repeater
Repeater arbeiten auf der Schicht 1 des OSI-Modells und sind einfache
Signalverstärker. Dadurch erlauben sie es, die maximale Kabellänge eines
bestehenden Netzsegmentes zu verlängern bzw. mehrere Netzsegmente zu
verbinden. Beispielsweise kann mit ihnen beim Einsatz von Ethernet auf
Koaxialkabelbasis die maximale Kabellänge auf über 185 m bzw. auf über
500 m (für Thin- bzw. Thick-Ethernetkabel) verlängert werden. Zu beachten
sind hierbei die Konfigurationsregeln für Repeater, die die Anzahl und
Anordnung von Repeatern beschränken.
Im Fall einer Twisted-Pair-Verkabelung werden Repeater häufig als zentraler
oder dezentraler Netzknoten zur Verbindung der einzelnen Netzteilnehmer
eingesetzt. Da hierfür mehrere Repeater in einem Gerät miteinander verbunden werden müssen, werden diese Geräte auch Multiport-Repeater genannt.
Multiport-Repeater werden häufig auch als Hubs bzw. als Mini-Hubs
bezeichnet.
Durch die somit erreichte Trennung auf der Schicht 1 des Netzes werden
elektrische Fehler auf ein Segment beschränkt. Dies gilt jedoch nicht für
Fehler in höheren Schichten (z. B. zu häufige Kollisionen oder ein BroadcastSturm). Von einigen Herstellern gibt es inzwischen auch Multiport-Repeater,
die Informationen aus Schicht 2 auswerten (aber noch keine Bridges sind) und
dadurch z. B. die Implementation von Zugriffsbeschränkungen erlauben. Mit
solchen Geräten läßt sich beispielsweise einstellen, daß nur bestimmte
Netzteilnehmer Zugang zum Netz bekommen.
Bridge
Die Verbindung von Netzen auf der Ebene 2 des ISO-OSI-Referenzmodells
erfolgt über Bridges. Eine Bridge verbindet zwei Netze, die in der Regel dasselbe Logical Link Control (LLC) Protokoll benutzen, aber unterschiedliche
Medium Access Control (MAC) Protokolle. Eine Bridge kann z. B. ein Ethernet mit einem Token-Ring-Netz verbinden. Eine solche Bridge wird dann
Translation-Bridge oder T-Bridge genannt.
Hierdurch ergeben sich drei wesentliche Vorteile:
- Die Bridge trennt Collision-Domains, d. h. performanceverringernde Kollisionen bei CSMA/CD-basierten Netzen gelangen nicht in das andere Segment.

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.13
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Eine Bridge leitet nur diejenigen Datenpakete in ein anderes Segment, die
dort auch ihre Zieladresse haben. Hierdurch bleibt der Datenverkehr auf
das jeweils notwendige Segment beschränkt, wodurch die Abhörsicherheit
steigt.
- Schließlich steigt dadurch auch der Datendurchsatz in jedem Segment, da
auf jeder Seite der Bridge unabhängig Daten übertragen werden können
und somit eine Lasttrennung erfolgt.
Switch (Ethernet, Token-Ring, ATM)
Ein Switch ist eine Variante einer Brücke, die mehrere logische LAN-Segmente verbindet (Multiport-Brücke), arbeitet also auf Schicht 2 des OSIModells. Einige neuere Produkte implementieren zusätzlich auch SwitchingFunktionalität auf der Schicht 3 des OSI-Modells, erlauben also hiermit auch
eine Schicht 3 Segmentierung.
Ein Ethernet-Switch besteht aus mehreren Bridges, die auf geeignete Weise
intern miteinander verbunden sind (z. B. über eine sogenannte SwitchingMatrix).
Ein Ethernet-Switch bietet die Vorteile einer Bridge für mehrere Anschlüsse
(üblich sind derzeit 8 bis 32 Anschlüsse pro Switch), d. h. jeder Netzteilnehmer bzw. jedes Segment an einem Switchanschluß bildet eine eigene
Collision-Domain und der Verbindungsaufbau beruht auf den tatsächlichen
Erfordernissen. Damit kann jedes angeschlossene Segment mit allen anderen
unbeeinflußt von dem Verkehr und der Last der anderen Segmente kommunizieren, solange das entsprechende Segment nicht bereits anderweitig belegt
ist. Switches bieten sich vor allem zur Lasttrennung und als zentrale
Kopplungskomponente von mehreren Teilsegmenten an. Durch die Kaskadierung von Switches, d. h. durch den Anschluß von nachgeordneten Switches
an einen zentralen Switch, lassen sich bei geeigneter Wahl der logischen
Netzstruktur sehr leistungsfähige Netze bilden.
Ethernet-Switches, die nach der IEEE-Norm für Bridges arbeiten, benutzen
die Store-and-Forward-Technik. Bei dieser Technik wird zunächst das gesamte Ethernet-Paket des Quellports eingelesen und auf Korrektheit überprüft.
Nur korrekt und vollständig empfangene Pakete werden an das Zielsegment
weitergeschickt. Die Verzögerungszeit solcher Switches ist relativ hoch, sie
garantieren aber auch, daß keine fehlerhaften Pakete in andere Segmente
übertragen werden. Der Einsatz solcher Store-and-Forward-Switche ist dann
zu empfehlen, wenn Wert auf maximale Verfügbarkeit und Integrität und
nicht so sehr auf Bandbreite gelegt wird.
Im Gegensatz dazu wurden alternativ Techniken entwickelt, die den Durchsatz
eines Ethernet-Switches erhöhen, also die Verzögerungszeit zu verkleinern,
die ein zu verarbeitendes Datenpaket erfährt. Hierzu wird die On-the-FlyTechnik (auch Cut-Through genannt) eingesetzt, die nicht mehr das gesamte
Paket einliest und überprüft, sondern lediglich die Zieladresse des Paketes
auswertet und daraufhin sofort das gesamte Paket an diese Adresse schickt.
On-the-Fly-Switches sind damit maximal um den Faktor 20 schneller als
Store-and-Forward-Switches. Allerdings leiten sie auch fehlerhafte Pakete in
das andere Segment, wodurch die Bandbreite und damit u. U. die
Verfügbarkeit der einzelnen Segmente beeinträchtigt werden kann. On-the-

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.13
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

fly-Switches sollten also in Netzen eingesetzt werden, in denen wenig fehlerhafte Pakete auftreten können und in denen es auf maximalen Durchsatz
ankommt. Die meisten Hersteller bieten heute Switches an, die beide Techniken beherrschen und entsprechend konfiguriert werden können.
Von einigen Produkten wird inzwischen auch ein Switching auf der Schicht 3
des OSI-Modells unterstützt. Dabei werden die Netzteilnehmer nicht mehr
nach ihrer MAC-Adresse unterschieden (Layer-2-Switching), sondern nach
den Adressen der Schicht 3 (für den TCP/IP-Protokollstapel ist dies die IPAdresse). Ein Layer-3-Switching kann weitere Performancevorteile bedeuten,
in diesem Fall muß aber der Switch, analog zu einem Router, die auf der
Schicht 3 verwendeten Protokolle verarbeiten können.
Switches für ATM oder Token-Ring sind funktional einem Ethernet-Switch
sehr ähnlich, d. h. auch ein Switch für diese Protokolle ermöglicht es, daß
zwei Netzteilnehmer oder Netzbereiche unabhängig von den anderen kommunizieren können. Für ATM-Netze ist durch die zugrundeliegende Konzeption der Einsatz eines Switches sogar zwingend.
Bei der Auswahl von Switches, mit denen ein Collapsed Backbone realisiert
werden soll, muß die zur Verfügung gestellte Portdichte berücksichtigt
werden. Bei einem "Collapsed backbone" sollte es vermieden werden,
mehrere Switches einsetzen zu müssen, die nicht über eine gemeinsame
(Hochgeschwindigkeits-) Backplane verfügen (vgl. M 5.2 Auswahl einer
geeigneten Netz-Topographie).
Router
Router trennen bzw. verbinden Netze auf der Schicht 3 des OSI-Modells.
Damit arbeiten Router nicht mehr protokolltransparent (wie z. B. Repeater
oder Bridges), sondern müssen die im Einsatz befindlichen Protokolle auf der
Vermittlungsschicht auch verarbeiten können. Dadurch verlangsamen Router
den Datenverkehr zwischen zwei verbundenen Teilnetzen merklich, da der
Router jedes Paket auf der Schicht 3 auswerten muß.
Aufgrund ihrer Fähigkeit, Protokolle zu verarbeiten und diese umzusetzen,
werden Router vor allem zur LAN-LAN-Kopplung und zur Anbindung eines
LANs an ein WAN genutzt. Ein Router kann beispielsweise zwei LANs über
eine ISDN-Leitung miteinander verbinden. Hierbei wird das LAN-Protokoll
unverändert in das WAN-Protokoll eingekapselt (encapsulation) und übertragen. Ein anderes Protokoll, das hier beispielsweise zum Einsatz kommen
kann, ist das X.25-Protokoll. In großen Netzen, in denen viele Teilnetze durch
Router verbunden sind, ist eine wesentliche Aufgabe des Routers die Wegewahl (Routing) zwischen den Teilnetzen. Hierbei können prinzipiell zwei
Verfahren unterschieden werden:
- Das statische Routing, bei dem die Wegewahl manuell angegeben wird.
- Das dynamische Routing, bei dem die Wegewahl durch die Router
bestimmt und laufend aktualisiert wird. Hierzu stehen mehrere Algorithmen bzw. Protokolle zur Verfügung, die auch den Abgleich der Router
untereinander gewährleisten. Die bekanntesten Protokolle sind RIP
(Routing Information Protocol), OSPF (Open Shortest Path First) und
IGRP (Interior Gateway Routing Protocol). Für die Auswahl eines geeig-

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.13
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

neten Routing-Protokolls ist auch M 4.82 Sichere Konfiguration der aktiven Netzkomponenten zu beachten.
Weiterhin kann durch den Einsatz von Filtern eine Zugriffskontrolle gewährleistet werden, d. h. welche Systeme mit welchen Protokollen über den Router
in welche Richtung miteinander kommunizieren dürfen
Konzentratoren und Hubs
Unter einem Hub wird eine Komponente verstanden, die eine oder mehrere
aktive Netzkoppelkomponenten aufnimmt und eine Kommunikation dieser
Komponenten untereinander über eine interne Backplane (siehe auch M 5.2
Auswahl einer geeigneten Netz-Topographie) ermöglicht. Hubs, die bei Bedarf
mehrere Netzkoppelkomponenten aufnehmen können, werden als modulare
Hubs bezeichnet. Entsprechend werden Hubs, die nur aus einer
Koppelkomponente bestehen und nicht zur Aufnahme weiterer Komponenten
bestimmt sind, als nicht modulare Hubs bezeichnet. Wenn es möglich ist, die
Backplanes mehrerer Hubs miteinander zu verbinden, werden diese Hubs als
stackable Hubs bezeichnet. Durch den Einsatz eines Hubs oder eines
Konzentrators erfolgt die Leitungsführung zumindest zum Teil sternförmig zu
den Endgeräten, aus diesem Grund werden Hubs oder Konzentratoren auch
Sternkoppler genannt.
Wie bereits bei den Repeatern erwähnt ist die kleinste Form eines Konzentrators bzw. eines Hubs ein Multiport-Repeater. Modulare Hubs dagegen erlauben die Aufnahme verschiedener Koppelelemente, die selbst wiederum auf
verschiedenen Schichten arbeiten können (z. B. Repeater, Bridges und
Router). Durch diese Konzentration der Netzkoppelkomponenten an einem
Ort ergeben sich Vorteile in der einfacheren Administration des Netzes,
allerdings beeinflußt der Ausfall eines solchen zentralen Hubs auch das
gesamte Netz. Für diesen Fall sind geeignete Vorsorge-Maßnahmen zu
treffen, wie z. B. die redundante Auslegung der Netzkomponenten (siehe
M 6.53 Redundante Auslegung der Netzkomponenten).
Gateway
Ein Gateway verbindet zwei Netze auf der Anwendungsschicht (Schicht 7)
des OSI-Modells. Daher erfüllt er nicht nur die Aufgabe, ein Netzprotokoll zu
konvertieren, sondern auch Daten auf Anwendungsebene zu transportieren,
gegebenenfalls zu modifizieren und unter Sicherheitsgesichtspunkten auszuwerten. Ein typisches Einsatzfeld eines Gateways ist die Kommunikation
von Systemen in einem TCP/IP-Netz mit einem SNA-Host. In diesem Fall
besteht das Gateway aus einer Kombination von Hard- und Software. Es gibt
jedoch auch Gateways, die nur durch Software realisiert sind. Dies sind z. B.
Mail-Gateways, die unterschiedliche Mailformate verstehen und konvertieren
können.

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.14
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.14

Absicherung interner Remote-Zugänge

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Remote-Zugänge bei TK-Anlagen werden für Fernwartungs-, Fernadministrations- und Netzmanagementaufgaben genutzt. Ferner können noch
Remote-Zugänge für die Anlagennutzer (Dial-In-Optionen) existieren.
Grundsätzlich läßt sich zwischen
- einem Remote-Zugang im eigenen TK-Anlagenverbund (interner Zugang)
und
- einem Remote-Zugang aus anderen Netzen (externer Zugang)
unterscheiden.
Beim internen Remote-Zugang wird die Absicherung einer Fernwartung
innerhalb eines TK-Anlagenverbundes betrachtet. Unter Anlagenverbund wird
hierbei eine aus mehreren separaten Anlagenteilen bestehende Gesamtanlage
verstanden, welche über ein eigenes Leitungsnetz miteinander verbunden ist.
Sollte diese Verbindung über öffentliche Vermittlungseinrichtungen geführt
sein, so sind zusätzlich die unter M 5.15 Absicherung externer Remote Zugänge beschriebenen Maßnahmen zu realisieren. Bei Vernetzung über
geschlossene Benutzergruppen innerhalb öffentlicher Netze oder über virtuelle
private Netze (VPN) sollten die Maßnahmen für interne Remote Zugänge und
nach Möglichkeit die mit * gekennzeichneten Punkte aus den Maßnahmen für
externe Remote-Zugänge umgesetzt werden.
Der wichtigste Aspekt bei der Absicherung des internen "Remote-Zuganges"
ist der, Eindringversuche aus externen Netzen wirksam zu unterbinden und
gegebenenfalls auch erkennen zu können. Desweiteren sollen die Zugänge aus
dem eigenen Netz auf die berechtigten Stellen und Personen eingeschränkt
werden können. Je nach Art der Zugangstechnik existieren hierfür
unterschiedliche Methoden.

Absicherung eines internen Remote-Zuganges via Modem
Die nachfolgende Abbildung stellt ein typisches Szenario eines internen
Remote-Zugangs zu einem Fernadministrationsport via Modem dar. Die TKAnlage PBX 1 wird vom Wartungsplatz aus direkt über die V.24-Wartungsschnittstelle administriert. Die TK-Anlage PBX 2 wird vom Wartungsplatz
aus über Modem 1 - PBX 1 - PBX 2 - Modem 2 - V.24-Wartungsschnittstelle
administiert.

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.14
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Bild:

Aufbau einer Fernadministration via Modem

In einem solchem Fall können folgende Maßnahmen zur Abschottung gegenüber Zugängen aus externen Netzen ergriffen werden:
- Keine Amtsberechtigung für den Modemanschluß
Der Modemanschluß, über den der Zugang zum Administrationsport der
Anlage geführt wird, sollte in jedem Fall nicht-amtsberechtigt sein! Diese
Minimalanforderung sollte als erstes überprüft werden. Hiermit wird vermieden, daß das Modem von außerhalb direkt angewählt werden kann.
- Geheimhaltung der Rufnummer des Wartungsports (Modem)
Um Mißbrauch von vornherein zu erschweren, sollte die Rufnummer des
Wartungsapparates nicht in Telefonverzeichnissen veröffentlicht werden.
Ihre Kenntnis sollte den sie unmittelbar benötigenden Personen
vorbehalten bleiben.
- Verwendung von Standleitungen (optional)
Die Verwendung von eigenen Standleitungen für die RemoteVerbindungen, die nicht über Vermittlungseinrichtungen geführt werden,
ist eine der sichersten Methoden, einen externen Zugriff auf die RemoteZugänge zu unterbinden. Da dieses Verfahren in der Regel sehr teuer ist,
wird es nur in Ausnahmefällen Anwendung finden können.
Um sicherzustellen, daß nur die berechtigten Stellen innerhalb des eigenen
Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:
- Bildung geschlossener Benutzergruppen (Closed User Group, CUG)
In einigen TK-Anlagen lassen sich auch anlagenübergreifend CUGs
einrichten. Diese geschlossenen Benutzergruppen stellen eine Art Netz im
Netz dar. Alle benötigten Remote-Zugänge sollten daher mit den jeweils
zugangsberechtigten Stellen in solchen CUGs zusammengefaßt werden.

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.14
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Automatischer Rückruf (Callback)
Die Callback-Option der Modems sollte genutzt werden (vgl. M 5.30 Aktivierung einer vorhandenen Callback-Option). Wird ein PC-Gateway
eingesetzt, so sollte das Callback von dort gestartet werden.
- Beschränkung der Rechte des Remote-Ports (optional)
Sollte die TK-Anlage eine Rechteverwaltung für verschiedene Ports unterstützen, so kann diese genutzt werden, um sicherheitskritische Aktionen
über Remote-Zugänge zu unterbinden und nur vor Ort zuzulassen. Viele
TK-Anlagen besitzen diese Option jedoch nicht. In solchen Fällen können
durch Zusatzprodukte, z. B. Portcontroller, die über einen Port
ausführbahren Transaktionen beschränkt werden.
Um sicherzustellen, daß nur die berechtigten Personen innerhalb des
eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende
Maßnahmen umgesetzt werden:
- Identifikation und Authentisierung,
- Challenge-Response-Verfahren zur Authentikation (optional).

Absicherung eines internen Remote-Zugriffes via ISDN-Vernetzung
Aus Pratikabilitätsgründen bietet es sich teilweise an, die PCs mit Netzmanagementaufgaben mit ISDN-Karten auszurüsten. In einem solchen Fall sollte
eine geschlossene Benutzergruppe gebildet werden. Hierzu kann die Rufnummer des rufenden Teilnehmers genutzt werden (Calling Line Identification and
Presentation, CLIP). Dies könnte vom Endgerät selbst unter Zuhilfenahme der
vom Netz zur Verfügung gestellten Rufnummer des anrufenden Gerätes
(CLIP) realisiert werden.
Absicherung direkter Systemzugänge (Direct Inward System Access,
DISA)
Direkte Systemzugänge sollten nach Möglichkeit gesperrt werden. Ist dies
nicht möglich, so sollten die Berechtigungen so gesetzt werden, daß der
direkte Systemzugang nur über einen dedizierten Port erfolgen kann. Auf
diese Weise wird es möglich, den DISA-Zugang über ein Gateway zu führen.
Ein Beispiel einer solchen Absicherung ist in der folgenden Abbildung
dargestellt:

Abbildung: Absicherung eines direkten Systemzuganges

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.14
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Einrichtung und Unterbringung eines Netzmanagementzentrums
Der Vorteil eines zentralen Netzmanagementes ist, neben einer komfortablen
Abwicklungsmöglichkeit der Systemadministration, daß für die alltäglichen
Administrationsarbeiten kein physikalischer Zutritt zu den TK-Anlagen mehr
notwendig ist.
Sollte die Einrichtung eines zentralen Netzmanagementes erwogen werden, so
ist dies in einem gesicherten Bereich unterzubringen. Der Zutritt zu diesem
Zentrum ist durch organisatorische Maßnahmen zu regeln. Entsprechende
Vorgaben können dem Kapitel 4.3.2 Serverraum entnommen werden. Die
Managementrechner, von welchem die Arbeiten durchgeführt werden können,
sollten auch mit geeigneten Maßnahmen abgesichert werden. Beispiele finden
sich in den Kapiteln 5.1 DOS-PC (ein Benutzer) und 5.2 Unix-System.
Protokollierung von Wartungsmaßnahmen
Die momentane Anlagenkonfiguration, d. h. vergebene Rufnummern und
Berechtigungen, aktivierte und deaktivierte Leistungsmerkmale, eingerichtete
Heranholgruppen etc., muß jederzeit nachvollziehbar sein. Hierzu ist es notwendig, vorgenommene Veränderungen zu protokollieren. Eine elegante
Methode ist die Zwangsprotokollierung mit Hilfe eines PC-Gateways.
Ergänzende Kontrollfragen:
- Ist die externe Fernwartung unterbunden?
- Ist der Remote-Zugang nicht-amtsberechtigt?
- Wer kann von wo aus den Remote-Zugang anwählen?
- Wer hat Zugang zur Fernwartungszentrale?
- Befindet sich die Fernwartungszentrale in einem gesicherten Bereich?
- Werden alle Fernwartungszugriffe und Eingaben protokolliert?

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.15
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.15

Absicherung externer Remote-Zugänge

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Als externer Remote-Zugang wird hierbei jeder Zugriff über den Wartungseingang der TK-Anlage via öffentliche Vermittlungssysteme angesehen. Dies
kann entweder dadurch notwendig werden, daß die einzelnen Anlagen des
Verbundes nicht oder nicht nur1) über Standleitungen verbunden sind oder daß
auf eine schnelle Unterstützung des Herstellers in Notfällen nicht verzichtet
werden kann. In diesen Fällen muß der Wartungsport (Modem) die volle
Amtsberechtigung besitzen.
Die nachfolgende Abbildung stellt ein typisches Szenario eines externen
Remote-Zugangs zur einem Fernadministrationsport via Modem dar. Die TKAnlage wird vom externen Wartungsplatz aus über Modem 1 - öffentliches
Netz - PBX 1 - Modem 2 - V.24-Wartungsschnittstelle administriert.

Abbildung: Aufbau einer externen Fernadministration über Modem
Aus Sicherheitsgründen ist es sinnvoll, auf externe Fernwartung zu verzichten.
Ist dies nicht möglich, so sind - neben den Maßnahmen für interne Remote
Zugänge - zusätzliche Sicherungsmaßnahmen unumgänglich.
PC-Gateway*
Zwischen Wartungsport und Modem sollte ein PC-Gateway geschaltet
werden. Dieser muß die folgenden Sicherheitsfunktionen realisieren:

1)

Einige Anlagen bieten die Möglichkeit, nur die Grundverkehrslast über
Standleitungen abzuwickeln und Lastspitzen automatisch über das öffentliche Netz zu
routen. Dieser Vorgang wird dem Benutzer nicht signalisiert.
*

Diese Maßnahme sollte auch bei interner Fernwartung über virtuelle private Netze
angewandt werden.

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.15
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Identifikation und Authentisierung des Bedieners,
- Abbruch der Verbindung bei sicherheitskritischen Ereignissen,
- Automatischer Rückruf (call back) und
- Protokollierung aller Tätigkeiten.
Darüber hinaus können noch weitere Funktionalitäten implementiert werden:
- Verhängen einer Zeitsperre bei fehlerhaften Zugangsversuchen,
- Sperren der Fernwartung im Normalbetrieb und explizite Freigabe für eine
genau definierte Zeitspanne; dies ist sinnvoll, um in Notfall dem Hersteller
oder einem anderen Wartungsunternehmen einen Eingriff zu ermöglichen,
- Einschränkung der Rechte des Wartungspersonals; über eine auf dem
Wartungs-PC installierte Zusatzsoftware kann der Benutzer in seinem
Handlungsspielraum eingeengt werden, um eine abgestufte Rechteverwaltung zu realisieren,
- "Zwangslogout" bei Leitungsunterbrechung; wird die Verbindung
zwischen Fernwartungsstelle und PC-Gateway auf irgendeine Weise
unterbrochen, so muß der Zugriff auf das System durch ein
"Zwangslogout" beendet werden.
Physikalische Abschaltung des Fernwartungszuganges
Sollte im Normalfall keine Fernwartung benötigt und nur im Bedarfsfall eine
solche ermöglicht werden, so empfiehlt sich die physikalische Abschaltung
des Zuganges. Im Bedarfsfall kann dieser, eventuell nach telefonischer Rücksprache mit dem Hersteller oder der Wartungsfirma, kurzfristig aktiviert
werden.
Geschlossene Benutzergruppen (Closed User Group, CUG)
In öffentlichen ISDN- und X.25-Netzen wird das Leistungsmerkmal der Bildung von CUG angeboten. Auf diese Weise wird für einen Benutzer vom
Netzbetreiber ein virtuelles "Netz-im-Netz" zur Verfügung gestellt. Die
geschlossenen Benutzergruppen können beim Netzbetreiber gegen entsprechende Entgelte beantragt werden.
Alternativ kann überlegt werden, die geschlossenen Benutzergruppen durch
Nutzung der ISDN-Hilfsdienste Calling Line Identification and Presentation
(CLIP) und Connected Line Identification and Presentation (COLP) selbst zu
realisieren. Dies kann, wenn möglich, durch entsprechende Konfiguration der
eigenen TK-Anlage oder aber durch entsprechende Auslegung eines PCGateways geschehen.
Vermeidung bzw. Kontrolle direkter Einwahlmöglichkeiten (Dial-In)
Eine direkte Einwahlmöglichkeit, z. B. aus anderen Netzen über Nachwahl im
Mehrfrequenzwahlverfahren, in die TK-Anlage sollte nach Möglichkeit
unterbunden werden. Solche Verfahren werden oft für den Zugang zu
Serverdiensten genutzt. Sollte ein Unterbinden aus betrieblichen Gründen
nicht vermeidbar sein, so empfiehlt sich das vollständige Aktivieren der
möglichen Schutzmechanismen und eine regelmäßige Kontrolle auf möglichen Mißbrauch.

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.15
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Ist die Fernwartung im Normalfall physikalisch abgeschaltet?
- Von wo aus kann eine Fernwartung durchgeführt werden?
- Ist ein "Callback-Verfahren" realisiert?
- Ist ein PC-Gateway realisiert?
- Sind über Fernwartung vorgenommene Eingaben nachvollziehbar?
- Besteht über Fernwartung Zugriff auf die Protokolldateien?
- Kann der Protokolldrucker über Fernwartung deaktiviert werden?
- Werden erfolglose Login-Versuche protokolliert?
- Wird nach solchen Versuchen die Verbindung abgebrochen?
- Erfolgt ein zwangsweises Logout bei Leitungsunterbrechung?

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.16
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.16

Übersicht über Netzdienste

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Bevor unter Unix mit der Sicherheitsüberprüfung einzelner Netzdienste und
-prozesse begonnen wird, sollte zunächst eine Übersicht darüber erstellt
werden, welche Dienste überhaupt zur Verfügung gestellt werden müssen und
welche Dienste u. U. schon installiert sind. Für letzteres ist es hilfreich, mit
Hilfe des Befehls ps und entsprechenden Optionen eine Liste aller Netzprozesse zu erzeugen. Dann sollte man sich über die Aufgabe von jedem dieser
Prozesse und darüber, wo er mit welchen Optionen gestartet wird, informieren. Häufig geschieht dies in den Dateien /etc/rc, /etc/rc.net, /etc/rc.local, die
beim Booten des Systems gelesen werden.
Besonders wichtig ist der inetd-Daemon, da dieser alle Prozesse, die in der
Datei /etc/inetd.conf aufgeführt sind, starten kann. Auch Konfigurationsdateien wie /etc/services, /etc/protocols, /etc/hosts, /etc/gated.conf und andere
müssen überprüft werden.

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.17
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.17

Einsatz der Sicherheitsmechanismen von NFS

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
NFS (Network File System) erlaubt die gemeinsame Benutzung von Dateien
auf einem Server von allen Rechnern (Clients) aus, die im selben Netz eingebunden sind und auf dem Server die Rechte dazu bekommen haben. Jeder
Server läßt sich auch als Client betreiben und umgekehrt, so daß sichergestellt
werden muß, daß jeder Rechner nur mit der für ihn vorgesehenen Funktionalität arbeitet. So ist es z. B. unnötig, den Mount-Daemon mountd oder den NFSDaemon nfsd auf einem NFS-Client zu starten.
- Auf einem NFS-Server muß in einer Datei (z. B. /etc/exports oder
/etc/dfs/dfstab) jedes Dateisystem bzw. Verzeichnis eingetragen werden,
das von anderen Rechnern gemountet werden können soll. Für sie muß
folgendes gelten:
-

Es sollten nur Dateisysteme exportiert werden, die unbedingt notwendig sind.

-

Mit den Schlüsselwörtern root= und access= lassen sich die Rechner genau spezifizieren, für die Dateisysteme zum Export freigegeben werden sollen. Fehlt die Angabe spezieller Rechner, so ist das
Dateisystem für alle Rechner freigegeben, was auf keinen Fall
geschehen darf!

-

Für Dateisysteme, die nur gelesen werden sollen, und hierzu gehören
alle ausführbaren Dateien, sollte die Option ro (read only) benutzt
werden.

-

Normalerweise wird die Benutzernummer des Systemadministrators
(UID 0) bei NFS-Anfragen auf die Nummer des Benutzers nobody
(UID -2 bzw. 65534) umgesetzt, so daß auf Dateien mit der UID 0
über NFS nicht zugegriffen werden kann. Dies gilt nicht für Dateien,
die anderen privilegierten Benutzern gehören, wie z. B. bin oder
daemon, was auch in Zusammenhang mit der Aufteilung der
Administrationstätigkeiten (M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung) bedacht werden muß, d. h. Dateisysteme mit
Dateien dieser Benutzer dürfen nicht exportiert werden. Da jeder
Rechner im Netz jede IP annehmen kann und z. B. jeder PCBenutzer unter DOS root-Privilegien hat, sollte also die Umsetzung
von root auf nobody nicht abgeschaltet werden, und es sollte sichergestellt werden, daß ein Eintrag nobody:*:-2:-2:anonymous user:: in
der /etc/passwd existiert und wirksam ist. In diesem Zusammenhang
muß auch beachtet werden, daß jeder Benutzer, der auf einem
Netzrechner root-Privilegien hat (z. B. als PC-Benutzer) über NFS
auch jede Gruppenkennung annehmen kann, so daß also kein
exportiertes Verzeichnis und keine exportierte Datei Gruppenschreibrechte besitzen sollte und Lese- und Ausführungsrechte nur,
soweit dies unumgänglich ist. Außerdem sollte beachtet werden, daß
nicht nur einzelne Dateien, sondern alle darüberliegenden Verzeichnisse geschützt werden müssen!

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.17
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

-

Die Option anon=-1 sollte benutzt werden, damit anonyme Anfragen verhindert werden. anon=0 (root) sollte niemals benutzt werden,
da hierdurch jedem Benutzer Dateizugriffe mit root-Rechten
möglich werden.

- In Dateien wie z. B. /etc/fstab oder /etc/vfstab sind die Dateisysteme
eingetragen, die durch einen Befehl wie z. B. mount -a oder mountall
gemountet werden können. Dies kann u. U. auch ohne Rückfrage beim
Booten geschehen. Diese Datei muß deshalb rechtzeitig auf Korrektheit
überprüft werden.
- /etc/exports und /etc/fstab (bzw. analoge Dateien auf anderen Systemen)
sind Systemdateien, auf die nur der Systemadministrator Zugriff haben
darf.
- Zu exportierende Dateisysteme sollten auf einer separaten Platte oder
Partition eingerichtet werden, damit z. B. das unbefugte Vollschreiben der
Systemplatte durch einen Benutzer von einem anderen Rechner aus verhindert wird.
- Beim Mounten exportierter Dateisysteme muß die Option nosuid benutzt
werden, um die Ausführung von suid-Programmen auf dem Client zu verhindern.
- Wenn möglich, sollte der NFS-Daemon so konfiguriert werden, daß er
automatisch eine Überprüfung der Portnummern durchführt, um sicherzustellen, daß Pakete nur von den privilegierten Ports 0 - 1023 akzeptiert
werden.
- Zur Kennzeichnung von Dateien werden zwischen Client und Server
sogenannte File-Handles benutzt, die sich sehr leicht erraten lassen. Sie
sollten deshalb mit Hilfe des Programms fsirand randomisiert werden.
- Wenn vorhanden, sollte SECURE-NFS benutzt werden, so daß die Daten
verschlüsselt übertragen werden. Dabei sind folgende Schritte wichtig:
-

Erzeugung von Schlüsseln für alle NFS-Benutzer,

-

Löschen des public key für den Benutzer nobody,

-

auf dem NIS-Masterserver darf rpc.ypupdated nicht laufen,

-

Übertragung der public key map auf alle Rechner, bevor SECURENFS gestartet wird,

-

Benutzung von keylogin und keylogout zur Erzeugung von private
keys beim Ein- und Ausloggen,

-

auf jedem Client muß der keyserv-Daemon laufen,

-

beim Mounten muß die Option secure benutzt werden,

-

die Uhren auf allen Rechnern müssen synchronisiert werden, da die
übertragenen Pakete mit Zeitmarken versehen werden, um das
Wiedereinspielen von Nachrichten zu verhindern.

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.18
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.18

Einsatz der Sicherheitsmechanismen von NIS

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
NIS (Network Information Service) läßt sich nicht ohne schwerwiegende
Sicherheitslücken betreiben und sollte deshalb nur in einer sicheren
Umgebung eingesetzt werden.
Für einen NIS-Server gilt folgendes:
- In der Paßwortdatei /etc/passwd darf der Eintrag +::0:0::: nicht enthalten
sein, da sonst ein Zugang mit dem Namen ´+´ ohne Paßwort existiert.
Sollte der Eintrag notwendig sein, muß das Paßwort durch ein ´*´ ersetzt
werden (überprüfen, ob der Zugang wirklich gesperrt ist !). Trotzdem
bleibt die Gefahr, daß bei einer versehentlichen Löschung der ersten Spalte
(das ´+´) ein privilegierter Zugang ohne Paßwort und ohne Benutzername
möglich ist!
- Analoges gilt für die Gruppendatei /etc/group und alle anderen
sicherheitsrelevanten Dateien, die über NIS netzweit zugänglich gemacht
werden sollen, wie z. B. /etc/hosts, /etc/group oder /etc/bootparams.
- Der Server-Prozeß ypserv sollte nur Anfragen von vorher festgelegten
Rechnern beantworten.
Für einen NIS-Client gilt folgendes:
- Der Eintrag +:*:0:0::: in der Paßwortdatei /etc/passwd sollte dokumentiert
werden (siehe M 2.31 Dokumentation der zugelassenen Benutzer und
Rechteprofile), und es muß auf jeden Fall ein Eintrag im Paßwortfeld vorhanden sein, damit nicht im Falle einer (beabsichtigten oder nicht
beabsichtigten) Nichtbenutzung von NIS versehentlich ein Zugang mit dem
Benutzernamen ´+´ ohne Paßwort geschaffen wird.
- Analoges gilt für die Gruppendatei /etc/group und alle anderen
sicherheitsrelevanten Dateien, die über NIS netzweit zugänglich gemacht
werden sollen.
- Der Client-Prozeß ypbind sollte nur Daten akzeptieren, die von einem
privilegierten Port kommen, da ansonsten er Daten (auch Paßwörter !) von
jedem beliebigen Prozeß, der sich als Server ausgibt, bekommen könnte.
- Um zu verhindern, daß der NIS-Administrator auf allen NIS-Clients rootRechte hat, sollte auf jedem NIS-Client ein lokaler Benutzer mit der UID 0
eingerichtet werden.
- Es muß beachtet werden, daß NIS zunächst die lokalen Dateien nach passenden Einträgen absucht, so daß z. B. die Einträge
root::0:0:::
+:*:0:0:::
in der /etc/passwd dazu führen, daß nicht das root-Paßwort aus der NISMap benutzt wird, sondern der erste Eintrag ohne Paßwort.

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
36

M 5.19
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.19

Einsatz der Sicherheitsmechanismen von
sendmail

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Da die Übertragung von Mails die wohl am meisten verbreitete Anwendung in
Netzen ist, sind die dafür zuständigen Prozesse von besonderer Bedeutung und
einer der häufigsten Angriffspunkte in einem System. Hinzu kommt, daß diese
Prozesse häufig das suid-Bit gesetzt haben und einem privilegierten Benutzer
gehören (z. B. root oder bin). Ein Fehler in sendmail war z. B. einer der
Wege, über die sich der Internet-Wurm ausgebreitet hat.
- Beim Starten von sendmail lassen sich sehr viele Optionen angeben, die zu
Sicherheitsproblemen führen würden, wenn sie mit root-Rechten abliefen.
Wenn sendmail von beliebigen Benutzern aufgerufen werden kann, sollte
deshalb überprüft werden, ob es beim Start mit einer dieser Optionen das
gesetzte suid-Bit ignoriert und mit der UID des Benutzers abläuft. Um
Sicherheitsprobleme zu vermeiden, sollte der Administrator sicherstellen,
daß sendmail nur mit den folgenden Optionen bei gesetztem suid-root-Bit
von unprivilegierten Benutzern gestartet werden kann: 7, b, C, d, e, E, i, j,
L, m, o, p, r, s und v.
- Aufgrund der in der Vergangenheit aufgedeckten Sicherheitsdefizite des
Programms sendmail muß stets die aktuellste Programmversion eingesetzt
werden. Informationen über die aktuellen Versionen erteilen die in M 2.35
Informationsbeschaffung über Sicherheitslücken des Systems angegebenen
Stellen wie BSI, CERT, DFN-CERT.
- Der sendmail-Prozeß darf nicht im Debug-Modus betrieben werden
können, da es sonst möglich wird, root-Rechte zu erlangen. Man kann dies
testen, indem man den Befehl
telnet localhost 25
eingibt, wobei localhost der zu überprüfende Rechnername sein kann und
25 die Portnummer, mit der der sendmail-Prozeß angesprochen wird. Der
Rechner bzw. der sendmail-Prozeß meldet sich dann mit
Trying 123.45.67.8...
Connected to xxx.yy.de.
Escape character is '^]'.
220 xxx Sendmail 4.1/SMI-4.1 ready at Wed, 13 Apr 94 10:04:43
+0200
Wenn Sie nun den Befehl debug, showq oder bei sehr alten Versionen
wizard eingeben, sollte dies der Prozeß mit
500 Command unrecognized
ablehnen. Sie können dann mit dem Befehl quit die Verbindung wieder
beenden.

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.19
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Die Befehle vrfy und expn dürfen nicht verfügbar sein, da sie zu einem
Mailnamen den zugehörigen Login-Namen ausgeben, so daß sich dann
durch Probieren evtl. das zugehörige Paßwort herausfinden läßt. Bei Version 8 von sendmail lassen sich diese Befehle z. B. durch die Option p
(privacy) beim Starten abschalten. Ob diese Befehle verfügbar sind, läßt
sich wie im vorigen Punkt beschrieben feststellen, also z. B. durch Eingabe
des Befehl vrfy useralias.
- Die Konfigurationsdatei sendmail.cf sollte root gehören und auch nur für
root les- und schreibbar sein. Dasselbe gilt für die darüber stehenden Verzeichnisse, da sich sonst durch ein einfaches Umbenennen dieser Verzeichnisse eine neue sendmail.cf Datei erzeugen läßt.
- Die Angabe von ausführbaren Programmen oder von Dateien als gültige
Adressen für Empfänger oder Absender muß durch die Konfiguration von
sendmail.cf verhindert werden oder durch geeignete Maßnahmen auf
bestimmte, unbedenkliche Programme und Dateien eingeschränkt werden.
- Das F-Kommando (also z. B. FX/path [^#]), mit dessen Hilfe Klassen
definiert werden, sollte in der Konfigurationsdatei (sendmail.cf) nur
benutzt werden, um Dateien zu lesen, die sowieso systemweit lesbar sind,
da es sonst möglich sein kann, daß sicherheitsrelevante Informationen aus
geschützten Dateien frei verfügbar werden. Die Programmform des FKommandos (z. B. FX|/tmp/prg) sollte nicht benutzt werden!
- Bei der Definition des Delivery Agents (z. B. Mlocal) dürfen nur absolute
Pfade angegeben werden (z. B. P=/bin/mail). Außerdem sollte das Flag S
(suid) nur gesetzt werden, wenn die damit evtl. verbundenen Sicherheitsprobleme geklärt sind.
- Jede Datei, in die sendmail schreiben könnte, wie z. B. sendmail.st für eine
Statistik, sollte nur von root beschreibbar sein und auch nur in root gehörenden Verzeichnissen stehen. Dasselbe gilt für Dateien, die von sendmail
ausgewertet werden wie z. B. :include: in Mailing Listen.
- Privilegierte Benutzer wie bin oder root sollten keine .forward Datei besitzen. Sind nämlich die Benutzer- oder Gruppenschreibrechte für diese Datei
falsch gesetzt oder gelingt es einem Benutzer, in eine privilegierte Gruppe
zu gelangen, kann er sich eine Shell mit der privilegierten
Benutzerkennung erzeugen.
Für normale Benutzer sollte die .forward-Datei nur von dem Besitzer
beschreibbar sein und muß sich in einem Verzeichnis befinden, das dem
Besitzer gehört.
Falls ein Heimatverzeichnis systemweit beschreibbar sein muß, wie z. B.
uucp, läßt sich auf folgende Weise verhindern, daß eine schädliche
.forward-Datei angelegt werden kann: Es muß ein Verzeichnis mit dem
Namen .forward, den Rechten 000 und dem Besitzer root angelegt werden
und in diesem eine Datei ebenfalls mit den Rechten 000 und dem Besitzer
root, so daß niemand außer root diese Datei verändern oder löschen kann.
Das Homedirectory von uucp sollte dann ebenfalls root gehören und mit
dem Sticky-Bit (t) versehen sein. Eine analoge Vorgehensweise empfiehlt

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.19
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

sich auch für andere Konfigurationsdateien (z. B. .login, .cshrc) in
systemweit beschreibbaren Verzeichnissen.
- Aus der Alias-Datei sollte jedes ausführbare Programm entfernt werden,
insbesondere auch uudecode. Außerdem sollte die Alias-Datei und die
zugehörige Datenbank root gehören und auch nur für root beschreibbar
sein.
- Es muss beachtet werden, dass jede empfangene Mail verfälscht sein kann.
Dies kann entweder in der Mailqueue geschehen oder durch ein Einloggen
auf Port 25. Ersteres lässt sich vermeiden, wenn das MailqueueVerzeichnis root gehört und die Rechte 0700 besitzt. Die Queue-Dateien
sollten die Berechtigung 0600 haben. Die Veränderung einer Mail während
ihres Transportes lässt sich nicht vermeiden, so dass die Benutzer darüber
aufgeklärt werden müssen, dass z. B. eine Mail von root, in der sie dazu
aufgefordert werden, ihr Passwort zu ändern, gefälscht sein

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.20
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.20

Einsatz der Sicherheitsmechanismen von
rlogin, rsh und rcp

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Mit dem Programm rlogin bzw. dem zugehörigen Daemon rlogind ist es
möglich, sich über eine Netzverbindung auf einem anderen Rechner einzuloggen, wobei allerdings nur das Passwort abgefragt wird, da der Benutzername direkt übergeben wird. Mit den Kommandos rsh bzw. rcp und dem
Daemon rshd ist es möglich, auf einem anderen Rechner ein Kommando ausführen zu lassen. Für beide Befehle gibt es die Möglichkeit, Trusted-Hosts zu
definieren und zwar entweder benutzerspezifisch im Heimatverzeichnis in der
Datei $HOME/.rhosts oder systemweit in der Datei /etc/hosts.equiv. Jeder
Rechner, der in einer dieser Dateien eingetragen ist, wird als vertrauenswürdig
angesehen, so dass ein Einloggen (mit rlogin) bzw. die Ausführung eines
Befehles (mit rsh) von ihm aus ohne Angabe eines Passwortes möglich ist.
Da es, insbesondere von einem PC aus, sehr leicht ist, jeden beliebigen
Rechnernamen vorzutäuschen, muss sichergestellt werden, dass die Dateien
$HOME/.rhosts und /etc/hosts.equiv nicht vorhanden sind oder dass sie leer
sind und der Benutzer keine Zugriffsrechte auf sie hat. Hierzu sollten regelmäßig die Heimatverzeichnisse der Benutzer untersucht werden, oder es sollte
verhindert werden, dass die Daemons rlogind und rshd gestartet werden
können (siehe hierzu die Datei /etc/inetd.conf und Maßnahme M 5.16 Übersicht über Netzdienste). Sollte die Benutzung der Datei /etc/hosts.equiv
unumgänglich sein, muss sichergestellt sein, dass kein Eintrag '+' vorhanden
ist, da hierdurch jeder Rechner vertrauenswürdig würde.

.rhost und host.equiv
nicht verwenden

Als Ersatz für die r-Dienste kann Secure Shell (ssh) genutzt werden, wobei
umfangreiche Funktionen zur sicheren Authentifizierung und zur Wahrung
von Vertraulichkeit und Integrität zum Einsatz kommen (siehe auch M 5.64
Nutzung von Secure Shell). Wenn ssh zum Einsatz kommt, sollten nach Möglichkeit die r-Dienste abgeschaltet werden, damit die Sicherheitsmaßnahmen
nicht umgangen werden können. Dies setzt allerdings voraus, dass alle
Kommunikationspartner über geeignete Implementierungen von ssh verfügen.

Secure Shell als Ersatz
nutzen

_____________________________________________________________________ ..........................................
40

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.21
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.21

Sicherer Einsatz von telnet, ftp, tftp und rexec

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Das Kommando telnet hostname ermöglicht es, sich nach Eingabe eines
Benutzernamens und des zugehörigen Passwortes auf dem Rechner hostname
einzuloggen. Mit ftp ist es möglich, größere Datenmengen zu kopieren, und
rexec erlaubt die Ausführung von Kommandos auf einem anderen Rechner
ohne ein vorhergehendes Anmelden. Bei allen drei Programmen werden die
eingegebenen Benutzernamen und Passwörter unverschlüsselt über das Netz
übertragen, so dass sie nur benutzt werden dürfen, wenn sichergestellt ist, dass
das Netz nicht abgehört werden kann (siehe G 5.7). Alle Aufrufe von telnet,
ftp und rexec sind zu protokollieren. Insbesondere ist auf fehlgeschlagene
Verbindungsversuche von externen IT-Systemen zu achten.

Passwörter im Klartext

Beim Einsatz des Daemons ftpd muss beachtet werden, dass ähnlich wie bei
sendmail (siehe M 5.19 Einsatz der Sicherheitsmechanismen von sendmail)
immer wieder neue schwerwiegende Sicherheitslücken festgestellt werden, die
es u. U. ermöglichen, ohne Passwort Administratorrechte zu bekommen (siehe
hierzu die CERT-Mitteilung CA-94-08 vom 14.04.1994). Es sollten keine ftpVersionen eingesetzt werden, die älter sind als die dort beschriebenen.

Sicherheitslücken in ftpd

Weiterhin sollten in die Datei /etc/ftpusers alle Benutzernamen eingetragen
werden, für die ein ftp-Zugang nicht erlaubt werden soll. Hierzu gehören z. B.
root, uucp und bin. Bei der Einrichtung von neuen Benutzern ist darauf zu
achten, diese in /etc/ftpusers einzutragen, wenn sie gemäß ihrem Rechteprofil
keinen ftp-Zugang haben dürfen (siehe auch M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen).

ftp-Zugang beschränken

Mit Hilfe von .netrc-Dateien werden automatische FTP-Zugriffe auf entfernten IT-Systemen erlaubt. Damit dies möglich ist, enthalten .netrc-Dateien die
benötigten Passwörter. Daher muss sichergestellt werden, dass keine .netrcDateien in den Benutzerverzeichnissen vorhanden sind oder dass sie leer sind
und der Benutzer keine Zugriffsrechte auf diese hat.
Der Einsatz des Daemons tftpd, rexd und rexecd muss verhindert werden
(z. B. durch Entfernen des entsprechenden Eintrags in der Datei
/etc/inetd.conf), oder es muss zumindest sichergestellt sein, dass beim Einsatz
von tftp den Benutzern aus dem Login-Verzeichnis nur eingeschränkte Dateizugriffe möglich sind (siehe auch M 2.32 Einrichtung einer eingeschränkten
Benutzerumgebung). Dies lässt sich überprüfen, indem man Folgendes eingibt:

eingeschränkter Dateizugriff bei tftp

tftp hostname
tftp>get /etc/passwd /tmp/txt
Meldet sich der tftp-Daemon nicht mit einer Fehlermeldung, muss seine
Benutzung verhindert werden.

_____________________________________________________________________ ..........................................
41

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.21
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Muß für den Startvorgang von aktiven Netzkomponenten oder X-Terminals
tftp doch eingesetzt werden, ist dies unbedingt zu dokumentieren und zu
begründen. Außerdem ist beim Einsatz von tftp sicherzustellen, dass der tftpDaemon mit der Option –s verzeichnis gestartet wird. Dabei ist für verzeichnis
das ausschließlich für den Daemon sichtbare Verzeichnis einzusetzen.
Als Ersatz für telnet und rexec kann Secure Shell (ssh) genutzt werden, wobei
umfangreiche Funktionen zur sicheren Authentifizierung und zur Wahrung
von Vertraulichkeit und Integrität zum Einsatz kommen (siehe auch M 5.64
Nutzung von Secure Shell). Durch Tunneling ist es auch möglich, ftp mit
sicherer Verschlüsselung zu betreiben. Wenn ssh zum Einsatz kommt, sollten
daher nach Möglichkeit diese Dienste abgeschaltet werden, damit die Sicherheitsmaßnahmen nicht umgangen werden können. Dies setzt allerdings
voraus, dass alle Kommunikationspartner über geeignete Implementierungen
von ssh verfügen.

Secure Shell als Ersatz
verwenden

Ergänzende Kontrollfragen:
- Wird die Datei /etc/ftpusers regelmäßig aktualisiert?
- Werden Zugriffsversuche über telnet, ftp und rexec protokolliert?
- Wird ssh zur Absicherung eingesetzt?
- Ist tftp deaktiviert?

_____________________________________________________________________ ..........................................
41.1

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.22
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.22

Kompatibilitätsprüfung des Sender- und
Empfängersystems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Verfahrensverantwortlicher
Abhängig vom Grad der Kompatibilität von Empfänger- und Sendersystem
lassen sich Informationen mehr oder weniger zuverlässig per Datenträgeraustausch übertragen. Dabei sind je nach Komplexität auszutauschender Daten
unterschiedliche Anforderungen an die Kompatibilität zu stellen. Vor Einrichtung eines regelmäßigen Datenträgeraustausches sollte daher die Übereinstimmung folgender Eigenschaften überprüft werden, um im Vorfeld Inkompatibilitäten festzustellen und ggf. Abhilfe zu schaffen:
- Physikalisches Lesemedium:
Notwendige Voraussetzung ist die Übereinstimmung der physikalischen
Lesemedien von Empfänger- und Sendersystem. Dabei reicht aber
mechanische Äquivalenz noch nicht aus, denn die Nichtübereinstimmung
von Parametern wie Geschwindigkeit bei Bändern oder Kapazität bei Disketten kann zu Problemen führen.
- Zeichencode (z. B. ASCII oder EBCDIC):
Stimmen Sender- und Empfängersystem im verwendeten Zeichencode
überein, so sind mit Hilfe des physikalischen Lesens einzelne Sektoren/Blöcke im Klartext lesbar, die unzusammenhängend auf dem Datenträger verteilt sein können. Stimmen die verwendeten Zeichencodes nicht
überein, werden die übertragenen Daten falsch interpretiert.
- Formatierung des Betriebs- bzw. Dateisystem des Datenträgers:
Verfügen beide Systeme darüber hinaus über das gleiche Betriebs- und
Dateisystem oder sieht das Empfängerbetriebssystem vor, Formatierungen
anderer Betriebssystem zu lesen (einige Unix-Betriebssysteme können
DOS-Disketten einlesen), dann können alle Dateien, wie sie beim Absender vorlagen, wiederhergestellt werden. Dies ist für Informationen ausreichend, die keiner weiteren Formatierung, wie sie von den meisten Anwendungsprogrammen (z. B. Textverarbeitungsprogrammen) vorgenommen
werden, unterliegen.
- Anwendungssoftware:
Wurden Anwendungsprogramme zur Erzeugung der zu übermittelten
Dateien verwendet, ist auf Versionsgleichheit dieser Programme zu achten, da die Dateiformate evtl. unterschiedlich sein können. Die Versionsgleichheit muss nicht bestehen, wenn die Programmversionen aufwärtsbzw. abwärtskompatibel sind.
- IT-Sicherheitssoftware und IT-Sicherheitsparameter:
Werden darüber hinaus IT-Sicherheitsprodukte oder Schutzmechanismen
bestimmter Anwendungsprogramme (siehe M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen) verwendet, so ist

_____________________________________________________________________ ..........................................
42

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.23
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.23

Auswahl einer geeigneten Versandart für den
Datenträger

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Neben den in M 2.3 Datenträgerverwaltung dargestellten Umsetzungshinweisen sollte sich die Versandart der Datenträger am Gefährdungspotential
orientieren. Hinsichtlich Verfügbarkeit ist die Versandart derart auszuwählen,
daß eine rechtzeitige Zustellung garantiert werden kann. Je mehr Personen mit
der Beförderung befaßt und je länger die Zeiten sind, in denen der Datenträger
unbeaufsichtigt bleibt, desto weniger kann im allgemeinen die Vertraulichkeit
und Integrität garantiert werden. Dementsprechend sind angemessene
Versandarten auszuwählen.
Man kann dabei z. B. zwischen folgenden Versandarten wählen:
- Deutsche Post AG,
- Deutsche Bahn AG,
- Kurierdienste,
- persönlicher Kurier und
- persönliche Übergabe.
Ergänzende Kontrollfragen:
- Orientiert sich die Auswahl der Versandart des Datenträgers an seinem
Schutzbedarf?
- Stehen vertrauenswürdige Transportunternehmen oder Kuriere zur Verfügung?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
44

M 5.24
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.24

Nutzung eines geeigneten Faxvorblattes

Verantwortlich für Initiierung: Leiter Innerer Dienst
Verantwortlich für Umsetzung: Fax-Verantwortlicher, IT-Benutzer
Um einen geordneten und nachvollziehbaren Fax-Austausch zu erzielen, ist
die Nutzung eines standardisierten Faxvorblattes vorzusehen. Damit kann
insbesondere geprüft werden, ob eine erhaltene Faxsendung vollständig
empfangen und ausgedruckt wurde.
Das Faxvorblatt sollte beinhalten:
- Rufnummer des Faxgerätes,
- Name des Absenders (mit Telefonnummer und vollständiger Adresse),
- Telefonnummer eines Ansprechpartners bei Übertragungsproblemen,
- Name des Empfängers (mit Rufnummer des Faxgerätes und ggf. vollständiger Adresse),
- Seitenzahl einschließlich Faxvorblatt,
- ggf. Dringlichkeitsvermerk (evtl. gestuft) und
- Unterschrift des Absenders.
Die Bitte, fehlgeleitete Sendungen weiterzuleiten oder den Absender zu
informieren, ist sinnvoll.
Ergänzende Kontrollfragen:
- Hat das Faxvorblatt alle notwendigen Bestandteile?
- Wird das Faxvorblatt konsequent genutzt?

_____________________________________________________________________ ..........................................
45

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.25
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.25

Nutzung von Sende- und Empfangsprotokollen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Fax-Verantwortlicher, Fax-Poststelle
Bei der Nutzung von Fax-Diensten ist bei der Verwendung von Sende- und
Empfangsprotokollen zwischen herkömmlichen Faxgeräten und Faxservern zu
unterscheiden.
Einsatz eines herkömmlichen Faxgerätes
Listenmäßige Protokolle von Übertragungsvorgängen, die automatisch vom
Faxgerät geführt werden (Kommunikationsjournal), sind regelmäßig auszudrucken. Es bedarf einer Festlegung, wer diese Ausdrucke veranlasst, wo und
wie lange sie aufbewahrt werden und in welcher Weise sie stichprobenartigen
Prüfungen auf Unregelmäßigkeiten unterzogen werden. Auf die Erfordernisse
des BDSG ist Rücksicht zu nehmen. Insbesondere ist der Zugriff Unbefugter
zu verhindern.

Sende- und Empfangsprotokolle regelmäßig
überprüfen

Es sollte zusätzlich ein Faxtagebuch geführt werden, aus dem ersichtlich wird,
wer wann ein Fax an wen versandt hat. Optional kann darüber hinaus ein
Faxeingangsbuch geführt werden.

Führung eines
Faxtagebuchs

Es sei darauf hingewiesen, dass eine weitere Kontrollmöglichkeit besteht,
wenn das Faxgerät an eine moderne TK-Anlage angeschlossen ist. Dann ist es
u. U. möglich, die Gebührendatensätze der Faxnummer in der TK-Anlage
auszuwerten (vgl. auch M 2.40 Rechtzeitige Beteiligung des Personal- /
Betriebsrates).
Einsatz eines Faxservers:
Auch auf Faxservern ist es möglich, die Übertragungsvorgänge zu protokollieren. Diese Protokolle sollten regelmäßig ausgewertet und archiviert
werden. Es bedarf insbesondere der Festlegung von Rahmenbedingungen und
Zuständigkeiten für die Auswertung und Archivierung der Protokolle.

Protokolldateien regelmäßig auswerten

So ist z. B. denkbar, dass die Fax-Poststelle für diese Tätigkeiten zuständig ist,
die Auswertung der Protokolle aber nur im Beisein eines Betriebs- oder
Personalratsmitgliedes bzw. eines Angehörigen der Revision oder des Datenschutzes erfolgen darf. Auch hier gilt, dass die Erfordernisse des BDSG zu
berücksichtigen sind und insbesondere der Zugriff Unbefugter zu verhindern
ist.
Bei der Verwendung von Faxservern ist die manuelle Führung von Fax-Tagebüchern nicht sinnvoll. Vielmehr dürfte die lückenlose Archivierung der
Sende- und Empfangsprotokolle ausreichend sein.
Teilweise besteht auch die Möglichkeit, anfallende Gebührendatensätze für
abgehende Faxsendungen vom Faxserver für eine verursachungsgerechte
Verrechnung zu nutzen.
Ergänzende Kontrollfragen:
- Welche Regelungen gelten für die Überprüfung der Sende- und
Empfangsprotokolle?
- Wo werden die Protokolle archiviert und wer kann darauf zugreifen?
_____________________________________________________________________ ..........................................
46

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.26
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.26

Telefonische Ankündigung einer Fax-Sendung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Vorgesetzte
Verantwortlich für Umsetzung: Fax-Absender
Wichtige Fax-Sendungen mit vertraulichen oder finanzwirksamen Inhalten
(z. B. Angebote) oder termingebundene Fax-Sendungen sollten vor Absendung beim Empfänger (zum Beispiel per Telefon) angemeldet werden. Der
Empfänger hat dann die Möglichkeit, zum entsprechenden Fax-Gerät zu gehen
und dort das für ihn eingehende Fax direkt entgegenzunehmen, so daß kein
anderer das Fax entnehmen kann.
Die Benutzer sollten von Vorgesetzten angewiesen werden, vertrauliche oder
wichtige Fax-Sendungen anzukündigen.
Ergänzende Kontrollfragen:
- Werden wichtige Fax-Sendungen vorher angekündigt?
- Gibt es eine Anweisung, dies zu tun?

_____________________________________________________________________ ..........................................
47

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.27
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.27

Telefonische Rückversicherung über korrekten
Fax-Empfang

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Vorgesetzte
Verantwortlich für Umsetzung: Fax- Absender
Bei wichtigen Fax-Sendungen sollte beim Empfänger nachgefragt werden, ob
die Fax-Sendung vollständig empfangen, ausgedruckt und ihm übergeben
wurde. Die Mitarbeiter sollten hierzu angewiesen werden. Die telefonische
Bestätigung kann auch auf dem Fax-Vordruck erbeten werden.
Hilfreich sind in diesem Zusammenhang die von einigen Fax-Geräten als
Leistungsmerkmal angebotenen Einzelsendeberichte, die Fehler beim Versand
anzeigen können.
Ergänzende Kontrollfragen:
- Gibt es im Unternehmen bzw. in der Behörde Fax-Sendungen, deren korrekter Empfang von besonderer Wichtigkeit ist?
- Wird bei solchen Fax-Sendungen beim Empfänger nachgefragt?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
48

M 5.28
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.28

Telefonische Rückversicherung über korrekten
Fax-Absender

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Vorgesetzte
Verantwortlich für Umsetzung: Fax-Empfänger
Bei wichtigen oder ungewöhnlichen Fax-Sendungen sollte in Erwägung
gezogen werden, sich beim Fax-Absender zu vergewissern, daß das Fax von
ihm abgesandt und nicht von einem Dritten gefälscht wurde. Dies kann auf
einfache Weise durch einen telefonischen Rückruf erfolgen. Die erforderliche
Rufnummer ist i. allg. auf dem Fax-Vorblatt dokumentiert, sollte aber, da sie
gefälscht sein könnte, verifiziert werden.
Ergänzende Kontrollfragen:
- Wird bei wichtigen oder ungewöhnlichen Fax-Sendungen beim Absender
zurückgerufen?

_____________________________________________________________________ ..........................................
49

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.29
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.29

Gelegentliche Kontrolle programmierter
Zieladressen und Protokolle

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fax-Verantwortlicher
Bei programmierbaren Kurzwahltasten oder Zieladressenspeicherung sollte
gelegentlich überprüft werden, ob die gewünschte mit der einprogrammierten
Fax-Nummer übereinstimmt und ob sie noch benötigt wird. Damit wird verhindert, daß eine von einem Unberechtigten eingegebene fremde Fax-Nummer
längere Zeit statt der korrekten Nummer genutzt wird. Außerdem werden
eventuell übersehene Änderungen der gewünschten Zielrufnummern
frühzeitig entdeckt.
Ergänzende Kontrollfragen:
- Werden die gespeicherten Rufnummern sporadisch überprüft?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
50

M 5.30
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.30

Aktivierung einer vorhandenen Callback-Option

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: IT-Benutzer, Administrator
Viele Modems bieten die Option automatischer Rückruf (Callback). Ist diese
Option aktiviert, trennt das Modem, wenn es einen Anruf erhält, sofort nach
dem erfolgreichen Verbindungsaufbau die Leitung und ruft eine voreingestellte Nummer zurück. Dadurch wird verhindert, daß ein nicht autorisierter
Anrufer diesen Modemzugang mißbrauchen kann, solange er nicht unter der
voreingestellten Nummer erreichbar ist. Callback ist immer dann einzusetzen,
wenn ein fester Kommunikationspartner sich automatisch einwählen können
soll. Zu beachten ist, daß mit dem automatischen Rückruf auch die Kosten der
Datenübertragung übernommen werden.
Das erforderliche Kommando ist der Bedienungsanleitung zu entnehmen,
üblicherweise wird das Kommando AT%S benutzt. Vor der Aktivierung der
Callback-Option ist festzulegen, welche Nummer zurückgerufen werden soll.
Manche Modems bieten auch die Möglichkeit, einen automatischen Rückruf
mit einer Paßwortabfrage zu verbinden. Das angerufene Modem fordert dabei
nach dem Verbindungsaufbau das anrufende Modem zu einer Paßworteingabe
auf. Im angerufenen Modem wird die Gültigkeit des Paßwortes überprüft.
Jedem gültigen Paßwort ist eine Rufnummer zugeordnet, die dann zurückgerufen wird. Dabei kann meist eine Liste von Rückrufnummern im lokalen
Modem angelegt werden, so daß von verschiedenen Orten aus Verbindung mit
dem lokalen Modem aufgebaut werden kann.
Es ist darauf zu achten, daß der automatische Rückruf nur auf einer Seite
aktiviert ist, da der Mechanismus sonst in eine Endlosschleife führt. Callback
sollte auf der passiven Seite aktiviert sein, also auf der Seite, von der Dateien
abgerufen oder auf der Dateien eingespielt werden. Ein typisches Beispiel ist
der Außendienstmitarbeiter, der mit einem IT-System in seiner Organisation
in Verbindung treten will. Hier muß Callback auf dem organisationsinternen
Modem aktiviert sein.
Es sollte sichergestellt sein, daß die voreingestellten Rufnummern des Callback sporadisch kontrolliert und aktualisiert werden.
Ein Callback kann außer durch das Modem auch von der Applikation ausgelöst werden. Wenn die eingesetzte Applikation diese Option bietet, sollte das
Callback von der Applikation und nicht vom Modem ausgelöst werden. Wenn
das Modem ein Callback auslöst, kann ein Angreifer versuchen, in dem
Moment, wenn das Modem den Callback starten will, dieses anzuwählen und
damit den Callback abzufangen. Wenn die Applikation den Callback durchführt, ist es für einen Angreifer wesentlich schwieriger, den richtigen Moment
abzupassen.
Ergänzende Kontrollfragen:
- Ist die Kostenübernahme im Callback-Modus geklärt?
- Wann wurden letztmalig die voreingestellten Rufnummern überprüft?

_____________________________________________________________________ ..........................................
51

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.31
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.31

Geeignete Modem-Konfiguration

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: IT-Benutzer, Administrator
Die meisten Modems arbeiten nach dem Hayes-Standard (auch AT-Standard
genannt, da die Kommandos mit "AT" beginnen). Dies ist ein nicht normierter, herstellerabhängiger Standard. Die Basis-Befehlssätze der verschiedenen
Modems stimmen größtenteils überein. Größere Abweichungen gibt es in den
erweiterten Befehlssätzen. Es ist wichtig, den Befehlssatz des eingesetzten
Modems daraufhin zu überprüfen, wie die im folgenden beschriebenen Funktionen umgesetzt sind und ob durch fehlerhafte Konfiguration Sicherheitslücken entstehen können.
Die gewählten Einstellungen sollten im nichtflüchtigen Speicher des Modems
gespeichert werden (siehe auch M 1.38 Geeignete Aufstellung eines Modems).
Außerdem sollten sie auf Papier ausgedruckt werden, so daß sie jederzeit mit
der aktuellen Einstellung verglichen werden können.
Nachfolgend werden einige sicherheitsrelevante Konfigurationen vorgestellt:
Auto-Answer
Über das Register S0 kann eingestellt werden, daß das Modem einen ankommenden Ruf automatisch nach einer einzustellenden Anzahl von Klingelzeichen entgegennimmt. Mit der Einstellung S0=0 wird dies verhindert und
erzwungen, daß Anrufe manuell entgegengenommen werden müssen.
Diese Einstellung sollte gewählt werden, wenn verhindert werden soll, daß
von außen unbemerkt eine Verbindung aufgebaut werden kann. Ansonsten ist
ein Callback-Mechanismus einzusetzen (siehe M 5.30 Aktivierung einer vorhandenen Callback-Option).
Fernkonfiguration des Modems
Manche Modems können so eingestellt werden, daß sie von entfernten
Modems fernkonfiguriert werden können. Es ist darauf zu achten, daß diese
Möglichkeit ausgeschaltet ist.
Zum Problem der Fernwartung über Modems siehe M 5.33 Absicherung der
per Modem durchgeführten Fernwartung.
Paßwortgeschützte Speicherung von (Rückruf-)Nummern
Bei der Speicherung von Telefonnummern oder Rückrufnummern im nichtflüchtigen Speicher des Modems können diese bei vielen Modellen durch ein
Paßwort geschützt werden. Wenn diese Möglichkeit vorhanden ist, sollte sie
genutzt und die Paßwörter entsprechend M 2.11 Regelung des Paßwortgebrauchs gewählt werden. Bei einigen Modems wird nach Eingabe eines
bestimmten Befehls eine Liste der Rufnummern mit den zugehörigen
Paßwörtern angezeigt. Daher sollte der Zugang zum Modem nur befugten
Personen möglich sein (vgl. M 1.38 Geeignete Aufstellung eines Modems).
Ergänzende Kontrollfragen:
- Ist den für das Modem verantwortlichen Mitarbeitern der komplette
Befehlssatz des Modems bekannt?
- Ist die Modem-Konfiguration dokumentiert?

_____________________________________________________________________ ..........................................
52

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.32
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.32

Sicherer Einsatz von Kommunikationssoftware

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: IT-Benutzer, Administrator
Die Sicherheit des Rechnerzugangs über Modem hängt entscheidend von der
eingesetzten Kommunikationssoftware ab.
Fast jede Kommunikationssoftware bietet die Möglichkeit, Telefonnummern
und andere Daten von Kommunikationspartnern zu speichern. Dies sind
personenbezogene Daten, die entsprechend geschützt werden müssen.
Paßwörter für den Zugang auf andere Rechner oder Modems sollten nicht in
der Kommunikationssoftware gespeichert werden, auch wenn das komfortabel
erscheinen mag. Jeder, der Zugang zum IT-System und der Kommunikationssoftware hat, kann dann unter fremdem Benutzernamen Zugang in
andere Systeme erlangen (siehe auch M 1.38 Geeignete Aufstellung eines
Modems und M 2.8 Vergabe von Zugriffsrechten).
Etliche Kommunikationsprogramme bieten die Möglichkeit, die Datenübertragung im Hintergrund und damit unbeobachtet laufen zu lassen, z. B. unter
Windows. Dies sollte nur bei vertrauenswürdigen Kommunikationspartnern
genutzt werden, da hierbei ein Kommunikationspartner die Dateiübertragung
abbrechen und u. U. andere Daten als abgesprochen vom oder zum lokalen
Rechner übertragen könnte. Damit könnten beispielsweise Computer-Viren
auf den lokalen Rechner eingeschleust oder vertrauliche Daten kopiert
werden. Es gibt außerdem auch Übertragungsprotokolle, die eine VollduplexÜbertragung, also gleichzeitiges Senden und Empfangen zulassen. Solche
Übertragungsprotokolle sollten nur mit vertrauenswürdigen Kommunikationspartnern benutzt werden, da dies einer Datenübertragung im Hintergrund entspricht.
Verfügt die Kommunikationssoftware über eine Paßwortabsicherung oder
über Protokollierungsfunktionen, muß sie aktiviert werden.
Ergänzende Kontrollfragen:
- Werden Paßwörter in der Kommunikationssoftware gespeichert?
- Sind dem IT-Benutzer die Risiken der Datenübertragung im Hintergrund
bekannt?

_____________________________________________________________________ ..........................................
53

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.33
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.33

Absicherung der per Modem durchgeführten
Fernwartung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Fernwartung von IT-Systemen über ein Modem birgt besondere Sicherheitsrisiken. Aus Sicherheitsgründen ist es sinnvoll, auf externe Fernwartung
zu verzichten. Ist dies nicht möglich, so sind zusätzliche Sicherungsmaßnahmen unumgänglich.
Das zu wartende IT-System einschließlich des eingesetzten Modems muß die
folgenden Sicherheitsfunktionen realisieren:
- Der Aufbau der Verbindung für eine Fernwartung sollte immer vom lokalen IT-System initiiert werden. Dies kann durch Anruf des zu wartenden
IT-System bei der Fernwartungsstelle oder über einen automatischen
Rückruf (Callback) realisiert werden.
- Das externe Wartungspersonal muß sich zu Beginn der Wartung authentisieren. Werden dabei Paßwörter unverschlüsselt übertragen, sollten
Einmalpaßwörter benutzt werden (siehe M 5.34 Einsatz von Einmalpaßwörtern).
- Alle Tätigkeiten bei der Durchführung der Fernwartung müssen auf dem zu
wartenden IT-System protokolliert werden.
Darüber hinaus können am zu wartenden IT-System noch weitere Funktionalitäten implementiert werden:
- Verhängen einer Zeitsperre bei fehlerhaften Zugangsversuchen,
- Sperren der Fernwartung im Normalbetrieb und explizite Freigabe für eine
genau definierte Zeitspanne,
- Einschränkung der Rechte des Wartungspersonals; das Wartungspersonal
sollte nicht die vollen Administrator-Rechte besitzen; bei DOS-PCs sollte
über eine Zusatzsoftware eine abgestufte Rechteverwaltung realisiert
werden; bei Unix-Systemen ist außerdem M 2.33 Aufteilung der Administrationstätigkeiten unter Unix zu beachten, bei PC-Netzen M 2.38 Aufteilung der Administrationstätigkeiten,
(Das Wartungspersonal sollte nur auf die Daten und Verzeichnisse Zugriff
haben, die aktuell von der Wartung betroffen sind.)
- auf dem IT-System sollte für das Wartungspersonal eine eigene Benutzerkennung existieren, unter der möglichst alle Wartungsarbeiten durchgeführt werden,
- wird die Verbindung zur Fernwartungsstelle auf irgendeine Weise unterbrochen, so muß der Zugriff auf das System durch einen "Zwangslogout"
beendet werden.
Die Fernwartung sollte lokal durch IT-Experten beobachtet werden. Auch
wenn die Fernwartung eingesetzt wird, weil intern das Know-How oder die
Kapazität nicht verfügbar ist, kann das Wartungspersonal nicht unbeaufsich-

_____________________________________________________________________ ..........................................
54

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.33
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

tigt gelassen werden (siehe auch M 2.4 Regelungen für Wartungs- und Reparaturarbeiten). Bei Unklarheiten über die Vorgänge sollte der lokale ITExperte sofort nachfragen. Es muß jederzeit die Möglichkeit geben, die
Fernwartung lokal abzubrechen.
Werden während der Wartung Daten oder Programme auf dem lokalen ITSystem angelegt, so muß dies deutlich erkennbar und nachvollziehbar sein,
also z. B. darf dies nur in besonders markierten Verzeichnissen oder unter
bestimmten Benutzerkennungen erfolgen.
Entsprechend M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen sind auch mit externem
Wartungspersonal vertragliche Regelungen über die Geheimhaltung von
Daten zu treffen. Insbesondere ist festzulegen, daß Daten, die im Rahmen der
Wartung extern gespeichert wurden, nach Abschluß der Arbeiten sorgfältig
gelöscht werden. Ebenso sind die Pflichten und Kompetenzen des externen
Wartungspersonals sorgfältig festzulegen.
Ergänzende Kontrollfragen:
- Von wo aus kann eine Fernwartung durchgeführt werden?
- Ist ein "Callback-Verfahren" realisiert?
- Sind die beschriebenen Sicherheitsfunktionen realisiert?
- Sind über Fernwartung vorgenommene Eingaben nachvollziehbar?
- Besteht über Fernwartung Zugriff auf die Protokolldateien?
- Werden erfolglose Login-Versuche protokolliert?
- Wird nach solchen Versuchen die Verbindung abgebrochen?
- Erfolgt ein zwangsweises Logout bei Leitungsunterbrechung?

_____________________________________________________________________ ..........................................
55

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.34
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.34

Einsatz von Einmalpaßwörtern

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
In Netzen, in denen Paßwörter unverschlüsselt übertragen werden, können
diese relativ einfach abgehört werden. Außerdem können Implementierungsoder Protokollfehler in Betriebssystemen und Applikationssoftware dazu
führen, daß auch verschlüsselte Paßwörter kompromittiert werden können.
Daher empfiehlt sich die Verwendung von Einmalpaßwörtern, also Paßwörtern, die nach einmaligem Gebrauch gewechselt werden müssen. Einmalpaßwörter können software- oder hardwaregestützt erzeugt werden.
Bei der Verwendung von Einmalpaßwörtern muß der Benutzer das Einmalpaßwort auf dem lokalen IT-System oder über ein Token generieren oder aus
einer Liste einlesen, die vom entfernten IT-System generiert worden ist und
die sicher aufzubewahren ist. Das entfernte IT-System muß dann das Einmalpaßwort verifizieren.
Für den Einsatz von Einmalpaßwörtern können z. B. Public-Domain-Programme wie OPIE bzw. S/Key benutzt werden. OPIE (One-time Passwords in
Everything) ist die Public-Domain-Weiterentwicklung von S/Key, das
mittlerweile als kommerzielles Produkt vertrieben wird.
S/Key benutzt im Gegensatz zu OPIE noch standardmäßig den MD4-Algorithmus zum Erzeugen und Verifizieren der Einmalpaßwörter. Wegen der
bekannten Schwachstellen des MD4-Algorithmus sollte der im Lieferumfang
enthaltene MD5-Algorithmus benutzt werden.
OPIE bzw. S/Key bestehen aus einem Programmteil auf dem Server zum
Verifizieren der eingegebenen Paßwörter und einem Programmteil auf dem
IT-System des Benutzers. Ein Benutzer bekommt beim Login auf dem entfernten IT-System nach Eingabe seines Benutzernamens die Sequenznummer
des einzugebenden Einmalpaßwortes und eine Kennung angezeigt. Mit diesen
beiden Angaben und einem geheimzuhaltenden Paßwort berechnen OPIE
bzw. S/Key auf dem lokalen IT-System das Einmalpaßwort für diese Sitzung.
Steht dem Benutzer zur Berechnung der Einmalpaßwörter lokal kein Programm zur Verfügung, kann vom entfernten System eine Liste mit Einmalpaßwörtern erzeugt werden, die dann entsprechend sicher zu verwahren ist.
Einmalpaßwörter können auch über Token erzeugt werden, die die Generierung übernehmen. Dies können entweder Chipkarten oder taschenrechnerähnliche Geräte sein. Der Benutzer muß sich zunächst gegenüber dem
Token authentisieren. Nach erfolgter Benutzerauthentisierung authentisiert
sich dann entweder der Token selbständig gegenüber dem Server oder er zeigt
dem Benutzer an einem Display das am Client einzugebende Einmalpaßwort
an.
Nachdem immer mehr sensible Informationen nur durch Paßwörter vor
Fremdzugriff geschützt sind, kommt Einmalpaßwortsystemen und hardwarebasierten Authentifikationsmethoden ein wachsender Stellenwert zu. Wo der
Einsatz von softwarebasierten Einmalpaßwortsystemen wie OPIE auf
Akzeptanzprobleme stößt, sollten hardwarebasierte Systeme eingesetzt

_____________________________________________________________________ ..........................................
56

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.34
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

werden. Viele hardwarebasierte Systeme bieten darüber hinaus auch die
Möglichkeit, "Single-Sign-On"-Lösungen aufzubauen. Über "Single-SignOn"-Verfahren wird erreicht, daß sich Benutzer nicht an jedem IT-System mit
einem anderen Paßwort ausweisen müssen, sondern daß sie sich auch bei
großen heterogen Netzen ausschließlich am ersten benutzten IT-System
authentisieren müssen, das diese Informationen dann an alle weiteren ITSysteme weiterreicht.
Durch hardwarebasierte Einmalpaßwortsysteme werden außerdem viele der
unter M 2.11 Regelung des Paßwortgebrauchs aufgeführten Regelungen, die
die einzelnen Benutzer beachten müssen, überflüssig, da dies von den
Einmalpaßwortsystemen übernommen wird.
Ergänzende Kontrollfragen:
- Werden in den eingesetzten Netzen Paßwörter unverschlüsselt übertragen?
- Werden Einmalpaßwörter eingesetzt?

_____________________________________________________________________ ..........................................
57

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.35
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.35

Einsatz der Sicherheitsmechanismen von UUCP

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Das im Standardumfang von Unix-Systemen enthaltene und ebenfalls für
andere Betriebssysteme verfügbare Programmpaket UUCP (Unix-to-Unix
Copy) erlaubt den Datenaustausch zwischen IT-Systemen und die Ausführung
von Kommandos auf entfernten IT-Systemen. Voraussetzung ist lediglich die
Kompatibilität der uucico-Programme auf den beiden beteiligten Systemen.
UUCP ist stark verbreitet, auch wenn seine Bedeutung zurückgegangen ist z.
B. durch die Möglichkeit, Rechner über ISDN mittels TCP/IP zu verbinden.
UUCP wird in der Regel zum Austausch von E-Mail und News zwischen
Rechnern benutzt (uucp). Es ermöglicht auch das Einloggen (cu) und das
Ausführen von Programmen (uux) auf fremden Rechnern.
Es gibt verschiedene UUCP-Varianten: Neben der Implementation von Peter
Honeyman, David Nowitz und Brian E. Redman von 1983 (HoneyDanBer
UUCP) werden auch häufig das ursprüngliche UUCP-System der AT&T
UNIX Version 7, dessen zweite Version aktuell ist (diese UUCP-Implementation wird daher auch Version 2 UUCP genannt) oder das Tahoe-UUCP (das
mit BSD 4.3 ausgeliefert wurde) eingesetzt.
Die eingesetzte UUCP-Variante kann an den Dateien im Verzeichnis
/usr/lib/uucp (auf einigen Systemen /etc/uucp) erkannt werden: Bei Version 2
UUCP findet sich hier die Datei L.sys, beim HoneyDanBer UUCP die Datei
Systems.
Version 2 UUCP hat gravierende Sicherheitsprobleme (Fehler in uucico,
Gefahr fehlerhafter Konfiguration durch die komplizierte Form der sicherheitsrelevanten Administrationsdateien). Sie sollte daher nicht benutzt werden,
stattdessen sollte das HoneyDanBer UUCP eingesetzt werden.
Allgemein sollten folgende Sicherheitsfragen beim Einsatz von UUCP
bedacht werden:
- Die Administration von UUCP setzt eine intensive Beschäftigung mit den
Konfigurationsmöglichkeiten und den zugehörigen Dateien voraus. Es muß
berücksichtigt werden, daß es zwischen den UUCP-Paketen der verschiedenen Unix-Derivate Abweichungen geben kann, auch wenn diese auf
dem HoneyDanBer UUCP basieren.
- Für die Administration der UUCP-Dateien, -Programme und -Verzeichnisse gelten dieselben Anforderungen wie für die Administration von
Systemdateien und -verzeichnissen (siehe M 2.25 Dokumentation der
Systemkonfiguration, M 2.31 Dokumentation der zugelassenen Benutzer
und Rechteprofile, M 4.19 Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen).
- Auf den meisten Systemen gibt es einen Benutzer namens uucp. Diesem
Benutzer gehören die UUCP-Dateien, -Programme und -Verzeichnisse. Es
ist sicherzustellen, daß dieser Account ein Paßwort gemäß den Vorgaben
der Maßnahme M 2.11 Regelung des Paßwortgebrauchs hat.

_____________________________________________________________________ ..........................................
58

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.35
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Das Heimatverzeichnis für den Benutzer uucp darf nicht das öffentliche
Verzeichnis /usr/spool/uucppublic sein, sondern ein eigenes, auf das nur
der Benutzer uucp Zugriff hat.
- Für jedes IT-System, das sich per UUCP am lokalen IT-System anmelden
können soll, muß in der /etc/passwd eine eigene Benutzerkennung und ein
Paßwort eingetragen werden. Als UID darf nicht die des Benutzers uucp
gewählt werden, sondern für jedes entfernte IT-System eine beliebige
individuelle UID.
- UUCP-Paßwörter werden bei Kommunikationsanforderungen unverschlüsselt übertragen und sind in der entsprechenden UUCP-Konfigurationsdatei für Anforderungen an entfernte Rechner unverschlüsselt gespeichert. Je nach Anwendung und Umgebung (insbesondere bei Benutzung
von Weitverkehrsnetzen) sind entsprechende Sicherheitsmaßnahmen wie
z. B. der Einsatz von Einmalpaßwörtern zu ergreifen.
Für die Benutzung von UUCP müssen verschiedene Konfigurationsdateien
eingerichtet werden. Alle Einstellungen sollten dokumentiert und Abweichungen der im folgenden vorgeschlagenen Einstellungen kurz begründet
werden, damit später nachvollziehbar ist, wozu diese Änderung notwendig
war.
Die Verwaltung der folgenden Dateien muß besonders sorgfältig gehandhabt
werden, da sie sicherheitskritische Informationen enthalten. Sie befinden sich
im Verzeichnis /usr/lib/uucp bzw. /etc/uucp). Auf diese Verzeichnisse darf nur
der Benutzer uucp schreibenden Zugriff haben.
- Systems: Diese Datei enthält die für einen Verbindungsaufbau mit entfernten IT-Systemen benötigten Informationen. Hier können für jedes einzelne
IT-System die Zeiträume festgelegt werden, in denen die Übertragung per
UUCP zugelassen ist. Diese Zeiträume sind möglichst eng zu fassen. Die
Datei enthält außerdem die Telefonnummern und Login-Sequenzen der ITSysteme, zu denen per UUCP eine Verbindung aufgebaut werden kann.
Auf Systems darf nur der Eigentümer uucp lesenden Zugriff haben, da hier
auch die Paßwörter für die entfernten IT-Systeme eingetragen sind.
- Permissions: Hier werden Zugriffsrechte für entfernte Systeme festgelegt.
Bei Auslieferung sind in Permissions keine IT-Systeme eingetragen, d. h.
über UUCP sind keine Zugriffe möglich. Für jeden Rechner, der anrufen
und sich einloggen darf, und für jeden Rechner, der angerufen werden darf,
müssen hier Einstellungen zur Festlegung der jeweilig notwendigen
Zugriffsrechte und anderer Bedingungen vorgenommen werden. Die
Zugriffsrechte für die IT-Systeme, die vom lokalen IT-System angerufen
werden, werden unter den auf MACHINE folgenden Einträgen spezifiziert,
die für die anrufenden IT-System unter den auf LOGNAME folgenden.
Durch Ausnutzung dieser Konfigurationsmöglichkeiten kann die Sicherheit
beachtlich erhöht werden.
Mit dem Kommando uucheck -v sollten die in der Datei Permissions
gesetzten Optionen regelmäßig überprüft werden. Die Optionen sollten wie
folgt gesetzt sein:
REQUEST

_____________________________________________________________________ ..........................................
59

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.35
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Diese Option sollte auf NO (Default-Wert) gesetzt sein, um
entfernten Systemen das Lesen lokaler Dateien zu verbieten.
COMMANDS
Hier darf auf keinen Fall ALL eingetragen sein, es dürfen nur
die Kommandos zugelassen werden, die nötig sind wie rnews
oder rmail. Die Kommandos sollen mit vollem Pfadnamen
angegeben werden.
WRITE/READ
Wenn diese Optionen nicht angegeben sind, ist der schreibende bzw. lesende Zugriff ausschließlich auf das Verzeichnis
/usr/spool/uucppublic möglich.
Falls hiermit Verzeichnisse angegeben werden, auf die zugegriffen werden darf, ist zu dokumentieren, auf welche und
warum. Auf keinen Fall darf hier das Root-Verzeichnis oder
das Verzeichnis, in dem sich die UUCP-Konfigurationsdateien befinden, eingetragen sein.
NOWRITE/NOREAD
Hiermit werden Ausnahmen zu den mit WRITE/READ festgelegten Optionen festgelegt. Verzeichnisse mit sensitivem
Inhalten sollten hier generell aufgeführt werden. Dann kann
nicht dadurch, daß das Setzen von Restriktionen vergessen
wird, von entfernten IT-Systemen auf solche Verzeichnisse
zugegriffen werden, wenn darüberliegende Verzeichnisse über
READ/WRITE freigegeben werden.
PUBDIR
Hiermit kann statt /usr/spool/uucppublic ein anderes öffentliches UUCP-Verzeichnis angegeben werden. Bei UUCPKommunikation mit mehreren IT-Systemen sollte hier für
jedes IT-System ein eigenes UUCP-Verzeichnis angegeben
werden.
CALLBACK
Wenn CALLBACK auf YES gesetzt ist, muß das lokale ITSystem das anrufende IT-System zurückrufen, bevor ein
Datenaustausch stattfinden kann. Dies macht natürlich nur für
LOGNAME Einträge Sinn. Es sollte zwischen den Kommunikationspartnern abgesprochen sein, welche einen CALLBACK aktiviert.
MYNAME
Wenn MYNAME=name gesetzt ist, identifiziert sich das
lokale System beim Aufbau einer UUCP-Verbindung beim
entfernten System nicht mit dem Rechnernamen, sondern mit
name. Diese Möglichkeit sollte benutzt werden, um sich mit
einem Namen identifizieren zu können, der nur speziell für

_____________________________________________________________________ ..........................................
60

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.35
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

diese Verbindung benutzt wird und daher nicht so leicht herausgefunden werden kann.
VALIDATE
Wenn VALIDATE=namen gesetzt ist, können nur die unter
namen aufgeführten IT-Systeme über die unter LOGNAME
angegebenen Systemnamen eine Verbindung aufbauen. Bei
dieser Option muß unbedingt ein Eintrag vorhanden sein, da
sonst ein entferntes IT-System eine Maskerade durchgeführt
werden könnte, indem über MYNAME ein anderer Rechnername vorgespiegelt wird.
SENDFILES
Hier sollte die Voreinstellung (SENDFILE=CALL) beibehalten werden, da dann lokal in der Queue befindliche Aufträge
nur nach extern übertragen werden, wenn das lokale ITSystem die Verbindung aufgebaut hat.
- Die Datei /usr/lib/uucp/remote.unknown des HoneyDanBer UUCP wird
ausgeführt, wenn ein unbekanntes, also ein nicht in der Datei Systems eingetragenes IT-System einen Verbindungsaufbau versucht. Es protokolliert
den Versuch und weist ihn ab. Wenn remote.unknown nicht ausführbar ist,
geht das lokale IT-System auf alle Verbindungsanforderungen entfernter
IT-Systeme ein. Es muß daher darauf geachtet werden, daß
remote.unknown stets ausführbar ist. remote.unknown ist je nach UnixSystem als ausführbares Shellskript oder als C-Programm realisiert. Falls
remote.unknown auf dem lokalen IT-System als Shellskript realisiert ist,
sollte es aus Sicherheitsgründen durch ein Programm ersetzt werden. Sonst
besteht die Gefahr, daß ein anrufendes IT-System ein Kommando wie "cat
< /etc/passwd" als Systemnamen einträgt, das dann zur Ausführung gelangen kann.
- Für UUCP gibt es einige Cleanup-Shellskripte, die automatisch über den
crontab-Dämon ausgeführt werden. Dies darf nicht von root iniitiert
werden, wie es auf vielen Systemen üblich ist, sondern muß durch den
Benutzer uucp erfolgen.
Bei der Benutzung von UUCP werden automatisch verschiedene Protokollierungsdateien angelegt. Beim HoneyDanBer UUCP finden sich diese in Unterverzeichnissen von /usr/spool. Hier werden erfolgreiche und abgelehnte Verbindungsversuche festgehalten, die gesendeten und empfangenen Datenmengen, Fehlermeldungen und Datentransferstatistiken. Diese Protokollierungsdateien müssen regelmäßig ausgewertet werden (siehe auch M 4.25
Einsatz der Protokollierung im Unix-System).

_____________________________________________________________________ ..........................................
61

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.35
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wurde der Administrator im Umgang mit UUCP geschult?
- Sind Handbücher über UUCP vorhanden?
- Welche UUCP-Variante wird eingesetzt?
- Sind die Einstellungen der Konfigurationsdateien dokumentiert?
- Werden die UUCP-Protokollierungsdateien regelmäßig ausgewertet?

_____________________________________________________________________ ..........................................
62

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.36
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.36

Verschlüsselung unter Unix und Windows NT

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: IT-Benutzer, Administrator
Bei der Übertragung von Nachrichten über ein Netz sollten sich alle
Kommunikationspartner darüber im Klaren sein, dass unverschlüsselte Nachrichten während ihres gesamten Weges unbemerkt gelesen, geändert bzw.
abgefangen werden können. Daher ist zu überlegen, ob die Nachrichten verschlüsselt und / oder digital signiert werden sollten.

Verschlüsselung
und/oder digitale
Signaturen

In vielen Unix-Systemen stehen Verschlüsselungsprogramme wie crypt zur
Verfügung, bei anderen sind die Verschlüsselungsprogramme beim Export aus
den USA entfernt worden.
Unter Windows NT und Unix stehen verschiedene Verschlüsselungsprogramme von kommerziellen Software-Anbietern zur Verfügung. Darüber
hinaus können auch viele Public-Domain-Programme für Unix, DOS und
Windows, wie z. B. das weiter unten genannte Programm PGP auch unter
Windows NT eingesetzt werden.

Public-Domain-Programme nutzen

Zur Verschlüsselung von Nachrichten stehen u. a. mehrere Public-DomainVerschlüsselungsprogramme betriebssystemübergreifend zur Verfügung:
DES ist ein einfaches Verschlüsselungsprogramm, das auf dem gleichnamigen
Algorithmus basiert. Zum Entschlüsseln der Nachricht muss der Empfänger
denselben Schlüssel verwenden, den der Sender zum Verschlüsseln benutzt
hat.
PGP (Pretty Good Privacy) ist ein verbreitetes Verschlüsselungsprogramm,
das auf den Algorithmen RSA (für das Schlüsselmanagement) und IDEA (zur
Datenverschlüsselung) basiert. Mit PGP können Nachrichten zum einen verschlüsselt und zum anderen zum Schutz vor Veränderungen mit einer digitalen
Signatur versehen werden (siehe auch M 5.63 Einsatz von PGP).
Die Unix-Sourcen von PGP sind beispielsweise von dem FTP-Server
ftp.de.uu.net (192.76.144.75) oder dem Mailserver archive-server@de.uu.net
beziehbar.
Die Unix-Standard-Editoren ed, ex und vi können in einem Verschlüsselungsmodus benutzt werden, so dass Texte direkt bei der Erstellung verschlüsselt
werden. Dabei wird i. allg. das Verschlüsselungsprogramm crypt benutzt. Es
ist darauf zu achten, dass der Schlüssel nie als Argument für den Kommandoaufruf benutzt wird, da er sonst, z. B. mit dem Kommando ps, ausgespäht
werden kann.

Schlüssel nicht als Argument von Programmen
übergeben

Viele Mailprogramme enthalten ebenfalls Optionen zur Verschlüsselung der
Nachrichten. Hier ist zu überprüfen, welche Verfahren zur Verschlüsselung
eingesetzt werden. In vielen Fällen werden hier nur leicht zu brechende
Verfahren eingesetzt. Die Benutzung solcher Verschlüsselungsverfahren
erhöht auf jeden Fall den Schutz der Nachricht, es sollte aber überlegt werden,
höherwertige Verfahren wie DES oder RSA einzusetzen.

leicht zu brechende
Verfahren vermeiden

_____________________________________________________________________ ..........................................
63

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.36
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Die Sicherheit der Verschlüsselung hängt von drei verschiedenen Punkten
zentral ab:
- Der verwendete Verschlüsselungsalgorithmus muss so konstruiert sein,
dass es ohne Kenntnis des verwendeten Schlüssels nicht möglich ist, den
Klartext aus dem verschlüsselten Text zu rekonstruieren. Nicht möglich
bedeutet dabei, dass der erforderliche Aufwand zum Brechen des Algorithmus bzw. zum Entschlüsseln in keinem Verhältnis steht zum dadurch
erzielbaren Informationsgewinn.

Klartext nicht
rekonstruierbar

- Der Schlüssel ist geeignet zu wählen. Nach Möglichkeit sollte ein
Schlüssel zufällig erzeugt werden. Wenn es möglich ist, einen Schlüssel
wie ein Passwort zu wählen, sollten die diesbezüglichen Regeln aus M 2.11
Regelung des Passwortgebrauchs beachtet werden.

Schlüssel geeignet
wählen

- Der verschlüsselte Text und die Schlüssel dürfen nicht zusammen auf
einem Datenträger gespeichert werden. Dies kann einfach dadurch erreicht
werden, dass der Schlüssel schriftlich fixiert und anschließend wie eine
Scheckkarte im Portemonnaie aufbewahrt wird. Werden die Schlüssel auf
Disketten gespeichert, so sollten die Disketten getrennt vom IT-System
aufbewahrt werden.

Chiffrat und Schlüssel
trennen

Ergänzende Kontrollfragen:
- Werden die Benutzer im Umgang mit den Verschlüsselungsprodukten
geschult?
- Welche Verschlüsselungsverfahren werden eingesetzt?
- Werden Daten und Schlüssel getrennt aufbewahrt?

_____________________________________________________________________ ..........................................
64

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.37
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.37

Einschränken der Peer-to-Peer-Funktionalitäten
bei Nutzung von WfW, Windows 95 oder
Windows NT in einem servergestützten Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Werden Windows für Workgroups, Windows 95 oder Windows NT als
Benutzeroberfläche in einem servergestützten LAN eingesetzt, so kann damit
neben dem servergestützten Netz ein Peer-to-Peer-Netz betrieben werden.
Damit werden neben den im Client-Server-Netz (CS) angebotenen Kommunikationsmöglichkeiten neue geschaffen, die auf dem Server (CS) nicht protokolliert werden.
In einer solchen Konstellation ist der Parallelbetrieb der beiden Netzstrukturen
nicht sinnvoll, da die gewünschte Funktionalität im allgemeinen vom
servergestützten LAN übernommen werden kann. Daher sollte in einem
servergestützten LAN auf eine Installation der Peer-to-Peer-Funktionalität
ganz verzichtet werden. Der Administrator sollte im Einzelfall entscheiden, ob
für bestimmte angeschlossene WfW-, Windows 95- und Windows NTRechner die Peer-to-Peer-Funktionalitäten "Dateifreigabe" und "Netz-DDEFreigabe" freigeschaltetet wird. Die "Druckerfreigabe" kann hingegen in vielen Fällen eine sinnvolle Ergänzung sein.
Unter Windows NT können nur Administratoren Ressourcen zum Netzzugriff
(unter Verwendung des Datei-Managers bzw. Explorers) freigeben. Vor einer
derartigen Freigabe ist zu prüfen, ob sie mit den festgelegten Sicherheitsstrategien (siehe auch M 2.67 Festlegung einer Sicherheitsstrategie für das
Peer-to-Peer-Netz und M 2.91 Festlegung einer Sicherheitsstrategie für das
Windows NT Client-Server-Netz) zu vereinbaren ist.
Ergänzende Kontrollfragen:
- Wer hat entschieden, ob Peer-to-Peer-Funktionen in einem servergestützten Netz zum Einsatz kommen sollen?

_____________________________________________________________________ ..........................................
65

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.38
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.38

Sichere Einbindung von DOS-PCs in ein UnixNetz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement,
Administrator
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
DOS-PCs können auf verschiedene Arten in Unix-Netze eingebunden werden.
PCs haben im allgemeinen schlechtere Sicherheitsmechanismen als UnixSysteme. Jeder, der Zugang zu einem PC hat, kann diesen administrieren, also
z. B. Einstellungen ändern oder Software einspielen.
Durch Einspielen entsprechender Software kann ein vernetzter PC zum Abhören des Netzes benutzt werden. Daher dürfen nur autorisierte Benutzer Zugang
zu einem PC haben (siehe auch M 1.23 Abgeschlossene Türen und M 2.6
Vergabe von Zutrittsberechtigungen). Weiterhin muß sichergestellt werden,
daß nicht unkontrolliert Software eingespielt werden kann und dies auch
regelmäßig kontrolliert werden (siehe auch M 2.9 Nutzungsverbot nicht
freigegebener Software und M 2.10 Überprüfung des Software-Bestandes).
Außerdem ist es leicht möglich, durch eine Konfigurationsänderung des PCs
jede beliebige Rechnerkennung vorzutäuschen und damit eine Maskerade
durchzuführen. Daher dürfen bei der Benutzung von RPC auf dem Unix-Server keine Trusted Hosts definiert sein. Trusted Hosts sind Systeme, die als
vertrauenswürdig angesehen werden und von denen aus ein Einloggen (mit
rlogin) bzw. die Ausführung eines Befehles (mit rsh) ohne Angabe eines
Paßwortes möglich ist. Dies wird über die Dateien $HOME/.rhosts und
/etc/hosts.equiv auf dem Unix-Server festgelegt. Es muß sichergestellt werden,
daß die Dateien $HOME/.rhosts und /etc/hosts.equiv nicht vorhanden oder
daß sie leer sind und der Benutzer keine Zugriffsrechte auf sie hat (siehe auch
M 5.20 Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp).
Wenn PCs über NFS an ein Unix-Netz angebunden sind, sind die folgenden
Punkte zu beachten:
- Auf einem NFS-Server muß in einer Datei (z. B. /etc/exports oder
/etc/dfs/dfstab) jedes Dateisystem bzw. Verzeichnis eingetragen werden,
das von anderen Rechnern gemountet werden können soll. Dort werden
auch die Zugriffsrechte der NFS-Clients auf die freigegebenen Dateisysteme festgelegt. Bei der Benutzung von NFS muß auf dem Unix-Server
darauf geachtet werden, daß nur die Verzeichnisse zum Mounten freigegeben sind, bei denen dies unbedingt erforderlich ist.
- Damit über NFS keine root-Rechte erlangt werden können, darf auf dem
Unix-Server kein root-Zugang für exportierte Dateisysteme gewährt
werden, wie dies über die Option -root= möglich wäre. Auf keinen Fall
darf hiermit einem PC root-Zugang gewährt werden.
- Beim Kopieren von Dateien von einem PC auf ein Unix-System über NFS
oder ftp kann es sein, daß die Attribute zu freizügig gesetzt sind. Es ist zu
überprüfen, ob dies der Fall ist und gegebenenfalls die umask entsprechend
abzuändern.

_____________________________________________________________________ ..........................................
66

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.38
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Computerviren treten hauptsächlich auf DOS-PCs auf. Bei der Vernetzung
von PCs mit Unix-Systemen können sich Viren über die Weitergabe von
infizierten Programmen von PC zu PC verbreiten. Daher sind hier die selben
Maßnahmen zu treffen wie beim Austausch von Programmen über Datenträger oder per DFÜ (siehe auch M 4.3 Regelmäßiger Einsatz eines VirenSuchprogramms). Während File-Viren nur innerhalb einer DOS-Emulation
eine Bedrohung darstellen, gefährden Viren, die den Boot-Sektor von Intelbasierenden Systemen wie PCs verändern, u. U. auch Unix-Systeme auf IntelPlattformen. Daneben geht die größte Gefahr von Computerviren für UnixSysteme von PCs aus, die über NFS Verzeichnisse von einem Unix-System
gemountet haben. Viren, die auf einem PC Dateien oder Verzeichnisse
löschen oder verändern, können auch auf gemountete Verzeichnisse zugreifen
und diese zerstören. Daher sind bei der Freigabe von Verzeichnisse zum
Mounten die Zugriffsrechte möglichst restriktiv zu vergeben, insbesondere
sollte durch Einsatz der Option ro (read only) auf Verzeichnisse nur lesender
Zugriff gewährt werden. Außerdem sollten die Benutzer unter Unix die Attribute ihrer Dateien und Verzeichnisse möglichst restriktiv setzen, z. B. so daß
andere Benutzer nicht darauf zugreifen können oder so daß kein der schreibende Zugriff auf Dateien, die nicht regelmäßig verändert werden, möglich
ist. Dies sollte über umask entsprechend voreingestellt werden.
Ergänzende Kontrollfragen:
- Sind NFS-Verzeichnisse mit zu weitgehenden Rechten versehen?
- Sind die Netzzugänge genügend geschützt (organisatorisch oder technisch)?
- Sind die RPC-Konfigurationsdateien richtig eingestellt?

_____________________________________________________________________ ..........................................
67

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.39
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.39

Sicherer Einsatz der Protokolle und Dienste

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Die folgenden kurzen Beschreibungen der am häufigsten im Internet verwendeten Protokolle und Dienste sollen als Hinweis dienen, welche Informationen
von diesen Protokollen übertragen werden und somit für eine Filterung durch
eine Firewall zur Verfügung stehen. Desweiteren ist kurz beschrieben, welche
Randbedingungen beim Einsatz der verschiedenen Protokolle und Dienste zu
beachten sind.
Bei einer TCP/IP Kommunikation baut in der Regel ein Client-Prozeß von
einem zufälligen Port mit einer Portnummer > 1023 eine Verbindung zu
einem Server-Prozeß mit einer Portnummer < 1024 (well-known-port) auf.
Die Ports mit einer Nummer < 1024 werden auch als privilegierte Ports
bezeichnet, da sie nur von Prozessen mit Root-Berechtigung benutzt werden
dürfen. Diese Einschränkung, daß Ports < 1024 nur von Prozessen mit RootBerechtigung benutzt werden dürfen, ist aber nur eine Konvention, die auch
umgangen werden kann. Daher darf in einem Sicherheitskonzept nicht vorausgesetzt werden, daß tatsächlich alle IT-Systeme ihre privilegierten Ports
auf diese Weise schützen. Auch wenn z. B. mit FTP auf die Ports 20 oder 21
zugegriffen wird, darf dies also nicht als sichere Verbindung angesehen
werden.
IP
Das Internet Protocol (IP) ist ein verbindungsloses Protokoll. Ein IP-Header
enthält u. a. zwei 32-Bit Adressen (IP-Nummern) für Ziel und Quelle der
kommunizierenden Rechner.
Da die IP-Nummern nicht durch kryptographische Verfahren geschützt
werden, können sie nur in ganz bestimmten Topographien zur Authentisierung
benutzt werden, also nur wenn sichergestellt ist, daß die Adressen nicht
geändert werden können. Beispielsweise dürfen Pakete, die von außen
kommen, aber als Quelladresse eine Adresse aus dem zu schützenden Netz
haben, von der Firewall nicht durchgelassen werden.
ARP
Das Address Resolution Protocol (ARP) dient dazu, zu einer 32-Bit großen
IP-Adresse die zugehörige 48-Bit große Hardware- oder Ethernet-Adresse zu
finden. Falls in einer internen Tabelle des Rechners kein entsprechender Eintrag gefunden wird, wird ein ARP-Broadcast-Paket mit der unbekannten IPNummer ausgesandt. Der Rechner mit dieser IP-Nummer sendet dann ein
ARP-Antwort-Paket mit seiner Hardware-Adresse zurück. Da die ARP-Antwort-Pakete nicht manipulationssicher sind, können sie nur in ganz bestimmten Topographien verwendet werden (s. o.).
ICMP
Das Internet Control Message Protocol (ICMP) hat als Protokoll der Transportschicht die Aufgabe, Fehler- und Diagnoseinformationen für IP zu trans-

_____________________________________________________________________ ..........................................
68

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.39
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

portieren. Es wird intern von IP, TCP oder UDP angestoßen und verarbeitet
und kann auf der Benutzerebene durch den Befehl ping verwendet werden.
Die Meldung Destination Unreachable wird z. B. erzeugt, wenn ein Rechner
oder ein Netz nicht erreichbar ist, und kann dazu mißbraucht werden, alle Verbindungen zwischen den beteiligten Rechnern zu unterbrechen.
Die Meldung Redirect wird ausgesandt, wenn ein Gateway erkennt, daß das
Paket direkt an ein anderes Gateway geschickt werden kann, also bisher ein
Umweg benutzt wurde. Der kürzere Weg wird dann in die Routingtabelle des
Absenders eingetragen. Dieses kann mißbraucht werden, um unerwünschte
Routen zu konfigurieren.
Die Firewall muß sicherstellen, daß diese Meldungen nicht durch die Filter
durchgelassen werden. Bei den anderen Meldungen ist abzuwägen, ob die
nach außen gelieferte Information für einen Angriff mißbraucht werden kann.
Routing Protokolle
Routing Protokolle wie RIP (Routing Information Protocol) oder OSPF (Open
Shortest Path First) dienen dazu, Veränderungen der Routen zwischen zwei
vernetzten Systemen an die beteiligten Systeme weiterzuleiten und so eine
dynamische Änderung der Routingtabellen zu ermöglichen. Es ist leicht möglich, falsche RIP-Pakete zu erzeugen und somit unerwünschte Routen zu
konfigurieren. Dynamisches Routing sollte also nur in ganz bestimmten Topographien angewendet werden (s. o.).
TCP
Das Transmission Control Protocol (TCP) ist ein verbindungsorientiertes Protokoll der Transportschicht. Die Korrektheit der Übertragung wird durch
Sequenznummern, Prüfsummenbildung mit Empfangsquittung, Quittung mit
Zeitüberwachung und einer Segmentübertragungswiederholung nach Quittungszeitablauf sichergestellt. Der Header enthält u. a. zwei 16-Bit Portnummern, die zur Identifikation der Kommunikationsendpunkte dienen und die
über eine standardisierte Zuordnung (well-known-ports) mit den Diensten der
Anwendungsschicht verbunden sind. Da sie nicht durch kryptographische
Verfahren geschützt werden, können sie nur in ganz bestimmten Topographien zur Authentisierung benutzt werden (s. o.).
Das erste bei einem Verbindungsaufbau übertragene Paket ist i. d. R. das
einzige, welches ohne ein gesetztes Bestätigungsflag (ACK) übertragen wird.
Auf diese Weise ist eine Unterscheidung zwischen Verbindungsaufbau- und
Datenübertragungsphase möglich. Die Firewall muß zwischen ACK und
ACK-losen Paketen unterscheiden können, also ob ein Verbindungsaufbau
stattfindet oder eine bestehende Verbindung benutzt wird.
UDP
Das User Datagram Protocol (UDP) ist ein verbindungsloses Protokoll der
Transportschicht. Es gibt keine Transportquittungen oder andere Sicherheitsmaßnahmen für die Korrektheit der Übertragung. Der Header enthält u. a.
zwei 16-Bit Portnummern (siehe TCP), die unabhängig von denen beim TCPProtokoll benutzten Portnummern sind. Da sie nicht durch kryptographische

_____________________________________________________________________ ..........................................
69

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.39
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Verfahren geschützt werden, können sie nur in ganz bestimmten Topographien zur Authentisierung benutzt werden.
Da in der Protokolldefinition keine Unterscheidung zwischen einem Verbindungsaufbau und einer Datenübertragung vorgesehen ist, muß diese Unterscheidung von der Firewall übernommen werden. Es muß eine Kontrolle über
den Zustand der Verbindung möglich sein, und es muß möglich sein, die
Zugehörigkeit eines Paketes zu einer Verbindung eindeutig festzustellen.
Dies kann z. B. erreicht werden, indem bei einem UDP-Verbindungsaufbau
der Zielport gespeichert und temporär freigegeben wird, Antwortpakete nur zu
diesem Port durchgelassen werden und nach der Beendigung der Verbindung
der Port wieder gesperrt wird.
Telnet
Das Telnet-Protokoll erlaubt einem Benutzer, eine Terminalsitzung auf einem
entfernten Rechner durchzuführen und definiert hierzu virtuelle Ein- und Ausgabe-Einheiten (Network Virtual Terminals), zwischen denen Verbindungsparameter ausgehandelt werden müssen.
Um mit dem Kommando Telnet auf einen anderen Rechner zugreifen zu können, muß auf diesem der Telnet-Daemon laufen. Standard-Port für eine
Telnet-Sitzung ist der Port 23. Andere Portnummern lassen sich als Parameter
angeben, wodurch auch eine Verbindung zu anderen Server-Prozessen hergestellt werden kann.
Da Telnet vollständigen Zugang zu einem Remote-Host für einen Benutzer
ermöglicht, muß dieser Zugang durch eine starke Authentisierung geschützt
werden.
Es wird häufig unterschieden zwischen einfacher und starker Authentisierung.
Bei einfacher Authentisierung werden einfache Paßwortverfahren benutzt, bei
denen das Paßwort im Klartext übertragen wird und somit nicht vor Mithören
geschützt ist. Im Gegensatz dazu werden bei starker Authentisierung schwerer
zu manipulierende Verfahren eingesetzt, die z. B. auf dem Einsatz von
Einmalpaßwörter oder dem Besitz von Chipkarten basieren.
Bei Telnet besteht die Gefahr, daß sich ein Angreifer auf dem Übertragungsweg in eine autorisierte Telnet-Verbindung eingeschaltet hat, z. B. um
sicherheitsrelevante Informationen abzuhören oder um eigene Befehle in die
Telnet-Verbindung einzugeben. Daher sollte eine verschlüsselte Übertragung
möglich sein.
FTP
Das File Transfer Protocol (FTP) ermöglicht den Austausch von Dateien zwischen entfernten Rechnern.
Bei Benutzung von FTP werden zwei Verbindungen aufgebaut, wobei die
Kommandos über Port 21 übertragen werden und die Daten über Port 20. Um
den Austausch von Befehlen zwischen Rechnern verschiedener Betriebssysteme zu ermöglichen, definiert FTP eine Reihe von Standardbefehlen.
Diese sind nicht identisch mit den Kommandos der Benutzeroberfläche. Der
FTP-Client übersetzt die Kommandos der Benutzeroberfläche in die ent-

_____________________________________________________________________ ..........................................
70

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.39
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

sprechenden Standardbefehle. Für die Firewall sind die Standardbefehle
relevant, da nur diese tatsächlich über TCP/IP übertragen werden.
Während der Client die Kommandoverbindung zum Port 21 des Servers aufbaut, ist der Server für den Aufbau des Datenkanals von seinem Port 20 zu
einem Port (> 1023) des Clients verantwortlich. Dies stellt eine Sicherheitslücke dar, da sich Angreifer als Server ausgeben könnten. Daher sollte der
Verbindungsaufbau umgekehrt stattfinden und seitens des Clients der Standardbefehl PASV statt PORT verwendet werden. Hierdurch wird erreicht, daß
der Server eine zufällige Portnummer berechnet und auf diesem Port die
Datenübertragung erwartet. Der Client kann dann eine Verbindung zu diesem
Port aufbauen, der TCP-Verbindungsaufbau findet also vom zu schützenden
ins externe Netz statt.
Alle Befehle, die Dateien oder Verzeichnisse manipulieren oder lesen (CWD,
CDUP, RETR, STOR, DELE, LIST, NLIST), müssen an eine entsprechende
Rechteverwaltung gekoppelt sein. Zugriffe nicht vertrauenswürdiger Benutzer
werden damit auf bestimmte Dateien eingeschränkt oder ganz unterbunden.
Dies setzt einen starken Authentisierungsmechanismus voraus.
Auch der Befehl SYST, mit dem ein Client nach der Betriebssystemversion des
Servers fragt, sollte an eine Rechteverwaltung gekoppelt sein bzw. für nicht
vertrauenswürdige Benutzer gesperrt werden.
Ferner muß es möglich sein, die Übertragung der Dateien, der Verzeichnisinformationen und der Paßwörter zu verschlüsseln.
SMTP
Das Simple Mail Transfer Protocol (SMTP) ist ein einfaches Protokoll für die
Übertragung der elektronischen Post im Internet, das aus wenigen Kommandos besteht.
Mit den Befehlen VRFY und EXPN können interne Informationen abgerufen
werden, daher sollte die Verwendung dieser Befehle nur innerhalb des
geschützten Netzes erlaubt werden. Für nicht vertrauenswürdige Benutzer sind
VRFY und EXPN zu sperren. Die Firewall sollte in der Lage sein, SMTPVerbindungen zwischen vertrauenswürdigen Benutzern zu verschlüsseln.
Sinnvoll ist dies aber nur dann, wenn ein starker Authentisierungsmechanismus benutzt wird.
DNS
Der Domain Name Service (DNS) dient zur Umsetzung von Rechnernamen in
IP-Nummern und umgekehrt und stellt ferner Informationen über im Netz
vorhandene Rechnersysteme zur Verfügung. Die übertragenen Informationen
werden nicht durch kryptographische Verfahren geschützt, so daß durch
gefälschte Daten Spoofing-Angriffe möglich sind. Dies sollte insbesondere bei
DNS-Antworten aus dem Internet berücksichtigt werden.
Um auf Rechner eines Netzes zuzugreifen, benötigt ein Eindringling zunächst
deren Adressen, die er entweder durch blindes Probieren oder einfacher durch
Auswertung der DNS-Informationen erhalten kann. Mittels der Adresse kann
der Eindringling dann beispielsweise eine Adressfälschung (IP-Spoofing) vor-

_____________________________________________________________________ ..........................................
71

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.39
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

nehmen, indem er vortäuscht, daß sein Rechner zum zu schützenden Netz
gehört, und Pakete an das Netz schickt.
Prinzipiell muß beachtet werden, daß alle von DNS zur Verfügung gestellten
Informationen mißbraucht werden können. Wie eine Firewall konfiguriert sein
muß, um vor den Gefährdungen beim Einsatz von DNS zu schützen, ist in
Maßnahme M 2.77 Sichere Anordnung weiterer Komponenten beschrieben.
NNTP
Das Network News Transfer Protocol (NNTP) wird für die Übertragung von
Newsartikeln benutzt.
Die Firewall muß in der Lage sein, den Transport bestimmter Newsgruppen
ganz zu verhindern oder nur für einige Rechner zuzulassen. Es muß sichergestellt werden, daß beim Versenden eigener News keine Informationen über
das zu schützende Netz (z. B. die Rechnernamen) ins externe Netz gelangen.
HTTP
Das Hypertext Transfer Protokoll (HTTP) wird für die Übertragung von Daten
zwischen WWW-Clients und WWW-Servern benutzt. Es werden vier Operationen unterstützt: Connection, Request, Response und Close.
Die Firewall muß in der Lage sein, die Befehle eines HTTP-Paketes zu analysieren und durch Filter einzuschränken. So muß es z. B. möglich sein, bei der
Request-Operation die Ausführung des Befehls POST und die damit verbundene Änderung einer Datei zu verbieten. Die Filter müssen benutzerabhängig
(mit Hilfe einer starken Authentisierung) und rechnerabhängig unterscheidbar
sein.
Die übertragenen Daten müssen nach ihrer Art unterschieden werden können,
und es muß möglich sein, spezielle Dateitypen auf bestimmte Informationen
zu untersuchen. Sollten für die Verarbeitung der übertragenen Daten weitere
Prozesse nötig sein (z. B. ein externer Viewer oder eine Shell), muß es möglich sein, die Ausführung dieser Prozesse vorher vom Benutzer bestätigen zu
lassen.
Weitere Dienste: X11, BSD-"r-Dienste", NFS, NIS, TFTP
Diese Dienste sollten nicht über eine Firewall hinweg eingesetzt werden (siehe
dazu auch G 4.11 Fehlende Authentisierungsmöglichkeit zwischen NIS-Server
und NIS-Client, G 4.12 Fehlende Authentisierungsmöglichkeit zwischen XServer und X-Client bzw. die Maßnahmen
- M 5.17 Einsatz der Sicherheitsmechanismen von NFS
- M 5.18 Einsatz der Sicherheitsmechanismen von NIS
- M 5.19 Einsatz der Sicherheitsmechanismen von sendmail
- M 5.20 Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp
- M 5.21 Sicherer Einsatz von telnet, ftp, tftp und rexec

_____________________________________________________________________ ..........................................
72

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.40
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.40

Sichere Einbindung von DOS-PCs in ein Windows NT Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
DOS-PCs können auf verschiedene Arten in Windows NT Netze eingebunden
werden, beispielsweise über TCP/IP oder die Peer-to-Peer-Funktionalitäten
von Windows für Workgroups. Im Vergleich zu Windows NT Systemen
verfügen DOS-PCs jedoch über weniger Sicherheitsmechanismen. Jeder, der
Zugang zu einem PC hat, kann diesen administrieren, also z. B. Einstellungen
ändern oder Software einspielen.
Durch Einspielen entsprechender Software kann ein vernetzter PC zum Abhören des Netzes benutzt werden. Daher dürfen nur autorisierte Benutzer Zugang
zu einem PC haben (siehe auch M 1.23 Abgeschlossene Türen und M 2.6
Vergabe von Zutrittsberechtigungen). Weiterhin muß sichergestellt werden,
daß nicht unkontrolliert Software eingespielt werden kann, und dies muß auch
regelmäßig kontrolliert werden (siehe auch M 2.9 Nutzungsverbot nicht freigegebener Software und M 2.10 Überprüfung des Software-Bestandes).
Außerdem ist es leicht möglich, durch eine Konfigurationsänderung des PCs
jede beliebige Rechnerkennung vorzutäuschen und damit eine Maskerade
durchzuführen.
Computer-Viren treten hauptsächlich auf DOS-PCs auf. Bei der Vernetzung
von PCs mit Windows NT Systemen können sich Computer-Viren über die
Weitergabe von infizierten Programmen von PC zu PC verbreiten. Daher sind
hier dieselben Maßnahmen zu treffen wie beim Austausch von Programmen
über Datenträger oder per DFÜ (siehe auch M 4.3 Regelmäßiger Einsatz eines
Viren-Suchprogramms). Während File-Viren nur dann eine Bedrohung
darstellen, wenn sie in der Lage sind, unter Windows NT ausführbare Dateien
so zu verändern, daß diese ausführbar bleiben, gefährden Computer-Viren, die
den Boot-Sektor von Intel-basierenden Systemen wie PCs verändern, u. U.
auch Windows NT Systeme auf Intel-Plattformen, indem sie diese in einen
nicht mehr startbaren Zustand versetzen. Dies kann durch eine Änderung der
Bootreihenfolge vermieden werden (vgl. M 4.3 Regelmäßiger Einsatz eines
Viren-Suchprogramms).
Daneben geht die größte Gefahr von Computer-Viren für Windows NT Systeme von PCs aus, die Zugriff auf zum Netzzugriff freigegebene Verzeichnisse
des Windows NT Systems haben. Computer-Viren, die auf einem PC Dateien
oder Verzeichnisse löschen oder verändern, können auch auf freigegebene
Verzeichnisse eines Windows NT Systems zugreifen und diese zerstören.
Daher sind bei der Freigabe von Verzeichnissen zum Netzzugriff die Zugriffsrechte möglichst restriktiv zu vergeben; insbesondere sollte auf freigegebene
Verzeichnisse nach Möglichkeit nur lesender Zugriff gewährt werden.
Generell sollten die Benutzer unter Windows NT die Attribute ihrer Dateien
und Verzeichnisse möglichst restriktiv setzen, z. B. so daß andere Benutzer
nicht darauf zugreifen können oder daß kein schreibender Zugriff auf Dateien,

_____________________________________________________________________ ..........................................
73

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.40
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

die nicht regelmäßig verändert werden, möglich ist. Dies sollte über die Funktionen der Zugriffskontrolle entsprechend voreingestellt werden (siehe auch
M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnissen unter Windows NT). Durch diese Maßnahme wird ein hinreichender
Schutz aller auf dem Server abgelegten Dateien erreicht, der vom DOS-PC
nicht unterlaufen werden kann.
Falls auf dem PC Windows für Workgroups oder Windows 95 installiert ist,
sind außerdem noch die Gefährdungen zu betrachten, die durch die Benutzung
der Peer-to-Peer-Funktionalitäten entstehen können (siehe Kapitel 6.3 Peer-toPeer-Netz). Als besonderes Problem ist hierbei die Paßwortspeicherung
hervorzuheben. Paßwörter werden hier in Dateien der Form
[anmeldename].pwl gespeichert. Dort werden sie zwar verschlüsselt abgelegt,
können aber mit verschiedenen Programmen ausgelesen werden. Ist es unbedingt notwendig, daß sich ein Benutzer von WfW oder Windows 95 aus an
einem Windows NT System anmeldet, sind die Hinweise aus M 4.46 Nutzung
des Anmeldepaßwortes unter WfW und Windows 95 zu beachten. Administratoren müssen auf jeden Fall darauf achten, daß keine Kennwortliste angelegt
wird.
Ergänzende Kontrollfragen:
- Sind freigegebene Verzeichnisse mit zu weitgehenden Rechten versehen?
- Sind die Netzzugänge
technisch)?

genügend

geschützt

(organisatorisch

oder

_____________________________________________________________________ ..........................................
74

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.41
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.41

Sichere Konfiguration des Fernzugriffs unter
Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Über RAS (Remote Access Service) können sich Benutzer von entfernten ITSystemen mit lokalen Windows NT Systemen verbinden. Dafür muß auf dem
entfernten IT-System der RAS-Client und auf dem lokalen IT-System, das die
Fernverbindung annimmt, der RAS-Server installiert sein. Diese Benutzer
können über RAS so arbeiten, als wären sie direkt mit dem Netz verbunden.
Die entfernten Clients verwenden dabei Standardprogramme, um auf
Ressourcen zuzugreifen. Mit Hilfe des Datei-Managers bzw. Explorers
werden beispielsweise Netzlaufwerke und Drucker verbunden. Diese Verbindungen sind permanent, d. h. Benutzer müssen Verbindungen zu Netzressourcen während ihrer Sitzung nicht erneut aufbauen. Als Clients werden die
Systeme Windows NT, Windows 95, WfW, MS-DOS und OS/2 unterstützt.
Der Benutzer baut eine Verbindung zum RAS-Server mit Hilfe eines lokalen
Modems, X.25 oder einer ISDN-Karte auf. Der RAS-Server, der auf einem
Windows NT Server ausgeführt wird, authentisiert den Benutzer und bedient
die Sitzungen, bis diese durch den Benutzer oder den Netzadministrator beendet werden. Alle Dienste, die normalerweise einem mit einem LAN verbundenen Benutzer zur Verfügung stehen (Datei- und Druckfreigabe, Datenbankzugriff und Benachrichtigung), sind über die RAS-Verbindung möglich.
Der Zugriff auf RAS wird aus dem Pool sämtlicher Windows NT Benutzerkonten gewährt. Mit Hilfe des Benutzer-Managers können einem einzigen
Benutzer, einer Benutzergruppe oder sämtlichen Benutzern die Einwählberechtigung ins lokale Netz erteilt werden. Weiterhin bietet die RAS-Verwaltung eine Option, die den Zugriff auf alle Ressourcen ermöglicht, auf die der
RAS-Host im Netz zugreifen kann, bzw. nur auf die lokal auf dem Computer
vorhandenen Ressourcen. Dann nutzen die Anwender ihre Domänenanmeldung zum Herstellen der Verbindung über RAS. Wurde die Zugriffsberechtigung des Benutzers vom RAS geprüft, kann er die lokalen Ressourcen
oder, falls ihm die Berechtigung dazu erteilt wurde, die Ressourcen in der
ganzen Domäne sowie in den vertrauten Domänen nutzen.
Über das Challenge Handshake Authentication Protocol (kurz CHAP)
vermittelt der Remote Access Server die sicherste der angebotenen Formen
verschlüsselter Zugriffsberechtigung, die sowohl vom Server als auch vom
Client unterstützt wird. CHAP ermöglicht dem RAS-Server die abwärts
gerichtete Aushandlung vom sichersten Verschlüsselungsmechanismus bis
zum unsichersten Verfahren mit Klartextübertragung und schützt die in
diesem Prozeß übertragenen Kennwörter.
CHAP läßt den Einsatz diverser Verschlüsselungsalgorithmen zu. RAS arbeitet insbesondere mit dem kryptographischen Protokoll MD5. RAS greift für
die Authentisierung auf DES-Verschlüsselung zurück, wenn sowohl der Client
als auch der Server mit RAS arbeiten. Windows NT, Windows für
Workgroups sowie Windows 95 handeln bei der Datenkommunikation untereinander immer die DES-verschlüsselte Echtheitsbestätigung aus. Bei Verbindung mit externer RAS-Server- oder Client-Software ist eine Echtheits-

_____________________________________________________________________ ..........................................
75

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.41
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

bestätigung mit SPAP oder unverschlüsseltem Text möglich, falls das externe
Produkt keine verschlüsselte Echtheitsbestätigung unterstützt.
MD5, ein Verschlüsselungsschema, das von diversen PPP-Implementationen
für verschlüsselte Echtheitsbestätigungen eingesetzt wird, kann vom Microsoft
RAS-Client ausgehandelt werden, wenn eine Verbindung zu anderern RASServern besteht.
PAP arbeitet mit einfachen, unverschlüsselten Kennwörtern und hat damit als
für Echtheitsbestätigungen verantwortliches Protokoll am wenigsten zu bieten.
Dieses Protokoll wird normalerweise ausgehandelt, wenn die externe
Arbeitsstation und der Server sich nicht auf eine Verschlüsselungsform einigen können, die mehr Sicherheit bietet.
Das RAS-Verschlüsselungsprotokoll sollte gemäß der folgenden Tabelle in
Abhängigkeit vom zu erreichenden Schutzbedarf so gewählt werden, daß
mindestens das dort angegebene Protokoll verwendet wird. Dies kann bedeuten, daß bei hohen Sicherheitsanforderungen die Verwendung von Clients, die
das geforderte Protokoll nicht unterstützen, ausgeschlossen werden muß.
Schutzbedarf

Verschlüsselungsart

RAS-Verschlüsselungsprotokoll

Hoch

Einseitig

CHAP, MD5

Mittel

Beidseitig

SPAP

Niedrig

Unverschlüsselter Text

PAP

Datenverschlüsselung schützt Daten und gewährleistet eine sichere Anwählverbindung. Der RAS-Administrator kann den RAS-Server so einstellen, daß
die Datenübertragung immer in verschlüsselter Form zu erfolgen hat. Die
Benutzer, die an diesem Server angeschlossen sind, verschlüsseln automatisch
alle gesendeten Daten.
Hinweis: Diese Option setzt voraus, daß alle angeschlossenen Clients verschlüsseln können. Falls dies gegeben ist, wie z. B. in einem homogenen
Windows NT Netz, so ist diese Option auf jeden Fall zu aktivieren.
Die Startoptionen von RAS werden über die Systemsteuerungsoption
"Dienste" eingestellt, und die Konfigurierung erfolgt über die Systemsteuerungsoption "Netzwerk", wobei hier auch die Wahl des Authentisierungsverfahrens geschieht. Durch Wahl der Option "Nur Microsoft-verschlüsselte Echtheitsbestätigung" kann die Wahl von CHAP mit MD5 erzwungen
werden; zusätzlich läßt sich dann auch die Verschlüsselung des Datenstroms
einschalten. Dabei werden die übertragenen Daten in den deutschen Versionen
von Windows NT nicht mit DES, sondern mit RC4 verschlüsselt.
RAS unterstützt Sicherheits-Hosts anderer Hersteller, wobei der SicherheitsHost zwischen den Fernbenutzer und den RAS-Server geschaltet ist. Ein
Sicherheits-Host ist ein zusätzlicher Rechner im Netz, der Sicherheitsdienste
wie die Unterstützung von Chipkarten anbietet. Ein derartiger SicherheitsHost bietet im allgemeinen eine zusätzliche Sicherheitsstufe, indem er eine
Ausweiskarte zur Echtheitsbestätigung anfordert oder ähnliche starke
Authentisierungsverfahren unterstützt, bevor der Zugriff auf den RAS-Server
erteilt wird.

_____________________________________________________________________ ..........................................
76

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.41
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Als zusätzliche Sicherheitsmaßnahme bietet RAS die Zugriffsüberwachung
per Rückruf (Callback). Mit dieser Funktion kann der Systemadministrator
verlangen, daß ein bestimmter Fernbenutzer von einer vorher festgelegten
Stelle aus (z. B. privater Telefonanschluß) anruft oder dieser von einer beliebigen Stelle aus zurückgerufen werden kann. Bei der Zugriffsüberwachung
per Rückruf leitet der Anwender einen Anruf ein und stellt die Verbindung mit
dem RAS-Server her. Der RAS-Server legt dann auf und ruft einen
Augenblick später die vorher zugeteilte Rückrufnummer an. Bei Verwendung
des analogen Telefonnetzes sind hierzu Rückrufmodems einzusetzen, während
bei Übertragung über ISDN bzw. X.25 (z. B. Datex-P) die Leistungen dieser
Netze in Anspruch genommen werden können. Dabei ist allerdings zu
beachten, daß die Sicherheit der Partneridentifikation bei Wechsel des X.25Carriers, also bei grenzüberschreitender Datenübertragung, nicht mehr
gewährleistet ist.
Unter RAS wird der Fernzugriff auf das Netz vom Systemadministrator
gesteuert. Zusätzlich zu den Dienstprogrammen, die zusammen mit
Windows NT Server geliefert werden, bietet das Dienstprogramm RAS-Verwaltung dem Administrator die Möglichkeit, Zugriffsberechtigungen für einzelne Benutzer und/oder Gruppen zu erteilen bzw. wieder zu entziehen. Das
bedeutet, daß der Zugriff auf das Netz – obwohl RAS auf einem Computer mit
Windows NT Server läuft – jedem Benutzer, der auf das Netz über RAS
zugreifen darf, ausdrücklich erteilt werden muß. Dabei gewährleistet dieses
Verfahren nicht nur, daß Fernzugriff ausdrücklich erlaubt werden muß,
sondern erlaubt zudem das Festlegen von Rückrufbeschränkungen.
RAS bietet ein zusätzliches Maß an Sicherheit. Die RAS-Verwaltung bietet
eine Option, die den Zugriff auf alle Ressourcen ermöglicht, die der RASHost wahrnimmt, bzw. nur auf die lokal auf dem Computer vorhandenen
Ressourcen. Somit kann der Administrator genau steuern, welche Daten einem
Fernbenutzer zur Verfügung stehen. Nach Möglichkeit sollte die Erlaubnis
zum Durchgriff auf weitere Rechner im Netz nur sehr restriktiv oder
überhaupt nicht erteilt werden, um bei einem Durchbrechen der Sicherheitsbarrieren den möglichen Schaden zu begrenzen.
Hinweis: Wird RAS in einer Domäne verwendet, wirken sich Änderungen der
RAS-Berechtigung nicht sofort auf alle Server aus. Es kann bis zu 15 Minuten
dauern, bis eine Änderung auf alle Server der Domäne repliziert worden ist.
Bei Bedarf können die Domänen explizit neu synchronisiert werden, um
sicherzustellen, daß ein Benutzer mit entzogenen Berechtigungen bis zur
automatischen Replikation der Änderung bereits keinen Zugriff auf das Netz
mehr hat.
Ergänzende Kontrollfragen:
- Werden die Funktionen der verschlüsselten Authentisierung und der Rückruf-Sicherheit für alle externen Zugriffe genutzt?
- Ist nur der Zugriff auf den RAS-Server, nicht jedoch auf den Rest des
Netzes aktiviert?
- Wird die Liste der für RAS-Zugriff autorisierten Benutzer regelmäßig
überprüft und aktualisiert?

_____________________________________________________________________ ..........................................
77

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.42
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.42

Sichere Konfiguration der TCP/IP-Netzverwaltung unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Bei der Einbindung von Windows NT Systemen in ein Rechnernetz kommt
der korrekten Konfiguration der installierten Netzdienste eine besondere
Bedeutung zu. In den folgenden Abschnitten werden einige Hinweise zu den
meistgenutzten Diensten gegeben; diese ersetzen jedoch nicht eine detaillierte
Prüfung der Sicherheitsanforderungen und die Notwendigkeit zur genauen
Kenntnis der Systemdokumentation.
DHCP (Dynamic Host Configuration Protocol)
Um den Aufwand für die Verwaltung von IP-Adreßinformationen zu reduzieren, können über DHCP IP-Adressen und die zugehörigen Daten dynamisch
konfiguriert werden.
Ein Windows NT Rechner wird ein DHCP-Client, wenn er bei der Installation
von TCP/IP für automatische DHCP-Konfiguration konfiguriert wird. Nach
dem Start eines DHCP-Clients stellt dieser eine Verbindung zu einem DHCPServer her, um die erforderlichen TCP/IP-Konfigurationsdaten zu erhalten.
Diese Konfigurationsdaten enthalten zumindest eine IP-Adresse, eine Subnetz-Maske sowie die für die Konfiguration geltende Gültigkeitsdauer der
Adresse.
Die Installation eines DHCP-Servers, die nur von einem Mitglied der Gruppe
"Administratoren" durchgeführt werden kann, gehört zur Installation von
Microsoft TCP/IP.
Hinweis: Vor der Installation eines neuen DHCP-Servers muß geprüft
werden, ob im Netz bereits andere DHCP-Server vorhanden sind, um einen
eventuellen Konflikt zu vermeiden.
Eine automatische Konfiguration eines neuen DHCP-Servers kann nicht über
DHCP vorgenommen werden, da ein Computer nicht gleichzeitig DHCPClient und DHCP-Server sein kann.
Hinweis: Alle Einträge der Registrierung, die sich auf den DHCP Server
beziehen, befinden sich unter dem Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DHCPserver\Parameters.
Mittels des Dienstprogramms DHCP-Manager können folgende grundlegenden Aufgaben ausgeführt werden:
- Einen oder mehrere DHCP-Bereiche anlegen, damit die DHCP-Dienste zur
Verfügung stehen.
- Definieren der Eigenschaften des Bereichs, einschließlich der Nutzungsdauer und der IP-Adressen-Pools, die möglichen DHCP-Clients von
Servern in diesem Bereich zugewiesen werden sollen.

_____________________________________________________________________ ..........................................
78

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.42
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Festlegen von Standardwerten für Optionen wie Standard-Gateway, DNSServer oder WINS-Server, die zusammen mit einer IP-Adresse zugewiesen
werden sollen, und Hinzufügen von eigenen Optionen.
Ein DHCP-Bereich stellt eine Gruppe von Rechnern dar, die den DHCPClient Dienst in einem Teilnetz ausführen. Der Bereich wird zum Definieren
von Parametern für jedes Teilnetz verwendet. Jeder Bereich hat die folgenden
Eigenschaften:
- Eine eindeutige Subnetz-Maske, die zum Ermitteln des Teilnetzes verwendet wird, das einer bestimmten IP-Adresse zugeordnet ist.
- Ein Bereichsname, der vom Administrator beim Erstellen des Bereichs
zugewiesen wird.
- Werte für die Nutzungsdauer dynamischer Adressen, die den DHCPClients zugewiesen werden.
Jedes Teilnetz kann nur einen einzigen Bereich mit einem durchgehenden IPAdressen-Pool haben; diese Adressen müssen für das Teilnetz gelten. Sollen
in einem Teilnetz mehrere Adressenpools realisiert werden, wird ein durchgehender Bereich angelegt, der all diese Adressenpools umfaßt, und dann
werden die Adressen zwischen den gewünschten Pools ausgeschlossen. Falls
mehr Adressen benötigt werden, kann der Bereich später immer noch ausgeweitet werden.
Die Konfigurationsparameter, die ein DHCP-Server einem Client zuweist,
werden unter Verwendung des DHCP-Managers als DHCP-Optionen definiert. Die meisten Optionen sind auf der Grundlage der Standardparameter,
die in den Internet-Standards RFC 1541 bzw. RFC 1542 festgelegt wurden,
vordefiniert. Wird ein DHCP-Bereich konfiguriert, so können ihm Optionstypen zugewiesen werden, die alle Konfigurationsparameter regulieren.
Zusätzlich zu den IP-Adreßinformationen müssen für jeden Bereich weitere
DHCP-Optionen konfiguriert werden, die an DHCP-Clients zu übergeben
sind. Diese Optionen können global für alle Bereiche, speziell für einzelne
Bereiche oder für einzelne DHCP-Clients mit reservierten Adressen definiert
werden. Aktive globale Optionen gelten, sofern sie nicht durch Bereichsoptionen oder DHCP-Client-Einstellungen außer Kraft gesetzt werden. Aktive
Optionstypen für einen Bereich gelten für alle Computer in diesem Bereich,
sofern sie nicht für einen einzelnen DHCP-Client außer Kraft gesetzt werden.
Hinweis: Eine Veränderung der voreingestellten Werte darf nur bei genauer
Kenntnis der Auswirkungen dieser Änderungen erfolgen. Die zu verwendenden Werte sind im Rahmen einer spezifischen Sicherheitsanalyse festzulegen.
Für einen Client kann eine bestimmte IP-Adresse reserviert werden. Das ist in
der Regel in den folgenden Fällen notwendig:
- für Domänencontroller, wenn das Netz auch mit LMHOSTS-Dateien arbeitet, die IP-Adressen für Domänencontroller definieren,
- für Clients, die mit IP-Adressen arbeiten, die zur TCP/IP-Konfiguration
über ein anderes Verfahren zugewiesen wurden,
- zur Zuweisung durch RAS-Server an Clients, die nicht mit DHCP arbeiten,

_____________________________________________________________________ ..........................................
79

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.42
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- für DNS-Server.
Falls mehrere DHCP-Server Adressen im selben Bereich verteilen, müssen die
Client-Reservierungen auf jedem DHCP-Server identisch sein, ansonsten
erhält der reservierte Client – in Abhängigkeit vom antwortenden Server –
unterschiedliche IP-Adressen.
Hinweis: Die IP-Adresse und der statische Name, die in WINS angegeben
werden, haben Vorrang vor der IP-Adresse, die vom DHCP-Server zugewiesen wird. In diesen Fällen wird für den Client eine Client-Reservierung mit
der IP-Adresse generiert, die in der WINS-Datenbank festgelegt ist.
Folgenden Dateien sind im Verzeichnis %SystemRoot%\SYSTEM32\DHCP
gespeichert, das beim Einrichten eines DHCP-Servers angelegt wird:
- DHCP.MDB ist die DHCP-Datenbankdatei.
- DHCP.TMP ist eine temporäre Datei, die DHCP für temporäre Datenbankdaten anlegt.
- Die Dateien JET.LOG und JET*.LOG enthalten Protokolle mit sämtlichen
Transaktionen, die mit der Datenbank ausgeführt wurden. Mit Hilfe dieser
Dateien stellt DHCP eventuell verlorengegangene Daten bei Bedarf wieder
her.
- SYSTEM.MDB wird von DHCP zum Ablegen der Daten über die Struktur
seiner Datenbank genutzt.
Hinweis: Die Dateien DHCP.TMP, DHCP.MDB, JET.LOG und
SYSTEM.MDB sollten weder gelöscht noch in irgendeiner Weise verändert
werden, da dies zu Fehlfunktionen von DHCP führen kann. Zugriff auf diese
Dateien darf nur den Administratoren gegeben werden, da sonst unkontrollierte Veränderungen der DHCP-Konfiguration möglich sind.
WINS (Windows Internet Name Service)
Über WINS können NetBIOS-Computer-Namen zu IP-Adressen zugeordnet
werden. Die Installation eines WINS-Servers läuft als Teil der Installation von
TCP/IP unter Windows NT Server ab. Damit die einzelnen Server besser
verfügbar sind und die Arbeitslast gleichmäßig auf diese Server verteilt ist,
sollten mehrere WINS-Server eingerichtet sein. Jeder WINS-Server muß dann
so konfiguriert sein, daß er gleichzeitig als Reproduktionspartner für
mindestens einen anderen WINS-Server fungiert.
Zur Konfiguration eines WINS-Servers gehört die Angabe von Informationen
darüber, wann die Datenbankeinträge für die Partner reproduziert werden.
Unter einem Pull-Partner ist ein WINS-Server zu verstehen, der sich Kopien
der Datenbankeinträge von seinem Partner beschafft, indem er zuerst eine
Anforderung ausgibt und die gewünschten Kopien dann annimmt. Ein PushPartner ist ein WINS-Server, der seine Partner mit einer Aktualisierungsmeldung benachrichtigt, wenn sich in der WINS-Datenbank etwas geändert
hat. Wenn sein Partner auf diese Mitteilung mit einer Reproduktionsanforderung reagiert, sendet der Push-Partner eine Kopie der aktuellen WINSDatenbank an diesen Reproduktionspartner. Damit die Datenbanken auf dem
primären WINS-Server und auf dem Backup-Server immer übereinstimmen,
müssen beide jeweils die Rolle des Push- bzw. des Pull-Partners übernehmen.

_____________________________________________________________________ ..........................................
80

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.42
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Es ist ohnehin stets zweckmäßig für Reproduktionspartner, beide Rollen zu
übernehmen, d. h. sowohl Push- als auch Pull-Partner zu sein.
Für jeden WINS-Server muß ein bestimmter Zeitpunkt, eine Zeitdauer oder
eine bestimmte Anzahl von Datensätzen als Schwellwert festgelegt werden.
Wird dieser Wert erreicht, so erfolgt die Datenbankreproduktion. Wird für die
Reproduktion ein bestimmter Zeitpunkt festgelegt, so wird diese einmal
durchgeführt. Ist dagegen eine Zeitdauer festgelegt, so wiederholt sich die
Reproduktion in den jeweiligen Abständen. Diese können z. B. in einer geographischen Region im Bereich von ¼ bis ½ Stunde liegen, während über
größere Entfernungen auch Abstände von einigen Stunden gewählt werden
können.
Hinweis: Alle Einträge der Registratur, die sich auf die Konfiguration des
WINS-Servers beziehen, befinden sich unter dem Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\WINS\Parameters.
WINS-Server verständigen sich untereinander, um eine vollständige Reproduktion ihrer Datenbanken zu erreichen und zu gewährleisten, daß ein in
einem WINS-Server registrierter Name letztlich in allen anderen WINSServern des Netzverbundes reproduziert wird. Alle Zuordnungsänderungen
werden innerhalb der sogenannten Reproduktionsperiode (maximaler Zeitraum für die Weitergabe der Änderungen an alle WINS-Server) für das
gesamte WINS-System gesammelt. Alle freigegebenen Namen werden, sobald
sie entsprechend dem im WINS-Manager festgelegten Intervall veraltet sind,
an alle WINS-Server weitergeleitet.
Die Reproduktion erfolgt unter den Reproduktionspartnern, und nicht
zwischen einem Server und den jeweils anderen Servern. Letztendlich werden
sämtliche Kopien von den anderen WINS-Servern in einem Netzverbund
angefordert, aber die WINS-Server senden Startsignale aus, um darauf hinzuweisen, wann eine Reproduktion eingeleitet werden soll. Damit eine
Reproduktion stattfinden kann, muß jeder WINS-Server der Push- oder PullPartner von mindestens einem weiteren WINS-Server sein.
Hinweis: Alle Einträge der Registratur, die sich auf die WINS-Reproduktion
beziehen, befinden sich unter dem Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WINS\Partners.
Statische Zuordnungen sind feststehende Listen, in denen Rechnernamen IPAdressen zugeordnet sind. Diese Zuordnungen lassen sich nicht anzweifeln
oder löschen, es sei denn, der Administrator entfernt eine bestimmte Zuordnung. Über den Befehl "Statische Zuordnungen" im WINS-Manager können
statische Zuordnungen für diejenigen Clients im Netz hinzugefügt, editiert,
importiert oder gelöscht werden, auf denen der WINS-Dienst nicht aktiviert
ist.
Hinweis: Ist auf dem Netz auch DHCP im Einsatz, setzt eine reservierte (oder
statische) IP-Adresse alle Einstellungen des WINS-Servers außer Kraft.
Statische Zuordnungen sollten einem Computer nicht zugewiesen werden,
wenn auf diesem Computer WINS aktiv ist

_____________________________________________________________________ ..........................................
81

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.42
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Folgenden Dateien werden im Verzeichnis %SystemRoot%\SYSTEM32\WINS
gespeichert. Dieses Verzeichnis wird automatisch bei der Konfiguration eines
WINS-Servers erstellt.
- JET.LOG ist die Protokolldatei für alle Transaktionen, die in der Datenbank durchgeführt werden. WINS verwendet die Datei bei Bedarf zur
Wiederherstellung der Daten.
- Mit Hilfe von SYSTEM.MDB hält WINS Informationen über die Struktur
der Datenbank fest.
- WINS.MDB ist die WINS-Datenbankdatei.
- WINSTMP.MDB ist eine durch WINS erstellte temporäre Datei. Sie kann
nach einem Systemausfall im Verzeichnis \WINS übrig bleiben.
Hinweis: Die Dateien JET.LOG, SYSTEM.MDB, WINS.MDB und
WINSTMP.MDB sollten weder gelöscht noch in irgendeiner Form verändert
werden, da dies zu Fehlfunktionen von DHCP führen kann. Zugriff auf diese
Dateien darf nur den Administratoren gegeben werden, da sonst unkontrollierte Veränderungen der WINS-Konfiguration möglich sind.
SNMP (Simple Network Management Protocol)
SNMP dient zur Überwachung und Administration von TCP/IP-basierten
Netzen. Der SNMP-Dienst wird installiert, wenn die entsprechende Option bei
der Installation von Windows NT TCP/IP gewählt wird. Nach der Installation
muß der SNMP-Dienst mit den gültigen Informationen konfiguriert werden,
damit SNMP betriebsbereit ist.
Nur Mitglieder der Gruppe der Administratoren des lokalen Computers
können SNMP konfigurieren. Bei der Konfiguration von SNMP werden
Communities und Trap-Ziele bestimmt:
- Unter einer Community ist eine Gruppe von Hosts zu verstehen, zu der ein
Server gehört, der den SNMP-Dienst ausführt. Es können eine oder
mehrere Communities angegeben werden, an die das Windows NT System,
auf dem SNMP installiert wird, Traps sendet. Der Name der Community
wird beim Senden des Traps in das SNMP-Paket aufgenommen. Empfängt
der SNMP-Dienst eine Anforderung, die nicht den richtigen CommunityNamen enthält und nicht zu einem der akzeptierten Hosts für den Dienst
paßt, kann der SNMP-Dienst ein Trap an das (die) Trap-Ziel(e) senden, das
darauf hinweist, daß die Echtheitsbestätigung der Anforderung fehlschlug.
- Trap-Ziele sind die Namen oder IP-Adressen von Hosts, an die der SNMPDienst Traps, d. h. Meldungen vordefinierter Ereignisse, mit dem ausgewählten Community-Namen senden soll.
Hinweis: SNMP sollte grundsätzlich so konfiguriert werden, daß es nur
Anforderungen definierter Communities (und möglichst nicht der vordefinierten Community public) annimmt.
Die SNMP Sicherheit gestattet es, die Communities und Hosts festzulegen,
von denen ein Computer Anforderungen entgegennimmt. Ferner kann festgelegt werden, ob ein Echtheitsbestätigungs-Trap gesendet wird, wenn eine
Community oder ein Host unberechtigterweise Informationen anfordern.

_____________________________________________________________________ ..........................................
82

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.42
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Diese Festlegungen sind sorgfältig zu planen, und die Möglichkeit des
Versendens von Traps ist zu nutzen. Die dabei entstehenden Protokolle sind
regelmäßig auszuwerten.
Ergänzende Kontrollfragen:
- Sind nur die minimal erforderlichen Netzdienste installiert / aktiviert?

_____________________________________________________________________ ..........................................
83

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.43
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.43

Sichere Konfiguration der TCP/IP-Netzdienste
unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
TCP/IP
Bei der Installation des Protokolls TCP/IP werden dessen Eigenschaften mit
der Systemsteuerungsoption "Netzwerk" festgelegt. Dabei ist zu beachten, daß,
sofern der betreffende Rechner über mehr als eine Netzkarte verfügt und/oder
Fernzugriff über RAS (Remote Access Server, siehe M 5.41 Sichere
Konfiguration des Fernzugriffs unter Windows NT) installiert ist, das Routing
zwischen diesen Karten bzw. zwischen dem Fernzugriffsinterface und der
Netzkarte über die Registerkarte "Routing", Option "IP-Forwarding
aktivieren" eingeschaltet werden kann. Diese Option sollte bei Rechnern, die
eine Verbindung zu einem externen Netz, etwa dem Internet, haben, in der
Regel nicht aktiviert werden, da sie dann externen Rechnern transparent
Zugriff auf das lokale Netz gewähren.
In der Version 4.0 läßt sich in begrenztem Maße auch eine Filterung des
Datenverkehrs über TCP/IP erreichen. Dazu ist auf der Registerkarte "IPAdressen" die Option "Erweitert" zu wählen und in dem dann dargestellten
Fenster die Option "Sicherheit aktivieren" zu wählen. Mit der Option
"Konfigurieren" lassen sich dann die für die einzelnen Netzkarten zuzulassenden bzw. zu sperrenden TCP- und UDP-Anschlüsse (Ports) und IP-Protokolle
wählen. Die hier einzutragenden Werte sollten unter Berücksichtigung der
notwendigen Funktionalität und der gegebenen Sicherheitsanforderungen gewählt werden. Für einen Rechner mit externen Verbindungen sollte dabei ein
Sicherheitskonzept für die Nutzung der Internet-Dienste vorhanden sein.
Hierzu sollten ähnliche Überlegungen wie bei der Installation eines Firewalls
angestellt werden (siehe Grundschutz-Baustein 7.3 Firewall, insbesondere
M 2.76 Auswahl und Implementation geeigneter Filterregeln).
FTP (File Transfer Protocol)
Ein FTP-Server wird unter Version 3.51 während der Installation von TCP/IP
eingerichtet; in der Version 4.0 kann der FTP-Server als Teil der Installation
der Peer-Web-Dienste installiert werden. Wird der FTP-Serverdienst auf
einem Windows NT System ausgeführt, können andere IT-Systeme über das
Dienstprogramm FTP als Clients den Anschluß zu diesem Windows NT
System herstellen und Dateien übertragen. Benutzer, die eine Verbindung zum
FTP-Serverdienst herstellen, werden über ihr Benutzerkonto unter
Windows NT authentisiert und erhalten je nach ihrem Benutzerprofil Zugriff.
Aus diesem Grund ist es erforderlich, den FTP-Serverdienst auf einer NTFSPartition zu installieren, damit die Dateien und Verzeichnisse, die über FTP
zugänglich gemacht werden, geschützt werden können.
Nach Installation des FTP-Serverdienstes muß dieser Dienst konfiguriert
werden, bevor damit gearbeitet werden kann. Bei der Konfiguration führen die
Einstellungen zu einer der folgenden Situationen:

_____________________________________________________________________ ..........................................
84

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.43
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Es ist keine anonyme FTP-Verbindung zulässig. In diesem Fall muß jeder
Benutzer einen unter Windows NT gültigen Benutzernamen und ein
Kennwort eingeben.
- Sowohl anonyme Benutzer als auch Benutzer unter Windows NT können
eine Verbindung herstellen. In diesem Fall kann ein Benutzer zwischen
einem anonymen Anschluß oder einer Verbindung über einen Benutzernamen und ein Kennwort unter Windows NT wählen.
- Es sind nur anonyme FTP-Verbindungen zulässig. In diesem Fall kann ein
Anwender durch Eingabe eines Benutzernamens und eines Kennwortes
unter Windows NT keine Verbindung herstellen.
Hinweis: FTP überträgt standardmäßig die Benutzerkennwörter unverschlüsselt über das Netz. Ein Benutzer mit einem Netzanalyseprogramm kann daher
die Benutzerkennwörter für Fernkonten während der FTP-Authentisierung
herausfinden.
Ob anonyme FTP-Verbindungen zugelassen werden sollten, hängt von verschiedenen Faktoren ab:
- In einem reinen NT-Netz gibt es sicherere Arten der Datenübertragung, FTP
sollte daher überhaupt nicht zugelassen werden.
- In einem heterogen LAN mit NT-Rechnern kann FTP zur Datenübertragung
zwischen verschiedenen Systemen erforderlich sein. Um zu verhindern, daß
die NT-Benutzerkennungen inklusive Paßwörtern abgehört werden,
beispielsweise mit Sniffern, sollte auf den NT-Rechnern nur anonymes FTP
zugelassen werden.
- Beim Einsatz von FTP in WANs muß das lokale Netz zusätzlich durch eine
Firewall geschützt werden. Anonyme Verbindungen sollten nur auf speziell
hierfür eingerichteten Systemen erlaubt werden; auf diesen Systemen darf
keine andere Information als nur die über FTP anzubietende gespeichert
werden.
Für anonyme Verbindungen muß der Benutzername “Anonymous” eingegeben werden, ein Paßwort wird nicht benötigt, aber der Benutzer wird aufgefordert, seine E-Mail-Adresse einzugeben. Unter Windows NT muß für
anonyme Verbindungen ein lokales Benutzerkonto eingerichtet werden,
standardmäßig ist dies “Gast”. Sobald über eine anonyme FTP-Verbindung
eine Datenübertragung erfolgt, überprüft Windows NT den in diesem Dialogfenster zugewiesenen Benutzernamen und stellt anhand dieses Namens fest,
welche Dateizugriffe zulässig sind.
Die für anonyme Verbindungen verwendete Benutzerkennung sollte Mitglied
der Gruppe "Gäste" und auf keinen Fall Mitglied der Gruppe "Benutzer" sein,
da im zweiten Fall leicht zu umfangreiche Zugriffsmöglichkeiten bestehen
können.
Bei der Erstinstallation des FTP-Serverdienstes müssen zusätzlich die
Zugriffsrechte dieses Dienstes konfiguriert werden. Dabei sind die Laufwerke
bzw. Partitionen auszuwählen, deren Zugriffsrechte konfiguriert werden
sollen. Je nach gewünschter Sicherheit für die ausgewählte Partition wird der
Lesezugriff oder Schreibzugriff oder beide aktiviert. Die so vergebenen
Berechtigungen gelten auf FAT-Partitionen und HPFS-Partitionen für alle
Dateien der gesamten Partition. Auf NTFS-Partitionen kann mit Hilfe dieser

_____________________________________________________________________ ..........................................
85

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.43
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Einstellung der Lese- oder Schreibzugriff (oder beides) für die gesamte Partition gesperrt werden.
Alle so festgelegten Einschränkungen gelten zusätzlich zu den Sicherheitsmaßnahmen, die unter Umständen einen Teil des Dateisystems bilden. Das
heißt, daß ein Administrator über dieses Dialogfeld die Berechtigungen für
bestimmte Datenträger entfernen, aber über die im Dateisystem festgehaltenen
Berechtigungen hinaus keine weiteren erteilen kann. Wenn z. B. für eine
Partition nur Lesezugriff erteilt wurde, kann über FTP niemand auf diese
Partition schreiben, unabhängig davon, welche Berechtigungen für FTP festgelegt wurden.
Es besteht die Möglichkeit, eingehende FTP-Verbindungen im SystemEreignisprotokoll festzuhalten, indem für Version 3.51 von Windows NT die
Werte für LogAnonymous und LogNonAnonymous im Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\ftpsvc\
Parameters auf 1 gesetzt werden. Diese Werte sind standardmäßig nicht in der
Registrierung vorgesehen. Damit eingehende Verbindungen protokolliert
werden, müssen die Werte neu eingetragen werden. Es kann angegeben
werden, ob sowohl für anonyme als auch für nicht-anonyme Benutzer, die
eine Verbindung zum FTP-Server herstellen, Einträge in das Ereignisprotokoll
vorgenommen werden sollen.
In Version 4.0 von Windows NT können die entsprechenden Einstellungen für
die Sicherheit des FTP-Serverdienstes mit Hilfe des Internet Service Managers
vorgenommen werden; direkte Änderungen der Registrierung sind hier nicht
mehr erforderlich.
Telnet
Windows NT stellt selbst keinen Telnet-Server zur Verfügung; dieses System
kann nur als Telnet-Client arbeiten. Der Telnet-Client wird zusammen mit
TCP/IP installiert. Falls ein Telnet-Server benötigt wird, kann der als Bestandteil des Windows NT Resource Kits Version 4.0 verfügbare Telnet-Dämon
bzw. ein Produkt eines Fremdherstellers oder Shareware eingesetzt werden.
Hinweis: Da Telnet beim Logon die Benutzerpaßwörter im Klartext überträgt,
sollte die Installation und Nutzung von Telnet nur dann erlaubt werden, wenn
das Rechnernetz zuverlässig gegen Abhören geschützt ist. Nach Möglichkeit
sollte deshalb auf die Verwendung von Telnet grundsätzlich verzichtet
werden.
NFS (Network File System)
Windows NT stellt selbst weder einen NFS-Client noch einen NFS-Server zur
Verfügung. Sofern NFS genutzt werden soll, müssen Produkte von Drittherstellern eingesetzt werden.
Zur Konfiguration dieser Produkte können keine allgemeinen Angaben
gemacht werden, doch sollten, soweit dies unterstützt wird, die entsprechenden Vorgaben für die Konfiguration von NFS unter dem Betriebssystem Unix
umgesetzt werden.
Ergänzende Kontrollfragen:
- Sind nur die minimal erforderlichen Netzdienste installiert / aktiviert?

_____________________________________________________________________ ..........................................
86

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.44
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.44

Einseitiger Verbindungsaufbau

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
In den meisten Fällen gibt es für ein Modem genau einen Telefonanschluß.
Über diesen Telefonanschluß initiiert das Modem einerseits ausgehende
Anrufe und nimmt andererseits auch die eingehenden Anrufe entgegen. Damit
kein Angreifer unbemerkt Zugriff auf das angeschlossene IT-System nehmen
kann, sollte hier zumindest ein Callback-Mechanismus eingesetzt werden
(siehe auch M 5.30 Aktivierung einer vorhandenen Callback-Option).
Trotz eines aktivierten Callback kann das Problem bestehen, daß eine
kommende Verbindung nicht ausgelöst wird, solange der Anrufer nicht auflegt. Die öffentliche Vermittlungsstelle löst eine solche Verbindung erst nach
einem gewissen Zeitraum aus. Dies Problem tritt in erster Linie dann auf,
wenn keine TK-Anlage die Verbindung zusätzlich auslöst.
Damit kann ein Angreifer einen Callback initiieren, aber gleichzeitig die
Leitung belegt halten, so daß das Modem zwar korrekt die gespeicherte Rufnummer für den Callback anwählt, aber nach wie vor mit dem Angreifer verbunden bleibt.
Um dies zu verhindern, sollte zunächst überprüft werden, ob eine kommende
Verbindung auch dann getrennt wird, wenn der Anrufer nicht auflegt. Ist dies
nicht der Fall und kann es außerdem nicht gewährleistet werden, daß alle
Modemverbindungen durch einen Betreuer überwacht werden, sollte überlegt
werden, mit getrennten Telefonanschlüssen mit einseitigem Verbindungsaufbau zu arbeiten, d. h. mit einem Anschluß für gehende und einem für
kommende Verbindungen. Dies erfordert für jeden Anschluß ein eigenes
Modem und die Durchführung des Callback über die Applikation. Dabei ist
darauf zu achten, daß das Modem für gehende Verbindungen keine Anrufe
automatisch entgegennimmt (S0=0, d. h. kein Auto-Answer). Damit vom
Modem für kommende Verbindungen keine Verbindungen nach außen aufgebaut werden können, sollte der Modemanschluß entweder an der internen TKAnlage für gehende Verbindungen gesperrt werden oder eine entsprechende
Sperre bei der Telekom beantragt werden.

_____________________________________________________________________ ..........................................
87

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.45
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.45

Sicherheit von WWW-Browsern

Verantwortlich für Initiierung: Leiter IT, Netzplaner
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Beim Zugriff auf das World Wide Web (WWW) können verschiedene Sicherheitsprobleme auf den angeschlossenen Arbeitsplatzrechnern auftreten. Diese
können durch falsche Handhabung durch die Benutzer bzw. durch eine unzureichende Konfiguration der benutzten Browser (also der Programme für den
Zugriff auf das WWW), aber auch durch Sicherheitslücken in den Browsern
verursacht werden.
Eine Gefährdung der lokalen Daten geht beispielsweise von Programmen aus,
die aus dem Internet geladen werden und ohne Nachfrage auf dem lokalen
Rechner ausgeführt werden (z. B. ActiveX-Programme, Java-Applets o. ä.).
Auch innerhalb von Dokumenten oder Bildern können Befehle enthalten sein,
die automatisch beim Betrachten ausgeführt werden und zu Schäden führen
können (z. B. Makro-Viren in Winword- oder Excel-Dokumenten). Um solche
Probleme zu vermeiden, sollten die im folgenden beschriebenen Maßnahmen
umgesetzt werden.
Laden von Dateien und/oder Programmen
Beim Laden von Dateien und/oder Programmen können eine Vielzahl von
Sicherheitsproblemen auftreten, die bekanntesten sind sicherlich Viren,
Makro-Viren und trojanische Pferde. Die Benutzer dürfen sich nie darauf
verlassen, daß die geladenen Dateien oder Programme aus vertrauenswürdigen
Quellen stammen.
Bei der Konfiguration des Browsers ist darauf zu achten, daß bei Dateitypen,
die Makroviren enthalten können, die zugehörigen Anwendungen nicht automatisch gestartet werden (siehe dazu auch M 4.44 Prüfung eingehender
Dateien auf Makro-Viren).
Alle Benutzer müssen darauf hingewiesen werden, daß sie selber dafür verantwortlich sind, beim Dateiladen alle entsprechenden Vorsichtsmaßnahmen
zu ergreifen. Selbst wenn über die Firewall automatisch die geladenen Informationen auf Viren überprüft werden, bleiben die Benutzer verantwortlich für
die Schadensfreiheit von geladenen Dateien oder Programmen. Grundsätzlich
müssen bei der Installation von Programmen natürlich die organisationsinternen Sicherheitsregeln beachtet werden. Insbesondere dürfen nur getestete
und zugelassene Programme installiert werden. Vor der Installation sollten auf
Stand-alone-Rechnern Tests auf die Schadensfreiheit der Programme durchgeführt werden.
In Zweifelsfällen ist die IT-Administration hinzuzuziehen.
Plug-Ins und Zusatzprogramme
Nicht alle Browser können alle Dateiformate direkt verarbeiten, d. h. im
allgemeinen anzeigen, in manchen Fällen auch abspielen. Bei einigen Dateiformaten werden zusätzlich noch Plug-Ins bzw. Zusatzprogramme benötigt.

_____________________________________________________________________ ..........................................
88

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.45
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Bei Plug-Ins handelt es sich um Bibliotheksdateien (z. B. DLL-Dateien), die
von Installationsprogrammen ins Plug-In-Verzeichnis geladen werden und bei
Aufruf des entsprechenden Dateiformates vom Browser ausgeführt werden.
Zusatzprogramme, z. B. Viewer, sind eigenständige Programme, die in der
Lage sind, bestimmte Dateiformate zu verarbeiten. Der Aufruf eines solchen
Zusatzprogramms wird über eine Konfigurationsdatei des Browsers gesteuert,
in der Dateiendung und Programm verknüpft sind.
Beim Hinzufügen von Plug-Ins bzw. Zusatzprogrammen für einen WWWBrowser sind dieselben Vorsichtsmaßnahmen wie beim Laden von Dateien
und/oder Programmen zu beachten. Es dürfen keine Programme installiert
werden, denen man nicht unbedingt vertrauen kann.
Plug-Ins verbrauchen natürlich auch Speicherplatz und verlängern die Startzeit des Browsers. Daher sollten alle nicht benötigten Plug-Ins entfernt
werden. Das ist nicht immer einfach: Viele Deinstallationsroutinen erkennen
Plug-Ins nicht und nicht alle Browser bieten eine Übersicht über die installierten Plug-Ins. Dann müssen alle zu einem Plug-In gehörenden Dateien im
Plug-In-Verzeichnis des Browsers manuell gelöscht werden.
Cookies
In sogenannten Cookie-Dateien werden auf dem Rechner des Benutzers Informationen über abgerufene WWW-Seiten, Paßwörter und Benutzerverhalten
gespeichert. Damit können WWW-Anbieter beim nächsten Besuch des
jeweiligen Benutzers spezielle Informationen für diesen anbieten oder diesem
paßwortgesichert nur bestimmte Dienste zugänglich machen. Allerdings kann
ein WWW-Anbieter hiermit auch Benutzerprofile erstellen, z. B. für
zielgruppenorientierte Werbung.
Um dies zu verhindern, sollte das Anlegen von Cookie-Dateien verhindert
werden oder, wo das nicht möglich ist, diese regelmäßig gelöscht werden.
Cookies finden sich meist im Konfigurationsverzeichnis des benutzten
WWW-Browsers in Dateien wie cookie.txt oder Verzeichnissen wie cookies.
Beispielsweise heißt diese Datei beim Netscape Navigator 2.02 unter Unix
$HOME/.netscape/cookies. Es sollten vorzugsweise Browser eingesetzt
werden, mit denen sich das Anlegen von Cookies verhindern läßt. Wo dies
nicht möglich ist, sollten zumindest solche Browser eingesetzt werden, die
Benutzer vor der Annahme von Cookies warnen. Diese Option muß immer
aktiviert werden. Die Benutzer können dann in jedem Einzelfall die Annahme
von Cookies akzeptieren oder ablehnen. Lehnen sie die Annahme ab, kann
dies dazu führen, daß einige WWW-Seiten nicht oder nicht vollständig übertragen werden, dies ist aber nur selten der Fall. Lassen sich die Benutzer vor
der Annahme von Cookies warnen, bekommen sie mit der Warnung auch den
angedachten Inhalt des Cookies angezeigt, so daß damit auch transparent wird,
welche Anbieter welche Informationen über die Benutzer sammeln.
Um das Anlegen von Cookie-Dateien zu verhindern, kann auch eine leere
Cookie-Datei angelegt werden und mit einem Schreibschutz versehen werden.
Inwieweit dies effektiv ist, hängt vom eingesetzten Betriebssystem und der
Browser-Variante ab. Hier ist insbesondere zu überprüfen, ob der Browser
weder den Schreibschutz zurücksetzen kann noch dadurch einen Absturz
verursacht.

_____________________________________________________________________ ..........................................
89

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.45
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Ansonsten kann es hilfreich sein, das regelmäßige Löschen der Cookies über
eine Batch-Datei zu steuern, die beispielsweise bei jedem Systemstart oder
jeder Benutzeranmeldung die alten Cookie-Dateien löscht.
Datensammlungen
Nicht nur extern werden Daten über die Internetnutzung der verschiedenen
Benutzer gesammelt, sondern auch lokal. Auch hier muß sichergestellt
werden, daß nur Befugte darauf Zugriff haben können. Dies gilt insbesondere
auch für die von Browsern angelegten Dateien über History, Hotlists und
Cache. Die Benutzer müssen informiert werden, wo auf ihren lokalen Rechner
solche Daten gespeichert werden und wie sie diese löschen können.
Diese Dateien sind auf Proxy-Servern besonders sensibel, da auf einem ProxyServer alle externen WWW-Zugriffe aller Mitarbeiter protokolliert werden,
inklusive der IP-Nummer des Clients, der die Anfrage gestartet hat, und der
nachgefragten URL. Ein schlecht administrierter Proxy-Server kann daher
massive Datenschutz-Verletzungen nach sich ziehen.
Von den meisten Browsern werden viele Informationen über den Benutzer
und sein Nutzerverhalten gesammelt, von denen dieser einerseits vielleicht
nicht will, daß sie weitergegeben werden, und die anderseits in ihrer Masse
den verfügbaren Speicherplatz mit überflüssigen Informationen blockieren. Zu
diesen Informationen gehören:
- Favoriten,
- abgerufene WWW-Seiten,
- News-Server Visiten (s. u.),
- History Datenbank (s. u.),
- URL Liste (Liste der letzten aufgerufenen URLs),
- Cookie Liste,
- Informationen über Benutzer, die im Browser gespeichert und evtl. auch
weitergegeben werden (s. u.),
- Informationen im Cache (s. u.).
Informationen über News-Server Visiten
Aus den meisten Browsern heraus kann direkt auf News-Server zugegriffen
werden.
Netscape merkt sich dabei die laufende Nummern der gelesenen News. Damit
kann für ein Benutzerprofil festgestellt werden, welche Newsgruppen und
welche News ein Benutzer gelesen hat.
Der Microsoft Internet Explorer geht noch einen Schritt weiter und speichert
den vollständigen Inhalt aller gelesenen News.
History Datenbank
Die History Datenbank des Internet Explorer enthält eine vollständige Sammlung über alle Aktivitäten, die mit diesem Browser durchgeführt worden sind,

_____________________________________________________________________ ..........................................
90

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.45
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

d. h. Angaben über betrachtete Bilder, Adressen, evtl. betrachtete vertrauliche
interne Dokumente etc.
Dadurch verbraucht die History Datenbank auch schnell sehr viel Speicherplatz und sollte regelmäßig aufgeräumt werden. Die Dateien der History
Datenbank sollten nicht einfach gelöscht werden, sondern durch vorbereitete
Kopien einer leeren History Datenbank ersetzt werden, da bestimmte Einträge
erhalten bleiben müssen.
Informationen über Benutzer
In einem Browser werden auch diverse Informationen über Benutzer gespeichert und evtl. auch weitergegeben, z. B. Realname, E-Mail-Adresse, Organisation. Um nicht mit Werbe-E-Mail überflutet zu werden, empfiehlt es sich,
für die Browser-Benutzung einen Alias zu verwenden.
Informationen im Cache
Der Internet Explorer ebenso wie Netscape und andere Browser erzeugen in
einem Cache-Verzeichnis große Mengen an Dateien, die den Text und die
Bilder aller besichtigten Web-Seiten enthalten, seit der Cache das letzte Mal
gelöscht wurde.
Der Cache dient dazu, um das mehrfache Laden von Informationen einer Seite
während einer Sitzung zu verhindern. Der Internet Explorer löscht diese
Daten, die in jeder weiteren Sitzung absolut nutzlos sind, allerdings nicht
eigenständig, so daß sich in einem nicht regelmäßig gelöschten Cache schnell
Dutzende Megabyte Datenmüll ansammeln. Aus diesen Daten lassen sich
darüber hinaus auch Benutzerprofile erstellen.
Daher sollte der Cache ebenso wie der Verlaufsordner regelmäßig gelöscht
werden.
Leider ist es für die Benutzer nicht immer leicht zu erkennen, wie sie den
Cache leeren können. Beispielsweise kann beim Internet Explorer unter
Windows 95
der
Cache
geleert
werden,
indem
dort
unter
Ansicht/Optionen/Erweitert/Temporäre Internet-Dateien/Einstellungen die
Option Ordner leeren gewählt wird.
Wenn auf mit SSL gesicherte WWW-Seiten zugegriffen wird, kann dies unter
anderem dazu dienen, sensible Informationen wie Kreditkartennummern verschlüsselt über das Internet zu übertragen. Daher sollten solche Seiten von
vorneherein nicht im Cache abgelegt werden. Im Internet Explorer kann dies
beispielsweise unter Ansicht/Optionen/Erweitert/Kryptografieeinstellungen
unter "Sichere Seiten nicht lokal speichern" deaktiviert werden.
Zugriff auf Client-Festplatte
Bei einigen Browsern (wie z. B. Netscape oder Microsoft Internet Explorer)
wird WWW-Servern die Möglichkeit gegeben, aktiv auf die Festplatte des
Client zuzugreifen (ActiveX, Java).
Java- bzw. ActiveX-Programme werden über den Browser statt auf dem
Server auf der Client-Seite ausgeführt. Dies führt aber zu einer Verlagerung
des Sicherheitsrisikos vom Server auf den Client. Daher sind in Java und
ActiveX verschiedene Sicherheitsmechanismen eingebaut, um einen mög-

_____________________________________________________________________ ..........................................
91

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.45
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

lichen Mißbrauch zu verhindern, allerdings sind bereits mehrfach Sicherheitslücken gefunden worden.
Die Benutzung von Browsern, die Zugriffe auf Dateien des Client gestatten,
birgt im Zusammenhang mit ActiveX und Java gewisse Sicherheitsrisiken.
ActiveX erlaubt unter bestimmten Bedingungen die Nutzung lokaler Ressourcen. Bei Java ist ein solcher Zugriff ebenfalls möglich, jedoch nur wenn der
Anwender dies explizit gestattet. Das Sicherheitskonzept von ActiveX basiert
darauf, daß der Anwender dem Anbieter und einer authentifizierten dritten
Stelle im World Wide Web vertraut. Dieses Vertrauen ist problematisch, wenn
Web-Seiten eines unbekannten oder eines neuen Anbieters aufgerufen werden.
Aufgrund der bestehenden Probleme mit ActiveX, Java und JavaScript sollten
diese generell abgeschaltet werden.
Falls die Benutzung von ActiveX, Java und JavaScript unbedingt notwendig
ist, sollten diese nur auf Rechnern zugelassen sein, die gegenüber anderen
internen Rechnern so abgeschottet sind, daß die Vertraulichkeit und Integrität
sicherheitsrelevanter Daten nicht beeinträchtigt werden können.
Sicherheitslücken in den WWW-Browsern
In den meisten Browsern sind bereits gravierende Sicherheitslücken gefunden
worden. So wurden beispielsweise im Februar und März 1997 gleich mehrere
Sicherheitslücken in verschiedenen Versionen des Microsoft Internet
Explorers entdeckt.
Diese Fehler entsprangen alle aus dem Versuch von Microsoft, WWW und
lokale Windows-Komponenten miteinander zu verbinden. Dabei wurde
bestimmten WWW-Seiten soviel Vertrauen wie lokalen Daten eingeräumt.
Hierdurch konnten durch entsprechende Schadprogramme alleine durch das
Aufrufen unseriöser WWW-Seiten auf den lokalen Rechnern der WWWBenutzer gefährliche Programme ausgeführt werden, ohne daß die Benutzer
dies bemerkten.
Verschlüsselung
Da im Internet alle Daten im Klartext übertragen werden, sollten sensible
Daten nur verschlüsselt übertragen werden. Hierbei wäre es sinnvoll, wenn
entsprechende Mechanismen schon in den unteren Schichten des Protokolls
vorgesehen würden. Es ist zu überlegen, inwieweit zur sicheren Übertragung
von Daten über das Internet neuere Protokolle wie IPv6, S-HTTP oder SSL
eingesetzt werden können.
Neuere Browser unterstützen die Benutzung diverser Sicherheitsprotokolle,
zumindest SSL sollte unterstützt werden.
Nutzung vorhandener Sicherheitsfunktionalitäten
Die vorhandenen Sicherheitsfunktionalitäten der Browser (Rückfrage vor dem
Ausführen von Programmen, Zugriff nur auf eingeschränkte Dateisysteme,
keine Möglichkeit zum Verändern lokaler Daten) sollten auf jeden Fall
genutzt werden.
Beim Surfen im Internet sollte die automatische Ausführung von Programmen
verhindert werden (z. B. über die Option Disable Java) und nur bei vertrauenswürdigen Servern wieder eingeschaltet werden.

_____________________________________________________________________ ..........................................
92

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.45
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

News-Reader und Mail-Clients bieten häufig die Möglichkeit, beliebige Daten
im MIME-Format zu lesen. Auch in diesen Daten können Befehle enthalten
sein, die zu einem automatischen Starten von Programmen auf dem lokalen
Rechner führen. Die entsprechenden Möglichkeiten sollten daher in den
Konfigurationsdateien entfernt werden bzw. nur nach Rückfrage gestartet
werden können.
Informationsbeschaffung über Sicherheitslücken
Da immer wieder neue Sicherheitslücken in WWW-Browsern bekannt
werden, ist eine regelmäßige Informationsbeschaffung über solche Sicherheitslücken und deren Beseitigung erforderlich. Hierbei sollte nicht die
Beschaffung der aktuellsten Version des Produktes im Vordergrund stehen, da
auch hier durch neue Programmteile ggf. neue Sicherheitsprobleme auftreten.
Zumindest sollte durch das Einspielen von Patches sichergestellt werden, daß
bekannte Sicherheitslücken beseitigt werden.
Regelungen
Ein Großteil der oben beschriebenen Maßnahmen liegt im Verantwortungsbereich der Benutzer, da deren Umsetzung wie beispielsweise die Aktivierung
bestimmter Optionen nicht ständig durch die Systemadministration überprüft
werden kann. Daher sollte jeder Benutzer vor der Nutzung von InternetDiensten durch entsprechende Anweisungen verpflichtet werden, die aufgeführten Sicherheitsrichtlinien zu beachten. Es empfiehlt sich vor der Zulassung von Benutzern zu Internet-Diensten diese auf eine Benutzerordnung zu
verpflichten. Die Inhalte der Internet-Sicherheitsrichtlinie und der Benutzerordnung sind in einer Schulung den Benutzern darzulegen.
In dieser Benutzerordnung sollten die zur Verfügung stehenden Kommunikationsdienste kurz erläutert und alle relevanten Regelungen aufgeführt werden.
Jeder Benutzer sollte durch Unterschrift bestätigen, daß die dargestellten
Regelungen zur Kenntnis genommen wurden und bei Benutzung der
Kommunikationsdienste beachtet werden.
Es sollte jeder Benutzer darauf hingewiesen werden, daß die Nutzung von
Internetdiensten mit nicht unerheblichen Kosten verbunden ist. Dementsprechend sollte darauf geachtet werden, im Internet gesammelte Informationen den anderen Mitarbeitern zur Verfügung zu stellen, um wiederholte
Zugriffe auf dieselben externen WWW-Seiten zu vermeiden. Dafür sollte im
internen Netz ein spezieller Bereich vorgesehen werden, in dem solche
Informationen strukturiert abgelegt werden können.
Weiterhin müssen die Benutzer darauf hingewiesen werden, daß
- die Konfiguration der WWW-Programme nicht eigenmächtig geändert
werden darf,
- welche Daten protokolliert werden,
- wer Ansprechpartner bei Sicherheitsproblemen sind.

_____________________________________________________________________ ..........................................
93

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.46
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.46

Einsatz von Stand-alone-Systemen zur Nutzung
des Internets

Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Administrator
Um die Gefährdungen, die durch Angriffe aus dem Internet auf lokale Daten
oder Rechner im LAN entstehen, zu verringern, ist es sinnvoll Rechner einzusetzen, die nur mit dem Internet vernetzt sind und keine weitere Netzverbindung zu einem LAN haben.
Hierfür bieten die verschiedenen Betriebssysteme unterschiedliche Möglichkeiten mit jeweils spezifischen Gefährdungen für die Vertraulichkeit und
Integrität der Daten auf diesem Rechner.
Wichtig ist es zu beachten, daß bei der Installation der Internet-Zugangssoftware keine unnötigen Programme installiert werden. So gibt es bei einigen
Produkten und Betriebssystemen die Möglichkeiten, durch die Installation von
Server-Programmen den Rechner zu einem vollständigen Internet-Server zu
machen. Die Installation der TCP/IP-Software bietet eine vollständige
bidirektionale Verbindung zum Internet, über die Daten sowohl ins Internet
geschickt als auch von dort abgeholt werden können.
Beispielsweise muß unter Unix darauf geachtet werden, daß keine DaemonProzesse gestartet werden. Dies geschieht normalerweise beim Booten oder
mit Hilfe des inetd. Die entsprechenden Einträge müssen aus den Konfigurationsdateien (rc.* und inetd.conf) entfernt werden. Die Software (PPP,
SLIP) muß so installiert werden, daß kein Verbindungsaufbau vom Internet
aus möglich ist.

_____________________________________________________________________ ..........................................
94

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.47
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.47

Einrichten einer Closed User Group

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, TK-Anlagen-Verantwortlicher
Verantwortlich für Umsetzung: Administrator
Das Integrated Services Digital Network (ISDN) ermöglicht die Einrichtung
einer geschlossenen Benutzergruppe (GBG), auch als Closed User Group
(CUG) bezeichnet. Merkmal einer solchen Gruppe ist, daß alle Teilnehmer
einer CUG untereinander über das öffentliche ISDN kommunizieren können,
Verbindungswünsche von außerhalb der CUG an CUG-Teilnehmer jedoch
genauso abgewiesen werden wie Verbindungswünsche von CUG-Teilnehmer
an Teilnehmer des öffentlichen ISDN.
Funktionsweise:
Alle Kommunikationspartner sind Mitglied in einer Closed User Group des
Netzbetreibers (z. B. Deutsche Telekom AG). Die Berechtigungsprüfung zur
Kommunikation erfolgt über den einer CUG eindeutig zugeordneten Interlock
Code durch die jeweilige digitale Vermittlungsstelle (DIV) der Kommunikationspartner. Zu Beginn übermittelt der rufende Kommunikationspartner
eine Verbindungsanforderung an die ihm zugeordnete DIV. Die DIV fügt der
Verbindungsanforderung nicht nur die ISDN-Rufnummer des rufenden
Kommunikationspartners, sondern auch den eindeutigen Interlock Code der
entsprechenden Closed User Group hinzu. Die DIV des gerufenen Kommunikationspartners erkennt anhand des Interlock Codes, ob der Verbindungsanforderung stattgegeben werden kann. Ist die Identifikation erfolgreich, wird
der Verbindungswunsch an den gerufenen Kommunikationspartner weiter
vermittelt.
Vorteilhaft an der beschriebenen Funktionalität ist, daß unerlaubte Zugriffsversuche bereits von der DIV des Netzbetreibers abgewiesen werden und nicht
bis zu Netzkoppelelementen eines Kommunikationspartners gelangen.
Nachteilig ist, daß Änderungen der Mitgliedschaft in einer CUG immer dem
Netzbetreiber mitgeteilt werden müssen, da nur dieser die notwendigen
Berechtigungsänderungen durchführen kann. Weiterhin bedeutet dies auch,
daß der Netzbetreiber die vollständige Kontrolle über die Mitgliedschaft in
einer CUG besitzt und von ihm vorgenommene Änderungen durch den Nutzer
einer CUG nicht kontrolliert werden können. Hingewiesen werden soll ebenfalls darauf, daß sowohl für das Einrichten als auch für den Betrieb einer CUG
durch einen Netzbetreiber einmalige und fortlaufende Kosten entstehen.
Das Einrichten einer Closed User Group durch den Betreiber eines öffentlichen Netzes empfiehlt sich immer dann, wenn
- Hard- und Software für andere Verfahren (z. B. M 5.48 Authentisierung
mittels CLIP/COLP) erst beschafft werden müßte,
- die Mitglieder einer CUG nur selten wechseln und
- der Netzbetreiber ausreichend vertrauenswürdig ist.

_____________________________________________________________________ ..........................................
95

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.47
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Findet eine ausreichende und nachvollziehbare Dokumentation der eingerichteten CUG statt? Ist sie aktuell?
- Wird regelmäßig überprüft, ob die i. a. kostenpflichtige Funktionalität der
CUG noch notwendig ist?

_____________________________________________________________________ ..........................................
96

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.48
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.48

Authentisierung mittels CLIP/COLP

Verantwortlich für Initiierung: IT-Sicherheitsmanagement,
TK-Anlagen-Verantwortlicher
Verantwortlich für Umsetzung: Administrator
Das Integrated Services Digital Network (ISDN) liefert die Möglichkeit, Rufnummern von Teilnehmern nicht nur für die öffentlichen Vermittlungskomponenten, sondern auch direkt für die beteiligten Kommunikationspartner
zu signalisieren. Diese ISDN-Leistungsmerkmale bezeichnet man als
- CLIP = Calling Line Identification Presentation und
- COLP = Connected Line Identification Presentation oder allgemeiner als
- Rufnummernanzeige.
Die Auswertung der Rufnummernangabe kann von den jeweiligen Kommunikationspartnern zur Authentisierung genutzt werden.
Funktionsweise:
In einem ersten Schritt wird seitens des rufenden Kommunikationspartners
eine Verbindungsanforderung an die ihm zugeordnete digitale Vermittlungsstelle (DIV) abgesetzt. Die DIV vermittelt die Verbindungsanforderung an den
zu rufenden Kommunikationspartner innerhalb des ISDN incl. der Rufnummer des rufenden Kommunikationspartners. Die gegenüberliegende DIV
vermittelt anschließend den Verbindungswunsch an die ISDN-Kommunikationseinrichtung des gewünschten Kommunikationspartners. Anhand der
übermittelten Rufnummer kann diese Kommunikationseinrichtung (z. B. ein
ISDN-Router oder eine TK-Anlage) den rufenden Kommunikationspartner
identifizieren (CLIP). Bei erfolgreicher Identifikation wird der Verbindungswunsch angenommen und der Datenaustausch kann beginnen.
Vorteilhaft an der beschriebenen Funtionalität ist, daß die Identifikation durch
Komponenten der jeweiligen Kommunikationspartner (ISDN-Router, TKAnlage) durchgeführt wird und somit vollständig in deren Kontrollbereich
liegt.
Nachteilig ist, daß die über den ISDN-D-Kanal übertragenen Rufnummern
grundsätzlich manipulierbar sind (siehe G 5.63 Manipulationen über den
ISDN-D-Kanal). Eine einfache Authentisierung durch die übermittelte Rufnummer ist somit entweder nur in Zusammenhang mit dem Einsatz einer
Callback-Funktion (siehe M 5.49 Callback basierend auf CLIP/COLP) oder in
Kombination mit dem Einsatz eines D-Kanal-Filters (siehe M 4.62 Einsatz
eines D-Kanal-Filters), das Protokollmanipulationen aufdeckt, möglich.
Ergänzende Kontrollfrage:
- Können die eingesetzten ISDN-Komponenten die Leistungsmerkmale
CLIP und COLP verarbeiten sowie ausreichend große Rufnummerntabellen pflegen?

_____________________________________________________________________ ..........................................
97

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.49
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.49

Callback basierend auf CLIP/COLP

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Viele Kommunikationskarten bieten die Option automatischer Rückruf
(Callback). Ist diese Option aktiviert, trennt die Kommunikationskarte, wenn
sie einen Anruf erhält, sofort nach dem erfolgreichen Verbindungsaufbau die
Verbindung und ruft eine voreingestellte Nummer zurück. Dadurch wird
verhindert, daß ein nicht autorisierter Anrufer diesen Fernzugang mißbrauchen
kann, solange er nicht unter der voreingestellten Nummer erreichbar ist.
Callback ist immer dann einzusetzen, wenn ein fester Kommunikationspartner
sich automatisch einwählen können soll. Zu beachten ist, daß mit dem
automatischen Rückruf auch die Kosten der Datenübertragung übernommen
werden.
Mit Hilfe des ISDN ist eine Variante des Callback zu einer festen Rufnummer
möglich: Die angesprochene ISDN-Karte prüft mit Hilfe des ISDNLeistungsmerkmals Calling Line Identification Presentation (CLIP), von
welcher Stelle aus die Verbindungsanforderung erfolgte, und vergleicht die
übermittelte Rufnummer mit einer Rufnummerntabelle. Wurde über CLIP
eine gültige Rufnummer übermittelt, wird die in der Rufnummerntabelle
hinterlegte Rufnummer zurückgerufen.
Vorteilhaft ist gegenüber der ausschließlichen Authentisierung über
CLIP/COLP (siehe M 5.48 Authentisierung mittels CLIP/COLP), daß selbst
beim Vorspiegeln einer autorisierten Rufnummer von einem nicht autorisierten Teilnehmer aus keine Verbindung zustande kommt, da der nicht autorisierte Teilnehmer tatsächlich ja nicht unter der vorgegebenen Rückrufnummer erreichbar ist.
Ergänzende Kontrollfragen:
- Ist die Kostenübernahme im Callback-Modus geklärt?
- Wann wurden letztmalig die voreingestellten Rufnummern überprüft?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
98

M 5.50
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.50

Authentisierung mittels PAP/CHAP

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
Viele ISDN-Karten unterstützen die Kommunikation über das Point-to-Point
Protocol (RFC 1661), nachdem eine ISDN-Wählverbindung aufgebaut wurde.
Innerhalb dieses Internet-Standards werden auch Authentisierungsprotokolle,
wie das Password Authentication Protocol (PAP) und das Challenge Handshake Authentication Protocol (CHAP) angeboten (RFC 1994). Bietet die
verwendete ISDN-Karte diese Funktionalitäten, sollte zur Authentisierung
anstelle des Password Authentication Protocols das Challenge-Handshake
Authentication Protocol genutzt werden, da bei PAP das zur Authentisierung
verwendete Paßwort unverschlüsselt übertragen wird.
Die bei PAP bzw. CHAP verwendeten Paßwörter werden i. allg. nicht bei
jeder Authentisierung vom Benutzer erneut eingegeben, sondern in den ITSystemen gespeichert. Damit sich diese Verfahren auch nach einer erneuten
Installation wieder aufsetzen lassen, sollten die benötigten Paßwörter notiert
und sicher verwahrt werden (siehe M 2.22 Hinterlegen des Paßwortes).
Funktionsweise:
Bei CHAP werden grundsätzlich zwei Kommunikationspartner unterschieden:
Authenticator und Peer. Dabei handelt es sich beim Authenticator um den
Kommunikationspartner, der die Authentisierung abfordert, und beim Peer um
den Kommunikationspartner, der die Authentisierung erbringen soll. Im
allgemeinen wird also der Authenticator der Server sein, an dem sich der
Benutzer von seinem IT-System aus als Peer anmelden will.
Bei CHAP wird auf beiden Seiten die Kenntnis eines gemeinsamen Geheimnisses (Paßwort) überprüft. Dabei wird das Geheimnis nicht im Klartext über
die Leitung gesandt und durch die Einbindung von Zufallszahlen vor
Wiedereinspielen geschützt.
Das eingesetzte Challenge-Response-Protokoll läuft wie folgt ab:
In einem ersten Schritt errechnet der Authenticator eine Zufallszahl. Mittels
eines Hash-Algorithmus wird der Hash-Wert der eben berechneten Zufallszahl
gebildet. Eine Hash-Funktion ist eine Rechenvorschrift, durch die eine
Eingabe beliebiger Länge in einen Ausgabewert fester (i. a. kürzerer) Länge
umgewandelt wird. Eine Einweg-Hashfunktion funktioniert nur in eine Richtung, d. h. aus der Eingabe läßt sich problemlos der Hashwert berechnen, aber
es sollte sehr schwer bis unmöglich sein, zu einem Hashwert passende Eingabedaten zu berechnen.
Im nächsten Schritt überträgt der Authenticator das sogenannte Challenge,
also die eben errechnete Zufallszahl, an den Peer. Da Authenticator und Peer
über den gleichen Hash-Algorithmus verfügen, kann in einem vierten Schritt
ebenfalls der Peer den Hash-Wert der eben übermittelten Zufallszahl bilden.
Der Peer berechnet den Hashwert über die drei Werte Identifier
(Benutzerkennung), Secret (Paßwort) und der gesendeten Zufallszahl. Den
Hashwert überträgt er dann als Antwort an den Authenticator. Der Authenticator überprüft die Korrektheit des Paßworts, indem er ebenfalls den ent-

_____________________________________________________________________ ..........................................
99

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.50
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

sprechenden Hashwert berechnet und mit dem übermittelten Hash-Wert vergleicht. Fällt der Vergleich positiv aus, hat sich der Peer gegenüber dem
Authenticator authentisiert und die Kommunikationsverbindung kann aufgebaut werden.
Die Authentisierung nach dem eben beschriebenen Verfahren sollte auch
während einer bestehenden Kommunikationsverbindung mehrfach wiederholt
werden, um auch Attacken auf bereits bestehende Verbindungen zu verhindern. Dies wird, ohne das der Benutzer eingreifen muß, in zufälligen Zeitabständen durch den Authenticator angestoßen.
Ergänzende Kontrollfragen:
- Verfügt die eingesetzte ISDN-Karte bzw. die verwendete Kommunikationssoftware über die Möglichkeit, Authentisierungsprotokolle wie PAP
und CHAP zu nutzen?
- Werden vorhandene Authentisierungsprotokolle genutzt?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
100

M 5.51
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.51

Sicherheitstechnische Anforderungen an die
Kommunikationsverbindung Telearbeitsrechner
- Institution

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator, Telearbeiter
Erfolgt im Rahmen der Telearbeit eine Datenübertragung zwischen einem
Telearbeitsrechner und dem Kommunikationsrechner der Institution, werden
dabei dienstliche Informationen üblicherweise über öffentliche Kommunikationsnetze übertragen. Da weder die Institution noch der Telearbeiter
großen Einfluß darauf nehmen können, ob die Vertraulichkeit, Integrität und
Verfügbarkeit im öffentlichen Kommunikationsnetz gewahrt werden, sind ggf.
zusätzliche Maßnahmen erforderlich, falls das öffentliche Netz keine
ausreichende Sicherheit bieten kann.
Generell muß die Datenübertragung zwischen Telerarbeitsrechner und Institution folgende Sicherheitsanforderungen erfüllen:
- Sicherstellung der Vertraulichkeit der übertragenen Daten: es muß durch
eine ausreichend sichere Verschlüsselung erreicht werden, daß auch durch
Abhören der Kommunikation zwischen Telearbeitsrechner und Kommunikationsrechner der Institution kein Rückschluß auf den Inhalt der Daten
möglich ist. Dazu gehört neben einem geeigneten Verschlüsselungsverfahren auch ein angepaßtes Schlüsselmanagement mit periodischem
Schlüsselwechsel.
- Sicherstellung der Integrität der übertragenen Daten: die eingesetzten
Übertragungsprotokolle müssen eine zufällige Veränderung übertragener
Daten erkennen und beheben. Bei Bedarf kann auch ein zusätzlicher
Fehlererkennungsmechanismus benutzt werden, um absichtliche Manipulationen während der Datenübertragung detektieren zu können.
- Sicherstellung der Verfügbarkeit der Datenübertragung: falls zeitliche
Verzögerungen bei der Telearbeit nur schwer zu tolerieren sind, sollte ein
redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden, in dem der Ausfall einzelner Verbindungsstrecken nicht den Totalausfall der Kommunikationsmöglichkeiten
bedeutet. Auf eine redundante Einführung der Netzanbindung an den Telearbeitsrechner und die Schnittstelle der Institution kann ggf. verzichtet
werden.
- Sicherstellung der Authentizität der Daten: bei der Übertragung der Daten
zwischen Telearbeitsrechner und Institution muß vertrauenswürdig feststellbar sein, ob die Kommunikation zwischen den richtigen Teilnehmern
stattfindet, so daß eine Maskerade ausgeschlossen werden kann. Dies
bedeutet, daß Daten mit Absender "Telearbeitsrechner" auch tatsächlich
von dort stammen. Ebenso muß der Ursprung von Institutionsdaten zweifelsfrei auf die Institution zurückgeführt werden können.
- Sicherstellung der Nachvollziehbarkeit der Datenübertragung: um eine
Kommunikation nachvollziehbar zu machen, können Protokollierungs-

_____________________________________________________________________ ..........................................
101

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.51
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

funktionen eingesetzt werden, die nachträglich feststellen lassen, welche
Daten wann an wen übertragen wurden.
- Sicherstellung des Datenempfangs: ist es für die Telearbeit von Bedeutung,
ob Daten korrekt empfangen wurden, so können Quittungsmechanismen
eingesetzt werden, aus denen hervorgeht, ob der Empfänger die Daten
korrekt empfangen hat.
Die Stärke der dazu erforderlichen Mechanismen richtet sich dabei nach dem
Schutzbedarf der übertragenen Daten.
Ergänzende Kontrollfragen:
- Stellen die eingesetzten Kommunikationsprotokolle die oben genannten
Anforderungen in ausreichender Güte zur Verfügung?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
102

M 5.52
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.52

Sicherheitstechnische Anforderungen an den
Kommunikationsrechner

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: Administrator
Je nach Art der Telearbeit und der dabei durchzuführenden Aufgaben gestaltet
sich der Zugriff des Telearbeiters auf Institutionsdaten anders. Denkbar ist es,
daß zwischen Telearbeiter und Institution nur E-Mails ausgetauscht werden.
Andererseits kann auch ein Zugriff auf Server in der Institution für den
Telearbeiter notwendig sein. Unabhängig von den Zugriffsweisen muß der
Kommunikationsrechner der Institution dennoch folgende Sicherheitsanforderungen erfüllen:
- Identifikation und Authentisierung: Sämtliche Benutzer des Kommunikationsrechners, also Administratoren, Mitarbeiter in der Institution und
Telearbeiter, müssen sich vor einem Zugriff auf den Rechner identifizieren
und authentisieren. Nach mehrfachen Fehlversuchen ist der Zugang zu
sperren. Voreingestellte Paßwörter sind zu ändern.
Ggf. muß es für den Kommunikationsrechner auch möglich sein, während
der Datenübertragung eine erneute Authentisierung des Telearbeiters oder
des Telearbeitsrechners anzustoßen, um aufgeschaltete Angreifer abzuwehren.
Im Rahmen der Identifikation und Authentisierung der Benutzer sollte
auch zusätzlich eine Identifizierung der Telearbeitsrechner stattfinden (zum
Beispiel über Rufnummern und Callback-Verfahren).
- Rollentrennung: die Rollen des Administrators und der Benutzer des
Kommunikationsrechners sind zu trennen. Eine Rechtevergabe darf ausschließlich dem Administrator möglich sein.
- Rechteverwaltung und -kontrolle: der Zugriff auf Dateien des Kommunikationsrechners darf nur im Rahmen der gebilligten Rechte erfolgen
können. Darüber hinaus muß insbesondere der Zugang zu angeschlossenen
Rechnern in der Institution und darauf gespeicherten Dateien reglementiert
sein. Zugangs- und Zugriffsmöglichkeiten sind auf das notwendige
Mindestmaß zu beschränken.
Systemabsturz oder bei Unregelmäßigkeiten muß der Kommunikationsrechner in einen sicheren Zustand übergeben, indem ggf. kein Zugang
mehr möglich ist.
- Minimalität der Dienste: Dienste, die durch den Kommunikationsrechner
zur Verfügung gestellt werden, müssen dem Minimalitätsprinzip unterliegen: alles ist verboten, was nicht ausdrücklich erlaubt wird. Die Dienste
selbst sind auf den Umfang zu beschränken, der für die Aufgaben der
Telearbeiter notwendig ist.
- Protokollierung: Datenübertragungen vom, zum und über den Kommunikationsrechner sind mit Uhrzeit, Benutzer, Adressen und Dienst zu protokollieren.

_____________________________________________________________________ ..........................................
103

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.52
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Dem Administrator bzw. dem Revisor sollten Werkzeuge zur Verfügung
stehen, um die Protokolldaten auszuwerten. Dabei sollten Auffälligkeiten
automatisch gemeldet werden.
- Automatische Computer-Viren-Prüfung: übertragene Daten sind einer
automatischen Prüfung auf Computer-Viren zu unterziehen.
- Verschlüsselung: Daten, die auf dem Kommunikationsrechner für die
Telearbeiter vorgehalten werden, sind bei entsprechender Vertraulichkeit
zu verschlüsseln.
- Vermeidung oder Absicherung von Fernadministration: benötigt der
Kommunikationsrechner keine Fernadministration, so sind sämtliche
Funktionalitäten zur Fernadministration zu sperren. Ist eine Fernadministration unvermeidbar, so muß sie ausreichend abgesichert werden.
Jegliche Fernadministration darf nur nach vorhergehender erfolgreicher
Identifikation und Authentisierung stattfinden. Administrationstätigkeiten
sind zu protokollieren. Administrationsdaten sollten verschlüsselt übertragen werden. Voreingestellte Paßwörter und kryptographische Schlüssel
sind zu ändern.
Ergänzende Kontrollfragen:
- Welche Funktionalitäten bietet der Kommunikationsrechner?
- In welchen Zeitabständen wird überprüft, ob die gewählten Einstellungen
und Rechte noch den Notwendigkeiten entsprechen?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
104

M 5.53
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.53

Schutz vor Mailbomben

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Mailbomben sind E-Mails, die absichtlich eingebaute Schadfunktionen enthalten. Als Mailbombe kann sich beispielsweise eine als Anlage mitversandte
komprimierte Datei erweisen, die nach dem Auspacken Unmengen von
Unterverzeichnissen anlegt oder sehr viel Festplattenplatz beansprucht.
Archive, also mit Packprogrammen komprimierte Dateien, sollten niemals
ohne vorhergehende Prüfung ausgepackt werden. Um sich vor trojanischen
Pferden oder anderen Schadfunktionen in komprimierten Dateien zu schützen,
sollte man sich vor dem Auspacken solcher Dateien das Inhaltsverzeichnis
über die archivierten Dateien und deren Größe anzeigen lassen. Weiterhin
sollten Archivdateien bereits vor dem Auspacken auf Computer-Viren überprüft werden.
Auf Arbeitsplatzrechnern sollten selbstextrahierende Archive, also solche mit
Endungen wie *.EXE, niemals aufgerufen werden, da vor dem Auspacken der
Inhalt nicht geprüft kann.
Neue Programme sollten immer zunächst auf von den Produktionssystemen
getrennten IT-Systemen getestet werden (siehe M 4.65 Test neuer Hard- und
Software).
Bei Unix-Systemen und anderen Server-Betriebssystemen sind außerdem
folgende Punkte zu beachten:
- Unbekannte Archive dürfen nie unter Superuser-Berechtigung ausgepackt
werden, sondern nur unter einer Benutzerkennung mit möglichst wenig
Schreibrechten.
- Es sollte ein Filesystem mit Disk-Quota verwendet werden, um den Festplattenplatz zu begrenzen, den ein solches Programm im schlimmsten Fall
belegen kann.
Ergänzende Kontrollfragen:
- Sind die Benutzer über die Mailbomben-Problematik informiert?

_____________________________________________________________________ ..........................................
105

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.54
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.54

Schutz vor Mailüberlastung und Spam

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Durch die Überhäufung mit Werbemails oder durch absichtliche Überlastung
durch eingehende E-Mails kann nicht nur das Mailsystem blockiert werden,
sondern kann auch für den Empfänger solcher E-Mail teuer werden. Um sich
vor "Spam", d. h. inhaltsleeren Mailings, zu schützen, sollte jeder Benutzer
überlegen, wann und an wen er seine E-Mail-Adresse weitergibt.
Mögliche Maßnahmen gegen Werbemails bzw. “Spam” sind die folgenden:
- Es können Anonyme-Remailer-Dienste benutzt werden, also ein Server,
der E-Mail entpersonalisiert. Ein Remailer ermöglicht es, in eine Newsgruppe zu posten oder eine E-Mail zu versenden, ohne daß der Empfänger
die E-Mail-Adresse des Absenders erkennen kann. Dies hat allerdings den
Nachteil, daß häufig andere Personen den E-Mail-Kontakt verweigern,
weil sie den Absender nicht identifizieren können.
- Auf dem Mail-Server bzw. der Firewall sollten E-Mail-Filterprogramme
eingesetzt werden, die nur E-Mails von und/oder zu definierten Kommunikationspartnern zulassen oder über andere Header-Einträge versuchen,
Spam auszugrenzen. Hierbei muß mit Bedacht vorgegangen werden, damit
der Filterung keine erwünschten E-Mails zum Opfer fallen.
- Jede Organisation sollte festlegen, ob ihre Mitarbeiter Artikel in Newsgruppen posten dürfen und wenn ja, in welcher Form und zu welchen
Themen. Dabei sind die Benutzer darauf hinzuweisen, daß die Netiquette
zu beachten ist, insbesondere ist die Verbreitung von für die Allgemeinheit
irrelevanten Informationen zu unterlassen.
- Es kann u. U. sinnvoll sein, keine leicht erratbaren E-Mail-Adressen zu
verwenden (siehe auch M 2.122 Einheitliche E-Mail-Adressen).
- Auf keinen Fall sollte versucht werden, Spam-Verursacher durch Mailbomben oder ähnliches zu bestrafen. Spam sollte nicht einmal durch ein
Reply beantwortet werden. Häufig sind die Absenderangaben in SpamMail gefälscht. Antworten erreichen dann nur Unschuldige oder kommen
als unzustellbar zurück. Auf jeden Fall verursachen auch Antworten
wiederum ein erhöhtes Netzaufkommen und im schlimmsten Fall bestätigen sie Werbemailern sogar noch die Korrektheit angeschriebener E-MailAdressen.
- Eine wirkungsvolle Maßnahme gegen akute Belästigung durch Spam ist
die Benachrichtigung des eigenen Mail-Providers sowie des Mail-Providers des Verursachers, damit diese gegen den Verursacher vorgehen
können.
Dabei ist zu beachten, daß nicht alle dieser Maßnahmen in allen Umgebungen
sinnvoll sind, weil sie diverse Einschränkungen mit sich bringen. So kann es
einerseits sinnvoll sein, nicht aus den Benutzernamen abgeleitete E-MailAdressen zu verwenden, um sich vor unerwünschten Werbemails zu schützen.
Andererseits können abstrakte E-Mail-Adressen die Kommunikation mit

_____________________________________________________________________ ..........................................
106

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.54
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Externen erschweren, da sie schwerer zu merken sind. Die Form der E-MailAdressen muß auf jeden Fall den organisationsinterne Regelungen genügen.
Durch die Eintragung auf Mailinglisten kann ebenfalls eine hohe Mailbelastung entstehen. Generell sollte regelmäßig überprüft werden, ob die in
einer Mailingliste diskutierten Inhalte das Lesen lohnen, sonst ist sie abzubestellen. Die Benutzer müssen darüber informiert sein, daß nach der Eintragung auf Mailinglisten die dadurch entstehende Mailbelastung regelmäßig,
d. h. möglichst täglich, zu kontrollieren ist. In größeren Organisationen sollten
für die Arbeit interessante Mailinglisten nur über einen Mitarbeiter (z. B. den
Mail-Administrator) abonniert werden und dann zentral allen zur Verfügung
gestellt werden.
Ergänzende Kontrollfragen:
- Sind die Benutzer über die Spam-Problematik informiert?
- Wer hat welche Mailinglisten abonniert?

_____________________________________________________________________ ..........................................
107

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.55
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.55

Kontrolle von Alias-Dateien und Verteilerlisten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Um die Adressierung von E-Mails zu vereinfachen, werden häufig AliasDateien oder Verteilerlisten geführt. Werden sowohl auf den Mail-Servern als
auch auf den Mail-Clients Alias-Dateien geführt, ist zunächst zu klären,
welche Einträge Priorität haben, d. h. ob bei gleicher Wahl eines Alias der
vom Mail-Server oder der vom Mail-Client akzeptiert wird. Beim Empfang
von E-Mails sollte die Alias-Umsetzung des Mail-Servers ausschlaggebend
sein, beim Versand die des Mail-Clients. Die Benutzer müssen darüber
informiert sein, welche Aliase auf dem Mail-Server aufgelöst werden, damit
sie dies bei der Weitergabe von E-Mail-Adressen berücksichtigen können.
Damit die Benutzer die Alias-Dateien auf dem Mail-Server verwenden
können, müssen sie lesend darauf zugreifen können. Schreibrecht darauf sollte
aber nur der Mail-Administrator haben.
Um zu verhindern, daß E-Mails aufgrund fehlerhafter, nicht aktueller oder
manipulierter Verteilerlisten an falsche Empfänger übertragen werden, müssen
die Verteilerlisten regelmäßig auf Korrektheit und Aktualität überprüft
werden.
Ergänzende Kontrollfragen:
- Wo sind Alias-Dateien bzw. Verteilerlisten angelegt?
- Wer hat Zugriff auf Alias-Dateien bzw. Verteilerlisten?
- Wann wurden die Alias-Dateien, Verteilerlisten und gespeicherte E-MailAdressen zuletzt auf Aktualität geprüft?

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
108

M 5.56
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.56

Sicherer Betrieb eines Mail-Servers

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der sichere Betrieb eines Mail-Servers setzt voraus, daß sowohl die lokale
Kommunikation als auch die Kommunikation auf Seiten des öffentlichen
Netzes abgesichert wird. Der Mail-Server nimmt von anderen Mail-Servern
E-Mails entgegen und leitet sie an die angeschlossenen Benutzer oder MailServer weiter. Weiterhin reicht der Mail-Server die gesendete E-Mails lokaler
Benutzer an externe Mail-Server weiter. Der Mail-Server muß hierbei sicherstellen, daß lokale E-Mails der angeschlossenen Benutzer nur intern weitergeleitet werden und nicht in das öffentliche Netz gelangen können.
Ein Mail-Server speichert die E-Mail bis zur Weitergabe zwischen. Viele
Internetprovider und Administratoren archivieren zusätzlich die ein- und ausgehenden E-Mails. Damit Unbefugte nicht über den Mail-Server auf Nachrichteninhalte zugreifen können, muß der Mail-Server gegen unbefugten
Zugriff gesichert sein. Dafür sollte er gesichert (in einem Serverraum oder
Serverschrank) aufgestellt sein. Für den ordnungsgemäßen Betrieb sind ein
Administrator und Stellvertreter zu benennen und zum Betrieb des MailServers und dem zugrundeliegenden Betriebssystems zu schulen. Es muß ein
Postmaster-Account eingerichtet werden, an den alle unzustellbaren E-Mails
und alle Fehlermeldungen weitergeleitet werden (siehe auch M 2.120 Einrichtung einer Poststelle).
Auf die Mailboxen der der lokal angeschlossenen Benutzer dürfen nur diese
Zugriff haben. Auf die Bereiche, in denen E-Mails nur temporär für die
Weiterleitung zwischengespeichert werden (z. B. Spooldateien), ist der
Zugriff auch für die lokalen Benutzer zu unterbinden.
Es muß regelmäßig kontrolliert werden, ob die Verbindung mit den benachbarten Mail-Servern, insbesondere dem Mail-Server des Mail-Providers, noch
stabil ist. Es muß regelmäßig überprüft werden, ob der für die Zwischenspeicherung der Mail zur Verfügung stehende Plattenplatz noch ausreicht, da
ansonsten kein weiterer Nachrichtenaustausch möglich ist.
Umfang und Inhalt der Protokollierung der Aktivitäten des Mail-Servers sind
festzulegen.
Der Mail-Server sollte nie ein Produktionssystem sein, insbesondere sollten
von der Verfügbarkeit des Mail-Servers keine weiteren Dienste abhängig sein.
Es sollte jederzeit kurzfristig möglich sein, ihn abzuschalten, z. B. bei Denialof-Service-Angriffen oder bei Verdacht auf Manipulationen.
Die Benutzernamen auf dem Mail-Server sollten nicht aus den E-MailAdressen unmittelbar ableitbar sein, um mögliche Angriffe auf BenutzerAccounts zu erschweren.
Eingehende E-Mails sollten am Firewall oder am Mail-Server auf ComputerViren und andere schädliche Inhalte wie aktive Inhalte (z. B. Java-Applets)
überprüft werden.

_____________________________________________________________________ ..........................................
109

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.56
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Über Filterregeln können für bestimmte E-Mail-Adressen der Empfang oder
die Weiterleitung von E-Mails gesperrt werden. Dies kann z. B. sinnvoll sein,
um sich vor Spam-Mail zu schützen. Auch über die Filterung anderer HeaderEinträge kann versucht werden, Spam auszugrenzen. Hierbei muß mit Bedacht
vorgegangen werden, damit der Filterung keine erwünschten E-Mails zum
Opfer fallen. Daher sollten entsprechende Filterregeln sehr genau definiert
werden, indem beispielsweise aus jeder Spammail eine neue dedizierte
Filterregel abgeleitet wird. Entsprechende Filterlisten sind im Internet
verfügbar bzw. können von verschiedenen Herstellern der Kommunikationssoftware bezogen werden.
Es ist festzulegen, welche Protokolle und Dienste am Mail-Server erlaubt sind,
beispielsweise ist es sinnvoll, SMTP (TCP-Port 25) nach außen und innen,
aber POP3 nur innerhalb zuzulassen.
Ein Mail-Server sollte davor geschützt werden, als Spam-Relay verwendet zu
werden. Dafür sollte ein Mail-Server so konfiguriert werden, daß er E-Mails
nur für die Organisation selber entgegennimmt und nur E-Mails verschickt,
die von Mitarbeitern der Organisation stammen. Der Mail-Server sollte
eingehende E-Mails nur dann annehmen, wenn entweder die IP-Adresse des
absendenden Mail-Servers in einem vom Administrator explizit zugelassenen
IP-Netz liegt oder für den Empfänger ein MX-Eintrag auf den Mail-Server
zeigt. Alle anderen E-Mails werden mit einer Fehlermeldung abgewiesen.
BerechtigteBenutzer können trotz dieser Maßnahmen weiterhin E-Mails an
beliebige Empfänger versenden, ebenso können sie E-Mails von beliebigen
Absendern empfangen. Durch die oben beschriebene Filterung eingehender
E-Mails wird jedoch verhindert, daß der Mail-Server von externen Nutzern als
Spam-Relay mißbraucht werden kann.
Sollten versehentlich IP-Netze, aus denen E-Mails angenommen werden
sollen, nicht in obiger Liste stehen, muß der Administrator des Mail-Servers
davon in Kenntnis gesetzt werden, damit er diese nachtragen kann.
Wenn eine Organisation keinen eigenen Mail-Server betreibt, sondern über
einen oder mehrere Mail-Clients direkt auf den Mail-Server eines Providers
zugreift, sollte mit dem Provider abgeklärt werden, welche Regelungen dort
gelten und welche Sicherheitsmaßnahmen ergriffen worden sind (siehe
M 2.123 Auswahl eines Mailproviders).

_____________________________________________________________________ ..........................................
110

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.57
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.57

Sichere Konfiguration der Mail-Clients

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Die E-Mail-Progamme der Benutzer müssen durch den Administrator so vorkonfiguriert sein, daß ohne weiteres Zutun der Benutzer maximale Sicherheit
erreicht werden kann. Die Benutzer sind darauf hinzuweisen, daß sie die
Konfiguration nicht selbsttätig ändern dürfen.
Insbesondere die folgenden Punkte sollten bei der Konfiguration der E-MailClients berücksichtigt werden:
- Das E-Mail-Paßwort darf keinesfalls dauerhaft vom E-Mail-Programm
gespeichert werden. Dabei wird das Paßwort auf der Client-Festplatte
abgelegt, u. U. sogar im Klartext oder nur schwach verschlüsselt. Jeder, der
Zugriff auf den Mail-Client hat, hat so die Möglichkeit, unter fremden
Namen E-Mails zu verschicken bzw. das E-Mail-Paßwort auszulesen.
- Als Reply-Adresse ist die E-Mail-Adresse des Benutzers einzustellen, um
sicherzustellen, daß keine internen E-Mail-Adressen weitergegeben
werden.
- Um die Netzbelastung niedrig zu halten, sollte der Mail-Client nicht zu
häufig den Mail-Server auf neu eingetroffene Nachrichten überprüfen. Ein
automatischer Abholversuch alle 30 Minuten (= 1800 Sekunden) wird als
Standardwert empfohlen und ist im allgemeinen ausreichend. Sollten
Benutzer eine dringende Nachricht erwarten, sollten sie das E-Mail-Programm manuell dazu veranlassen, in ihrer Mailbox nachzusehen.
- Nachrichten, die vom Mail-Server abgeholt wurden, sollten dort auch gelöscht werden. So kann ein mehrmaliges Abholen derselben Nachrichten
verhindert und Speicherprobleme am Mail-Server vermieden werden.

_____________________________________________________________________ ..........................................
111

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.58
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.58

Installation von ODBC-Treibern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
ODBC (Open Database Connectivity) legt zwischen Datenbankanwendungen
und dem jeweiligen Datenbankprotokoll eine zusätzliche Schicht (und ist
somit kein eigenes Datenbankprotokoll). Durch die Installation des zur
Datenbank passenden ODBC-Treibers wird zwischen Anwendung und
Datenbank eine einheitliche Schnittstelle geschaffen, über die die Kommunikation (Absetzen von Datenbankanfragen, Lesen von Daten) zur Datenbank
abgewickelt wird. Die zugehörige ANSI-SQL-konforme SQL-Schnittstelle
ermöglicht das Erstellen von Anwendungen, ohne auf die jeweiligen Datenbankspezifika unterschiedlicher Produkte Rücksicht nehmen zu müssen. Bei
einem Wechsel der Datenbank-Software muß deshalb die Anwendung nicht
angepaßt werden, sondern es reicht aus, den ODBC-Treiber auszutauschen.
Ursprünglich für Microsoft-Produkte entwickelt, hat sich ODBC inzwischen
als Standard etabliert. ODBC-Treiber sind für alle gängigen Datenbanken
unterschiedlichster Hersteller erhältlich.
Bei der Installation von ODBC-Treibern ist darauf zu achten, daß keine
Sicherheitslücken hinsichtlich der Zugangskontrolle zum Datenbanksystem
entstehen.
Beispiel:
Für MS Access Datenbanken ist die Verwendung von Benutzerkennungen
optional. Wird allerdings die Zugangskontrolle aktiviert, so werden die
Benutzerkennungen über eine separate MS Access Datenbank, die sogenannte
Systemdb verwaltet, die auch als eigene Datei abgespeichert wird.
Bei der Installation eines ODBC-Treibers für eine MS Access Datenbank wird
die Systemdb nicht automatisch integriert. Die Default-Einstellungen während
der Installation sind nämlich dergestalt, daß eine eventuell existierende
Systemdb unberücksichtigt bleibt. Wurde also während der Installation des
ODBC-Treibers die Systemdb nicht explizit angegeben, so führt dies dazu, daß
für Datenbankabfragen mittels ODBC keine Identifizierung seitens der
Systemdb gefordert wird. Somit wird die Zugangskontrolle unterlaufen.
Um dies zu verhindern, kann regelmäßig geprüft werden, ob die Systemdb
integriert ist. Da dieser Mechanismus jedoch jederzeit wieder rückgängig gemacht bzw. manipuliert werden kann, ist eine Verschlüsselung einer
MS Access Datenbank die sicherere Lösung. In diesem Fall schlägt ein Zugriff ohne die Systemdb immer fehl. Dafür muß die in MS Access integrierte
Verschlüsselung aktiviert werden (unter Extras/Zugriffsrechte/Datenbank ver/entschlüsseln). In diesem Fall schlägt ein Zugriff über die ODBCSchnittstelle fehl, da die Systemdb auch für den Verschlüsselungsmechanismus benötigt wird.
Ergänzende Kontrollfragen:
- Wurde ein ODBC-Treiber für die Datenbank installiert? Wenn ja, wurde
auf die optionalen Installationsparameter und ihre Auswirkungen geachtet?

_____________________________________________________________________ ..........................................
112

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.59
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.59

Schutz vor DNS-Spoofing

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Gefahr durch DNS-Spoofing besteht dann, wenn eine Authentisierung anhand
eines Rechnernamens durchgeführt wird. Eine hostbasierte Authentisierung,
d. h. Rechte werden anhand eines Rechnernamens oder IP-Adresse gewährt,
sollte durch eine der folgenden Konfigurationen (auch in Kombination)
abgesichert werden:
1. Es sollten IP-Adressen, keine Hostnamen verwendet werden.
2. Wenn Hostnamen verwendet werden, sollten alle Namen lokal aufgelöst
werden (Einträge in der Datei /etc/hosts).
3. Wenn Hostnamen verwendet werden und diese nicht lokal aufgelöst
werden können, sollten alle Namen direkt von einem Nameserver aufgelöst
werden, der für diese Namen der sogenannte Primary- oder SecondaryNameserver ist, d. h. er hat sie nicht in einem temporären Cache, sondern
dauerhaft abgespeichert.
Punkt 1 bietet die höchste, Punkt 3 die niedrigste Sicherheit. Das Ziel obiger
Konfigurationen ist es, die Zuordnung zwischen IP-Adressen und Rechnernamen in einem sicheren Umfeld vorzunehmen. Auf keinen Fall sollte ein
hostbasierter Zugang über einen Hostnamen gewährt werden, wenn die
Namensauflösung nicht direkt ausgeführt werden kann, also ein Cache
zwischengeschaltet ist.

_____________________________________________________________________ ..........................................
113

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.60
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.60

Auswahl einer geeigneten Backbone-Technologie

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Die Auswahl des Netzprotokolls im Backbone-Bereich ist ein entscheidender
Faktor für den Schutz der Verfügbarkeit der Anwendungen in einem lokalen
Netz, da das gewählte Protokoll die Performance des Netzes und die zur
Verfügung stehenden Bandbreiten wesentlich beeinflußt. Falls die
zugrundeliegende Verkabelung ohne die Festlegung auf bestimmte Dienste
(z. B. proprietäre Lösungen) geplant wurde (siehe G 2.45 Konzeptionelle
Schwächen des Netzes), ist prinzipiell ein Wechsel der Backbone-Technologie
problemlos möglich. Dennoch verursacht dies im allgemeinen nicht
unerheblichen organisatorischen, personellen und finanziellen Aufwand.
Eine generelle Empfehlung, unter IT-Sicherheitsgesichtspunkten eine
bestimmte Backbone-Technologie auszuwählen, kann nicht gegeben werden,
da viele individuelle Aspekte betrachtet werden müssen. Nachfolgend werden
daher die Vor- und Nachteile der wichtigsten Netzzugangsprotokolle
aufgeführt.
Es gibt die vier Basis-Technologien Ethernet, Token-Ring, FDDI und ATM,
die sich wie folgt darstellen:
Ethernet
Die Ethernet-Technologie wird im IEEE 802.3 Standard beschrieben und
basiert auf dem CSMA/CD-Zugriffsverfahren (Carrier Sense Multiple Access
/ Collision Detection). Bei diesem Verfahren greifen alle Endgeräte gleichberechtigt auf das Übertragungsmedium zu, obwohl es jeweils nur exklusiv
durch ein Endgerät genutzt werden kann. Sobald ein Endgerät Daten
übertragen möchte, prüft es zunächst, ob das Medium für die Benutzung zur
Verfügung steht (Carrier Sense). Ist dies der Fall, beginnt es mit der
Datenübertragung. Geschieht dies durch mehrere Endgeräte gleichzeitig
(Multiple Access), kommt es zu einer Kollision, die von den betroffenen
Endgeräten erkannt wird (Collision Detection) und zu einer erneuten Prüfung
des Mediums mit anschließender Wiederholung der Übertragung führt.
CSMA/CD ist ein stochastisches Verfahren und kann deshalb keine
dedizierten Bandbreiten zusichern. Aus diesem Grund ist es beispielsweise für
Multimedia-Anwendungen weniger geeignet, die eine feste Bandbreite
benötigen. Auf Ethernet-basierten Netzen kann somit im allgemeinen keine
bestimmte Betriebsgüte (Quality of Service - QoS) zugesichert werden. Für
Gigabit-Ethernet ist ein Analogon zur QoS vorgesehen.
Es gibt drei verschiedene Varianten des Ethernet, die sich prinzipiell nur in
der unterstützten Übertragungsrate unterscheiden:
- Standard Ethernet
Standard Ethernet ist der schon lange im Einsatz befindliche Standard und
der Vorläufer der beiden anderen Varianten. Es ist durch eine
Übertragungsrate von 10 Mbit/s gekennzeichnet. Damit ist es für die

_____________________________________________________________________ ..........................................
114

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.60
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

meisten lokalen Netze als Backbone-Technologie ungeeignet, da es bei
steigender Netzlast sehr schnell zu einer Vielzahl an Kollisionen kommt
und dadurch der erzielbare Durchsatz immer mehr abnimmt.
- Fast Ethernet
Aufgrund der steigenden Anzahl vernetzter Rechner und der damit verbundenen Netzlast wurde eine Weiterentwicklung des Standard Ethernet zwingend notwendig, um den gestiegenen Bedürfnissen Rechnung zu tragen.
Dies führte zur Entwicklung des Fast Ethernet mit einer Übertragungsrate
von 100 Mbit/s. Dies reicht zur Zeit für die meisten Netze im BackboneBereich aus und hat außerdem den Vorteil, daß die bereits etablierte
Technologie (CSMA/CD) weiter verwendet werden kann. Es müssen
allerdings im allgemeinen die aktiven Netzkomponenten ausgetauscht bzw.
angepaßt werden, und auch die Verkabelung ist auf eine Eignung für Fast
Ethernet zu prüfen.
- Gigabit Ethernet
Da die Einführung von Fast Ethernet sehr erfolgreich verlief, wurde die
Forderung nach einer noch schnelleren Backbone-Technologie basierend
auf Ethernet laut. Dies führte zur Gründung der Gigabit-Ethernet-Allianz
(GEA) mit mehreren namhaften Herstellern, die eine Übertragungsrate von
1 Gbit/s erreichen wollen. Die Standardisierungsphase in Zusammenarbeit
mit der IEEE befindet sich zur Zeit kurz vor dem Abschluß. Der neue Standard soll dann auch über eine Protokollerweiterung (Resource Reservation
Protocol, RSVP) für zeitkritische Übertragungen (z. B. im Multimediabereich) dedizierte Bandbreiten über Gigabit-Ethernet zur Verfügung stellen.
Damit wird versucht, zu ATM analoge Eigenschaften wie Quality of
Service (QoS) bereitzustellen. Da der endgültige Standard aber noch nicht
verabschiedet ist, wird momentan von dieser Variante abgeraten, um den
Einsatz einer eventuell unvollständigen Implementation zu vermeiden.
Token-Ring
Die Token-Ring-Technologie wird im IEEE 802.5 Standard beschrieben und
basiert auf dem Token-Passing-Verfahren. Dabei wird ein spezielles, im Ring
kreisendes Datenpaket (das "Token") verwendet, um festzulegen, welches
Endgerät das Übertragungsmedium benutzen darf. Erhält ein Endgerät das
Token, belegt es das Medium und gibt das Token an das nächste Endgerät
weiter. Hiermit ist gewährleistet, daß das Medium immer nur durch ein
einziges Endgerät belegt wird.
Bei diesem deterministischen Verfahren kann es im Gegensatz zu Ethernet
nicht dazu kommen, daß einzelne Endgeräte bei hoher Netzbelastung
unbestimmt lange warten müssen, bis sie senden können. Token-Ring bietet
dagegen eine fest bestimmbare maximale Wartezeit.
Ein Token-Ring-Netz ist meistens als physikalischer Doppelring ausgeführt,
wodurch sich die Verfügbarkeit des Netzes merklich erhöht, da bei einem
Ausfall einer Station oder der Unterbrechung eines Ringes die fehlerhafte
Stelle durch die Nutzung des zweiten Ringes überbrückt werden kann.
Die Übertragungsrate von Token-Ring kann 4 oder 16 Mbit/s betragen, so daß
mittlerweile auch hier von einem Einsatz als Backbone-Technologie für die

_____________________________________________________________________ ..........................................
115

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.60
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

meisten lokalen Netze abgeraten wird. Die zur Verfügung stehende Bandbreite
ist zu gering. Mitte September 1997 wurde eine "High Speed Token Ring
Alliance" (HSTR) von mehreren namhaften Herstellern gegründet mit dem
Ziel, Übertragungsraten von 100 Mbit/s und später 1 Gbit/s zu erreichen. Dazu
soll bis Mitte 1998 der IEEE 802.5 Standard erweitert werden. Da sich diese
Varianten noch in der Entwicklung befinden, kann ein Einsatz zum jetzigen
Zeitpunkt nicht befürwortet werden.
FDDI
Der FDDI (Fiber Distributed Data Interface) Standard wurde 1989 vom ANSI
definiert und basiert wie Token-Ring auf dem Token-Passing-Verfahren.
Allerdings kommt hier zusätzlich die Technik des Early-Token-Release zum
Einsatz, bei der das Token direkt nach dem letzten Datenpaket an das nächste
Endgerät weitergegeben wird. Dadurch werden die Leerlaufzeiten im Ring
reduziert und es kann eine höhere Bandbreite erreicht werden.
FDDI nutzt Lichtwellenleiter als Übertragungsmedium mit einer
Übertragungsrate von 100 Mbit/s. Durch seinen hohen Durchsatz ist es ideal
für den Einsatz im Backbone-Bereich. Weitere Vorteile sind die
Fehlertoleranz aufgrund der Doppelring-Topologie und die elektromagnetische
Unempfindlichkeit
durch
die
Verwendung
von
Lichtwellenleitern. Im Gegensatz zu Ethernet ist FDDI auch für
laufzeitabhängige Multimedia-Anwendungen geeignet, da es eine maximale
Verzögerungszeit garantieren kann.
Werden beide Ringe zur Übertragung genutzt, ist sogar eine Übertragungsrate
von 200 Mbit/s erreichbar, allerdings entfällt dann der Vorteil der höheren
Fehlertoleranz, da beim Ausfall eines Ringes nicht mehr automatisch auf den
anderen Ring ausgewichen werden kann.
FDDI-Komponenten sind jedoch teurer als Ethernet-Komponenten vergleichbarer Funktion, so daß der erzielbare Nutzen durch den Einsatz von FDDI
immer den entstehenden Kosten gegenübergestellt werden muß.
FDDI kann auch auf Kupferkabeln betrieben werden und wird dann CDDI
(Copper Distributed Data Interface) genannt.
ATM
ATM steht als Abkürzung für Asynchronous Transfer Mode. Hinter diesem
Begriff verbirgt sich ein Übertragungsverfahren, das sich sehr gut für den
Einsatz im Backbone-Bereich eines Netzes eignet und dort auch EchtzeitDienste bereitstellen kann.
Bei ATM werden alle Arten von Informationen in Paketen mit fester Länge
befördert, die als Zellen bezeichnet werden. Dabei kann es sich um beliebige
Daten, wie z. B. auch Audio- und Video-Daten handeln. Durch die
einheitliche Länge der Pakete wird es ermöglicht, daß die ATM-Switches die
Verarbeitung der Zellen fast vollständig durch Hardware-Komponenten
durchführen und somit einen höheren Durchsatz erreichen können. Dadurch
entsteht eine kalkulierbare Verzögerung bei der Übertragung beliebiger
Informationen, so daß für einzelne Anwendungen garantierte Bandbreiten
vergeben werden können. Damit ist ATM eine gut geeignete Technologie für
Multimedia-Anwendungen, da ein berechenbares Echtzeitverhalten und damit

_____________________________________________________________________ ..........................................
116

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.60
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Quality of Service (QoS) garantiert werden kann. Dies bedeutet, daß jedem
angeschlossenen Gerät statisch oder dynamisch die benötigte Bandbreite
zugeordnet werden kann.
Die Übertragung selbst beruht auf dem Prinzip der virtuellen Verbindungen.
Dabei werden keine festen Kanäle zwischen den beteiligten Endgeräten
geschaltet, vielmehr werden die Zellen erst zum Zeitpunkt ihrer Erzeugung
über einen vorher festgelegten Weg durch das Netz transportiert. Die so
erreichbaren Übertragungsraten liegen typischerwiese bei 25 MBit/s,
155 MBit/s oder 622 MBit/s.
ATM-Komponenten sind allerdings derzeit noch sehr teuer, so daß eine Integration mit den im lokalen Netz bereits vorhandenen Komponenten anderer
Technologien aus Gründen des Investitionsschutzes angestrebt werden sollte.
ATM unterstützt jedoch keine Broadcasts oder die Benutzung von MACAdressen, was jedoch Voraussetzung für die Nutzung der meisten
Protokollstapel wie TCP/IP oder SPX/IPX ist. Dazu existieren drei
verschiedene Lösungsansätze:
- Classical IP-over-ATM (CIP)
Für die Verwendung von IP über ATM wurde RFC 1577 (Classical IPover-ATM) entwickelt, welches Endgeräten mit TCP/IP-Protokollstapel
erlaubt, ATM als Transportmedium zu nutzen.
- LAN Emulation (LANE)
Hier werden auf Schicht 2 des OSI-Modells alle relevanten LANTechnologien für die Clients emuliert, für die sich ATM dann z. B. als
Ethernet oder Token-Ring-Netz darstellt. Damit wird eine Kommunikation
zwischen konventionellem LAN und ATM möglich.
- Multiprotocol-over-ATM (MPOA)
MPOA ist prinzipiell eine Weiterentwicklung des klassischen ATM und
LANE. Im Gegensatz zu LANE arbeitet MPOA auf der Schicht 3 des OSIModells und benutzt LANE zur Übertragung auf der Schicht 2. MPOA
implementiert also sowohl Bridging (Schicht 2) als auch Routing (Schicht
3) und kann somit ein voll geroutetes ATM-Netz konfigurieren.
Gleichzeitig bleiben jedoch alle Vorteile der ATM-Technologie, wie z. B.
die garantierten Bandbreiten für bestimmte Anwendungen, erhalten.
Weiterhin ist zu beachten, daß z. Z. zwischen ATM-Komponenten verschiedener Hersteller keine Kompatibilität bzw. Interoperabilität garantiert ist. Dies
ist daher im Einzelfall nachzuprüfen.
Eine allgemeine Empfehlung zur Auswahl einer Backbone-Technolgie kann,
wie bereits eingangs erwähnt, nicht gegeben werden. Hier spielen neben
Sicherheitsanforderungen auch Kriterien zur Zukunftssicherheit, Wirtschaftlichkeit, Skalierbarkeit und Integration vorhandener Komponenten eine Rolle.
Je nach ausgewähltem Protokoll können nur bestimmte Kabeltypen eingesetzt
werden (z. B. LWL für FDDI), die wiederum durch bestimmte Längenrestriktionen eingeschränkt sind (siehe auch M 5.2 Auswahl einer geeigneten NetzTopographie).

_____________________________________________________________________ ..........................................
117

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.60
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wurden die Anforderungen an den Backbone-Bereich des lokalen Netzes
in bezug auf Verfügbarkeit, Bandbreiten und Performance formuliert und
dokumentiert?
- Wurde eine Betrachtung aller relevanten Backbone-Technologien durchgeführt?

_____________________________________________________________________ ..........................................
118

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.61
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.61

Geeignete physikalische Segmentierung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Unter einer physikalischen Segmentierung wird der Vorgang der Segmentbildung mit Hilfe von aktiven und passiven Netzkomponenten auf Schicht 1, 2
oder 3 verstanden. Eine geeignete physikalische Segmentierung kann zur
Erhöhung der Verfügbarkeit, der Integrität und der Vertraulichkeit verwendet
werden. Dies läßt sich durch den Einsatz unterschiedlicher Netzkomponenten
(siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung) erreichen.
Verfügbarkeit
Unter dem Gesichtspunkt der Verfügbarkeit wird auch die Performance bzw.
die verfügbare Bandbreite eines Netzes betrachtet. Diese kann erhöht werden,
wenn das Netz auf den Schichten 1, 2 oder 3 des OSI-Modells getrennt wird.
Bei einer Auftrennung auf der Schicht 1 kann die geringste Erhöhung der Verfügbarkeit in den Einzelsegmenten, aber der höchste Durchsatz zwischen den
Segmenten und bei einer Trennung auf Schicht 3 die größte Erhöhung der
Verfügbarkeit und der geringste Durchsatz zwischen den Segmenten erzielt
werden.
Durch eine Segmentierung auf Schicht 1 mit Hilfe eines Repeaters wird die
Verfügbarkeit des Netzes dadurch erhöht, daß elektrische Fehler des einen
Segmentes das andere nicht beeinflussen können.
Beispiel: Bei einem Netz aus zwei Thin-Ethernet-Segmenten, die durch einen
Repeater miteinander verbunden sind, beeinflußt die fehlende Terminierung in
einem Segment nicht die Funktion des anderen.

Elektrisch defektes Segment

Repeater

Elektrisch unbeeinflusstes Segment

Abbildung 1: Elektrische Trennung von Segmenten durch einen Repeater zur
Erhöhung der Verfügbarkeit
Für Bridges und Switches gilt zunächst einmal das gleiche wie für Repeater,
da diese die Schicht 1 mit abdecken. Zusätzlich zu dieser Funktion werden
fehlerhafte Datenpakete der Schicht 2 und Kollisionen in einem Segment
isoliert. Weiterhin werden die Segmente entlastet, da Datenpakete
zielgerichtet zwischen den Segmenten weitergeleitet werden können. Dabei ist
darauf zu achten, daß die eingesetzte Bridge bzw. der Switch eine ausreichend
hohe Kapazität (Filterrate und Transferrate) besitzt, um den Datenverkehr
zwischen den Segmenten ohne große Verzögerungen zu verarbeiten.
Üblicherweise arbeiten Bridges/Switches auf der Schicht 2 des OSI-Modells.
Diese werten für den Aufbau der Verbindungsmatrix die MAC-Adressen der

_____________________________________________________________________ ..........................................
119

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.61
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

beteiligten Systeme in den jeweiligen Segmenten aus. Von einigen Herstellern
gibt es auch Switches, die auf Schicht 3 arbeiten, also beispielsweise die IPAdresse zum Aufbau der Verbindungsmatrix verwenden. Dieser Aufbau
geschieht in beiden Fällen automatisch, kann bei einigen Modellen jedoch
auch manuell beeinflußt werden. Einige Hersteller bieten zusätzlich auch die
Möglichkeit, die Verbindungsmatrix manuell (über ein zentrales Tool) auf
Portebene, also auf der Ebene der tatsächlichen Kabelführung, vorzunehmen
(Port- oder Configuration-Switching).
Router, die auf der Schicht 3 arbeiten, fassen die Eigenschaften von Repeatern
und Bridges hinsichtlich der Verfügbarkeit zusammen und erweitern diese um
die Fähigkeit, Protokolle der Schicht 3 auszuwerten. Hiermit erfolgt eine Lasttrennung auf einer höheren Ebene, wodurch der Netzverkehr fast vollständig
kontrolliert werden kann. Insbesondere werden keine Broadcasts zwischen
Segmenten (Teilnetzen) weitergeleitet, die durch einen Router getrennt sind.
Ein Broadcaststurm auf dem einen Segment kann also das andere nicht
beeinflussen.
Ausgehend von den Ergebnissen einer durchgeführten Verkehrsflußanalyse
(siehe M 2.139 Ist-Aufnahme der aktuellen Netzsituation), sollte ggf. eine
physikalische Segmentierung vorgenommen werden, um die Bandbreite bzw.
Performance im erforderlichen Maße zu erhöhen.
Beispiel: Innerhalb eines Netzes sind zentrale Server für Datei- und Druckdienste sowie für die Anwendungen vorhanden bzw. geplant. Für eine hohe
Performance und Verfügbarkeit kann es sinnvoll sein, diese dediziert an einen
Switch anzuschließen und von diesem Switch die einzelnen Arbeitsplatzstationen anzubinden (shared oder switched). Wenn möglich, sollte die Verbindung zwischen den Servern und dem Switch zumindest eine Fast-Ethernet
Verbindung sein.
Generell läßt sich festhalten, daß für eine höhere Performance ein geswitchtes
Netz einem Shared-Netz vorzuziehen ist, da sich in einem Shared-Netz alle
daran angeschlossenen Teilnehmer die verfügbare Bandbreite teilen müssen.
In einem Switched-Netz dagegen steht jedem Teilnehmer zumindest bis zur
nächsten aktiven Netzkomponente die volle Bandbreite zur Verfügung. Zu
beachten sind hierbei allerdings die Notwendigkeit einer strukturierten
Verkabelung (Sternform) und die relativ hohen Kosten für ein vollständig
geswitchtes Netz.
Als Alternativen bieten sich Lösungen an, die im Backbone-Bereich oder im
Bereich hoher Netzlast (z. B. Arbeitsgruppen) über einen Switch einzelne
Netzsegmente koppeln, die wiederum als Shared-Media-LAN ausgelegt sind
(vgl. Abbildung 2). Zusätzlich besteht immer die Möglichkeit, einzelne
Arbeitsplatzsysteme mit hohen Anforderungen an die Performance direkt an
einen Switch anzuschließen. Während ein Shared-Netz bzw. Shared Segment
sowohl in Bus- als auch in Sternform aufgebaut sein kann, ist es aus Gründen
der Verfügbarkeit und des Investitionsschutzes sinnvoll, dieses ebenfalls in
strukturierter Verkabelung (Sternform) auszuführen (vgl. M 5.2 Auswahl einer
geeigneten Netzt-Tpographie).

_____________________________________________________________________ ..........................................
120

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.61
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Switched Segment

Switch 1

net
Fas
t-E
the
r

MultiportRepeater 2

Server 1

Arbeitsplatz 1

Arbeitsplatz 2

Shared Segment

et
rn
he
Et
stFa

et
ern
Eth

Eth
ern
et

MultiportRepeater 1

Server 2

Arbeitsplatz 3

Arbeitsplatz 4

Shared Segment

Abbildung 2: Beispiel für ein Netz, welches aus Switched und Shared
Segmenten besteht. Die Anbindung der Server erfolgt über Fast-Ethernet.

Vertraulichkeit
Zur Erhöhung der Vertraulichkeit sind alle Maßnahmen geeignet, die einen
Austausch von Daten zwischen zwei Segmenten verhindern. Aus diesem
Grund ist ein reiner Repeater dafür ungeeignet. Einige Hersteller bieten
Multiport-Repeater an, die so konfiguriert werden können, daß nur bestimmte
Netzteilnehmer über solch einen Repeater im Netz arbeiten können. Hierdurch
kann bis zu einem gewissen Grad ausgeschlossen werden, daß sich
unberechtigte Nutzer auf das Netz aufschalten können. Bridges/Switches und
Router erhöhen die Vertraulichkeit dadurch, daß sie den Datenverkehr auf
Schicht 2 bzw. 3 verhindern und kontrollieren können bzw. dediziert auf PortEbene Segmente verbinden oder trennen können. Auch für Bridges/Switches
einiger Hersteller gilt, daß hier der Zugang von Netzteilnehmern beschränkt
werden kann. Router bieten die umfassendsten Kontrollmöglichkeiten der hier
behandelten Komponenten. Mit Hilfe von Routern kann nicht nur der Zugang
und die Wegewahl in andere Netze bestimmt werden, sondern zusätzlich auch,
welcher Netzteilnehmer mit Systemen im anderen Segment auf welcher Basis
kommunizieren darf. Durch den Ausschluß bestimmter Protokolle der Ebene 3
am Router kann verhindert werden, daß Daten dieses Protokolls in das andere
Segment gelangen. Dies geschieht durch die Definition geeigneter Filterregeln
in den Routern, die auf Protokollebene gebildet werden können. So können
beispielsweise bei der Verwendung des TCP/IP-Protokollstapels einzelne
TCP- und UDP-Ports für den Übergang in das andere Segment selektiv
gesperrt oder freigegeben werden. Komponenten, die auf höheren Schichten

_____________________________________________________________________ ..........................................
121

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.61
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

arbeiten, wie z. B. Application-Level-Firewalls, werden an dieser Stelle nicht
behandelt (siehe M 2.75 Geeignete Auswahl eines Application-Gateway).
Beispiel: Durch die Trennung eines Netzes mit Hilfe eines Routers und eine
entsprechende Konfiguration der Filterregeln kann erreicht werden, daß kein
FTP- und TFTP-Datentransfer (Port 20 und 21 bzw. 69) zwischen den Segmenten möglich ist und somit auch nicht vom jeweils anderen abgehört
werden kann. Ebenso werden keine Broadcast-Daten zwischen den Teilnetzen
übertragen. Außerdem müssen die Filter standardmäßig derart konfiguriert
sein, daß zunächst die Kommunikation maximal eingeschränkt und erst nach
Bedarf und dienstebezogen freigegeben wird. Hierbei sollte ggf. eine IPbezogene Filterung berücksichtigt werden.

Kein FTP-Datenverkehr möglich

FTP-Datenverkehr

Router

FTP-Datenverkehr

Abbildung 3: Beispiel für die Trennung von Teilnetzen auf Schicht 3 durch
einen Router

Daten- und Netzintegrität
Die Integrität der Daten bis zur Schicht 3 wird in der Regel durch das eingesetzte Netzzugangsprotokoll sichergestellt, während die Sicherstellung der
Netzintegrität, also dem Übereinstimmen der aktuellen Netzsituation mit der
geplanten und vorgesehenen physikalischen und logischen Segmentierung,
zusätzliche Maßnahmen erfordert. Diese Maßnahmen müssen sicherstellen,
daß keine unautorisierten oder fehlgeleiteten Kommunikationsverbindungen
aufgebaut oder unautorisierten Systemzugriffe durchgeführt werden, die im
integren Netzzustand unterbunden sind.
Die Netzintegrität wird daher im wesentlichen dadurch sichergestellt, daß
- Veränderungen unmittelbar an Netzkomponenten (Umrangierungen, Installation neuer, nicht autorisierter Komponenten etc.) verhindert oder zumindest erkannt werden (Hardware-bezogene Sicherheit),
- Veränderungen an der Konfiguration der Netzkomponenten (z. B. an
Routingprotokollen, an der Port-Switching-Matrix oder an der VLAN-Zuweisung) verhindert oder zumindest erkannt werden (Software-bezogene
Sicherheit).
Dazu ist es erforderlich, den Zugang zu den Netzkomponenten mit ausreichender Stärke zu verwehren (z. B. durch Infrastruktrurmaßnahmen bzgl.

_____________________________________________________________________ ..........................................
122

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.61
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Verteilerraum, Verkabelung etc.) und das Netzmanagement so zu konzipieren,
daß unberechtigte Zugriffe über das Netz auf die Netzkomponenten verhindert
werden.
Eine Erhöhung des Schutzes bezüglich der Integrität der Daten auf Schicht 3
(z. B. der Anwendungsdaten) kann nicht alleine durch den Einsatz von Netzkomponenten erreicht, aber ein gezielter Angriff auf die Datenintegrität kann
erschwert werden. Hierzu können Netzkomponenten verwendet werden, die
das Mithören und Verändern von Datenpaketen verhindern. Dies sind z. B.
Bridges/Switches und Router, die ein Netz in Segmente bzw.Teilnetze
aufspalten können, zwischen denen der Datenverkehr kontrolliert, beschränkt
oder konfiguriert werden soll. Insbesondere bei den sich automatisch
konfigurierenden Netzkomponenten wie Bridges und Switches, spielt die
Abbildung der logischen Zusammengehörigkeit auf die physikalische
Konfiguration eine große Rolle. Nur so kann erreicht werden, daß die
Datenpakete einer logischen Gruppe auch tatsächlich im selben physikalischen
Segment verbleiben. Bei Bridges/Switches, die eine Konfiguration der
möglichen Verbindungen auf Portbasis erlauben (Port-Switching) können
auch manuell die Verbindungsmöglichkeiten auf der Schicht 1 kontrolliert
werden.
Beispiel: Systeme, die den Anschluß von Terminals an ein Netz erlauben
(Terminalserver) und die Systeme, auf die vom Terminalserver aus
zugegriffen werden soll, müssen in einem Segment durch eine Bridge vom
Rest des Netzes abgetrennt werden. Nur so kann vermieden werden, daß der
Austausch des Paßwortes zwischen Terminalserver und dem angesprochenen
System von einem anderen Segment aus abgehört und ggf. verändert werden
kann.

Terminal-Server

Zugriff auf Filedienste

File-Server

Austausch des Paßworts

Bridge

Abbildung 4: Trennung von Segmenten durch eine Bridge zur Erhöhung der
Integrität und Vertraulichkeit
Zusätzlich ist durch die geeignete Dimensionierung und Auswahl von Netzkomponenten dafür Sorge zu tragen, daß weder durch deren Überlastung noch
durch deren Fehlfunktion Datenpakete verloren gehen können bzw. verfälscht
werden.

_____________________________________________________________________ ..........................................
123

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.61
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wurde beim Entwurf des lokalen Netzes an eine physikalische Segmentierung gedacht?
- Wurden die Anforderungen bezüglich Verfügbarkeit (insbesondere auch
Performance), Vertraulichkeit und Integrität ermittelt und berücksichtigt?

_____________________________________________________________________ ..........................................
124

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.62
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.62

Geeignete logische Segmentierung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Mit Hilfe geeigneter aktiver Netzkomponenten ist es möglich, trotz einer
festen physikalischen Segmentierung des Netzes, dieses darüber hinaus
logisch zu segmentieren. Die Möglichkeit hierzu bieten Switches, die auf der
Schicht 2 und 3 des OSI-Modells arbeiten. Aufgrund der Eigenschaften solch
eines Switches, die Protokolle der Schicht 2 bzw. 3 zu verstehen, können
durch Kontrolle des Datenflusses zwischen den Anschlüssen am Switch
sogenannte virtuelle LANs (VLANs) gebildet werden. Hierdurch können
Gruppen im Netz zusammengefaßt werden, die in der physikalischen Segmentierung so nicht abgebildet sind. Vor allem ergibt sich hierdurch die
Möglichkeit, Gruppen ohne Eingriff in die physikalische Vernetzung dynamisch und zeitnah neu zu bilden bzw. umzugruppieren. Analog zur physikalischen Segmentierung auf der Schicht 2 bzw. 3 sind die Kriterien bezüglich
Vertraulichkeit, Verfügbarkeit und Integrität auch hier anzuwenden. Kriterien
für eine geeignete Segmentierung können ebenfalls analog wie für die physikalischen Segmente angewendet werden.
In der folgenden Abbildung ist die Möglichkeit der VLAN-Bildung mit Hilfe
mehrer Schicht-3-Switches dargestellt. Die physikalische Anbindung der
Endgeräte an die Switches erfolgt hierbei wie durch die Verbindungslinien
angedeutet. Die logische Segmentierung erfolgt durch die Gruppierung mit
Hilfe der Switches nach VLANs.

VLAN 3

VLAN 1

VLAN 2

Abbildung 1: VLAN-Bildung mit Hilfe mehrerer Switches
Würde man die in Abbildung 1 gezeigte VLAN-Struktur durch eine herkömmliche physikalische Segmentierung erreichen wollen, würde das wie in

_____________________________________________________________________ ..........................................
125

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.62
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Abbildung 2 dargestellt aussehen. Die einzelnen LANs können hier beispielsweise durch Shared Ethernet-Segmente abgebildet werden, die Verbindung der einzelnen LANs erfolgt durch eine Bridge.

LAN 3
LAN 1

LAN 2

Abbildung 2: Physikalische Segmentierung analog zu Abbildung 1

Auf der Basis von VLAN-fähigen Netzkomponenten können ohne physikalische Umstrukturierung virtuelle LANs gebildet werden, die je nach eingesetzter Technologie analog zu LANs, mit Segmentierungen auf Schicht 2
oder 3 sind. Hiermit können in einem Netz analog zur Segmentierung von
LANs Bereiche gebildet werden, in denen z. B. hohe Anforderungen an die
Vertraulichkeit der Daten gelten (siehe M 5.61 Geeignete physikalische
Segmentierung). Je nach eingesetztem Produkt bieten diese bei der VLANBildung unterschiedliche Funktionalitäten. Einige Produkte stellen die Möglichkeit zur Verfügung, VLANs auf Schicht 2 oder 3 zu bilden, die u. U. nur
durch den Einsatz von Routern gekoppelt werden können (sog. sichere
VLANs, da diese nur durch den Einsatz von Routern verbunden werden können). In diesem Fall muß mit Hilfe der Filterregeln des Routers ein kontrollierter Übergang zwischen den VLANs hergestellt werden. Andere Hersteller
implementieren in Schicht-3-Switches bereits Routing-Funktionalität, die
VLANs ohne zusätzliche Router verbinden. Der Einsatz entsprechender
Technologien und Produkte muß insbesondere gegen die Anforderungen an
die Vertraulichkeit und Integrität der Daten geprüft werden.

_____________________________________________________________________ ..........................................
126

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.62
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................
Schicht-3-Switch

Schicht-3-Switch

Schicht-3-Switch

VLAN 3

VLAN 1

VLAN 2

Abbildung 3: Bildung von sicheren VLANs mit Schicht-3-Switches

Im dargestellten Fall (Abbildung 3) wurden mit Hilfe von Schicht-3-Switches
sichere VLANs auf der Schicht 3 des OSI-Modells eingerichtet. Die dargestellten Switches sind in diesem Fall ohne Routing-Funktionalität. VLAN 1,
VLAN 2 und VLAN 3 verhalten sich dabei so, als ob sie durch einen Router
segmentiert wären, ohne daß ein Routing zwischen ihnen stattfindet. VLAN 3
hat also keinerlei Verbindung mit den anderen VLANs, lediglich VLAN 1 und
VLAN 2 können über einen Router miteinander kommunzieren. Die
Kommunikation kann durch die Konfiguration des Routers entsprechend
kontrolliert und gesteuert werden. Mit anderen Produkten, die RoutingFunktionalität in den Schicht-3-Switches implementieren, kann der dargestellte Router entfallen und das Routing mit Hilfe der Switches kontrolliert
werden.
Eine allgemeine Empfehlung bezüglich einer logischen Segmentierung kann
nicht gegeben werden. Für eine Neuinstallation eines Netzes ist aber zu prüfen, ob durch den Einsatz von VLANs die Anforderungen an die Verfügbarkeit, Vertraulichkeit und Integrität nicht einfacher erreicht werden können als
durch eine aufwendigere physikalische Segmentierung.
Als Vorteil einer logischen Segmentierung ist die einfache, zentrale Neu- und
Umkonfigurierbarkeit der Segmente zu sehen. Insbesondere bei Produkten, die
sichere VLANs unterstützen, können so schnell und einfach Arbeitsgruppen
im Netz gebildet werden, die höhere Anforderungen an die Vertraulichkeit
ihrer Daten stellen. Auf der anderen Seite muß in diesem Fall auch ein

_____________________________________________________________________ ..........................................
127

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.62
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

besonderes Augenmerk auf den sicheren Remote-Zugang zu den aktiven
Netzkomponenten gelegt werden, da die Segmentierung hier nur auf der
Konfiguration von Software beruht. Es muß also bei einer logischen Segmentierung zwischen den Anforderungen an die Sicherheit des Netzes (auch vor
unberechtigter Umkonfiguration) und der Möglichkeit einer flexiblen Umgestaltung des Netzes abgewogen werden.
Ergänzende Kontrollfragen:
- Sind die eingesetzten Netzkomponenten VLAN-fähig?
- Wurde das Netz geeignet logisch segmentiert?
- Sind die eingesetzten Netzkomponenten bezüglich der VLAN-Funktionalität interoperabel?
- Ist der Remote-Zugang der aktiven Netzkomponenten vor unberechtigter
Administration geschützt?
- Wurden die Anforderungen bzgl. Verfügbarkeit, Vertraulichkeit und Integrität ermittelt und berücksichtigt?

_____________________________________________________________________ ..........................................
128

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.63
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.63

Einsatz von PGP

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: IT-Benutzer, Administrator
PGP (Pretty Good Privacy) ist ein weitverbreitetes Verschlüsselungsprogramm. Mit PGP können Nachrichten und Dateien ver- und entschlüsselt
werden sowie mit einer digitalen Signatur (auch elektronische Unterschrift
genannt) versehen werden, um unautorisierte Veränderungen an einer
Nachricht bzw. Datei nachweisen zu können. Weiterhin können mit Hilfe von
PGP die Aufgaben des Schlüsselmanagements wie z. B. Hinzufügen und
Entfernen von Schlüsseln wahrgenommen werden.
Verschlüsselung und digitale Signatur
Bei PGP werden symmetrische und asymmetrische kryptographische Verfahren eingesetzt. Symmetrische wie IDEA dienen zur Datenverschlüsselung,
asymmetrische wie Diffie-Hellmann zum Schlüsselaustausch oder RSA bzw.
DSS zur Signaturbildung.
PGP erzeugt und verwendet öffentliche und private Schlüssel in sogenannten
Schlüsselpaaren. Zu jedem privaten Schlüssel gibt es genau einen öffentlichen
Schlüssel. Es ist praktisch ausgeschlossen, nur mit Kenntnis des öffentlichen
Schlüssels den privaten Schlüssel zu errechnen. Eine Nachricht, die mit einem
öffentlichen Schlüssel verschlüsselt bzw. mit dem privaten Schlüssel signiert
wurde, kann nur mit dem zugehörigen privaten Schlüssel entschlüsselt bzw.
mit dem öffentlichen Schlüssel des Absenders verifiziert werden. Der öffentliche Schlüssel kann jedem bekannt gemacht werden. Er dient dazu, Nachrichten an den Besitzer des privaten Schlüssels zu verschlüsseln.
Zum Nachweis von unautorisierten Manipulationen und somit zum Schutz vor
Veränderungen einer Nachricht berechnet PGP unter Zuhilfenahme des
privaten Schlüssels des Absenders einen Prüfcode über die Nachricht, die
digitale Signatur. Jeder Kommunikationspartner kann mit Hilfe des öffentlichen Schlüssels des Absenders der Nachricht feststellen, ob der am Ende der
Nachricht stehende Prüfcode zu der erhaltenen Nachricht paßt oder ob die
Nachricht unautorisiert verändert wurde.
Empfehlenswert beim Einsatz von PGP ist die Kombination der beiden zuvor
beschriebenen Funktionalitäten. Nachrichten bzw. Dateien sollten standardmäßig zunächst mit dem öffentlichen Schlüssel des Empfängers verschlüsselt
werden und anschließend mit dem privaten Schlüssel des Absenders signiert
werden, um einen höchstmöglichen Schutz zu erreichen.
Versionen
PGP steht für die verschiedensten Rechnerplattformen (Unix-Systeme, DOS,
Windows NT/9x etc.) zur Verfügung. Die am häufigsten eingesetzten
Versionen sind 2.6.3i, 5.x und 6.x. Die Versionen 5.x und 6.x sind mit einer
graphischen Benutzeroberfläche ausgestattet, aber nicht abwärtskompatibel zu
den Vorgängerversionen. Insbesondere beim Einsatz dieser PGP-Versionen
unter Betriebssystemen der Windows-Familie ist zu beachten, daß die
Sicherheitsmechanismen von PGP durch die Ausnutzung von

_____________________________________________________________________ ..........................................
129

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.63
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Sicherheitsmängeln des Betriebssystems möglicherweiser unterlaufen werden
können.
Aufgrund der fehlenden Abwärtskompatibilität ist es empfehlenswert, vor dem
Austausch von verschlüsselten Nachrichten nachzufragen, welche PGPVersion von den Kommunikationspartnern verwendet wird. Die nach wie vor
weit verbreitete Version 2.6.3i ist kommandozeilenorientiert, kann aber mit
Zusatzprogrammen in graphische Benutzeroberflächen und Mail-Clients
eingebunden werden. PGP kann über verschiedene Quellen bezogen werden,
u. a. Public-Domain-Versionen von diversen WWW-, FTP- oder MailServern.
Ab der Version 5 wurde die umstrittene Funktion "Corporate Message Recovery" (CMR) eingeführt. CMR bietet die Möglichkeit, Dateien oder Nachrichten, die von einer Person für eine zweite verschlüsselt wurden, gleichzeitig für
eine dritte Person entschlüsselbar zu machen. Die Verwendung eines solchen
"Drittschlüssels" kann durch die Konfiguration vom Administrator zwingend
vorgegeben werden.
Aufgrund der gesetzlichen Exportrestriktionen für kryptographische Produkte
in den USA sollte bei allen Versionen von PGP darauf geachtet werden, diese
von europäischen Anbietern oder Servern zu beziehen.
Sichere Installation und Bedienung
Bei PGP werden zwar als sicher anerkannte kryptographische Verfahren eingesetzt, durch falsche Konfiguration oder Fehlbedienung kann es aber zu einer
Abschwächung des Sicherheitsniveaus kommen. Die Installation und
Konfiguration inklusive der Schlüsselgenerierung ist bei PGP wie bei den
meisten komplexeren Kryptoprodukten nicht ganz einfach. Damit sich keine
Bedienungsfehler einschleichen können, ist die Einarbeitung in das Produkt
und in einige kryptographische Grundbegriffe notwendig.
Daher sollte sich in Organisationen ein Mitarbeiter in den Umgang mit PGP
einarbeiten und als PGP-Ansprechpartner zur Verfügung stehen. Dieser sollte
dann die anderen Benutzer in die sichere Bedienung von PGP einweisen, insbesondere sollten Verschlüsselung, Signatur und Schlüsselmanagement
intensiv geübt werden, bevor ein Benutzer PGP verwendet. Weiterhin ist es
empfehlenswert, daß innerhalb einzelner Organisationen eine einheitliche
Version von PGP verwendet wird, um die zuvor beschriebenen Kompatibilitätsprobleme zu vermeiden. Zu PGP gehört eine umfangreiche Dokumentation, die vor der Verwendung von PGP gelesen werden sollte. Da erfahrungsgemäß nicht alle Benutzer die Geduld aufbringen, diese zu lesen,
empfiehlt es sich, eine schriftliche Einweisung auszuarbeiten, die auf die
Organisationseigenheiten angepaßt ist.
Falls Benutzer Fragen zu PGP haben, die über die mitgelieferte Dokumentation hinausgehen, gibt es diverse Möglichkeiten:
- Zunächst gibt es im Internet eine Sammlung der häufigsten Fragen und
Antworten (Frequently Asked Questions - FAQ) zu PGP sowie deutschsprachige Anleitungen und Ausführungen zum Thema PGP.
- Über Newsgruppen wie alt.security.pgp, de.comp.security, sci.crypt ist es
sehr schnell möglich, Antworten zu PGP-Problemen zu bekommen.

_____________________________________________________________________ ..........................................
130

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.63
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

- Es gibt mehrere Bücher zu PGP.
Schlüsselgenerierung
Jeder Benutzer erzeugt bei PGP sein "Schlüsselpaar" selber. Hierbei sollten
folgende Punkte beachtet werden:
- Bei der Generierung der RSA-Schlüssel können verschiedene Schlüssellängen gewählt werden. Hierbei ist zu beachten, daß mit der Schlüssellänge
die Entzifferungsresistenz zunimmt, aber auch die Performance sinkt. Als
Schlüssellänge sollte daher 768 Bit oder besser 1024 Bit gewählt werden.
- Passphrase
Bei der Schlüsselerzeugung muß eine sogenannte "Passphrase" (auch
"Mantra" genannt) eingegeben werden, die die Datei mit den privaten
Schlüsseln vor unbefugtem Zugriff schützt. Wie jedes Paßwort sollte auch
dieses nicht leicht zu erraten sein.
Es kursieren z. B. trojanische Pferde, die gezielt die Datei mit den privaten
Schlüsseln (SECRING.PGP) suchen und an Externe per E-Mail senden.
Wenn dann die Passphrase zu einfach gewählt war, bietet sie Brute-ForceAngriffen (automatisiertes Paßwortraten) keinen ausreichenden Widerstand. Daher sollte die Passphrase mindestens aus zehn Zeichen bestehen
und Sonderzeichen enthalten.
- Benutzer-ID
Zu den öffentlichen PGP-Schlüsseln gehört eine Benutzer-ID, die möglichst eindeutig sein sollte und zudem die E-Mail-Adresse enthält, z. B.
benutzer@bsi.de.
- Zur Schlüsselgenerierung benötigt PGP möglichst zufällige Startwerte.
Daher wird der Benutzer gebeten, beliebigen Text einzutippen. Hierbei
sollte besser "echter" Text eingegeben werden, z. B. kann dieser Absatz
abgetippt werden. Einfach auf der Tastatur "herumklimpern" erzeugt meist
schlechtere Ergebnisse.
Schlüsselaufbewahrung
Die privaten Schlüssel werden in der Datei SECRING.PGP gespeichert. Der
Zugriff auf diese Datei ist zwar durch die Passphrase geschützt, trotzdem
sollte sie nicht auf lokalen Netzen gehalten werden, nicht einmal auf nicht
genügend gesicherten Stand-Alone-Systemen. Schlüsselringe (Sammlungen
von Schlüsseln) sollten auf Diskette gespeichert werden, die der Benutzer
sorgfältig verwahren muß. Der Einsatz von Chipkarten zur Schlüsselspeicherung ist vorzuziehen.
Weiterhin sollte eine Sicherungskopie der Datei SECRING.PGP angelegt,
sowie die Passphrase notiert werden. Die Sicherungskopie und die Passphrase
sollten sicher und am besten getrennt verwahrt werden, damit nicht durch
einen Festplattencrash oder durch Fehlbedienung der private Schlüssel verloren geht. Nachrichten, die mit dem öffentlichen Schlüssel verschlüsselt
worden sind, lassen sich in diesem Fall nicht mehr entschlüsseln.
Das Aufschreiben und Hinterlegen der Passphrase an einem gesicherten Ort
sollten hierbei als kritischer Vorgang betrachtet werden, die ausschließlich der

_____________________________________________________________________ ..........................................
131

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.63
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Notfallvorsorge dienen. Die abgeschlossene Schublade eines Schreibtisches
oder ähnlich "sichere" Orte können keinesfalls als Aufbewahrungsort für den
geheimen Schlüssel oder für die Passphrase empfohlen werden.
Schlüsselverteilung
Damit ein Empfänger die digitale Signatur eines Senders einer Datei überprüfen kann bzw. damit der Sender eine Nachricht für einen bestimmten
Empfänger verschlüsseln kann, benötigt er den öffentlichen Schlüssel seines
Kommunikationspartners. Diesen kann er auf verschiedene Weisen erhalten,
z. B. per Attachment einer E-Mail oder von einem WWW-Server, er muß sich
aber davon überzeugen, daß dieser Schlüssel wirklich zu der angegebenen
Person gehört. Für eine kryptographisch abgesicherte Zuordnung einer Person
zu ihrem öffentlichen Schlüssel werden Zertifikate verwendet, die ein vertrauenswürdiger Dritter vergibt.
Bei PGP kann jeder Benutzer die öffentlichen Schlüssel anderer Personen mit
Zertifikaten beglaubigen. Ein Benutzer sollte einen öffentlichen Schlüssel aber
nur dann zertifizieren, wenn er die Identität des Schlüsselinhabers kennt oder
überprüft hat und der öffentliche Schlüssel persönlich übergeben wurde.
Alternativ kann die Echtheit eines öffentlichen Schlüssels auch über den
sogenannten "Fingerprint" verifiziert werden. Hierbei wird eine Zahlenfolge
(Hashwert) aus dem öffentlichen Schlüssel berechnet und an diesen angehängt. Nach Übersendung eines öffentlichen Schlüssels kann nun mit dem
Absender diese Zahlenfolge, z. B. telefonisch, verglichen werden, um nach
der Bestätigung des Fingerprints den übersandten öffentlichen Schlüssel zu
zertifizieren.
Zertifizierungshierarchie - Web of Trust – Internet-Keyserver
Prinzipiell kann PGP sowohl in einer Zertifizierungshierarchie als auch in
einem "Web of Trust" eingesetzt werden. Beim "Web of Trust" wird auf die
Zertifikate anderer Benutzer vertraut, in einer Zertifizierungshierarchie
beglaubigen vertrauenswürdige Dritte, sogenannte Zertifizierungsstellen, die
Schlüssel aller ihrer Benutzer auf zuverlässige und nachvollziehbare Weise.
In einem Unternehmen oder einer Behörde sollte im Intranet eine Zertifizierungshierarchie aufgebaut werden. Der PGP-Betreuer sollte alle Schlüssel für
seinen Organisationsbereich bzw. für die gesamte Organisation zertifizieren.
Die zertifizierten öffentlichen Schlüssel sollten im Intranet auf einem Server
allen Mitarbeitern zugänglich sein, der Zugriff auf diesen Bereich sollte dabei
ausschließlich "lesend" (Read-only) sein. Die Methode des "Web of Trust"
sollte nur für die private Kommunikation benutzt werden.
Im Internet können öffentliche PGP-Schlüssel auf sogenannten Keyservern
eingestellt werden. Diese dürfen aber keinesfalls mit Zertifizierungsstellen
verwechselt werden. Keyserver nehmen Schlüssel von überall in Empfang und
verteilen sie auf Anfrage weiter. Es sollte klar sein, daß Schlüssel, die man
von einem Keyserver erhält, von diesem in keiner Weise überprüft wurden.
Um die Echtheit eines öffentlichen Schlüssels, der auf einem Keyserver
eingestellt wurde, nachzuprüfen, sollte dies mit Hilfe des bereits erwähnten
Fingerprints durchgeführt werden.

_____________________________________________________________________ ..........................................
132

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.63
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Eigensignatur des öffentlichen Schlüssels
Durch die Selbstsignatur des öffentlichen Schlüssels wird nur die Benutzer-ID
als Teil eines öffentlichen Schlüssels von PGP unterschrieben. Mit Hilfe
dieser Selbstsignatur ist es möglich, einen Denial-of-Service-Angriff (siehe
G 5.28 Verhinderung von Diensten) zu entdecken, dieser kann jedoch durch
die Selbstsignatur des öffentlichen Schlüssels nicht verhindert werden. Da die
Benutzer-ID eines öffentlichen Schlüssels nicht verschlüsselt ist, kann sie
verfälscht werden. Dies hätte zur Folge, daß bei Verwendung dieses
"verfälschten" Schlüssels, die verschlüsselten E-Mails den Eigentümer dieses
Schlüssels nicht mehr erreichen, da sie an eine andere E-Mail-Adresse umgeleitet werden. Die Vertraulichkeit der verschlüsselten Nachricht wird hierdurch nicht gefährdet, da das Entschlüsseln der Nachricht ausschließlich mit
dem privaten Schlüssel erfolgen kann.
Key Recovery
Falls die zur Verschlüsselung benutzten Schlüssel verloren gehen, sind im
allgemeinen auch die damit geschützten Daten verloren. In den kommerziellen
Versionen ab 5.0 bietet PGP Funktionen zur Datenwiedergewinnung für
solche Fälle an. Diese Funktionen werden auch als Key Recovery bezeichnet.
Diese Funktionalität kann durch Wiederherstellung gespeicherter,
verschlüsselter Daten einem Datenverlust vorbeugen, wenn ein Schlüssel oder
das Zugriffspaßwort verloren ging.
Wenn die Wiedergewinnungsfunktion genutzt werden soll, müssen ein oder
zwei zusätzliche Schlüssel (ADK, Additional Decryption Keys) erzeugt
werden. Bei der Schlüsselgenerierung werden diese "Nachschlüssel" an die
neu erzeugten Schlüssel angebunden und alle Daten, die mit den neuen
Schlüsseln verschlüsselt werden, enthalten zusätzlich eine Verschlüsselung
des Sitzungsschlüssels mit den ADKs. So ist es im Notfall möglich, die Daten
unter Verwendung dieser ADKs, ohne Nutzung des Originalschlüssels zu entschlüsseln. Damit bietet PGP die Funktion "Message Recovery" ohne zentrale
Speicherung der Wiederherstellungsinformationen.
Die Nutzung des Key Recovery kann durch entsprechende Voreinstellungen
der Clients erzwungen werden, so daß diese Funktionalität nicht von den
einzelnen Benutzern unterlaufen werden kann. Allerdings hängt dann die
Sicherheit der gesamten Verschlüsselung von der Vertraulichkeit der ADKs
ab. Sind diese offengelegt, können alle Daten mit ihnen entschlüsselt werden.
Um einem Mißbrauch dieser höchst sensitiven Funktion vorzubeugen, ist es
unabdingbar, daß die ADKs durch ein besonders sorgfältig ausgewähltes,
sicher verwahrtes Paßwort geschützt werden. Zusätzlich können ab der PGPVersion 6.0 Schlüssel auch in mehrere Teile aufgeteilt werden, so daß zu ihrer
Nutzung mehrere Personen gemeinsam aktiv werden müssen. Diese Form der
Vier-Augen-Kontrolle sollte bei Einsatz von ADKs unbedingt genutzt werden.
Als weiterer Schutz kann vorgesehen werden, daß Benutzer jedesmal gewarnt
werden, wenn sie Daten mit einem Schlüssel verschlüsseln, an den ADKs
angebunden werden.
Ehe PGP mit Key Recovery eingesetzt wird, sollten die Vor- und Nachteile
gegeneinander abgewogen werden. Auf der einen Seite wird zwar einem
Datenverlust durch Verlust des Schlüssels vorgebeugt, auf der anderen Seite

_____________________________________________________________________ ..........................................
133

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.63
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

entsteht ein zentraler Schwachpunkt des Verschlüsselungssystems. Diese
Funktion sollte daher nur dann genutzt werden, wenn PGP zur Verschlüsselung gespeicherter Daten eingesetzt wird. Bei einer Nutzung rein für die
Kommunikationssicherung kann bei einem Schlüsselverlust auch einfach
erneut die E-Mail angefordert werden. Es sollte auch geprüft werden, ob als
Alternative die Hinterlegung des Paßworts an einer sicheren Stelle in einem
geschlossenen Umschlag und die Erstellung von Sicherheitskopien der privaten Schlüsseldateien nicht zu bevorzugen wäre.
Ergänzende Kontrollfragen:
- Werden die Benutzer im Umgang mit PGP geschult?
- Werden Daten und Schlüssel getrennt aufbewahrt?
- Werden Sicherungskopien der privaten Schlüssel angelegt? Werden diese
an einem gesicherten Ort aufbewahrt?

_____________________________________________________________________ ..........................................
134

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.64
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.64

Secure Shell

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Ohne spezielle Erweiterungen bieten die Protokolle telnet und ftp nur
rudimentäre Mechanismen zur Authentifizierung. In der Regel wird eine
einfache Abfrage von Benutzerkennung und Paßwort durchgeführt, die dann ebenso wie die Nutzdaten - im Klartext gesendet werden. Die Vertraulichkeit
der Authentifizierungs- und Nutzdaten ist also nicht gesichert. Die verwandten
Protokolle rsh, rlogin und rcp, die oft unter der Bezeichnung r-Dienste
zusammengefaßt werden, weisen ähnliche Sicherheitsmängel auf.
Secure Shell (ssh) kann als Ersatz für die r-Dienste genutzt werden, wobei
umfangreiche Funktionen zur sicheren Authentifizierung und zur Wahrung
von Vertraulichkeit und Integrität zum Einsatz kommen. Hierzu wird ein
hybrides Verschlüsselungsverfahren, also eine Kombination aus asymmetrischer und symmetrischer Verschlüsselung, verwendet. Angesiedelt ist die
Secure Shell auf Schicht 7 (Anwendungsschicht) des ISO/OSI-Referenzmodells, allerdings können auch andere Protokolle wie das X11-Protokoll, das
von der graphischen Oberfläche X-Windows verwendet wird, über ssh
transportiert werden.
Derzeit basiert Secure Shell auf drei Protokollen, die aufeinander aufbauen
und für die jeweils ein Internet-Draft existiert.
- Das unterste Protokoll ist das Transport Layer Protocol. Dieses Protokoll
leistet den Großteil der Sicherungsfunktionen von ssh, nämlich Authentifizierung auf Host-Ebene, Verschlüsselung und Schutz der Datenintegrität.
Die kryptographischen Algorithmen sind zwischen den Kommunikationspartnern aushandelbar.
- Das mittlere Protokoll ist das User Authentication Protocol. Dies erlaubt
die Authentifizierung auf Benutzer-Ebene, wobei auch hier das Verfahren
ausgehandelt werden kann. Wenn zur Authentifizierung eine einfache
Übertragung von Benutzerkennung und Paßwort verwendet wird, so ist die
Vertraulichkeit dieser Informationen gegenüber dem Kommunikationsweg
durch das darunterliegende Transport Layer Protocol gesichert. Empfohlen
wird jedoch die Authentifizierung durch ein Public-Key-Verfahren.
- Das Connection Protocol baut auf den beiden vorhergehenden Protokollen
auf und erlaubt den Aufbau von mehreren logischen Nutzkanälen. Die
Daten auf diesen Nutzkanälen werden gemeinsam über eine einzelne
abgesicherte Secure Shell-Verbindung übertragen.
Für alle gängigen Unix-Betriebssysteme existieren Implementierungen sowohl
von ssh-Clients als auch von ssh-Servern. Darüber hinaus gibt es ssh-Clients
unter anderem für 32 Bit Windows, OS/2, Macintosh und als Java-Applet.
Grundsätzlich ist der Einsatz von Secure Shell zu empfehlen, wenn die Funktionalitäten der r-Dienste über Kommunikationskanäle genutzt werden, die
nicht ausreichend gegen Kompromittierung und/oder Manipulation gesichert
sind (z. B. über das Internet). Im folgenden werden einige Hinweise für den
sicheren Einsatz von ssh gegeben.

_____________________________________________________________________ ..........................................
135

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.64
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Von besonderer Bedeutung ist die Gefährdung durch sogenannte man-in-themiddle-Attacken. Hierbei filtert der Angreifer den gesamten Verkehr zwischen
den Kommunikationspartnern und reicht gefälschte öffentliche Schlüssel
weiter. Ist es den Kommunikationspartnern nicht möglich, die öffentlichen
Schlüssel zu prüfen, kann der Angreifer den gesamten Verkehr lesen und
manipulieren, indem er die Daten jeweils selbst entschlüsselt, dann liest bzw.
modifiziert und schließlich mit einem anderen Schlüssel verschlüsselt und
weiterleitet. Dies kann mit Hilfe eines geeigneten Schlüssel/Zertifikatmanagements verhindert werden. Beim praktischen Einsatz von
Secure Shell wird jedoch oft eine Kompromißlösung angewandt, die den Einsatz von ssh ohne jede zusätzliche Infrastruktur erlaubt. Dabei wird bei einem
Verbindungsaufbau zu einem Host, dessen öffentlicher Schlüssel noch nicht
bekannt ist, dieser über das unsichere Netz gesendet und in einer lokalen
Datenbank abgelegt. Bei allen nachfolgenden Verbindungen mit diesem Host
kann dessen öffentlicher Schlüssel dann anhand der lokalen Datenbank überprüft werden. Im Rahmen des Sicherheitskonzeptes muß geklärt werden, ob
dieses Verfahren, das eine reduzierte Sicherheit gegenüber man-in-the-middleAngriffen bietet, für die vorliegende Anwendung ausreichend ist.
In den Internet-Drafts sind kryptographische Verfahren festgelegt, die von den
Secure Shell-Implementierungen zur Verfügung gestellt werden müssen.
Optional können jedoch zusätzliche kryptographische Algorithmen implementiert werden. Die tatsächlich benutzten Verfahren werden beim Verbindungsaufbau ausgehandelt. Durch Wahl geeigneter Client- und ServerProgramme und durch entsprechende Konfiguration ist sicherzustellen, daß
sich ssh-Client und ssh-Server auf qualifizierte kryptographische Algorithmen
einigen, die den Sicherheitsanforderungen genügen.
Wenn ssh zum Einsatz kommt, sollten nach Möglichkeit alle anderen Protokolle, deren Funktionalität durch Secure Shell abgedeckt wird, also z. B. die rDienste und telnet, vollständig abgeschaltet werden, damit die Sicherheitsmaßnahmen nicht umgangen werden können. Dies setzt allerdings voraus, daß
alle Kommunikationspartner über geeignete Implementierungen verfügen.
Von älteren Implementierungen von ssh sind sicherheitsrelevante Programmfehler bekannt. Es sollte daher eine Version verwendet werden, bei der solche
Mängel beseitigt sind. Die Kompatibilität zwischen Implementierungen, deren
Programmversionen sich stark unterscheiden, ist u. U. problematisch. Ein
Mischbetrieb sollte deshalb möglichst vermieden werden.
Zu beachten ist, daß beim Einsatz von ssh über Firewalls eine inhaltssensitive
Kontrolle des Datenstroms nicht mehr möglich ist.
Ergänzende Kontrollfragen:
- Werden r-Dienste oder ähnliche Protokolle über unsichere Kommunikationskanäle genutzt?
- Wie ist bei der Nutzung von Secure Shell die Verifizierung von öffentlichen Host-Schlüsseln geregelt (z. B. organisatorische Maßnahmen)?
- Wird eine Version von Secure Shell genutzt, bei der alle bekannten
Sicherheitsmängel behoben sind?

_____________________________________________________________________ ..........................................
136

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.65
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.65

Einsatz von S-HTTP

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Secure HTTP (S-HTTP) erlaubt es, Nachrichten zu sichern, die zwischen
einem HTTP-Client und einem HTTP-Server ausgetauscht werden. S-HTTP
stellt als Erweiterung von HTTP folgende Mechanismen zur Verfügung:
- Authentisierung von Instanzen,
- Aushandeln von Sicherungsdiensten,
- Schutz der Vertraulichkeit und Integrität von HTML-Dokumenten durch
kryptographische Prüfsummen und Verschlüsselung.
S-HTTP schützt übergebene HTTP-Daten auf Seite des Senders durch Verschlüsselung oder Anhängen einer kryptographisch erzeugten Prüfsumme und
übergibt die geschützten Daten dem Transportsystem. Die so geschützten
Daten werden zum Empfänger übertragen. Auf der Seite des Empfängers
werden die gekapselten Daten vom Transportsystem dem lokalen S-HTTP
übergeben. Dieses entschlüsselt die geschützten HTTP-Daten und übergibt sie
der HTTP-Anwendung.
Die Sicherungsdienste basieren auf den Algorithmen RSA, DES, RC2, MD2
und MD5 (siehe hierzu auch M 3.23 Einführung in kryptographische Grundbegriffe). Durch eine optionale Verhandlungsphase vor jeder Übertragung
können bei S-HTTP die Sicherheitspolitik und die zu verwendenden kryptographischen Algorithmen ausgewählt werden.
Daneben können auch verschiedene kryptographische Sicherheitsmechanismen in S-HTTP eingebunden werden, so zum Beispiel PKCS-7
(Cryptographic Message Syntax) und PEM. Durch die optionale Verhandlungsphase ist Interoperabilität zwischen S-HTTP-Clients und Servern, die
kein S-HTTP verwenden, gewährleistet.
Die wesentlichen Unterschiede zu SSL (siehe M 5.66) sind:
- S-HTTP muß in WWW-Clients und -Servern auf Applikationsebene integriert werden.
- S-HTTP bietet die Sicherungsdienste auf Basis des Inhalts der HTMLDokumente, wohingegen SSL den HTTP-Kommunikationskanal schützt.
S-HTTP dient zur Sicherung von WWW-Anwendungen. Dennoch können
bösartige Applets bzw. MIME-codierte ausführbare Programme trotz der
Sicherung oder gerade deswegen auf interne Systeme gelangen.

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
138

M 5.66
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.66

Verwendung von SSL

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Das bei der WWW-Nutzung am häufigsten verwendete Sicherheitsprotokoll
ist SSL ("Secure Socket Layer"). SSL ist von Netscape entwickelt worden und
wird von allen aktuelleren Browsern unterstützt. Mit SSL können
Verbindungen abgesichert werden
- durch Verschlüsselung der Verbindungsinhalte,
- durch Überprüfung der Vollständigkeit und Korrektheit der übertragenen
Daten,
- durch Prüfung der Identität des Servers und
- optional durch Prüfung der Identität der Client-Seite.
Bei SSL wird eine Verbindung zwischen dem Browser eines Benutzers und
dem Server eines Anbieters aufgebaut, über die zunächst die Zertifikate mit
den öffentlichen Schlüsseln ausgetauscht werden. Anschließend wird
geschützt durch das asymmetrische Verschlüsselungsverfahren RSA ein
symmetrischer Schlüssel sicher ausgetauscht. Für die Verschlüsselung der
eigentlichen Datenübertragung wird nun ein symmetrisches Verfahren
benutzt, da dies große Datenmengen schneller verschlüsseln kann. Bei jeder
Transaktion wird ein anderer symmetrischer Schlüssel als "Session Key"
ausgehandelt, mit dem dann die Verbindung verschlüsselt wird. Außerdem
kann bei der Datenübertragung noch zur Datenkompression ein Hashverfahren
eingesetzt werden.
Ein Benutzer kann WWW-Seiten, die eine SSL-gesicherte Datenübertragung
ermöglichen, beispielsweise daran erkennen, daß die Adresse um ein "s"
erweitert ist (https://www...), daß am unteren Bildschirmrand im Netscape
Navigator der sonst unterbrochene Schlüssel geschlossen ist oder daß im
Internet Explorer das Vorhängeschloß geschlossen statt offen ist.
Die Nutzung von SSL ist nicht auf HTTP-Clients und -Server beschränkt.
Auch Anwendungen wie Telnet oder FTP können SSL zur sicheren
Kommunikation nutzen. Allerdings setzt dies voraus, daß die betreffenden
Clients und Server jeweils dafür angepaßt werden.
SSL besteht aus zwei Schichten. Auf der oberen Schicht arbeitet das SSL
Handshake Protokoll. Dieses dient dem Client und dem Server dazu, sich
gegenseitig zu identifizieren und zu authentisieren sowie dazu, für den
anschließenden Datenverkehr einen Schlüssel und einen Verschlüsselungsalgorithmus auszuhandeln. Die untere Schicht, das SSL Record Protokoll, das
die Schnittstelle zur TCP-Schicht bildet, ver- und entschlüsselt den eigentlichen Datenverkehr. Da SSL für den Zugriff auf TCP auf der SocketSchnittstelle aufsetzt und diese durch eine sicherheitserweiterte Version
ersetzt, ist sie auch für andere Dienste verwendbar. SSL läuft dadurch auch
transparent im Hintergrund jedes Internet-Dienstes ab. Die Benutzer müssen
nur bei Wahl eines Zertifikates aktiv werden. Ihnen fehlt somit - im Gegensatz
zu S-HTTP - die Möglichkeit, die Sicherheitsfunktionen zu konfigurieren und

_____________________________________________________________________ ..........................................
139

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.66
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

ihren speziellen Sicherheitserfordernissen anzupassen. Dagegen mag SSL für
Nutzer komfortabler erscheinen, die sich nicht bei jeder Web-Anfrage mit der
Konfiguration von Sicherheitsfunktionen aufhalten wollen.
SSL sollte nur ab Version 3 eingesetzt werden, da hier durch die zusätzliche
Server-Authentikation keine "Man-in-the-Middle"-Angriffe wie bei SSLv2
mehr möglich sind.
Schlüssellänge
Bei SSL können verschiedene kryptographische Algorithmen mit verschiedenen Schlüssellängen eingesetzt werden, so z. B. RC2 oder RC4 mit 40 oder
128 Bit Schlüssellänge, DES mit 56 Bit Schlüssellänge, Tripel-DES mit 112
Bit Schlüssellänge, IDEA mit 128 Bit Schlüssellänge und als Hashfunktionen
z. B. MD5 oder SHA-1 (siehe hierzu auch M 3.23 Einführung in kryptographische Grundbegriffe). Beim Verbindungsaufbau müssen sich Client und
Server auf die in der Sitzung verwendeten Verfahren einigen.
In Browsern US-amerikanischer Hersteller sind aufgrund der US-Exportrestriktionen nur Verschlüsselungsverfahren mit extrem kurzen Schlüssellängen (40 Bit) integriert. Diese halten Brute-Force-Angriffen, d. h. Angriffen
durch einfaches Ausprobieren aller möglichen Schlüssel, nicht lange stand.
Bei einem geringen Schutzbedarf der übertragenen Daten kann diese kurze
Schlüssellänge ausreichend sein und schützt zumindest vor Gelegenheitstätern. Ansonsten sollte zur Behebung dieses Mankos auf Zusatzprodukte
einheimischer Hersteller zurückgegriffen werden, die auch innerhalb von
Standard-Browsern die Benutzung längerer Schlüssel ermöglichen. Hierzu
kann auch Public Domain Software wie SSLeay oder OpenSSL eingesetzt
werden.
Zertifikate
Ein schwieriges Problem bei der Datenkommunikation über offene Netze ist
die Überprüfung der Identität der Kommunikationspartner, da man sich nicht
darauf verlassen kann, daß Namensangaben korrekt sind. Bei SSL erfolgt die
Überprüfung der Identität des Kommunikationspartners über sogenannte
Zertifikate. Zertifikate enthalten deren öffentliche Schlüssel sowie eine
Bestätigung einer weiteren Instanz über die korrekte Zuordnung des öffentlichen Schlüssels zu dessen "Besitzer", hier also ein Server oder Client. Der
Wert eines Zertifikates hängt also nicht zuletzt davon ab, wie vertrauenswürdig diese Bestätigungsinstanz (auch Trustcenter oder Zertifizierungsstelle
genannt) ist. Die Echtheit des Zertifikates läßt sich wiederum mit dem öffentlichen Schlüssel der Bestätigungsinstanz überprüfen.
Bei SSL sind drei Varianten von Zertifikaten zu unterscheiden:
- Benutzerzertifikate, die für eine Client-Authentisierung benötigt werden,
- Zertifikate von Zertifizierungsstellen, wobei manche Zertifizierungsstellen
mehrere Zertifikate haben, je nach der zugrundegelegten Sicherheitspolitik,
und
- Zertifikate von Software-Herstellern bzw. Betreibern von Webseiten.
Alle Browser enthalten bereits bei der Installation SSL-Zertifikate einiger
Zertifizierungsstellen. Diese Zertifizierungsstellen haben sehr unterschiedliche

_____________________________________________________________________ ..........................................
140

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.66
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Sicherheitsleitlinien und Bedingungen, unter denen sie Zertifikate erteilen.
Daher sollten zunächst alle Zertifikate ausgeschaltet und erst dann wieder
aktiviert werden, wenn man sich davon überzeugt hat, daß deren Sicherheitspolitik den eigenen Sicherheitsbedürfnissen genügt.
Bei der Aufnahme eines neuen Zertifikates sollte darauf geachtet werden,
dieses erst nach Überprüfung des "Fingerprints" zu aktivieren. Der Fingerprint
ist eine hexadezimale Zahl, die zusammen mit dem Zertifikat übermittelt wird.
Zusätzlich sollte sie auf einem anderen Weg übermittelt und verglichen
werden, da diese die Korrektheit des Zertifikats sicherstellen soll.
Betreiber von WWW-Servern, die mit den Besuchern ihrer WWW-Seiten
sicherheitsrelevante Daten austauschen wollen, sollten hierzu einen kryptographisch abgesicherten Weg anbieten, also z. B. SSL.
Hinweis: Sind die Benutzer durch eine Firewall vor aktiven Inhalten und
Computer-Viren geschützt, so müssen sie bei der Verwendung von SSL
eigene Schutzmaßnahmen gegen diese Gefährdungen treffen, wie z. B. in
M 4.33 Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und
Datenübertragung bzw. M 5.69 Schutz vor aktiven Inhalten beschrieben.
Ergänzende Kontrollfragen:
- Verträgt sich die Nutzung von SSL mit den vorhandenen Sicherheitsleitlinien für die Firewall bzw. für die Nutzung von WWW-Diensten?
- Wissen die Benutzer, was bei der Nutzung von SSL zu beachten ist?

_____________________________________________________________________ ..........................................
141

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.67
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.67

Verwendung eines Zeitstempel-Dienstes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Die im Header einer E-Mail eingetragenen Zeitinformationen können relativ
einfach manipuliert werden. Ist es erforderlich, den exakten Absende- oder
Empfangszeitpunkt einer E-Mail zu kennen, muß ein Zeitstempeldienst
benutzt werden. Ein Zeitstempel ist ein Zeiteintrag von einer neutralen Stelle,
der nicht mehr zu verfälschen ist. Er wird von einem Zeitstempel-Server
entweder vollautomatisch, d. h. transparent für den Benutzer, oder auf
Anforderung durch den Absender aufgebracht.
Ein Zeitstempel besteht aus einem Zeitstempel-Zertifikat, in dem das aktuelle
Datum und die aktuelle Uhrzeit sowie die Identität des Zeitstempel-Dienstes
selbst dokumentiert werden, sowie aus einer digitalen Signatur über E-Mail
und Zertifikat. Hiermit dokumentiert und bestätigt der Zeitstempel die
Existenz einer bestimmten Nachricht mit einem bestimmten Inhalt zu einem
bestimmten Zeitpunkt. Die Sicherstellung der Authentizität der E-Mail durch
den Zeitstempel setzt voraus, daß der Absender seinerseits die E-Mail digital
signiert hat.
Ein Zeitstempel-Dienst kann sowohl in einem internen Netz als auch im
Internet angeboten und genutzt werden. Er nimmt als Server im
Internet/Intranet signierte Dateien oder auch nur deren Signaturen entgegen
und versieht diese mit einem synchronisierten Zeitstempel. Alles zusammen
wird vom Zeitstempel-Dienst wiederum signiert und wahlweise an den
Empfänger weitergeleitet oder auch zurück an den Absender geschickt.

_____________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999
142

M 5.68
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.68

Einsatz von Verschlüsselungsverfahren zur
Netzkommunikation

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Kommunikationsnetze transportieren Daten zwischen IT-Systemen. Dabei
werden die Daten selten über eine dedizierte Kommunikationsleitung
zwischen den an der Kommunikation beteiligten Partnern übertragen. Vielmehr werden die Daten über viele Zwischenstationen geleitet. Je nach
Kommunikationsmedium und verwendeter Technik können die Daten von den
Zwischenstationen unberechtigt abgehört werden, oder auch von im
jeweiligen Vermittlungsnetz angesiedelten Dritten (z. B. bei der Verwendung
des Ethernetprotokolls ohne Punkt-zu-Punkt-Vernetzung). Da die zu
übertragenden Daten nicht von unberechtigten Dritten abgehört, verändert
oder zur späteren Wiedereinspeisung in das Netz (Replay-Attacke) benutzt
werden sollen, muß ein geeigneter Mechanismus eingesetzt werden, der dies
verhindert. Verschlüsselung der Daten mit - wenn nötig - gegenseitiger
Authentifizierung der Kommunikationspartner kann diese Gefahr (je nach
Stärke des gewählten Verschlüsselungsverfahrens sowie der Sicherheit der
verwendeten Schlüssel) reduzieren (siehe auch Kapitel 3.7 Kryptokonzept).
In der Regel kommunizieren Anwendungen miteinander, um anwendungsbezogene Informationen auszutauschen. Die Verschlüsselung der Daten kann
nun auf mehreren Ebenen geschehen:
- Auf Applikationsebene: Die kommunizierenden Applikationen müssen
dabei jeweils über die entsprechenden Ver- und Entschlüsselungsmechanismen verfügen.
- Auf Betriebssystemebene: Die Verschlüsselung wird vom lokalen
Betriebssystem durchgeführt. Jegliche Kommunikation über das Netz wird
automatisch oder auf Anforderung verschlüsselt.
- Auf Netzkoppelelementebene: Die Verschlüsselung findet zwischen den
Netzkoppelelementen (z. B. Router) statt.
Die einzelnen Mechanismen besitzen spezifische Vor- und Nachteile. Die
Verschlüsselung auf Applikationsebene hat den Vorteil, daß die Verschlüsselung vollständig der Kontrolle der jeweiligen Applikation unterliegt. Ein
Nachteil ist, daß zur verschlüsselten Kommunikation nur eine mit demselben
Verschlüsselungsmechanismus ausgestattete Partnerapplikation in Frage
kommt. Weiterhin können entsprechende Authentifizierungsmechanismen
zwischen den beiden Partnerapplikationen zur Anwendung kommen.
Im Gegensatz dazu findet die Verschlüsselung im Fall der Verschlüsselung
auf Betriebssystemebene transparent für jede Applikation statt. Jede Applikation kann mit jeder anderen Applikation verschlüsselt kommunizieren,
sofern das Betriebssystem, unter dem die Partnerapplikation abläuft, über den
Verschlüsselungsmechanismus verfügt. Nachteilig wirkt sich hier aus, daß bei
einer Authentifizierung lediglich die Rechner gegenseitig authentifiziert
werden können, und nicht die jeweiligen Partnerapplikationen.

_____________________________________________________________________ ..........................................
143

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.68
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Der Einsatz von verschlüsselnden Netzkoppelelementen besitzt den Vorteil,
daß applikations- und rechnerseitig keine Verschlüsselungsmechanismen
vorhanden sein müssen; die Verschlüsselung ist auch hier transparent für die
Kommunikationspartner. Allerdings findet die Kommunikation auf der
Strecke bis zum ersten verschlüsselnden Netzkoppelelement unverschlüsselt
statt und birgt damit ein Restrisiko. Authentifizierung ist hier nur zwischen
den Koppelelementen möglich. Die eigentlichen Kommunikationspartner
werden hier nicht authentifiziert.
Werden sensitive Daten über ein Netz (auch innerhalb des Intranets) übertragen, empfiehlt sich der Einsatz von Verschlüsselungsmechanismen. Bieten
die eingesetzten Applikationen keinen eigenen Verschlüsselungsmechanismus
an oder wird das angebotene Verfahren als zu schwach eingestuft, so sollte
von der Möglichkeit der betriebssystemseitigen Verschlüsselung Gebrauch
gemacht werden. Hier bieten sich z. B. Verfahren wie SSL an, die zur
transparenten Verschlüsselung auf Betriebssystemebene entworfen wurden. Je
nach Sicherheitspolitik können auch verschlüsselnde Netzkoppelelemente
eingesetzt werden, etwa um ein virtuelles privates Netz (VPN) mit einem
Kommunikationspartner über das Internet zu realisieren (Entsprechende
Softwaremechanismen sind in der Regel auch in Firewall-Systemen (siehe
Kapitel 7.3 Firewall) verfügbar.).
Beim Einsatz von verschlüsselter Kommunikation und gegenseitiger Authentifizierung sind umfangreiche Planungen im Rahmen der Sicherheitspolitik
eines Unternehmens bzw. einer Behörde nötig. Im Rahmen der hier
angesprochenen Kommunikationsverschlüsselungen sind insbesondere
folgende Punkte zu beachten:
- Welche Verfahren sollen zur Verschlüsselung benutzt werden bzw. werden
angeboten (z. B. in Routern)?
- Unterstützen/Nutzen die eingesetzten Verschlüsselungsmechanismen
existierende oder geplante Standards (IPSec, IPv4, IPv6, IKE)?
- Sind gemäß der Sicherheitspolitik ausreichend starke Verfahren und
entsprechend lange Schlüssel gewählt worden?
- Werden die Schlüssel sicher aufbewahrt?
- Werden die Schlüssel in einer sicheren Umgebung erzeugt, und gelangen
sie auf sicherem Weg zum notwendigen Einsatzpunkt (Rechner, Softwarekomponente)?
- Sind Schlüssel-Recovery-Mechanismen nötig?
Bei der Nutzung von Zertifikaten zur Authentifizierung von Kommunikationspartnern sind hier ähnliche Fragestellungen zu beachten.

_____________________________________________________________________ ..........................................
144

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.69
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.69

Schutz vor aktiven Inhalten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Bis vor kurzem galten Firewalls als der Schutz schlechthin vor Angriffen aus
dem Internet auf das eigene Netz. Sie stellten sicher, daß aus dem Internet
heraus kein Verbindungsaufbau in das interne Netz möglich war und interne
Nutzer problemlos auf Informationen im Internet zugreifen konnten. Aufgrund
der immer größeren Verbreitung von sogenannten aktiven Inhalten auf
WWW-Seiten hat sich diese Situation allerdings geändert. Informationen aus
dem Internet werden nicht mehr nur betrachtet, sondern teilweise wird beim
Betrachten auch fremder Programmcode ausgeführt. Momentan ist hiermit
Java, ActiveX und Javascript gemeint, künftig könnten auch noch weitere
hinzukommen. Auch ist über sogenannte Plug-Ins das Starten anderer Programme aus dem Browser heraus möglich, teilweise sogar automatisch aus
einer HTML-Seite heraus. Je nach Art dieser Programme ist mit ihrem Ausführen eventuell ein Sicherheitsrisiko verbunden.
Um ein internes Netz vor Mißbrauch durch aktive Inhalte aus dem Internet zu
schützen, sind aus heutiger Sicht mehrere Vorgehensweisen denkbar, die im
folgenden anhand von Java, ActiveX und Javascript vorgestellt werden.
Verbieten von aktiven Inhalten auf der Firewall
Auch heute noch kann man sehr gut auf das Internet zugreifen, ohne wirklich
aktive Inhalte zu benötigen. Dies ist die sicherste und deshalb empfohlene
Methode für den Zugriff auf das Internet, da hiermit weiterhin die Firewall die
Hauptkontrolle übernehmen kann. Um die Entgegennahme von aktiven
Inhalten zu verhindern, benötigt man auf dem Application Gateway einen
Proxy, der HTML-Seiten auf aktive Inhalte untersucht. Findet er diese, müssen sie aus der Seite herausgefiltert werden. Es gibt eine Reihe von Application Gateways, die diese Funktionalität bieten (siehe M 2.75 Geeignete
Auswahl eines Application-Gateway).
Es muß allerdings davon ausgegangen werden, daß diese Lösung, obwohl sie
die sicherste ist, in Zukunft eine immer geringere Akzeptanz finden wird, da
die Anzahl derjenigen Seiten zunimmt, wo der aktive Inhalt die eigentliche
Information enthält. Wird der aktive Inhalt herausgefiltert, kann der interne
Benutzer nicht mehr auf diese Information zugreifen.
Hinweis: Auch in E-Mails können aktive Inhalte versteckt sein, daher sollten
auch diese daraufhin überprüft werden. Da verschlüsselte Kommunikation
nicht auf aktive Inhalte überprüft werden kann, dürfen bei zentraler Filterung
SSL-basierte WWW-Zugriffe nicht erlaubt werden.
Verbieten von aktiven Inhalten im WWW-Browser
Bei zentral administrierten Arbeitsplatzrechnern ist es denkbar, die Rechte der
einzelnen Benutzer so weit einzuschränken, daß diese die Sicherheitseinstellungen ihres WWW-Browsers nicht mehr ändern können. Diese könnten
dann so konfiguriert werden, daß aktive Inhalte nicht ausgeführt werden.
Hierbei kann dann auch auf dem Application Gateway auf die Filterung nach

_____________________________________________________________________ ..........................................
145

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.69
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

aktiven Inhalten verzichtet werden, da aktive Inhalte unter diesen Umständen
im internen Netz keinen Schaden mehr anrichten können.
Eine andere Lösung ist, für den Zugriff auf das Internet nur bestimmte
WWW-Browser zuzulassen. So gibt es nicht nur den Netscape Communicator
und den Internet Explorer, sondern auch andere Browser, die keine Möglichkeiten zum Ausführen von aktiven Inhalten haben.
Zum einen könnte die Verwendung solcher Browser durch eine entsprechende
Verwaltung der Arbeitsplatzrechner sichergestellt werden. Hierbei müssen
aber die Betriebssysteme der Arbeitsplatzrechner eine zuverlässige Rollentrennung zwischen Benutzer und Administrator bieten, damit vom Administrator voreingestellte Konfigurationen von den Benutzern nicht rückgängig
gemacht werden können. Bei Betriebssystemen wie Windows 3.1 und Windows 95 sind daher zusätzliche Sicherheitsvorkehrungen notwendig.
Zum anderen könnte der Proxy auf der Firewall so eingerichtet werden, daß
nur Internetzugriffe einer vorgegebenen Browser-Software erlaubt sind.
Hierbei ist allerdings zu berücksichtigen, daß die Sicherheit dieser Variante
von der Kennung der verwendeten WWW-Browser abhängt. Mit einem HexEditor sollte ein versierter Benutzer keine Schwierigkeiten haben, einen
WWW-Browser seiner Wahl so abzuändern, daß dieser die gewünschte Kennung hat.
Sensibilisierung der Benutzer
Es ist auch denkbar, die Verantwortung ganz in die Hände der Benutzer zu
legen. Die aktiven Inhalte sollten im WWW-Browser im Regelfall
abgeschaltet sein, die Benutzer haben aber die Erlaubnis, unter bestimmten
Umständen auch aktive Inhalte auszuführen. Dies könnte z. B. der Fall sein,
wenn sie auf das WWW-Informationsangebot eines bekannten Herstellers
ohne aktive Inhalte nicht mehr zugreifen können.
Insbesondere ActiveX erlaubt mit seinen verschiedenen Sicherheitseinstellungen, das Ausführen von ActiveX auf bestimmte WWW-Server zu
beschränken, so daß der Benutzer nicht dauernd seine Einstellungen ändern
muß.
Es ist aber zu bezweifeln, daß ein Benutzer wirklich immer wieder die
Sicherheitseinstellungen seines WWW-Browsers ändert, wenn er auf eine
andere WWW-Seite wechselt, wo ihn z. B. ein Link vom "bekannten
Hersteller" hingeführt haben könnte. Außerdem kann eine einzelne Web-Seite
auf einem "sicheren" Rechner auch weitere Web-Seiten laden, die sich auf
"unsicheren" Rechnern befinden. Darüber hinaus sind Angriffe im Internet
möglich, bei denen ein Benutzer gar nicht die WWW-Seite bekommt, die er
angefordert hat (siehe z. B. G 5.48 IP-Spoofing und G 5.78 DNS-Spoofing).
Filterung bestimmter aktiver Inhalte
In der letzten Zeit sind Programme entwickelt worden, die analog zu
Computer-Virensuchprogrammen aktive Inhalte daraufhin untersuchen, ob
darin sicherheitsgefährdender Code enthalten ist. Dies ist für die Benutzer eine
sehr akzeptable Lösung, da diese dann auf alle ungefährlichen aktiven Inhalte
zugreifen können.

_____________________________________________________________________ ..........................................
146

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.69
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Es stellt sich allerdings die Frage, ob solche Programme wirklich einen Schutz
bieten. So kann beispielsweise ein Virensuchprogramm nicht vor trojanischen
Pferden schützen, und solche können natürlich auch beträchtlichen Schaden
anrichten.
Ausführen aktiver Inhalte in einer geschützten Umgebung
Java und Javascript sind so in den WWW-Browsern implementiert, daß diese
in einer sogenannten Sandbox ausgeführt werden. Wurde diese Sandbox richtig implementiert, so kann der aktive Inhalt nicht auf Daten außerhalb dieser
Sandbox zugreifen. Zwar sind noch immer sogenannte Verfügbarkeitsattacken
(Denial of Service: DOS) möglich, aber die Vertraulichkeit und Integrität
anderer Daten ist nicht gefährdet. Dieses Sandbox-Verfahren kann noch weiter
ausgedehnt werden.
Hierfür bieten sich zwei Verfahren an:
1. Auf einem Betriebssystem mit Rollentrennung kann der WWW-Browser
unter der Kennung eines Benutzers mit minimalen Rechten laufen.
Dadurch können aktive Inhalte keinen Schaden anrichten, falls die
Rechteprüfung korrekt funktioniert.
Auf einem Unix-Rechner ist es z. B. möglich, einen WWW-Browser in
einer change-root-Umgebung zu starten, in der der WWW-Browser nur
noch Zugriff auf ein eingeschränktes Dateisystem hat. Sollte ein aktiver
Inhalt Schaden anrichten, so kann er dies nur innerhalb dieser eingeschränkten Umgebung. Damit ein Benutzer von seinem Arbeitsplatzrechner aus arbeiten kann, muß der WWW-Browser auf diesem angezeigt
werden, was beispielsweise über X-Windows möglich wäre. Auch mit
Windows NT ist ein solcher Aufbau möglich.
2. Es gibt neuerdings Proxies (siehe z. B. www.digitivity.com), die dem
Arbeitsplatzrechner das Ausführen von Java-Applets abnehmen, d. h. das
Java-Applet wird auf dem Proxy ausgeführt, aber auf dem Arbeitsplatzrechner angezeigt. Verglichen mit dem ersten Verfahren stellt dieser
Ansatz einen wesentlich schonenderen Umgang mit der verfügbaren
Netzbandbreite dar.
Empfehlung:
1. Aktive Inhalte in Form von ActiveX sollten, wenn überhaupt, nur dann
ausgeführt werden, wenn sie aus einer vertrauenswürdigen Quelle kommen, d. h. wenn sie signiert sind, diese Signatur auch verifiziert wurde und
der Signierer vertrauenswürdig ist.
2. Java und Javascript sollten, wenn überhaupt, nur dann erlaubt werden,
wenn diese aus einer vertrauenswürdigen Quelle kommen, oder aber, wenn
obige Sicherheitsmaßnahmen nachprüfbar umgesetzt worden sind.
3. Es wird empfohlen, aktive Inhalte nicht nur von den WWW-Browsern
kapseln zu lassen, sondern auch von einem dafür geeigneten Betriebssystem zusätzlich einzuschränken.

_____________________________________________________________________ ..........................................
147

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.70
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.70

Adreßumsetzung – NAT (Network Address
Translation)

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Beim Anschluß bestehender Netze an das Internet, können die vorhandenen
IP-Adressen oft nicht benutzt werden, da sie bereits an andere Rechner im
Internet vergeben sind. Um nicht alle Rechner neu konfigurieren zu müssen,
kann eine Adreßumsetzung von den internen zu den offiziell registrierten
externen Adressen sinnvoll sein. Auch kann durch die Vergabe von IPAdressen im lokalen Netz auch auf dessen Struktur rückgeschlossen werden.
Diese Kenntnis könnte von einem potentiellen Angreifer ausgenutzt werden.
Häufig werden im lokalen Netz auch mehr IP-Adressen benötigt, als offiziell
registriert sind.
Eine Umsetzung der internen in eine oder mehrere offiziell registrierte IPAdressen und umgekehrt kann über einen Proxy-Server oder eine andere
Adreßumsetzungskomponente erfolgen. Dieser stellt extern nur die offiziellen
Adressen zur Verfügung und leitet die Datenpakete an die jeweiligen internen
Rechner weiter. Da extern nur die externen Adressen und intern nur die internen verwendet werden, muß die Adreßumsetzung am Gateway des lokalen
Netzes zum Internet erfolgen.
Einige Router und Paketfilter bieten die Möglichkeit einer Adreßumsetzung
ohne den Einsatz eines Proxies. Hier werden die Header aller IP-Pakete im
Router oder Paketfilter geändert. Dies kann entweder statisch oder aber
dynamisch geschehen. Die statische Adreßumsetzung ist einfach und schnell.
Es wird jeder internen Adresse genau eine externe zugeordnet. Hierzu benötigt
man natürlich für jede interne Adresse genau eine externe.
Häufiger findet heute die dynamische Adreßumsetzung Verwendung. Insbesondere wenn die Anzahl der internen IP-Adressen größer ist als die der
extern sichtbaren ist sie Voraussetzung. Im Router oder Paketfilter wird eine
Zuordnungstabelle geführt, in der die internen Adressen mit dazugehöriger
Portnummer eines Pakets einer externen Adresse mit neuer Portnummer
gegenübergestellt wird. Häufig wird nach außen hin nur eine IP-Adresse
sichtbar gemacht, die über die Portnummer-Zuordnung alle internen IPAdressen verbirgt. Eine Folge der dynamischen Adreßumsetzung ist, daß ein
Verbindungsaufbau zu einem internen Rechner aus dem Internet im Normalfall nicht möglich ist.
Werden intern IP-Adressen genutzt, die bereits im Internet vergeben sind, so
kann der entsprechende Internet-Rechner aus dem lokalen Netz nicht mehr
erreicht werden. Als Ausweg kann hier auf verschiedene Bereiche von IPAdressen zurückgegriffen werden, die nicht im Internet vergeben werden
(sogenannte private IP-Adressen). Bestimmte Dienste müssen bei
Adreßumsetzung besonders behandelt werden (z. B. traceroute oder ftp).
Um keine Informationen über die Struktur des eigenen Netzes nach außen
bekannt zu machen, sollte eine Adreßumsetzung am Internetgateway durchgeführt werden.
Ergänzende Kontrollfragen:
- Werden die internen Adressen und die interne Netzstruktur nicht nach
außen bekannt gegeben?

_____________________________________________________________________ ..........................................
148

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.71
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.71

Intrusion Detection und Intrusion Response
Systeme

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Eine der wesentlichen Aufgaben eines Firewall-Administrators ist es, die
anfallenden Protokolldaten zu analysieren, um dadurch Angriffe zeitnah
erkennen zu können. Aufgrund der Fülle der Daten und der Vielzahl und
Komplexität der verschiedenen Angriffsmöglichkeiten entsteht dadurch ein
beträchtlicher Arbeitsaufwand. Intrusion Detection (ID) und Intrusion
Response (IR) Systeme können hierbei helfen.
Ziel eines ID-Systems muß es sein, einen durchschnittlichen Administrator
soweit zu unterstützen, daß dieser auch ohne tiefgreifende Kenntnisse im
Bereich Internet-Sicherheit in der Lage ist, einen Angriff in einer großen
Anzahl von Protokolldaten zu erkennen. IR-Systeme dagegen dienen dazu,
automatisch Gegenmaßnahmen einzuleiten, sobald ein Angriff erkannt wurde.
Im Idealfall verfügen diese Programme über ebensoviel Informationen wie ein
guter Administrator und sind daher in der Lage, in beliebigen Protokolldaten
nicht nur einen Angriff zu erkennen, sondern auch noch Aussagen über die
Stärke der Bedrohung und die notwendigen Gegenmaßnahmen zu machen.
Zur Zeit ist dies allerdings noch ein Gebiet, welches intensiv erforscht wird,
so daß wesentliche Verbesserungen an den vorhandenen Programmen
jederzeit möglich sind.
Intrusion Detection Systeme lassen sich im wesentlichen in zwei Klassen
einteilen: Signaturanalyse und Anomalie-Erkennung.
Die Signaturanalyse beruht auf der Annahme, daß sich viele Angriffe anhand
einer bestimmten Abfolge von Protokolldaten erkennen lassen. Ein Beispiel ist
das sogenannte Portscanning. Als Vorarbeit für einen Angriff wird zunächst
festgestellt, welche Dienste auf dem angegriffenen Rechner ansprechbar sind,
d. h. zu welchen TCP-Ports eine Verbindung aufgebaut werden kann. Hierzu
wird mit Hilfe eines Programms ein Verbindungsaufbaupaket nacheinander an
alle TCP-Ports geschickt. Erfolgt ein Verbindungsaufbau, ist dort ein Dienst
installiert und kann angegriffen werden. Die entsprechende Signatur, also
Erkennungsmerkmal, dieses Angriffs ist einfach: Verbindungsaufbaupakete,
die nacheinander an alle TCP-Ports geschickt werden.
Es zeigen sich aber auch sofort die Probleme bei dieser Art der
Angriffserkennung: In welcher Reihenfolge müssen die Ports angesprochen
werden und in welchen zeitlichen Abständen, damit ein Angriff von einem
normalen Betrieb unterschieden werden kann? Aktuelle PortscanningProgramme arbeiten so, daß nicht nacheinander Port 1, Port 2 bis Port n
angesprochen werden, sondern dies in zufälliger Reihenfolge erfolgt. Auch
können die Pakete nicht direkt nacheinander verschickt werden, sondern in
zufälligen Zeitabständen (z. B. 1 s, 100 ms, 333 ms, 5 s ...). Dies macht die
Erstellung einer Signatur schwierig.
Eine subtile Variante des Portscanning besteht darin, einzelne Pakete von
verschiedenen Quell-Adressen zu senden. In Verbindung mit der oben

_____________________________________________________________________ ..........................................
149

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.71
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

aufgezeigten zeitlich versetzten Initiierung der Pakete ist die
Wahrscheinlichkeit gegenwärtig sehr hoch, daß ein solcher Angriff unerkannt
bleibt.
Bei der Anomalie-Erkennung geht man andererseits davon aus, daß sich das
normale Verhalten der Nutzer oder Rechner statistisch erfassen läßt und wertet
Abweichungen hiervon als Angriff. Ein Beispiel hierfür ist der Zeitraum, in
dem eine Benutzerin normalerweise an ihrem Rechner angemeldet ist.
Arbeitet sie z. B. fast immer Montags bis Freitags in der Zeit von 8.00 Uhr bis
17.00 Uhr mit Abweichungen von maximal 2 Stunden, so kann eine Aktivität
am Samstag oder um 24.00 Uhr als Angriff gewertet werden. Das Problem bei
der Anomalie-Erkennung ist die Festlegung des normalen Verhaltens. Hierfür
lassen
sich
zwar
mit
Hilfe
von
Schwellwerten
oder
Wahrscheinlichkeitsbetrachtungen einige Aussagen machen. Ob es sinnvoll
ist, eine Aktivität des Benutzers A am Montag um 19.10 Uhr sofort als
Angriff zu bewerten, erscheint fraglich. Auch ändert sich das normale
Verhalten eines Benutzers in Regel, so daß eine Anpassung vorgenommen
werden muß. Wer aber sagt dem ID-System, daß diese Verhaltensänderung
regulär ist und kein Angriff?
Des weiteren ist eine Unterteilung der ID-Systeme nach der Art der
Datenaufnahme sinnvoll. Diese kann entweder mit Hilfe eines dedizierten
Sniffers irgendwo im Netz erfolgen (Netzbasiertes ID-System), oder Teil der
normalen Protokollierungsfunktionalität auf einem der angeschlossenen
Rechner (Hostbasierte ID-Systeme) sein. Beides hat Vor- und Nachteile. Die
netzbasierten Systeme haben zwar die Möglichkeit, einen umfassenden
Angriff, der gleichzeitig verschiedenen Rechner betrifft, leichter zu erkennen.
Es ist aber erheblich schwieriger, komplexe Angriffe (z. B. über weitere
Zwischenstationen) auf einen Rechner zu erkennen. Darüber hinaus können
netzbasierte Systeme keine verschlüsselten Daten analysieren. Für die
hostbasierten ID-Systeme gilt andererseits, daß für ihren Einsatz u. U.
umfangreiche Änderungen an den Protokollierungsfunktionen der Rechner
notwendig sind.
Da auch bei der automatischen Auswertung von Protokollinformationen die
Datenschutzbestimmungen oder Personalvereinbarungen beachtet werden
müssen, kann es u. U. notwendig werden, diese Daten pseudonymisiert
abzulegen.
Vor der Kopplung von ID-, IR-System und Firewall sollten folgende Aspekte
beachtet werden:
-

Ist es möglich, gezielt einen Angriff auf die Firewall zu initiieren, der
vom ID-System irrtümlich als echter Angriff gewertet wird? Eine
daraufhin vom IR-System ausgelöste Sperrung bestimmter Dienste über
die Firewall kann erhebliche Konsequenzen auf die Verfügbarkeit
haben.
Die Interaktion zwischen ID-, IR-System und Firewall sollte
hinreichend transparent dokumentiert sein. Nur so ist es möglich, zu

_____________________________________________________________________ ..........................................
150

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.71
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

jedem Zeitpunkt abzuschätzen, von wem die Firewall administriert
wird: vom IR-System oder vom Administrationspersonal. Im
Zweifelsfall sollten Entscheidungen des Administrationspersonals
Vorrang haben.
Um Angriffe gegen ein ID-System selbst auszuschließen, sollten diese vom
Netz her weitestgehend unsichtbar sein. Einfachste Maßnahme ist die
Zuweisung einer IP-Adresse, die im Internet nicht geroutet wird. Empfohlen
sei weiterhin die Deaktivierung des ARP-Protokolls für das entsprechende
Interface, so dass weder auf ARP- noch auf IP-Pakete reagiert

_____________________________________________________________________ ..........................................
151

IT-Grundschutzhandbuch: Stand Juli 1999

M 5.72
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.72

Deaktivieren nicht benötigter Netzdienste

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um auf einem Unix-System alle nicht benötigten Netz-Dienste zu
deaktivieren, ist folgendermaßen vorzugehen:
Für den Start von Netzdiensten gibt es unter Unix zwei Möglichkeiten: über
den Serverdienst inetd, der in der Datei /etc/inetd.conf konfiguriert wird, und
über die Startup-Dateien, die sich in /etc/rc.d/init.d bzw. /etc/init.d befinden.
Zum Abschalten nicht benötigter Dienste in der Datei /etc/inetd.conf muß die
jeweilige Zeile mit # auskommentiert werden. Bei einer Standardinstallation
sind in der Regel mehr Dienste konfiguriert als nötig sind. Darunter befinden
sich immer wieder Dienste, die eine Gefährdung darstellen können. Daher
sollten so wenig Dienste wie möglich freigeschaltet werden, also nur die
Dienste, die auf dem jeweiligen System unabdingbar benötigt werden (siehe
auch M 4.95 Minimales Betriebssystem und M 4.97 Ein Dienst pro Server).
Die Dienste, die durch die Startup-Dateien initiiert werden, werden über Links
aus den Unterverzeichnissen /etc/rcX.d oder /etc/rc.d/rcX.d referenziert,
wobei X für das jeweilige Unix-Runlevel steht, in dem die Startup-Datei
aufgerufen wird. Zum Deaktivieren der nicht benötigten Dienste können die
nicht benötigten Dienste in ein Unterverzeichnis verschoben werden, damit
man sie bei Bedarf wieder aktivieren kann. Dies kann z. B. wie folgt aussehen:
cd rc3.d; mkdir .s; mv S85sendmail .s/
Die aktuell aktiven Dienste können mit dem Befehl netstat –a identifiziert
werden.
Ergänzende Kontrollfragen:
- Sind die Änderungen an den Startup-Dateien dokumentiert worden?
- Wer darf auf einem Unix-System Dienste hinzufügen?
- Wird nach jedem Update von Anwendungsprogrammen und
Betriebssystembestandteilen mit netstat –a überprüft, welche Dienste auf
Netzverbindung warten?

_____________________________________________________________________ ..........................................
152

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.73
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.73

Sicherer Betrieb eines Faxservers

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Fax-Poststelle
Der sichere Betrieb eines Faxservers setzt voraus, dass sowohl die lokale
Kommunikation als auch die Kommunikation auf Seiten des öffentlichen
Netzes abgesichert wird. Eingehende Faxsendungen nimmt der Faxserver von
anderen Faxservern oder Faxgeräten entgegen und leitet sie, wenn die Funktion des automatischen Fax-Routing aktiviert ist, an die angeschlossenen
Benutzer weiter. Ausgehende Faxsendungen der angeschlossenen Benutzer
werden vom Faxserver entgegengenommen und an den Empfänger weitergeleitet. Der Faxserver muss zudem sicherstellen, dass lokale Faxsendungen,
d. h. Faxsendungen von einem Arbeitsplatz zu einem anderen innerhalb der
gleichen Organisation(seinheit), nur intern und nicht über das öffentliche Netz
weitergeleitet werden.
Zum sicheren Betrieb eines Faxservers ist es u. a. erforderlich, dass nach der
Beschaffung und Installation die Konfiguration des Betriebssystems und der
Faxserver-Applikation ausgiebig getestet wird. Auf evtl. auftretende Fehlermeldungen ist - soweit dies möglich ist - mit Änderungen an der Konfiguration zu reagieren. An die Testphase sollte sich ein Pilotversuch anschließen.
Erst wenn der Faxserver auch in dieser Phase fehlerfrei arbeitet, sollte die
Freigabe für den Wirkbetrieb erfolgen. Die Konfigurationsparameter sollten,
ebenso wie alle Änderungen an der Konfiguration, sorgfältig dokumentiert
werden.

Test und Dokumentation
der Konfiguration

Faxserver speichern alle eingehenden und ausgehenden Faxsendungen. Die
Dauer der Speicherung hängt von den Leistungsmerkmalen der FaxserverApplikation und der Konfiguration ab. So ist es z. B. möglich, dass ausgehende Faxsendungen nur bis zur Erledigung des Sendeauftrages zwischengespeichert und dann gelöscht werden. Ebenso kann es sein, dass eingehende
Faxsendungen nur bis zur Weiterleitung an den Empfänger zwischengespeichert werden und anschließend die Löschung erfolgt. Denkbar ist aber
auch, dass grundsätzlich alle ein- und ausgehenden Faxsendungen auf dem
Faxserver solange gespeichert werden, bis die Löschung durch den jeweiligen
Benutzer oder durch die Fax-Poststelle bzw. den Administrator erfolgt. Die
Löschung kann bei einigen Faxservern auch automatisch nach einer gewissen
Zeitspanne erfolgen. So können z. B. alle Faxsendungen, die älter als 3
Monate sind, automatisch gelöscht werden. In Abhängigkeit vom Einsatzkonzept sind Regelungen für die Löschung von Faxdaten auf dem Faxserver
zu treffen. Gleichzeitig ist zu regeln, wo und in welchem Umfang eine
Archivierung von Faxdaten zu erfolgen hat. Generell sollten Faxdaten nicht
länger als unbedingt nötig auf dem Faxserver verbleiben.

Löschung von Faxdaten

Es muss ausgeschlossen werden, dass Unbefugte auf Faxsendungen zugreifen
können. Daher muss zunächst der Faxserver physikalisch gegen unbefugten
Zugriff gesichert werden. Dies kann nur durch die gesicherte Aufstellung des
Servers in einem Serverraum oder einem Serverschrank erfolgen (siehe
Kapitel 4.3.2 Serverraum und Kapitel 4.4 Schutzschrank).

gesicherte Aufstellung
des Faxservers

_____________________________________________________________________ ..........................................
153

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.73
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Um den störungsfreien Betrieb des Faxservers sicherzustellen, ist zudem festzulegen, wer für die Administration der Hardware-Komponenten, des
Betriebssystems und der Faxserver-Applikation zuständig ist. Es sollte eine
Fax-Poststelle eingerichtet werden (siehe auch M 2.180 Einrichten einer FaxPoststelle). Das Administrationspersonal und das in der Fax-Poststelle
eingesetzte Personal sind im Umgang mit dem Betriebssystem und der
Faxserver-Applikation zu schulen. Um Störungen des Betriebs durch Fehlbedienungen zu vermeiden, sind weiterhin auch die Benutzer im Umgang mit
der Faxclient-Applikation zu schulen.

Zuständigkeiten für die
Administration

Auf Faxservern können oftmals an Benutzer und Benutzergruppen folgende
Berechtigungen für eingehende Faxsendungen vergeben werden:

Vergabe von Berechtigungen auf Faxservern

- lesen,
- weiterleiten,
- löschen.
Für ausgehende Faxsendungen können oftmals folgende Rechte vergeben
werden:
- senden,
- anhalten,
- löschen,
- ändern der Sendeoptionen.
Die
Berechtigungen
sind
gemäß
den
Festlegungen
in
der
Faxsicherheitsleitlinie zu vergeben (siehe auch M 2.178 Erstellung einer
Sicherheitsleitlinie für den Einsatz des Faxservers).
Sofern nicht durch technische Maßnahmen sichergestellt wird, dass Faxsendungen sofort weitergeleitet werden, ist zudem durch die Vergabe
entsprechender Zugriffsrechte sicherzustellen, dass nur berechtigte Benutzer
auf die entsprechenden "Postfächer" auf dem Server zugreifen können.

Vergabe von
Zugriffsrechten

Generell sollte ein Zugriff auf temporäre Bereiche, in denen die FaxserverApplikation Faxsendungen vor Abgang bzw. vor Verteilung an den
Empfänger zwischenspeichert, nur privilegierten Benutzern (Administratoren,
Fax-Poststelle) vorbehalten bleiben.
Regelmäßig sind die Verbindungen des Faxservers mit der Telekommunikationsanlage bzw. mit dem öffentlichen Telefonnetz auf Funktion zu überprüfen. Sofern der Faxserver mit internen Kommunikationssystemen, wie
z. B. einem E-Mail-System oder einem Workflow-System, zusammenarbeitet,
ist ebenfalls regelmäßig die Funktion dieser Verbindungen zu überprüfen.
Außerdem muss regelmäßig geprüft werden, ob der für die Speicherung von
Faxsendungen zur Verfügung stehende Festplattenplatz noch ausreichend ist
(siehe auch M 5.75 Schutz vor Überlastung des Faxservers). Bei erschöpftem
Festplattenplatz können keine weiteren Faxsendungen mehr empfangen oder
versandt werden.

Prüfung des freien
Festplattenplatzes

Die Aktivitäten des Faxservers sind gemäß den Festlegungen in der Faxsicherheitsleitlinie zu protokollieren und die Protokolle sind regelmäßig zu kontrol-

Auswertung der
Protokolle

_____________________________________________________________________ ..........................................
154

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.73
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

lieren (siehe auch M 2.64 Kontrolle der Protokolldateien und M 5.25 Nutzung
von Sende- und Empfangsprotokollen). Bei der Festlegung von Umfang und
Inhalt der Protokollierung ist auf eine frühzeitige Beteiligung des Personalbzw. Betriebsrates zu achten.
Vorbehalte gegen den Einsatz eines Faxservers bestehen häufig aufgrund der
Tatsache, dass dabei ein IT-System, das in das LAN integriert ist, über das
öffentliche Telekommunikationsnetz erreicht werden kann.
Durch sorgfältige Auswahl und Konfiguration von Kommunikationskarten,
Betriebssystem und Faxserver-Applikation sowie durch eine sichere netztopologische Anordnung des Servers kann die Gefahr eines Einbruchs in das
Netz bzw. in den Faxserver bis auf ein geringes Restrisiko minimiert werden.
Beim Einsatz von aktiven ISDN-Karten sollten Leistungsmerkmale, die nicht
zum Empfang und Senden von Faxen notwendig sind, deaktivert werden
(siehe M 4.59 Deaktivieren nicht benötigter ISDN-Karten-Funktionalitäten).

Deaktivierung nicht
benötigter
Leistungsmerkmale

Sofern dedizierte Faxkarten zum Einsatz kommen, sind auch zunächst die
entsprechenden Leistungsmerkmale genau zu untersuchen. Auch hier gilt, dass
nicht benötigte Merkmale - soweit dies möglich ist - abzuschalten sind.
Der Faxserver sollte keine anderen Dienste als den Fax-Dienst anbieten.
Insbesondere sollte ein Faxserver nicht gleichzeitig als Daten-, Drucker-,
E-Mail- oder Internet-Server bzw. als Remote-Access-Rechner verwendet
werden. Um einem Einbruch über das Telekommunikationsnetz entgegenzuwirken, muss das Betriebssystem so "schlank" wie möglich installiert
werden. Dies bedeutet, dass auf die Installation von für den Betrieb nicht
zwingend notwendigen Diensten und Protokollen verzichtet wird. Hierzu ein
Beispiel: Wenn auf einem Faxserver der Telnet-Dienst nicht gestartet ist, kann
auch kein entsprechender Angriff zum Erfolg führen. Bei der Festlegung der
benötigten Dienste und Protokolle darf nie vergessen werden, dass
Gefährdungen häufig erst durch die Kombination von verschiedenen Diensten
und Protokollen entstehen.

ein Dienst pro Server

Die sichere netztopologische Anordnung des Faxservers ist u. a. davon
abhängig, ob und ggf. welche Art von Firewall in der Organisation im Einsatz
ist.

Anordnung des
Faxservers im Netz

Ein Faxserver hat jeweils mindestens eine Schnittstelle zum Telekommunikationsnetz und zum LAN. Die Anordnung des Faxservers im Netz sollte so
erfolgen, dass im Falle eines erfolgreichen Angriffs auf den Faxserver nicht in
das gesamte Netz eingebrochen werden kann. Andererseits sollte es auch nicht
möglich sein, den Faxserver von innerhalb des Netzes aus erfolgreich zu
attackieren. Denkbar wäre hier z. B. ein Angriff eines Außentäters aus dem
Internet. Gelingt solch ein Angriff, so ist der Täter in der Lage, über den
Faxserver der angegriffenen Organisation das Versenden von Faxen zu veranlassen. Dies kostet Gebühren und, was ggf. noch schlimmer ist, führt u. U. zu
Ansehensverlust. Auch ist ein Angreifer im Falle eines erfolgreichen Angriffs
in der Lage, unbefugt Kenntnis von den auf dem Faxserver (zwischen-)
gespeicherten Faxsendungen zu nehmen. Angriffe eines Innentäters über das
LAN sind in vergleichbarer Weise denkbar.

_____________________________________________________________________ ..........................................
155

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.73
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

Da ein Faxserver meistens nicht die einzige IT-Komponente mit Anschluss an
ein externes Netz ist, ist in der Regel zum Schutz des internen Netzes ohnehin
eine Abschottung gegenüber externen Netzen vorhanden (siehe auch
Kapitel 7.3 Firewall).
Sofern als Internet-Firewall ein Screened Subnet (Konfiguration 1 aus M 2.73
Auswahl eines geeigneten Firewall-Typs) vorhanden ist, sollte der Faxserver
zwischen dem inneren Paketfilter und dem Application Gateway (siehe
Abbildung 1) eingebunden werden. Die Schutzwirkung gegenüber Angriffen
aus dem unsicheren Netz ist durch den Application Gateway und den äußeren
Paketfilter hinreichend groß. Gegen Angriffe aus dem internen Netz wird der
Faxserver durch den inneren Paketfilter geschützt.

Anordnung bei
vorhandener Firewall

Abbildung 1
Bei allen anderen Firewall-Kombinationen, insbesondere solchen mit nur
einem Paketfilter, oder wenn bisher keine Firewall vorhanden ist, sollte der
Faxserver direkt in das sichere Netz eingebunden werden. Sofern das
entstehende Restrisiko aufgrund des Schutzbedarfs als nicht tragbar angesehen
wird, muss entweder eine Absicherung mittels eigenem Paketfilter erfolgen,
oder die Telekommunikationsanlage muss so konfiguriert werden, dass nur
abgehende Verbindungen zulässig sind. Für eingehende Faxsendungen muss
in diesem Fall ein herkömmliches Faxgerät oder ein Stand-alone-System mit
entsprechender Faxapplikation eingesetzt werden. In beiden Fällen können
dann eingehende Faxsendungen aber nur manuell an die Empfänger verteilt
werden.

Anordnung ohne
geeignete Firewall

Ergänzende Kontrollfragen:
- Ist die Konfiguration des Faxservers dokumentiert?
- Wird diese Dokumentation bei Änderungen der Konfiguration angepasst?
- Werden Faxdaten auf dem Faxserver regelmäßig gelöscht?
- Ist den Benutzern bekannt, nach welchen Regeln diese Löschungen
erfolgen?
- Wer ist für die Auswertung der anfallenden Protokolldaten zuständig?

_____________________________________________________________________ ..........................................
156

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.74
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.74

Pflege der Faxserver-Adressbücher und der
Verteillisten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Fax-Poststelle
Die meisten Faxserver bieten sowohl zentrale als auch individuelle Adressbücher an. Zentrale Adressbücher stehen allen Benutzern eines Faxservers zur
Verfügung und sollten zentral durch die Fax-Poststelle gepflegt werden.
Individuelle Adressbücher können von jedem Benutzer erstellt werden, stehen
aber in der Regel auch nur dem Ersteller zur Verfügung.
In besonderem Maße sind die zentralen Adressbücher gegen unbefugte Veränderung zu schützen. Dazu sind entweder über die Faxserver-Applikation
oder - sofern dies nicht möglich ist - mit Mitteln des Betriebssystems die
Berechtigungen so zu vergeben, dass nur die Fax-Poststelle die zentralen
Adressbücher verändern kann.

Schutz vor Manipulation

Regelmäßig sollte durch die Fax-Poststelle die Integrität und Aktualität der
zentralen Adressbücher überprüft werden. Die meisten Faxserver lassen es zu,
mehrere Empfänger in den Adressbüchern zu Gruppen zusammenzufassen.
Sofern es einem Angreifer gelingt, solche Gruppen zu manipulieren, können
er oder andere Unbefugte Kenntnis von vertraulichen Faxsendungen erhalten.
Die Fax-Poststelle sollte daher auch die Zuordnung von Empfängern zu den
einzelnen Gruppen regelmäßig auf Aktualität überprüfen. Sofern in einer
Organisation zwischen den Arbeitsplätzen Daten über den Faxserver per Fax
ausgetauscht werden, müssen durch die Fax-Poststelle auch interne Adressbücher aktuell gehalten werden.

regelmäßige Überprüfung der zentralen
Adressbücher

Außerdem sind die Benutzer zur regelmäßigen Kontrolle der von ihnen
benutzten Einträge zu verpflichten. Dies gilt sowohl für zentrale als auch für
individuelle Adressbücher.
Durch den Faxserver werden Verteillisten dazu benutzt, um eingehende
Faxsendungen an die Empfänger weiterzuleiten. Falsche Zuordnungen in den
Verteillisten können dazu führen, dass Unbefugte Kenntnis von Faxsendungen
mit vertraulichem Inhalt erhalten. Die Verteillisten sollten daher von der FaxPoststelle regelmäßig auf Aktualität und Integrität überprüft werden.

regelmäßige
Überprüfung der
Verteillisten

Um die Pflege von Adressbüchern und Verteillisten zu gewährleisten, muss
die Fax-Poststelle über das Ausscheiden von Mitarbeitern informiert werden.
Damit durchgeführte Administrationsarbeiten nachvollzogen werden können,
sollten die Eintragungen und Veränderungen an den zentralen Adressbüchern
und an den Verteillisten dokumentiert werden.
Ergänzende Kontrollfragen:
- Wie häufig wird die Integrität und Aktualität der Adressbücher und
Verteillisten überprüft?
- Wie erfährt die Fax-Poststelle vom Ausscheiden von Mitarbeitern?

_____________________________________________________________________ ..........................................
157

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.75
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

M 5.75

Schutz vor Überlastung des Faxservers

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Fax-Poststelle
Ein Faxserver kann sowohl durch eingehende als auch durch ausgehende
Faxsendungen überlastet werden. Eine Überlastung des Faxservers kann dazu
führen, dass zeitweilig keine weiteren Faxsendungen mehr empfangen oder
versandt werden können. Es ist auch denkbar, dass im Falle der Überlastung
das Betriebssystem oder die Faxserver-Applikation abstürzt und der Faxserver
vorübergehend gar nicht mehr verfügbar ist.
Eine Art der Überlastung des Faxservers liegt vor, wenn alle Kanäle, die
durch die Kommunikationskarten bereitgestellt werden, durch eingehende und
ausgehende Faxsendungen blockiert werden. Folge ist, dass weitere Faxe erst
dann wieder empfangen oder gesendet werden können, wenn ein Kanal frei
wird. Dieser Effekt tritt auch auf, wenn alle von der Telekommunikationsgesellschaft zur Verfügung gestellten Leitungen durch eingehende
und ausgehende Faxsendungen belegt werden.
Vor der Beschaffung eines oder mehrerer Faxserver ist zunächst das voraussichtliche Faxvolumen abzuschätzen. Sodann sind ausreichend leistungsfähige
Komponenten zu beschaffen. Außerdem sollte darauf geachtet werden, dass
genügend Telekommunikationsleitungen zur Verfügung stehen.

Beschaffung geeigneter
Komponenten

Außerdem sollten die Protokolle des Faxservers regelmäßig kontrolliert
werden, um feststellen zu können, ob der Server zu bestimmten Zeiten überlastet oder die Grenze der Belastbarkeit erreicht wird.
Eine Überlastung des Faxservers kann dadurch erfolgen, dass intern versucht
wird, eine große Anzahl von Faxen zu versenden. Unter ungünstigen Umständen kann dies zum Absturz der Faxserver-Applikation oder des Betriebssystems führen. Auslöser kann z. B. eine sehr große Anzahl von SerienfaxSendungen sein. Es sollte daher schon in der Test- oder in der Pilotierungsphase versucht werden, die Belastungsgrenze zu ermitteln. Um diese
Belastungsgrenze nicht zu überschreiten, sollte den Benutzern z. B. mittels
geeigneter Dienstanweisung der maximale Umfang einer Serien-Faxsendung
vorgegeben werden. Umfangreiche Serien-Faxsendungen sind dann auf
mehrere Sendungen aufzuteilen. Zu Zeiten hoher Belastung des Faxservers
sollte durch eine entsprechende Dienstanweisung oder durch eine entsprechende Vergabe von Berechtigungen am Faxserver sichergestellt werden, dass
Faxe nur in dringenden Fällen gesendet werden. Sinnvoll kann auch die
Vorgabe sein, Faxe möglichst nur zeitversetzt in der Nacht zu senden, was
zudem noch Gebühren spart.

zeitversetztes Senden

Wenn festgestellt wird, dass der Faxserver immer durch die gleichen Senderrufnummern mittels einer entsprechenden Anzahl von Faxsendungen zu ganz
bestimmten Zeiten blockiert wird, ist zunächst zu ermitteln, wer die Absender
sind und um welche Art von Faxsendungen es sich handelt. Sofern die Faxsendungen von der Organisation benötigt werden, kann versucht werden, mit
den Absendern Zeiten auszuhandeln, in denen problemlos Faxsendungen
entgegengenommen werden können. Sofern die Faxsendungen nicht benötigt
werden (z. B. nicht angeforderte Werbe-Faxsendungen), kann versucht

Absprache mit dem
Absender

_____________________________________________________________________ ..........................................
158

IT-Grundschutzhandbuch: Stand Januar 2000

M 5.75
Maßnahmenkatalog Kommunikation
Bemerkungen
_____________________________________________________________________ ..........................................

werden, die Absenderrufnummern über die Faxserver-Applikation oder über
die Telekommunikationsanlage zu sperren. Dies ist aber nur möglich, sofern
die Absenderkennung (CSID) nicht verschleiert bzw. bei Verwendung von
ISDN die Rufnummernübermittlung seitens des Absenders nicht unterdrückt
wurde. Sofern die Faxnummer des Absenders nicht zu ermitteln sind, bleibt
nur noch die Möglichkeit, die vorhandenen Kapazitäten - wie oben beschrieben - zu erweitern.
Problematisch kann auch die Festplattenkapazität eines Faxservers sein. Dabei
ist die Gefahr, die Festplattenkapazität durch einen Angriff von außen gezielt
zu erschöpfen, eher gering. Eine gefaxte DIN A4 Seite ist ca. 70 kB groß.
Geht man von heute üblichen Festplattengrößen von mehreren Gigabyte aus,
so ist auch angesichts der anfallenden Gebühren ein entsprechender Angriff
eher unwahrscheinlich. Grundsätzlich werden alle eingehenden und
ausgehenden Faxsendungen auf der Festplatte des Faxservers (zwischen-)
gespeichert. Der weitere Ablauf hängt dann von der Faxserver-Applikation
und ggf. auch von der Konfiguration ab. So ist z. B. denkbar, dass alle Faxsendungen dauerhaft auf der Festplatte des Faxservers gespeichert bzw.
archiviert werden. Bei dieser Betriebsart kann - abhängig vom Faxvolumen sehr schnell die Festplattenkapazität erschöpft werden. Es sollte in diesem Fall
sichergestellt werden, dass Ausgangs-Faxsendungen und bereits gelesene
Eingangs-Faxsendungen möglichst zeitnah auf externe Datenträger archiviert
und auf dem Faxserver gelöscht werden. Dazu sollte der den Benutzern auf
dem Faxserver zur Verfügung gestellte Speicherplatz begrenzt werden.
Außerdem sollte z. B. durch Dienstanweisung sichergestellt werden, dass
Faxsendungen, die nicht mehr benötigt werden, zu löschen sind. Dies gilt
insbesondere für unverlangt erhaltene Werbe-Faxsendungen. Durch die FaxPoststelle ist regelmäßig der freie Speicherplatz auf der Festplatte des Faxservers zu überprüfen.

ausreichend freien Festplattenplatz sicherstellen

Ergänzende Kontrollfragen:
- Zu welchen Zeiten erfolgt eine hohe Auslastung des Faxservers?
- Gibt es Dienstanweisungen, wonach zu Zeiten hoher Belastung Faxe nur in
dringenden Fällen gesendet werden dürfen?
- Wird darauf verzichtet, Faxdaten dauerhaft auf dem Faxserver zu
archivieren?

_____________________________________________________________________ ..........................................
159

IT-Grundschutzhandbuch: Stand Januar 2000

M6
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M6

Maßnahmenkatalog Notfallvorsorge

M 6.1

Erstellung einer Übersicht über
Verfügbarkeitsanforderungen ....................................................1

M 6.2

Notfall-Definition, Notfall-Verantwortlicher.............................3

M 6.3

Erstellung eines Notfall-Handbuches.........................................4

M 6.4

Dokumentation der Kapazitätsanforderungen der ITAnwendungen ............................................................................7

M 6.5

Definition des eingeschränkten IT-Betriebs...............................8

M 6.6

Untersuchung interner und externer
Ausweichmöglichkeiten.............................................................9

M 6.7

Regelung der Verantwortung im Notfall..................................10

M 6.8

Alarmierungsplan.....................................................................11

M 6.9

Notfall-Pläne für ausgewählte Schadensereignisse ..................12

M 6.10

Notfall-Plan für DFÜ-Ausfall ..................................................13

M 6.11

Erstellung eines Wiederanlaufplans .........................................14

M 6.12

Durchführung von Notfallübungen ..........................................16

M 6.13

Erstellung eines Datensicherungsplans ....................................17

M 6.14

Ersatzbeschaffungsplan............................................................18

M 6.15

Lieferantenvereinbarungen ......................................................19

M 6.16

Abschließen von Versicherungen.............................................20

M 6.17

Alarmierungsplan und Brandschutzübungen ...........................21

M 6.18

Redundante Leitungsführung ...................................................22

M 6.19

Datensicherung am PC.............................................................23

M 6.20

Geeignete Aufbewahrung der Backup-Datenträger .................24

M 6.21

Sicherungskopie der eingesetzten Software .............................25

M 6.22

Sporadische Überprüfung auf Wiederherstellbarkeit von
Datensicherungen.....................................................................26

M 6.23

Verhaltensregeln bei Auftreten eines Computer-Virus ............27

M 6.24

Erstellen einer PC-Notfalldiskette............................................29

M 6.25

Regelmäßige Datensicherung der Server-Festplatte ................31

M 6.26

Regelmäßige Datensicherung der TK-AnlagenKonfigurationsdaten.................................................................32

M 6.27

Sichern des CMOS-RAM ........................................................33

M 6.28

Vereinbarungen über Lieferzeiten "lebensnotwendiger"
TK-Baugruppen .......................................................................34

M 6.29

TK-Basisanschluß für Notrufe .................................................35

_____________________________________________________________________ ..........................................
i

IT-Grundschutzhandbuch: Stand Juli 1999

M6
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.30

Katastrophenschaltung .............................................................36

M 6.31

Verhaltensregeln nach Verlust der Systemintegrität ................37

M 6.32

Regelmäßige Datensicherung...................................................39

M 6.33

Entwicklung eines Datensicherungskonzepts ..........................41

M 6.34

Erhebung der Einflußfaktoren der Datensicherung..................44

M 6.35

Festlegung der Verfahrensweise für die Datensicherung .........50

M 6.36

Festlegung des Minimaldatensicherungskonzeptes..................63

M 6.37

Dokumentation der Datensicherung.........................................64

M 6.38

Sicherungskopie der übermittelten Daten ................................65

M 6.39

Auflistung von Händleradressen zur FaxWiederbeschaffung ..................................................................66

M 6.40

Regelmäßige Batterieprüfung/-wechsel ...................................67

M 6.41

Übungen zur Datenrekonstruktion ...........................................68

M 6.42

Erstellung von Rettungsdisketten für Windows NT.................69

M 6.43

Einsatz redundanter Windows NT Server................................72

M 6.44

Datensicherung unter Windows NT.........................................74

M 6.45

Datensicherung unter Windows 95 ..........................................77

M 6.46

Erstellung von Rettungsdisketten für Windows 95 ..................78

M 6.47

Aufbewahrung der Backup-Datenträger für Telearbeit............80

M 6.48

Verhaltensregeln nach Verlust der Datenbankintegrität...........81

M 6.49

Datensicherung einer Datenbank .............................................83

M 6.50

Archivierung von Datenbeständen ...........................................86

M 6.51

Wiederherstellung einer Datenbank .........................................88

M 6.52

Regelmäßige Sicherung der Konfigurationsdaten
aktiver Netzkomponenten ........................................................90

M 6.53

Redundante Auslegung der Netzkomponenten ........................91

M 6.54

Verhaltensregeln nach Verlust der Netzintegrität ....................94

M 6.55

Reduzierung der Wiederanlaufzeit für Novell Netware
Server .......................................................................................95

M 6.56

Datensicherung bei Einsatz kryptographischer
Verfahren .................................................................................96

M 6.57

Erstellen eines Notfallplanes für den Ausfall des
Managementsystems ................................................................98

_____________________________________________________________________ ..........................................
ii

IT-Grundschutzhandbuch: Stand Juli 1999

M6
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.58

Etablierung eines Managementsystems zur Behandlung
von Sicherheitsvorfällen ..........................................................99

M 6.59

Festlegung von Verantwortlichkeiten bei
Sicherheitsvorfällen ...............................................................104

M 6.60

Verhaltensregeln und Meldewege bei
Sicherheitsvorfällen ...............................................................108

M 6.61

Eskalationsstrategie für Sicherheitsvorfälle ...........................111

M 6.62

Festlegung von Prioritäten für die Behandlung von
Sicherheitsvorfällen ...............................................................114

M 6.63

Untersuchung und Bewertung eines Sicherheitsvorfalls ........118

M 6.64

Behebung von Sicherheitsvorfällen .......................................120

M 6.65

Benachrichtigung betroffener Stellen.....................................123

M 6.66

Nachbereitung von Sicherheitsvorfällen ................................126

M 6.67

Einsatz von Detektionsmaßnahmen für
Sicherheitsvorfälle .................................................................128

M 6.68

Effizienzprüfung des Managementsystems zur
Behandlung von Sicherheitsvorfällen ....................................130

_____________________________________________________________________ ..........................................
iii

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.1
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.1

Erstellung einer Übersicht über Verfügbarkeitsanforderungen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen
Für die in einem IT-System betriebenen IT-Anwendungen und deren Daten
sind die Verfügbarkeitsanforderungen festzustellen. Da eine IT-Anwendung
nicht zwingend jeden Bestandteil des IT-Systems benötigt, sind die
Verfügbarkeitsanforderungen der IT-Anwendungen auf die wesentlichen
Komponenten des IT-Systems abzubilden. Das Ergebnis dieser Arbeit kann in
Form einer Übersicht mit folgenden Inhalten dargestellt werden:

IT-System

IT-Komponente IT-Anwendung

tolerierbare
Ausfallzeit

Zentralsystem

Host

Reisekosten

5 Arbeitstage

Buchhaltung

3 Stunden

E-Mail

3 Arbeitstage

Buchhaltung

1 Arbeitstag

Reisekosten

10 Arbeitstage

Buchhaltung

2 Arbeitstage

Einsatzplanung

1 Arbeitstag

Datenerfassung

1 Arbeitstag

Leitstelle

4 Stunden

PC

Datenerfassung

10 Arbeitstage

PC

Leitstelle

4 Stunden

DFÜ

Drucker

LAN

Server

(Lesart: Die IT-Komponente Host im IT-System "Zentralsystem" hat aufgrund
der IT-Anwendung Buchhaltung eine maximal tolerierbare Ausfallzeit von 3
Stunden.)
Eine praktikable Vorgehensweise ist es, zu den einzelnen IT-Anwendungen
den Verfahrensverantwortlichen nach den tolerierbaren Ausfallzeiten der
benutzten IT-Komponenten zu befragen, um danach die Ergebnisse nach ITSystem und Komponenten geordnet in der Tabelle aufzuführen.
Die Übersicht erleichtert es, die besonders zeitkritischen Komponenten des
IT-Systems zu extrahieren, für die die Notfallvorsorge unumgänglich ist. Bei
Ausfall einer Komponente gibt diese Übersicht darüber hinaus Auskunft über
die betroffenen IT-Anwendungen und deren Verfügbarkeitsanforderungen.
Die Anforderungen an die Verfügbarkeit sind von den Anwendern bzw.
Fachabteilungen zu begründen, sofern dies nicht schon an anderer Stelle ge-

_____________________________________________________________________ ..........................................
1

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.1
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

schehen ist. Die Verfügbarkeitsanforderungen sind von der Behörden- bzw.
Unternehmensleitung zu bestätigen.
Bei Ausfall einer Komponente des IT-Systems ermöglicht diese Übersicht
eine schnelle Aussage, ab wann ein Notfall vorliegt. Daß ein Notfall auch bei
Ausfall einer besonders zeitkritischen Komponente nicht zwingend eintreten
muß, läßt sich anhand des Ersatzbeschaffungsplans (siehe M 6.14
Ersatzbeschaffungsplan) und der Untersuchung über interne und externe
Ausweichmöglichkeiten (siehe M 6.6 Untersuchung interner und externer
Ausweichmöglichkeiten) ermitteln.
Ergänzende Kontrollfragen:
- Liegen begründete Verfügbarkeitsanforderungen für jede IT-Anwendung
vor?
- Entsprechen die Verfügbarkeitsanforderungen dem aktuellen Verfahrensstand? Wann wurde die Tabelle letztmalig aktualisiert?

_____________________________________________________________________ ..........................................
2

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.2
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.2

Notfall-Definition, Notfall-Verantwortlicher

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Nicht jeder Teil- oder Gesamtausfall des Systems stellt jedoch einen Notfall
dar. Oftmals lassen sich Ausfälle des IT-Systems durch geplante Maßnahmen,
z. B. Ersatzbeschaffung, auch in kurzer Zeit beheben. Der Notfall tritt erst
dann ein, wenn ein Zustand erreicht wird, bei dem innerhalb der geforderten
Zeit eine Wiederherstellung der Verfügbarkeit (siehe M 6.1 Erstellung einer
Übersicht über Verfügbarkeitsanforderungen) nicht möglich ist und sich
daraus ein sehr hoher Schaden ergibt. Schon bei Eintritt eines Ereignisses, in
dessen Folge der Notfall entstehen könnte, sind die erforderlichen
Maßnahmen zu ergreifen, die zu einer Schadensreduzierung führen.
Für die autorisierte und rechtzeitige Einleitung von Notfallmaßnahmen bedarf
es der Benennung eines Notfall-Verantwortlichen. Die Behörden- bzw. Unternehmensleitung muß den Notfall-Verantwortlichen sowohl für die Entscheidung autorisieren, ob ein Notfall eingetreten ist, als auch für die Einleitung
erforderlicher Notfallmaßnahmen.
Ergänzende Kontrollfragen:
- Wer ist autorisiert, über einen Notfall zu entscheiden?

_____________________________________________________________________ ..........................................
3

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.3
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.3

Erstellung eines Notfall-Handbuches

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Verantwortliche der einzelnen ITAnwendungen
In einem Notfall-Handbuch sind alle Maßnahmen, die nach Eintritt eines notfallauslösenden Ereignisses zu ergreifen sind, und alle dazu erforderlichen
Informationen zu dokumentieren. Das Notfall-Handbuch ist so zu gestalten,
daß ein sachverständiger Dritter in der Lage ist, die im Handbuch
spezifizierten Notfallmaßnahmen durchzuführen.
Nachfolgend wird beispielhaft ein umfassendes Inhaltsverzeichnis eines
Notfall-Handbuches zur Orientierung aufgeführt. Welche Teile dieses
Vorschlags übernommen werden können, ist abhängig von der vorhandenen
System- und Anwendungsdokumentation und kann daher nur individuell
entschieden werden.

Inhaltsverzeichnis Notfall-Handbuch
Teil A: Sofortmaßnahmen
1
1.1
1.2
1.3
1.4

2
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
2.10
2.11
2.12

Alarmierung im Notfall
Alarmierungsplan und Meldewege
Adresslisten betroffener Mitarbeiter
Festlegung konkreter Aufgaben für einzelne Personen/Funktionen
im Notfall
Notrufnummern
(z. B. Feuerwehr, Polizei, Notarzt, Wasser- und Stromversorger,
Ausweichrechenzentrum, externes Datenträgerarchiv, externe
Telekommunikationsanbieter)
Handlungsanweisung für spezielle Ereignisse
Brand
Wassereinbruch
Stromausfall
Ausfall der Klimaanlage
Explosion
Sabotage
Ausfall der Datenfernübertragungseinrichtung
Einbruch
Vandalismus
Bombendrohung
Streik / Demonstrationen
......

_____________________________________________________________________ ..........................................
4

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.3
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Teil B: Regelungen für den Notfall
3
3.1
3.2
3.3

Allgemeine Regelungen
Notfall-Verantwortliche
Benennung der an der Durchführung der Notfallpläne beteiligten
Organisationseinheiten, Kompetenzverteilung
Organisationsrichtlinien, Verhaltensregeln

4

Tabelle der Verfügbarkeitsanforderungen

Teil C: Wiederanlaufpläne für kritische Komponenten
5
5.1
5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.2
...

Wiederanlauf-Planung
Wiederanlauf-Plan für Komponente 1 (z. B. Host)
Wiederbeschaffungsmöglichkeiten
Interne / externe Ausweichmöglichkeiten
DFÜ-Versorgung
Eingeschränkter IT-Betrieb
Wiederanlaufreihenfolge
Wiederanlauf-Plan für Komponente 2 (z. B. Drucker)

Teil D: Dokumentation
6
6.1
6.1.1
6.1.2
6.1.2.1
6.1.2.2
6.1.3
6.1.4
6.1.4.1
6.1.4.2
6.1.4.3
6.1.4.4
6.1.4.5
6.1.5
6.1.6
6.1.7
6.2
...
7
7.1
7.2
7.3

Beschreibung der IT-Systeme
Beschreibung des IT-Systems A (im Überblick)
Beschreibung der Hardware-Komponenten
Beschreibung der Software-Komponenten
Bestandsverzeichnis der Systemsoftware
Bestandsverzeichnis der zu dem IT-System gehörenden
Systemdaten
Beschreibung der Netzanbindungen des IT-Systems
Beschreibung der IT-Anwendungen
Bestandsverzeichnis der Anwendungssoftware
Bestandsverzeichnis der zu einer IT-Anwendung gehörenden
Daten
Kapazitätsanforderungen einzelner IT-Anwendungen im Normalfall
Minimale Kapazitätsanforderungen der IT-Anwendungen für den
Notfall
Wiederanlaufverfahren der IT-Anwendungen
Datensicherungsplan
Beschreibung der notwendigen Infrastruktureinrichtungen
Sonstige Unterlagen (Handbücher etc.)
Beschreibung des IT-Systems B

Wichtige Informationen
Ersatzbeschaffungsplan
Hersteller- und Lieferantenverzeichnis
Verzeichnis der Dienstleistungsunternehmen
"Sanierung"

des

Fachgebiets

_____________________________________________________________________ ..........................................
5

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.3
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Letztes Änderungsdatum: _____________
Das Notfall-Handbuch ist durch die Behörden- bzw. Unternehmensleitung in
Kraft zu setzen und muß nach Bedarf aktualisiert werden. Die Verfügbarkeit
des Notfall-Handbuches ist von zentraler Bedeutung. Deshalb ist ein aktuelles
Exemplar extern auszulagern. Zusätzlich ist das Notfall-Handbuch allen im
Handbuch genannten Personen oder Organisationseinheiten zur Kenntnis zu
geben.
(Die Ausgestaltung wichtiger Inhalte ist den nachfolgenden Maßnahmenbeschreibungen zu entnehmen.)
Ergänzende Kontrollfragen:
- Ist das Notfall-Handbuch aktuell?
- Werden alle möglichen Notfälle betrachtet?

_____________________________________________________________________ ..........................................
6

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.4
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.4

Dokumentation der Kapazitätsanforderungen der
IT-Anwendungen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Verantwortliche der einzelnen ITAnwendungen
Im Hinblick auf interne und externe Ausweichmöglichkeiten für den Betrieb
der IT-Anwendungen sind für diese Kapazitätsanforderungen zu
dokumentieren. Hierunter fallen u. a.:
- CPU-Leistung,
- Plattenkapazitäten,
- DFÜ-Leistung und
- Leistungen weiterer Hardware-Komponenten (Drucker, Belegleser etc.).
Die Kapazitätsanforderungen einer IT-Anwendung sind dahingehend zu untersuchen, ob sie für den Zeitraum eines Notfalls reduziert werden können, um
auf diese Weise einen eingeschränkten IT-Betrieb zu ermöglichen (z. B.
Reduzierung der Anzahl der angeschlossenen Terminals). Diese
eingeschränkten Kapazitätsanforderungen für den Notfall sind ebenfalls zu
dokumentieren und zu aktualisieren.
Ergänzende Kontrollfragen:
- Liegen Kapazitätsanforderungen für jede IT-Anwendung vor?
- Entsprechen die Kapazitätsanforderungen dem aktuellen Verfahrensstand?
- Wurden die IT-Anwendungen dahingehend untersucht, ob eine Senkung
der Kapazitätsanforderungen möglich ist?

_____________________________________________________________________ ..........................................
7

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.5
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.5

Definition des eingeschränkten IT-Betriebs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Verantwortliche der einzelnen ITAnwendungen
Für den Fall, daß Teile des IT-Systems ausfallen, ist zu untersuchen, ob ein
eingeschränkter IT-Betrieb notwendig und möglich ist. Um bei einem eingeschränkten IT-Betrieb möglichst viele IT-Anwendungen betreiben zu können,
ist die für jede einzelne IT-Anwendung die zur Verfügung gestellte Kapazität
auf das notwendige Maß zu reduzieren (siehe M 6.4 Dokumentation der
Kapazitätsanforderungen der IT-Anwendungen).
Für den eingeschränkten IT-Betrieb muß festgelegt werden, welche ITAnwendungen mit welcher Priorität betrieben werden. Dies ist schriftlich zu
fixieren.
Auch manuelle Ersatzverfahren können geeignet sein, um die
Verfügbarkeitsanforderungen einer IT-Anwendung zu senken. Die für den
Einsatz eines manuellen Ersatzverfahrens erforderlichen Hilfsmittel
(Formulare, Papierlisten, Mikrofiche) müssen dazu allerdings bereitgehalten
werden.
Ergänzende Kontrollfragen:
- Wurde festgelegt, welche IT-Anwendung mit welcher Priorität im eingeschränkten IT-Betrieb durchzuführen ist?
- Sind die qualitativen und quantitative Vorgaben für den eingeschränkten
IT-Betrieb mit den Fachbereichen abgesprochen?

_____________________________________________________________________ ..........................................
8

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.6
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.6

Untersuchung interner und externer Ausweichmöglichkeiten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen
Um Kapazitätsengpässe im eingeschränkten IT-Betrieb zu vermeiden, sind
interne und externe Ausweichmöglichkeiten zu untersuchen.
Bei der Untersuchung von Ausweichmöglichkeiten ist insbesondere auf die
technischen Anforderungen an das Ausweich-IT-System zu achten. Kompatibilität und ausreichende Kapazitätsreserven (siehe M 6.4 Dokumentation der
Kapazitätsanforderungen der IT-Anwendungen) des Ausweich-IT-Systems
sind Grundvoraussetzung für dessen Benutzung.
Zunächst steht die interne Verlagerung von IT-Anwendungen von einem ITSystem auf ein anderes IT-System im Vordergrund (z. B. Ausweichen auf den
Entwicklungsrechner, wenn der Produktionsrechner ausfällt). Externe Ausweichmöglichkeiten sind dann heranzuziehen, wenn mit internen Ausweichmöglichkeiten die Verfügbarkeitsanforderungen nicht mehr oder nicht wirtschaftlich erfüllt werden können.
Ausweichmöglichkeiten für nicht IT-spezifische Komponenten sind auch zu
berücksichtigen. Beispielsweise im Bereich der Infrastruktur sind Ausweichmöglichkeiten für IT-Räume in Betracht zu ziehen.
Ergänzende Kontrollfragen:
- Wurden interne und externe Ausweichmöglichkeiten auf ihre Wirksamkeit
hin untersucht?
- Wird die Konfiguration, Kapazität und Kompatibilität von internen und
externen Ausweichmöglichkeiten dem aktuellen Verfahrensstand
angepaßt?
- Sind bei externen Ausweichmöglichkeiten Integrität und Vertraulichkeit
der ausgelagerten IT-Anwendungen und Daten gewährleistet?

_____________________________________________________________________ ..........................................
9

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.7
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.7

Regelung der Verantwortung im Notfall

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation, IT-Sicherheitsmanagement, Verantwortliche der einzelnen
IT-Anwendungen
Für den Zeitraum nach Eintritt des schädigenden Ereignisses bis hin zur vollständigen Wiederherstellung der Verfügbarkeit kann eine zeitlich befristete
Notfall-Organisation erforderlich sein.
Es müssen Verantwortliche bestimmt sein, die befugt sind zu entscheiden, ob
ein Notfall eingetreten ist, und die die entsprechenden Maßnahmen des
Notfall-Handbuchs einleiten (siehe M 6.2 Notfall-Definition, NotfallVerantwortlicher). Die an der Durchführung der Maßnahmen im Bereich der
Notfallvorsorge beteiligten Organisationseinheiten müssen befugt sein, die
ihnen übertragenen Aufgaben eigenverantwortlich durchzuführen. Die hierzu
erforderlichen Regelungen sind schriftlich festzuhalten. Dieses "NotfallOrganigramm" muß von der Behörden- bzw. Unternehmensleitung autorisiert
werden.
Ergänzende Kontrollfragen:
- Existiert eine Beschreibung der Notfall-Organisation?
- Ist die Notfall-Organisation allen im Notfallhandbuch genannten Personen
und Organisationseinheiten bekannt?
- Wann wurde sie zuletzt aktualisiert?
- Wer koordiniert welche Maßnahmen?

_____________________________________________________________________ ..........................................
10

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.8
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.8

Alarmierungsplan

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation, IT-Sicherheitsmanagement, Verantwortliche der einzelnen
IT-Anwendungen
Ein Alarmierungsplan enthält eine Beschreibung des Meldewegs, über den bei
Eintritt eines Notfalls die zuständigen Personen oder Organisationseinheiten
zu informieren sind. Die Alarmierung kann z. B. über Telefon, Fax, Funkrufdienste oder Kurier erfolgen. Beschrieben werden muß, wer wen
benachrichtigt, wer ersatzweise zu benachrichtigen ist bzw. wie bei
Nichterreichen zu verfahren ist. Zu diesem Zweck sind evtl. Adress- und
Telefonlisten zu führen.
Der Alarmierungsplan muß sämtlichen Notfall-Verantwortlichen zur
Verfügung stehen, darüber hinaus an zentraler Stelle redundant vorgehalten
werden (z. B. Pforte, Bewachungspersonal). Die im Alarmierungsplan
genannten Personen müssen den sie betreffenden Teil kennen. Allen
Mitarbeitern müssen die Ansprechpartner bekannt sein, denen das Eintreten
eines evtl. Notfall-auslösenden Ereignisses gemeldet werden kann.
Es kann verschiedene Alarmierungspläne für unterschiedliche Schadensfälle
geben (Feuer, Wasser, DFÜ-Ausfall). Dann muß darauf geachtet werden, daß
alle Schadensfälle abgedeckt sind.
Mit der Erstellung eines Alamierungsplans sollte auch die Festlegung eines
Ruf- oder Bereitschaftsdienstes erwogen werden.
Kontrollfragen:
- Wird der Alarmweg sporadisch getestet?
- Wann wurde der Alarmierungsplan letztmalig überarbeitet?
- Sind noch alle im Alarmierungsplan genannten Personen Mitarbeiter der
Behörde bzw. des Unternehmens?

_____________________________________________________________________ ..........................................
11

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.9
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.9

Notfall-Pläne für ausgewählte Schadensereignisse

Verantwortlich für Initiierung: Leiter IT, Leiter Organisation, IT-Sicherheitsmanagement, Verantwortliche der einzelnen
IT-Anwendungen
Verantwortlich für Umsetzung: Notfall-Verantwortliche
Notfall-Pläne beinhalten Handlungsanweisungen und Verhaltensregeln für
bestimmte Schadensereignisse. Hierbei handelt es sich um Ereignisse, die diejenigen Teile des IT-Systems gefährden, die von existentieller Bedeutung
sind. Ein Notfall-Plan ist auf die möglichst schnelle Wiederherstellung der
Verfügbarkeit gerichtet.
Ein Notfall-Plan muß auch das Zusammenwirken eines schädigenden
Ereignisses und der getroffenen Notfall-Maßnahme berücksichtigen.
Beispielsweise kann durch den Einsatz einer Sprinkleranlage ein Brand
bekämpft werden. Jedoch können durch den Wassereinsatz wiederum auch
neue Gefährdungen entstehen, z. B. für die Stromversorgung oder für Datenträgerarchive.
Notfall-Pläne sind je nach Umfeldgegebenheiten für folgende Ereignisse
aufzustellen:
- Brand,
- Wassereinbruch,
- Stromausfall,
- Ausfall der Klimaanlage,
- Explosion,
- Ausfall der Datenfernübertragungseinrichtung (siehe M 6.10 Notfall-Plan
für DFÜ-Ausfall),
- Sabotage.
Die Wirksamkeit von Notfall-Plänen ist durch Notfallübungen (siehe M 6.12
Durchführung von Notfallübungen) zu überprüfen.
Ergänzende Kontrollfragen:
- Liegen Notfall-Pläne vor?
- Wurde die Wirksamkeit der Notfall-Pläne überprüft?

_____________________________________________________________________ ..........................................
12

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.10
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.10

Notfall-Plan für DFÜ-Ausfall

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement,
Verantwortliche der einzelnen IT-Anwendungen
Verantwortlich für Umsetzung: Notfall-Verantwortliche, Administrator
Der Notfall-Plan für den DFÜ-Ausfall beinhaltet die Handlungsanweisungen,
die bei Ausfall von DFÜ-Einrichtungen durchzuführen sind. Insbesondere
müssen die bestehenden internen und externen Ausweichmöglichkeiten
bekannt sein, bevor die Entscheidung fixiert wird, wie ein Ausfall kompensiert
werden soll.
Alternative Ausweichmöglichkeiten sind zum Beispiel:
- Ersatz der Datenübertragung durch Austausch von Datenträgern oder
Druckerzeugnissen per Kurier (vgl. Kapitel 7.1 Datenträgeraustausch),
- Datenübertragung über andere DFÜ-Einrichtungen oder
- Einsatz mobiler Kommunikationseinrichtungen (z. B. Bündelfunk, Mobiltelefonie, Satellitenkommunikation).
Ergänzende Kontrollfragen:
- Sind die für die Nutzung von Ausweichmöglichkeiten erforderlichen DFÜKapazitäten hinreichend bemessen?

_____________________________________________________________________ ..........................................
13

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.11
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.11

Erstellung eines Wiederanlaufplans

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Verantwortliche der einzelnen IT-Anwendungen
Verantwortlich für Umsetzung: Leiter IT, Notfall-Verantwortliche, Administrator
Für einen geregelten Wiederanlauf nach Ausfall einer IT-Komponente sind
folgende Informationen zu dokumentieren (siehe Beispiel in M 6.3 Erstellung
eines Notfall-Handbuches, Teil C):
- Wiederbeschaffungsmöglichkeiten, zum Beispiel die Nutzung eines Testrechners für den Dialogbetrieb oder die Ersatzbeschaffung (siehe M 6.14
Ersatzbeschaffungsplan),
- interne/externe Ausweichmöglichkeiten für IT-Anwendungen (siehe M 6.6
Untersuchung interner und externer Ausweichmöglichkeiten) sind aufzuzählen,
- DFÜ-Versorgung (siehe M 6.10 Notfall-Plan für DFÜ-Ausfall) für den
Notbetrieb, um die minimal notwendigen Datenübertragungen zu gewährleisten,
- die im eingeschränkten IT-Betrieb (siehe M 6.5 Definition des eingeschränkten IT-Betriebs) laufenden IT-Anwendungen,
- Systemstart der IT-Komponente und Einbindung in das IT-System und
- um den Anforderungen an die Verfügbarkeit (siehe M 6.1 Erstellung einer
Übersicht über Verfügbarkeitsanforderungen) der einzelnen ITAnwendungen gerecht zu werden, ist eine Reihenfolge für den
Wiederanlauf der IT-Anwendungen festzulegen.
Die für den Wiederanlauf einer IT-Anwendungen erforderlichen Schritte sind
im Notfall-Handbuch aufzuzeigen (siehe Beispiel in M 6.3 Erstellung eines
Notfall-Handbuches, Teil D). Beispiele für solche Schritte sind:
- Aufbau und Installation der notwendigen Hardware-Komponenten,
- Einspielen der Systemsoftware,
- Einspielen der Anwendungssoftware,
- Bereitstellen der notwendigen Daten einschließlich Konfigurationsdateien,
- Wiederanlauf.
Eine revisionsfähige Protokollierung des Wiederanlaufs ist zu gewährleisten.
Der Wiederanlaufplan ist durch Notfallübungen (sowohl bei internen als auch
bei externen Ausweichmöglichkeiten) auf seine Durchführbarkeit zu testen.
Insbesondere ist bei der Durchführung solcher Übungen der ausschließliche
Einsatz der Software und Daten zu testen, die in internen oder externen Sicherungsarchiven aufbewahrt werden.
Der Wiederanlauf kann, je nach Umfang der betriebenen IT-Anwendungen,
mit erheblichen Zeitaufwand verbunden sein. Der Zeitaufwand für die mit
dem Wiederanlauf verbundenen Maßnahmen kann durch solche Übungen

_____________________________________________________________________ ..........................................
14

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.11
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

ermittelt werden und ist bei der Überarbeitung des Wiederanlaufplans zu
berücksichtigen.
Ergänzende Kontrollfragen:
- Entspricht der Wiederanlaufplan den Anforderungen der derzeitigen ITAnwendungen?
- Wurde der Wiederanlaufplan erprobt?
- Sind die zeitlichen Vorgaben des Wiederanlaufs mit den Fachbereichen
abgesprochen?

_____________________________________________________________________ ..........................................
15

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.12
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.12

Durchführung von Notfallübungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: Leiter IT, Notfall-Verantwortliche,
Administrator
Notfallübungen dienen der Prüfung der Wirksamkeit von Maßnahmen im
Bereich der Notfallvorsorge. Einerseits wird durch eine Notfallübung der
effektive und reibungslose Ablauf eines Notfall-Plans erprobt und andererseits
werden bisher unerkannte Mängel aufgedeckt. Typische Übungen sind:
- die Durchführung einer Alarmierung,
- Durchführung von Brandschutzübungen (vgl. M 6.17 Alarmierungsplan
und Brandschutzübungen),
- Funktionstests von Stromaggregaten,
- Wiederanlauf nach Ausfall einer ausgewählten IT-Komponente und
- Wiedereinspielen von Datensicherungen.
Die Ergebnisse einer Notfallübung sind zu dokumentieren.
Notfallübungen sind regelmäßig zu wiederholen. Da diese Übungen den normalen Betriebsablauf stören können, sollte die Häufigkeit an der Gefährdungslage orientiert sein, jedoch sollten die entsprechenden Notfallübungen
zumindest einmal jährlich stattfinden. Soweit erforderlich sind Schulungsmaßnahmen der Mitarbeiter durchzuführen (Erste Hilfe, Brandbekämpfung
etc.)
Vor Durchführung einer Notfallübung ist das Einverständnis der Behördenbzw. Unternehmensleitung einzuholen.
Ergänzende Kontrollfragen:
- Werden die Notfallübungen regelmäßig wiederholt?
- Führen aufgedeckte Mängel zu einer Überarbeitung der Notfall-Pläne?

_____________________________________________________________________ ..........................................
16

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.13
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.13

Erstellung eines Datensicherungsplans

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Verantwortliche der einzelnen
IT-Anwendungen
Mit Hilfe des Datensicherungsplans muß ein sachverständiger Dritter in der
Lage sein, sämtliche für den Wiederanlauf einer IT-Anwendung erforderliche
Software (Betriebssystemsoftware, Anwendungssoftware) und deren Daten in
angemessener Zeit beschaffen und installieren zu können.
Ein Datensicherungsplan muß Auskunft geben können über:
- Speicherungsort der Daten im Normalbetrieb (Plattenspeicher-Belegungsplan),
- den Bestand der gesicherten Daten (Bestandsverzeichnis),
- die Zeitpunkte der Datensicherungen,
- Art und Umfang der Datensicherung (logische/physikalische, Teil/Vollsicherung),
- das Verfahren zur Datensicherung und zur Rekonstruktion der gesicherten
Daten und
- den Ort der Aufbewahrung (Hinweis auf ggf. erforderliche Zutrittsmittel).
Die systematische Erarbeitung eines Datensicherungskonzeptes, aus dem sich
ein Datensicherungsplan ableitet, wird im Kapitel 3.4 Datensicherungskonzept
beschrieben.
Ergänzende Kontrollfragen:
- Werden Datensicherungsmaßnahmen entsprechend dem Datensicherungskonzept durchgeführt?
- Wurde im Rahmen von Notfallübungen überprüft, ob aus externen Datensicherungsbeständen die Datenträger ohne Verzögerung beschafft werden
konnten?
- Wie aktuell ist das bestehende Datensicherungskonzept?

_____________________________________________________________________ ..........................................
17

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.14
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.14

Ersatzbeschaffungsplan

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Verantwortliche der einzelnen
IT-Anwendungen
Bei Ausfall einzelner Teile des IT-Systems ist neben der Reparatur die
Ersatzbeschaffung zunächst die Maßnahme, die am zielgerichtetsten die
Wiederherstellung der Verfügbarkeit verfolgt.
Um den Vorgang der Ersatzbeschaffung zu beschleunigen, ist die Erstellung
eines Ersatzbeschaffungsplans sinnvoll. Dieser muß für jede wichtige ITKomponente Angaben machen über:
- Bezeichnung der IT-Komponente (Name, Geräte-Nr., Beschaffungsdatum),
- Hersteller,
- Lieferant,
- Lieferzeit und
- Dauer der Reinstallation.
Lassen sich für eine IT-Komponente mehrere Hersteller oder Lieferanten
benennen, so sind sie alternativ aufzuführen. Gegebenenfalls lassen sich auch
anderweitige Produkte benennen. Bei einer Ersatzbeschaffungsmaßnahme sind
solche Angaben für eine sparsame Mittelbewirtschaftung erforderlich.
Ersatzbeschaffungsmaßnahmen müssen neben der Wiederherstellung der Verfügbarkeit des IT-Systems auch der Fortentwicklung der Informationstechnik
Rechnung tragen. Entsprechen eingesetzte Teile des IT-Systems nicht mehr
dem Stand der Technik, so darf eine Ersatzbeschaffung nicht ausschließlich
darauf gerichtet sein, den alten Zustand wiederherzustellen. Dies erfordert
eine regelmäßige Überarbeitung des Ersatzbeschaffungsplans. Der Bezug zur
Betriebsmittelverwaltung ist zu beachten (vgl. M 2.2 Betriebsmittelverwaltung).
Ergänzende Kontrollfragen:
- In welchem Turnus wird der Ersatzbeschaffungsplan überarbeitet?
- Wird der Ersatzbeschaffungsplan bei Änderungen des IT-Systems überarbeitet?

_____________________________________________________________________ ..........................................
18

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.15
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.15

Lieferantenvereinbarungen

Verantwortlich für Initiierung: Leiter IT, Leiter Beschaffung
Verantwortlich für Umsetzung: Leiter Beschaffung
Bei Kauf von Informationstechnik ergibt sich für den IT-Betreiber die Notwendigkeit, Ersatzbeschaffungsmaßnahmen zu planen. Von besonderer Bedeutung beim Kauf ist eine vom Hersteller oder Lieferanten zugesicherte
Nachkaufgarantie, Ersatzteillieferung, garantierte Lieferzeiten, die Garantiezeit bei auftretenden Mängeln sowie der angebotene Support.
Miet- bzw. Leasingverträge müssen Regelungen über schadensvorbeugende
Wartungsarbeiten und die Anforderungen an die Beseitigung von Störungen
oder Schäden beinhalten.
Im Gegensatz zum Kauf von Informationstechnik ist bei deren Miete oder
Leasing eine Vielzahl von Risiken über den Vermieter bereits abgesichert. In
der Regel schließt ein Vermieter eine Feuerversicherung für die vermietete
Informationstechnik ab, die vom Mieter durch den Mietvertrag mitbezahlt
wird. Somit ist bei Miete oder Leasing von Informationstechnik auf die nicht
vom Vertrag abgedeckten Versicherungslücken zu achten.
Ergänzende Kontrollfragen:
- Gibt es für zentrale IT-Komponenten Lieferantenvereinbarungen?

_____________________________________________________________________ ..........................................
19

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.16
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.16

Abschließen von Versicherungen

Verantwortlich für Initiierung: Unternehmensleitung
Verantwortlich für Umsetzung: Unternehmensleitung
Für Bundesbehörden ist der Abschluß von Versicherungen unüblich.
Die auch bei hinreichender Notfallplanung nicht auszuschließenden Restrisiken lassen sich teilweise durch Versicherungen abdecken. Die Versicherungsarten lassen sich gliedern in:
- Sachversicherungen
- Feuerversicherung
- Leitungswasserversicherung
- Einbruchdiebstahlversicherung
- Montage-/Demontage-Versicherung
- Transportversicherung
- Datenträgerversicherung
- Elektronik-Versicherung
- Folgekostenversicherungen
-

Feuer-Betriebsunterbrechungs-Versicherung

-

Maschinen-Betriebsunterbrechungs-Versicherung

-

Mehrkostenversicherung

-

Elektronik-Betriebsunterbrechungs-Versicherung

- Personenbezogene Versicherungen
-

Vertrauensschadenversicherung

-

Computer-Mißbrauch-Versicherung

-

Datenschutzversicherung

_____________________________________________________________________ ..........................................
20

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.17
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.17

Alarmierungsplan und Brandschutzübungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
Brandschutzbeauftragter
Verantwortlich für Umsetzung: Brandschutzbeauftragter
Es ist erforderlich, Pläne für die im Brandfall zu ergreifenden Maßnahmen zu
erstellen. In einem solchen Plan ist z. B. niederzulegen,
- welche Maßnahmen bei welchen Ereignissen zu treffen sind,
- ob und wie Gebäudeteile evtl. zu räumen sind (Personen und Geräte),
- wer zu informieren ist und
- welche hilfeleistenden Kräfte zu informieren sind.
Ergänzt werden kann der Alarmierungsplan um Verhaltensregeln für den
Brandfall, die allen Mitarbeitern bekanntzugeben sind. Dazu siehe auch Kapitel 3.3 Notfallvorsorge.
Der beste Alarmierungsplan nützt allerdings wenig, wenn nicht sichergestellt
ist, daß die darin aufgelisteten Maßnahmen richtig und praktikabel sind. Es ist
also erforderlich, den Alarmplan regelmäßig zu prüfen und zu aktualisieren.
Eine dieser Prüfungsmaßnahmen ist die Durchführung von Brandschutzübungen.
Beispiel:
Eine im Herbst 1993 in einem 21-geschossigen Bonner Bürogebäude durchgeführte Brandschutzübung hat gezeigt, daß viele Mitarbeiter nicht wußten,
wo ein Feuerlöscher oder wo das Treppenhaus ist. Im Ernstfall kann diese
Unkenntnis zu einer Katastrophe führen. Teilweise wurde die Übung ignoriert,
man verließ aus Bequemlichkeit den Raum nicht.
Gerade in Brandschutzübungen soll das richtige Verhalten im Brandfall
geschult und geübt werden, um Menschenleben zu schützen und Schäden u. a.
für die IT zu vermeiden. Die Durchführung solcher Übungen ist vorher mit
der Behörden- bzw. Unternehmensleitung abzustimmen.
Ergänzende Kontrollfragen:
- Welche Resultate ergab die letzte Brandschutzübung?

_____________________________________________________________________ ..........................................
21

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.18
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.18

Redundante Leitungsführung

Verantwortlich für Initiierung: Leiter IT, Verantwortliche der einzelne ITAnwendungen
Verantwortlich für Umsetzung: Haustechnik, Administrator
Bei der redundanten Leitungsführung werden zwischen geeigneten Punkten
im Netz neben den im normalen Betrieb genutzten Leitungen zusätzliche
Verbindungen eingerichtet. Diese sollten über eine andere Trasse geführt
werden. Dadurch besteht die Möglichkeit, bei Störungen auf die redundante
Verbindung umzuschalten. Diese Umschaltung kann automatisch oder von
Hand erfolgen. Die automatische Umschaltung ist an einer Stelle anzuzeigen,
die die Störungsbeseitigung auf der normalen Leitung veranlaßt.
Die Funktionsfähigkeit von redundanten Leitungen ist in sinnvollen Zeitabständen durch tatsächliche Nutzung auf ihre Funktionsfähigkeit hin zu
überprüfen. Die Dimensionierung, die Prüfintervalle und die grundsätzliche
Notwendigkeit von redundanten Leitungen ist direkt von der Verfügbarkeitsanforderung an das Netz abhängig. Ebenso muß man das Verhältnis der
Bereitstellungszeit der redundanten Leitung zur Wiederherstellungszeit der
normalen Leitung berücksichtigen. Es ist allerdings von entscheidender
Bedeutung, ob es sich um Leitungen im öffentlichen Bereich (z. B. Telekom)
oder im privaten Bereich handelt.
- Bei Leitungen im öffentlichen Bereich hat der Benutzer keinen Einfluß auf
deren Schutz. Das öffentliche Netz stellt grundsätzlich eine ausreichende
Zahl von redundanten Leitungen zur Verfügung. Meistens reicht es aus, bei
Ausfall einer Verbindung (gleichgültig ob Festverbindung oder Wählleitung) durch Aufbau einer Wählleitung die Verbindung wiederherzustellen. Die Schaltung von redundanten Festverbindungen ist in der Regel
zu teuer und meistens verzichtbar.
- In einem privaten Netz kann der Betreiber die Sicherheit von Leitungen
wesentlich beeinflussen. Kostenüberlegungen führen meist dazu, daß es
keine redundanten Leitungen gibt. In privaten Netzen verursachen redundante Leitungen jedoch außer den Herstellungskosten keine laufenden
Ausgaben.

_____________________________________________________________________ ..........................................
22

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.19
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.19

Datensicherung am PC

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Generell zu beachten sind die Anforderungen aus M 6.32 Regelmäßige
Datensicherung. Beispielhaft soll nachfolgend aufgezeigt werden, wie auf
einem PC Datensicherungen sinnvoll durchgeführt werden können:
In einem wöchentlichen Rhythmus werden im Drei-Generationen-Prinzip (es
werden drei verschiedene Datensicherungen erzeugt, bevor die erste überschrieben wird) sämtliche Anwendungsdaten sowie die Konfigurationsdaten
der eingesetzten Software auf auslagerbare oder ausgelagerte Datenträger
(Disketten, Wechselplatten, Streamertapes, Server) zu sichern. Sollte der zu
sichernde Datenbestand zu umfangreich sein, so kann die Datensicherung auf
Dateien beschränkt werden, deren Inhalte sich seit der letzten Datensicherung
geändert haben (Differenzsicherung). Hierbei ist jedoch darauf zu achten, daß
mit jeder dritten Datensicherung der gesamten Datenbestand gesichert werden
muß (Vollsicherung).
Die Datensicherung ist zu dokumentieren, zumindest ist die Bezeichnung des
Datenträgers und das Datum der Datensicherung festzuhalten. Hierzu sind
sprechende Bezeichnungen zu verwenden, wie z. B.: "BP940518"=Backup
vom 18.05.94. Ferner sind die für die Datensicherung gewählten Parameter zu
dokumentieren (Zur Dokumentation vgl. M 2.24 Einführung eines PC-Checkheftes).
Die Datensicherung muß konform mit einem evtl. vorhandenen Datensicherungskonzept sein (vgl. M 6.13 Erstellung eines Datensicherungsplans).
Stehen keine Produkte für eine komfortable Datensicherung zur Verfügung, so
können systemzugehörige Programme, wie der DOS-Befehl BACKUP,
verwendet werden. Falls mit dem eingesetzten Programm die Datensicherung
durch Paßwort geschützt werden kann, sollte diese Option genutzt werden.
Das Paßwort ist dann gesichert zu hinterlegen (siehe M 2.22 Hinterlegen des
Paßwortes).
Ergänzende Kontrollfragen:
- Sind alle Daten eines Rechners gesichert?
- Wird der Datensicherungsvorgang dokumentiert?
- Ist der Datensicherungsvorgang konform zu einem vorhandenen Datensicherungskonzept?

Hinweis: Diese Maßnahme wird von keinem der im IT-Grundschutzhandbuch
enthaltenen Bausteine mehr verwendet. Der Inhalt dieser Maßnahme wurde
bereits in die Maßnahmenbeschreibung zu M 6.32 Regelmäßige
Datensicherung überführt.

_____________________________________________________________________ ..........................................
23

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.20
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.20

Geeignete Aufbewahrung der
Backup-Datenträger

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Backup-Datenträger unterliegen besonderen Anforderungen hinsichtlich ihrer
Aufbewahrung:
- Der Zugriff auf diese Datenträger darf nur befugten Personen möglich sein,
so dass eine Entwendung ausgeschlossen werden kann.
- Ein ausreichend schneller Zugriff muss im Bedarfsfall gewährleistet sein.
- Für den Katastrophenfall müssen die Backup-Datenträger räumlich
getrennt vom Rechner aufbewahrt werden, wenn möglich in einem anderen
Brandabschnitt.
Zu beachten sind auch die Anforderungen aus M 2.3 Datenträgerverwaltung.
Ergänzende Kontrollfragen:
- Wo werden die Datenträger der Datensicherung eines jeden Rechners
aufbewahrt?

_____________________________________________________________________ ..........................................
24

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.21
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.21

Sicherungskopie der eingesetzten Software

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Von den Originaldatenträgern erworbener Software bzw. von der Originalsoftware bei Eigenentwicklungen ist eine Sicherungskopie zu erstellen, von
der bei Bedarf die Software wieder eingespielt werden kann. Die Originaldatenträger und die Sicherungskopien sind getrennt voneinander aufzubewahren. Es ist darauf zu achten, daß der physikalische Schreibschutz des Datenträgers ein versehentliches Löschen oder Überschreiben der Daten verhindert.
Wird die Software auf CD-ROM zur Verfügung gestellt, sollte alternativ nach
der Installation von der CD-ROM eine Sicherungskopie der installierten
Software erstellt werden, da der Datenumfang auf der CD-ROM i. allg. zu
umfangreich ist.
Ein unerlaubter Zugriff, z. B. zur Erstellung einer Raubkopie, muß ausgeschlossen sein.
Ergänzende Kontrollfragen:
- Sind Sicherungskopien der eingesetzten Software angefertigt worden?
- Ist die Aufbewahrung der Datenträger ausreichend sicher?

_____________________________________________________________________ ..........................................
25

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.22
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.22

Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Für die Rekonstruktion eines Datenbestandes muß geprüft werden, ob mit den
vorhandenen Sicherungskopien der Daten ein solches Vorhaben durchgeführt
werden kann. Durch technische Defekte, falsche Parametrisierung, einer
unzureichenden Datenträgerverwaltung oder der Nichteinhaltung von Regeln,
die in einem Datensicherungskonzept gefordert werden, ist es möglich, daß
eine Rekonstruktion eines Datenbestandes nicht möglich ist. Daher ist es
notwendig, daß sporadisch überprüft wird, ob die erzeugten Datensicherungen
zur Wiederherstellung verlorener Daten genutzt werden können.
Ergänzende Kontrollfragen:
- Wann wurde zuletzt überprüft, ob die gesicherten Daten rekonstruiert
werden können?

_____________________________________________________________________ ..........................................
26

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.23
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.23

Verhaltensregeln bei Auftreten eines
Computer-Virus

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Gibt es Anzeichen, daß ein Rechner von einem Computer-Virus befallen ist
(z. B. Programmdateien werden länger, unerklärliches Systemverhalten, nicht
auffindbare Dateien, veränderte Dateiinhalte, ständige Verringerung des freien
Speicherplatzes, ohne daß etwas abgespeichert wurde), so sind zur
Feststellung eines Computer-Virus und zur anschließenden Beseitigung folgende Schritte durchzuführen:
1.

Ruhe bewahren!

2.

Falls möglich, holen Sie einen fachkundigen PC-Betreuer zur Hilfe.

3.

Beenden Sie die laufenden Programme und schalten Sie den Rechner
aus.

4.

Legen Sie eine einwandfreie, schreibgeschützte System-Diskette (die
Notfall-Diskette, vgl. M 6.24 Erstellen einer PC-Notfalldiskette) in
Laufwerk A: ein.

5.

Booten Sie den Rechner von dieser Diskette (evtl. vorher Boot-Reihenfolge im CMOS-Setup ändern, siehe M 4.84 Nutzung der BIOS-Sicherheitsmechanismen).

6.

Überprüfen Sie den Rechner mit einem aktuellen Viren-Suchprogramm
um festzustellen, ob tatsächlich ein Computer-Virus aufgetreten ist und
um welchen Computer-Virus es sich ggf. handelt.

7.

Entfernen Sie den Virus abhängig vom jeweiligen Virustyp (falls sich
Probleme ergeben, können Sie sich an die Viren-Hotline des BSI
wenden unter (0228) 9582-444).

8.

Überprüfen Sie mit dem Viren-Suchprogramm die Festplatte erneut.

9.

Untersuchen Sie alle anderen Datenträger (Disketten, Wechselplatten)
auf Virenbefall und entfernen Sie die Computer-Viren.

10.

Versuchen Sie, die Quelle der Vireninfektion festzustellen. Ist die
Quelle auf Original-Datenträger zurückzuführen, dann sollte der
Hersteller informiert werden. Liegt die Quelle in Dateien oder E-Mail,
so ist der Ersteller der Datei zu unterrichten.

11.

Warnen Sie andere IT-Benutzer, wenn ein Daten-Austausch mit dem
infizierten Rechner erfolgte.

12.

Schicken Sie den Virus-Meldebogen ans BSI (Vordruck befindet sich
im Anhang).

Sollte der Computer-Virus Daten gelöscht oder verändert haben, versuchen
Sie, die Daten aus den Datensicherungen (vgl. M 6.32 Regelmäßige Datensicherung) und die Programme aus den Sicherungskopien der Programme
(vgl. M 6.21 Sicherungskopie der eingesetzten Software) zu rekonstruieren.
Anschließend sollte nochmals Schritt 8 wiederholt werden.

_____________________________________________________________________ ..........................................
27

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.23
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
-

Werden diese Verhaltensregeln allen betroffenen Mitarbeitern bekanntgegeben?

-

Gibt es fachkundige Personen, die im Bedarfsfall die oben genannten
Schritte durchführen können?

_____________________________________________________________________ ..........................................
28

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.24
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.24

Erstellen einer PC-Notfalldiskette

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Bei der erstmaligen Einrichtung eines PC sollte eine Notfalldiskette erstellt
werden, die bei Ausfall einer Festplatte zum Starten des Systems oder bei
Auftreten eines Computer-Virus zum Erzeugen eines kontrollierten Systemzustands genutzt werden kann.
Diese Diskette sollte als Systemdiskette formatiert werden (DOS-Befehl
FORMAT A: /S). Anschließend sollten, soweit der Speicherplatz reicht, die
folgenden Programme darauf gespeichert werden: der deutsche TastaturTreiber KEYB.COM sowie KEYBOARD.SYS,
COUNTRY.SYS,
HIMEM.SYS und die Programme FORMAT.EXE, SYS.COM, FDISK.EXE,
CHKDSK.EXE, MEM.EXE und DEBUG.EXE.
Darüber hinaus sollte eine AUTOEXEC.BAT sowie eine CONFIG.SYS-Datei
generiert und auf der Notfall-Diskette gespeichert werden, die die gewünschte
Tastaturbelegung und den gewohnten DOS-Prompt erzeugt. Dabei muß darauf
geachtet werden, daß alle Pfadnamen auf die Diskette verweisen. Es dürfen
keine Programme von der Festplatte geladen werden (es darf z. B. kein C:
mehr enthalten sein!).
Die Notfall-Diskette sollte ebenfalls einen Editor enthalten. Die Verfügbarkeit
des Programms, mit dem die Backups erstellt wurden, muß ebenfalls
sichergestellt sein. Es kann sich bei Speicherplatzproblemen aber auch auf
einer zweiten Diskette befinden. Falls Treiber zur Festplattenkomprimierung
eingesetzt wurden, müssen diese auch auf die Notfall-Diskette gespeichert
werden, sonst kann im Notfall nicht auf die Festplatte zugegriffen werden.
Neben den Betriebssystem-Dateien kann die Notfall-Diskette auch Hilfsprogramme zur Feststellung des Fehlers und zur Reparatur möglicher Defekte
enthalten. Von Vorteil ist es auch, wenn die Daten der jeweiligen Systemkonfiguration vorliegen. Diese sollten schriftlich dokumentiert sein, z. B. in
einem PC-Checkheft wie in M 2.24 Einführung eines PC-Checkheftes
beschrieben, oder auf Datenträger vorliegen. Dafür gibt es diverse Programme, die die wesentlichen Konfigurationsdaten eines PCs auslesen. Die im
Störungsfalle vorgefundenen Daten können dann problemlos mit den früher
gespeicherten verglichen und gegebenenfalls berichtigt werden.
Nach dem Erstellen der Notfall-Diskette sollte diese mit einem aktuellen
Viren-Suchprogramm auf Computer-Viren überprüft und danach schreibgeschützt werden.
Nach jedem Wechsel des Betriebssystems (z. B. auf eine neuere Version) ist
sofort eine neue Notfall-Diskette zu erstellen. Um auf die Festplatte ohne
Probleme zugreifen zu können, muß die Version des Betriebssystems mit der
des betreffenden Rechners übereinstimmen. Je nach Betriebssystem müssen
außerdem noch systemspezifische Aspekte beachtet werden (siehe z. B.
M 6.46 Erstellung von Rettungsdisketten für Windows 95 oder M 6.42
Erstellung von Rettungsdisketten für Windows NT).

_____________________________________________________________________ ..........................................
29

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.24
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Ist die Notfalldiskette für den fachkundigen PC-Betreuer greifbar, erleichtert
sie seine Arbeit gerade bei der Beseitigung von Computer-Viren.
Ergänzende Kontrollfragen:
- Wurde für jeden eingesetzten Rechnertyp bzw. jede BetriebssystemVersion eine PC-Notfalldiskette erstellt?
- Ist der schnelle Zugriff auf diese Diskette sichergestellt?

_____________________________________________________________________ ..........................................
30

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.25
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.25

Regelmäßige Datensicherung der ServerFestplatte

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
An die Verfügbarkeit der auf der Festplatte des Servers gespeicherten Daten
müssen hohe Anforderungen gestellt werden, da in der Regel viele Benutzer
auf diese Daten zugreifen. Mit einer regelmäßigen Datensicherung muß
erreicht werden, daß alle Daten der Server-Festplatte, die z. B. nicht älter als
ein Tag sind, rekonstruiert werden können (vgl. auch M 6.32 Regelmäßige
Datensicherung).
Ein mögliches Datensicherungskonzept wäre, täglich inkrementell (d. h. alle
veränderten Dateien) zu sichern und einmal wöchentlich oder monatlich eine
Komplettsicherung vorzunehmen. Dabei sollte mindestens das Drei-Generationen-Prinzip (es werden drei aufeinanderfolgende Datensicherungen erzeugt,
bevor die erste überschrieben wird) eingehalten werden.
Eine erfolgte Datensicherung ist unbedingt zu dokumentieren. Mindestens
muß die (möglichst sprechende) Bezeichnung des Datenträgers, das Datum
der Datensicherung und die Art der Sicherung (inkrementell/komplett) festgehalten werden.
Ergänzende Kontrollfragen:
- Sind alle Daten der Festplatte des Servers möglichst aktuell gesichert?
- Wird der Datensicherungsvorgang dokumentiert?
- Verläuft der Datensicherungsvorgang konform zu einem vorhandenen
Datensicherungskonzept (vgl. M 6.13 Erstellung eines Datensicherungsplans)?

_____________________________________________________________________ ..........................................
31

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.26
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.26

Regelmäßige Datensicherung der
TK-Anlagen-Konfigurationsdaten

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher
Verantwortlich für Umsetzung: Administrator
Die in der TK-Anlage gespeicherten Daten sind in regelmäßigen Abständen zu
sichern. Dies kann mit Hilfe eines anlageninternen oder -externen Bandlaufwerkes geschehen. Der Sicherungszyklus hängt dabei stark von der Anzahl der durchgeführten Administrationsvorgänge ab. Als ein Beispiel für
einen sinnvollen Wert kann eine Datensicherung nach ca. 50 Administrationsvorgängen angenommen werden. Legt man den durchaus üblichen Wert
von einer Veränderung pro Teilnehmer und Jahr zugrunde, so ergibt sich
hieraus bei 600 Teilnehmern ein Datensicherungszyklus von einem Monat.
Neben diesen regelmäßigen Datensicherungen sollte nach grundlegenden
Änderungen ebenfalls eine Datensicherung erfolgen.
Ergänzende Kontrollfragen:
- Wird eine regelmäßige Datensicherung durchgeführt?
- Kann die TK-Anlage mit den Datensicherungsbeständen ordnungsgemäß
hochgefahren werden?
- Wurden entsprechende Tests schon einmal durchgeführt?
- Werden die Sicherungsbänder sicher aufbewahrt?

_____________________________________________________________________ ..........................................
32

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.27
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.27

Sichern des CMOS-RAM

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Benutzer von AT-Bus-Platten müssen normalerweise die Anzahl der Köpfe,
Sektoren und Zylinder ihrer Festplatte von Hand ins Setup eintragen. In den
Handbüchern finden sich diese Angaben nur selten, daher sollten sie unbedingt nach jeder Änderung schriftlich niedergelegt (z. B. im PC-Checkheft,
M 2.24 Einführung eines PC-Checkheftes) oder mit einem entsprechenden
Programm auf Diskette gespeichert werden.
Ergänzende Kontrollfragen:
- Sind Einträge ins CMOS-RAM eines Rechners schriftlich festgehalten?

_____________________________________________________________________ ..........................................
33

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.28
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.28

Vereinbarungen über Lieferzeiten
"lebensnotwendiger" TK-Baugruppen

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher
Verantwortlich für Umsetzung: TK-Anlagen-Verantwortlicher
Lebensnotwendige Baugruppen, wie zentrale Steuereinheiten, digitale
Koppelfelder etc. sollten auch bei redundanter Auslegung in hinreichend
kurzer Zeit lieferbar sein oder bevorratet werden. Redundante Baugruppen
sollten ab und zu mit den aktiven ausgetauscht werden.
Ergänzende Kontrollfragen:
- Welche Ihrer Baugruppen sind "lebensnotwendig"?
- Sind diese redundant ausgelegt?
- Wird die Funktionsfähigkeit der Reservebaugruppen regelmäßig überprüft?
- Wie lang sind die Lieferzeiten für die lebensnotwendigen Baugruppen?

_____________________________________________________________________ ..........................................
34

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.29
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.29

TK-Basisanschluß für Notrufe

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher
Verantwortlich für Umsetzung: Administrator
Bei einem Total- oder Teilausfall der TK-Anlage kann es geschehen, daß über
die an diese Anlage angeschlossenen Amtsleitungen keine Verbindungen
mehr möglich sind. Um dennoch Hilfe heranholen zu können, ist es sinnvoll,
einen völlig separaten Basisanschluß bzw. analogen Fernsprechanschluß
einzurichten.
Ergänzende Kontrollfragen:
- Wie können Notrufe weitergegeben werden, wenn die TK-Anlage
ausgefallen ist?

_____________________________________________________________________ ..........................................
35

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.30
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.30

Katastrophenschaltung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
Notfall-Verantwortliche,
TK-Anlagen-Verantwortlicher
Verantwortlich für Umsetzung: Administrator
Um in Ausnahmesituationen zur Einleitung von Maßnahmen Telefonleitungen
verfügbar zu haben, bieten einige TK-Anlagen die Möglichkeit, in einer sog.
Katastrophenschaltung die vorhandenen kommenden und gehenden Leitungen
vorher festgelegten Anschlüssen zuzuweisen. Dies gewährleistet, daß in einem
Katastrophenfall wichtige Einrichtungen handlungsfähig bleiben. Steht diese
Möglichkeit zur Verfügung, sollte sie genutzt werden.
Ergänzende Kontrollfragen:
- Wird die Zuordnung der Leitungen für die Katastrophenschaltung aktualisiert?
- Wird im Notfall-Handbuch festgelegt, wann die Katastrophenschaltung
auszulösen ist?
- Wird die Nutzung der Leitungen im Notfall-Handbuch benannt?

_____________________________________________________________________ ..........................................
36

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.31
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.31

Verhaltensregeln nach Verlust der Systemintegrität

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Falls sich das Unix-System in nicht vorgesehener Weise verhält (zum Beispiel
undefiniertes Systemverhalten, nicht auffindbare Daten, veränderte Dateiinhalte, ständige Verringerung des freien Speicherplatzes, ohne dass etwas
abgespeichert wurde), kann ein Verlust der Systemintegrität vorliegen. Dieser
kann durch missbräuchliche Nutzung des Systems verursacht worden sein,
zum Beispiel durch Veränderungen der Systemeinstellungen, Einspielen eines
Trojanisches Pferdes oder eines Computer-Virus.

missbräuchliche
Nutzung

Dann sollten die Benutzer folgende Punkte beachten:
- Ruhe bewahren!

Keine Panik!

- Benachrichtigen Sie den Administrator.
- Beenden Sie laufende Programme.
Der Administrator sollte folgende Schritte durchführen:
- Herunterfahren des Systems,
- Hochfahren des Systems, so dass nur Zugriff von der Konsole aus möglich
ist (z. B. Single-User-Modus),
- Anfertigung einer Komplettdatensicherung (Dies ist beispielsweise hilfreich, wenn bei der nachfolgenden Untersuchung Daten oder Spuren
zerstört werden.),

vollständige Datensicherung

- Überprüfung der ausführbaren Dateien auf sichtbare Veränderungen, z. B.
Erstellungsdatum und Dateigröße (Da diese von einem Angreifer auch
wieder auf ihre Ursprungswerte zurückgesetzt werden können, sollte die
Integrität der Dateien mit Prüfsummenverfahren wie tripwire überprüft
werden.),

ausführbare Dateien
prüfen

- Löschen der ausführbaren Dateien und Wiedereinspielen der OriginalDateien von schreibgeschützten Datenträgern (vgl. M 6.21 Sicherungskopie der eingesetzten Software) (keine Programme aus der Datensicherung wiedereinspielen),

Originaldateien wieder
einspielen

- Überprüfen und ggf. Wiedereinspielen der Systemverzeichnisse und
-dateien und ihrer Attribute (z. B. /etc/inetd.conf, /etc/hosts.equiv, cronund at-jobs, etc.),
- Überprüfung der Attribute aller Benutzerverzeichnisse und -dateien z. B.
mit Prüfsummenverfahren wie tripwire und ggf. Zurücksetzen auf
Minimal-Einstellungen (nur Rechte für den Eigentümer, keine root-Dateien
in Benutzerbereichen, .rhost- und .forward-Dateien, auch gesperrte
Accounts),

Attribute prüfen

- Änderung aller Passwörter,
- Benachrichtigung der Benutzer mit der Bitte, ihre Bereiche auf Unregelmäßigkeiten zu prüfen.

_____________________________________________________________________ ..........................................
37

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.31
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Nach der Änderung aller Passwörter müssen diese den betroffenen Benutzern
mitgeteilt werden. Hierbei sollte kein allen Benutzern bekanntes Passwort
oder Ableitungsschema benutzt werden. Besser ist es, die Passwörter zufällig
zu erzeugen und den Benutzern auf zuverlässigem Weg mitzuteilen, z. B. in
versiegelten Umschlägen. Diese Passwörter sollten unmittelbar nach der Erstanmeldung geändert werden.

neue Passwörter zufällig
erzeugen

Wenn Anzeichen auf einen vorsätzlichen Angriff gegen ein Unix-System
vorliegen, ist für die Schadensminimierung und weitere Schadensabwehr
sofortiges Handeln notwendig. Hierzu ist ein Alarmplan erforderlich, in dem
die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche
Personen über den Vorfall zu unterrichten sind (siehe auch M 6.60
Verhaltensregeln und Meldewege bei Sicherheitsvorfällen). Der Alarmplan
enthält ggf. auch Informationen darüber, ob und wie der Datenschutzbeauftragte und die Rechtsabteilung zu beteiligen sind.

Alarmplan heranziehen

Falls sich Probleme ergeben, können Sie sich an die Hotline des BSI wenden
unter Tel. 0228-9582-444 oder E-Mail cert@bsi.de.
Falls Daten gelöscht oder unerwünscht geändert wurden, können diese aus den
Datensicherungen wiedereingespielt werden.
Ergänzende Kontrollfragen:
- Werden die Benutzer regelmäßig darüber informiert, dass bei Auftreten
von Unregelmäßigkeiten sofort der Administrator benachrichtigt werden
muss?
- Wird diese Regelung auch angewendet?
- Gibt es Administratoren mit entsprechenden Kenntnissen?
- Ist ein Verfahren zur schnellen Vergabe von Passwörtern etabliert und
getestet?

_____________________________________________________________________ ..........................................
38

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.32
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.32

Regelmäßige Datensicherung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen
durchgeführt werden. In den meisten Rechnersystemen können diese weitgehend automatisiert erfolgen. Es sind Regelungen zu treffen, welche Daten
von wem wann gesichert werden. Empfehlenswert ist die Erstellung eines
Datensicherungskonzepts.

Datensicherungskonzept
erstellen

Abhängig von der Menge und Wichtigkeit der laufend neu gespeicherten
Daten und vom möglichen Schaden bei Verlust dieser Daten ist folgendes
festzulegen:
- Zeitintervall
Beispiele: täglich, wöchentlich, monatlich,
- Zeitpunkt
Beispiele: nachts, freitags abends,
- Anzahl der aufzubewahrenden Generationen,
Beispiel: Bei täglicher Komplettsicherung werden die letzten sieben Sicherungen aufbewahrt, außerdem die Freitagabend-Sicherungen der letzten
zwei Monate.
- Umfang der zu sichernden Daten
Am einfachsten ist es, Partitionen bzw. Verzeichnisse festzulegen, die bei
der regelmäßigen Datensicherung berücksichtigt werden. Eine geeignete
Differenzierung kann die Übersichtlichkeit vergrößern sowie Aufwand und
Kosten sparen helfen.
Beispiel: selbsterstellte Dateien und individuelle Konfigurationsdateien.
- Speichermedien (abhängig von der Datenmenge)
Beispiele: Bänder, Kassetten, Disketten, Spiegelung auf 2. Platte,
- Vorherige Löschung der Datenträger vor Wiederverwendung (Bänder,
Kassetten)
- Zuständigkeit für die Durchführung (Administrator, Benutzer)
- Zuständigkeit für die Überwachung der Sicherung, insbesondere bei automatischer Durchführung (Fehlermeldungen, verbleibender Platz auf den
Speichermedien)
- Dokumentation der erstellten Sicherungen (Datum, Art der Durchführung
der Sicherung / gewählte Parameter, Beschriftung der Datenträger)
Wegen des großen Aufwands können Komplettsicherungen in der Regel
höchstens einmal täglich durchgeführt werden. Die seit der letzten Sicherung
erstellten Daten können nicht wiedereingespielt werden. Daher und zur
Senkung der Kosten sollen zwischen den Komplettsicherungen regelmäßig
inkrementelle Sicherungen durchgeführt werden, das heißt, nur die seit der

inkrementelle Sicherung

_____________________________________________________________________ ..........................................
39

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.32
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

letzten Komplettsicherung neu erstellten Daten werden gesichert. (Werden
zwischen zwei Komplettsicherungen mehrere inkrementelle Sicherungen
durchgeführt, können auch jeweils nur die seit der letzten inkrementellen
Sicherung neu erstellten Daten gesichert werden.)
Eine inkrementelle Sicherung kann häufiger erfolgen, zum Beispiel sofort
nach Erstellung wichtiger Dateien oder mehrmals täglich. Die Vereinbarkeit
mit dem laufenden Betrieb ist sicherzustellen.
Für eingesetzte Software ist in der Regel die Aufbewahrung der Originaldatenträger und deren Sicherungskopien ausreichend. Sie braucht dann von
der regelmäßigen Datensicherung nicht erfasst zu werden.
Alle Benutzer sollten über die Regelungen zur Datensicherung informiert sein,
um ggf. auf Unzulänglichkeiten (zum Beispiel zu geringes Zeitintervall für
ihren Bedarf) hinweisen oder individuelle Ergänzungen vornehmen zu können
(zum Beispiel zwischenzeitliche Spiegelung wichtiger Daten auf der eigenen
Platte). Auch die Information der Benutzer darüber, wie lange die Daten
wiedereinspielbar sind, ist wichtig. Werden zum Beispiel bei wöchentlicher
Komplettsicherung nur zwei Generationen aufbewahrt, bleiben in
Abhängigkeit vom Zeitpunkt des Verlustes nur zwei bis drei Wochen Zeit, um
die Wiedereinspielung vorzunehmen.

Benutzer informieren

Falls bei vernetzten Rechnern nur die Server-Platten gesichert werden, ist
sicherzustellen, dass die zu sichernden Daten regelmäßig von den Benutzern
oder automatisch dorthin überspielt werden.
Vertrauliche Daten sollten vor der Sicherung möglichst verschlüsselt werden,
wobei darauf zu achten ist, dass eine Entschlüsselung auch nach einem längeren Zeitraum möglich sein sollte (siehe M 6.56 Datensicherung bei Einsatz
kryptographischer Verfahren).

Verschlüsselung vertraulicher Daten

Der Ausdruck von Daten auf Papier ist keine angemessene Art der Datensicherung.
Ergänzende Kontrollfragen:
- Sind alle Daten eines Rechners gesichert?
- Wird der Datensicherungsvorgang dokumentiert?
- Ist der Datensicherungsvorgang konform zu einem vorhandenen Datensicherungskonzept?

_____________________________________________________________________ ..........................................
40

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.33
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.33

Entwicklung eines Datensicherungskonzepts

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter IT, Verantwortliche der einzelnen IT-Anwendungen
Die Verfahrensweise der Datensicherung wird von einer großen Zahl von
Einflußfaktoren bestimmt. Das IT-System, das Datenvolumen, die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser
Faktoren. Im Datensicherungskonzept gilt es, eine Lösung zu finden, die diese
Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.
Die technischen Möglichkeiten, Datensicherungen durchzuführen, sind vielfältig. Jedoch wird die Auswahl immer von den genannten Faktoren bestimmt.
Daher gilt es zunächst, die Einflußgrößen der IT-Systeme und der damit realisierten IT-Anwendungen zu bestimmen und nachvollziehbar zu
dokumentieren. Anschließend muß die geeignete Verfahrensweise entwickelt
und dokumentiert werden. Zum Abschluß muß durch die Behörden/Unternehmensleitung die Durchführung angeordnet werden.
Das Datensicherungskonzept muß für die Gewährleistung einer funktionierenden Datensicherung die Datenrestaurierbarkeit mittels praktischer Übungen
als Verpflichtung vorsehen (siehe M 6.41 Übungen zur Datenrekonstruktion).
Die Ergebnisse sollten aktualisierbar und erweiterbar in einem Datensicherungskonzept niedergelegt werden. Ein möglicher Aufbau eines Datensicherungskonzepts ist im nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:
Inhaltsverzeichnis Datensicherungskonzept
1.

Definitionen

- Anwendungsdaten, Systemdaten, Software, Protokolldaten
- Vollsicherung, inkrementelle Datensicherung
2.

Gefährdungslage zur Motivation

- Abhängigkeit der Institution vom Datenbestand
- Typische Gefährdungen wie ungeschulte Benutzer, gemeinsam genutzte
Datenbestände, Computer-Viren, Hacker, Stromausfall, Festplattenfehler
- Institutionsrelevante Schadensursachen
- Schadensfälle im eigenen Haus
3.

Einflußfaktoren je IT-System

- Spezifikation der zu sichernden Daten
- Verfügbarkeitsanforderungen der IT-Anwendungen an die Daten
- Rekonstruktionsaufwand der Daten ohne Datensicherung
- Datenvolumen
- Änderungsvolumen

_____________________________________________________________________ ..........................................
41

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.33
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

- Änderungszeitpunkte der Daten
- Fristen
- Vertraulichkeitsbedarf der Daten
- Integritätsbedarf der Daten
- Kenntnisse und datenverarbeitungsspezifische Fähigkeiten der IT-Benutzer
4.

Datensicherungsplan je IT-System

4.1 Festlegungen je Datenart
-

Art der Datensicherung

-

Häufigkeit und Zeitpunkt der Datensicherung

-

Anzahl der Generationen

-

Datensicherungsmedium

-

Verantwortlichkeit für die Datensicherung

-

Aufbewahrungsort der Backup-Datenträger

-

Anforderungen an das Datensicherungsarchiv

-

Transportmodalitäten

-

Rekonstruktionszeiten bei vorhandener Datensicherung

4.2 Festlegung der Vorgehensweise bei der Datenrestaurierung
4.3 Randbedingungen für das Datensicherungsarchiv
-

Vertragsgestaltung (bei externen Archiven)

-

Refresh-Zyklen der Datensicherung

-

Bestandsverzeichnis

-

Löschen von Datensicherungen

-

Vernichtung von unbrauchbaren Datenträgern

4.4 Vorhalten von arbeitsfähigen Lesegeräten
5.

Minimaldatensicherungskonzept

6.

Verpflichtung der Mitarbeiter zur Datensicherung

7.

Sporadische Restaurierungsübungen

Einzelne Punkte dieses Datensicherungskonzepts werden in den Maßnahmen
M 6.34 Erhebung der Einflußfaktoren der Datensicherung, M 6.35 Festlegung
der Verfahrensweise für die Datensicherung, M 6.37 Dokumentation der
Datensicherung, M 6.41 Übungen zur Datenrekonstruktion und M 2.41
Verpflichtung der Mitarbeiter zur Datensicherung näher ausgeführt, so daß
nach Bearbeitung dieser Maßnahmen für jedes relevante IT-System die
wesentlichen Teile eines anwenderspezifischen Datensicherungskonzepts
erstellt sind.

_____________________________________________________________________ ..........................................
42

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.33
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Ist für die Institution ein aktuelles Datensicherungskonzept dokumentiert?
- Sind sämtliche betroffenen IT-Systeme in diesem Konzept aufgeführt?
- Wie werden Mitarbeiter über den sie betreffenden Teil des Konzepts unterrichtet?
- Wird die Einhaltung dieses Konzepts kontrolliert?
- Wie werden Änderungen der Einflußfaktoren berücksichtigt?

_____________________________________________________________________ ..........................................
43

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.34
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.34

Erhebung der Einflußfaktoren der Datensicherung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Verantwortliche der einzelnen
IT-Anwendungen
Für jedes IT-System, eventuell sogar für einzelne IT-Anwendungen mit
besonderer Bedeutung, müssen die nachfolgenden Einflußfaktoren ermittelt
werden. Dazu können die Systemadministratoren und die Verantwortlichen
der einzelnen IT-Anwendungen befragt werden. Die Ergebnisse sind
nachvollziehbar zu dokumentieren.
Nachfolgend soll an einem fiktiven Beispiel aufgezeigt werden, wie die Ermittlung der Einflußfaktoren in der Praxis vollzogen werden kann. Das Beispiel
geht von einem servergestützten LAN mit 10 angeschlossenen PCs als Workstations aus. Das IT-System dient der Auftragsbearbeitung mittels einer
Kundendatenbank. Die Anwendungsdaten werden zentral auf dem Netzserver
gespeichert.
Im einzelnen muß ermittelt werden:
Spezifikation der zu sichernden Daten
Ermittelt werden sollte der Datenbestand des IT-Systems (der ITAnwendung), der für die Erledigung der Fachaufgaben erforderlich ist. Dazu
gehören die Anwendungs- und Betriebssoftware, die Systemdaten (z. B.
Initialisierungsdateien,
Makrodefinitionen,
Konfigurationsdaten,
Textbausteine, Paßwortdateien, Zugriffsrechtedateien), die Anwendungsdaten
selbst und Protokolldaten (Login-Protokollierung, Protokolle über
Sicherheitsverletzungen, Datenübertragungsprotokolle, ...).
Beispielergebnis 1: Spezifikation der zu sichernden Daten
IT-System:

Servergestütztes LAN mit 10 angeschlossenen PCs

Zu sichernde Daten:
-

Software: Netzbetriebssystem, Betriebssysteme der PCs, Textverarbeitungssoftware, Datenbanksoftware etc. in Form von Standardsoftware

-

Systemdaten:
am Netz-Server: Systeminterne Einstellungen (z. B. Rechtestruktur,
Paßworte)
an den PCs: Initialisierungsdateien der Textverarbeitungssoftware
und der Datenbanksoftware, Makrodefinitionen und Textbausteine

-

Anwendungsdaten auf dem Netz-Server: Dateien mit Schriftverkehr,
Kundendatenbank

-

Protokolldaten auf dem Netz-Server: Protokollierung der NetzAktivitäten

_____________________________________________________________________ ..........................................
44

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.34
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Verfügbarkeitsanforderungen der IT-Anwendungen an die Daten
Für die im ersten Schritt spezifizierten Daten müssen nun die
Verfügbarkeitsanforderungen festgelegt werden. Ein erprobtes Maß dazu ist
die Angabe der maximal tolerierbaren Ausfallzeit (mtA). Sie gibt an, über
welchen Zeitraum die Fachaufgabe ohne diese Daten weitergeführt werden
kann, ohne daß auf Datensicherungsbestände zurückgegriffen werden muß.
Betrachtet werden sollte dabei auch, ob aufgrund der Papierlage ohne ITUnterstützung kurzfristig weitergearbeitet werden kann.
Beispielergebnis 2: Verfügbarkeitsanforderungen
-

Software: mtA 1 Tag

-

Systemdaten:
am Netz-Server: mtA 1 Tag
am PC: mtA 1 Woche (auf einen PC kann bis zu einer Woche verzichtet werden)

-

Anwendungsdaten:
Dateien mit Schriftverkehr: mtA 1 Woche
Kundendatenbank: mtA 1 Tag

-

Protokolldaten: mtA 3 Tage

Rekonstruktionsaufwand der Daten ohne Datensicherung
Um
ein
unter
wirtschaftlichen
Gesichtspunkten
angemessenes
Datensicherungskonzept zu entwickeln, ist es notwendig zu wissen, ob und
mit welchem Aufwand zerstörte Datenbestände rekonstruiert werden können,
wenn eine Datensicherung nicht zur Verfügung steht. Untersucht werden
sollte, aus welchen Quellen die Daten rekonstruiert werden können. Beispiele
hierfür sind die Aktenlage, Ausdrucke, Mikrofiche, Befragungen und
Erhebungen.
Gemessen werden sollte der pekuniäre Aufwand oder der Arbeitsaufwand von
Datenerfassungskräften in Arbeitstagen (AT).
Beispielergebnis 3: Rekonstruktionsaufwand
Software:
Wiederbeschaffung durch Kauf und anschließender Installation
innerhalb eines Tages (sofern keine Originalsoftware mehr vorliegt)
Systemdaten:
am Netz-Server: manuelle Rekonstruktion: 1 AT
am PC: 1 AT
Anwendungsdaten:
Dateien mit Schriftverkehr: zielorientierte Erfassung aus aktueller
Papierlage: 10 AT (eine vollständige Nacherfassung des Schriftverkehrs ist nicht erforderlich)

_____________________________________________________________________ ..........................................
45

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.34
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Kundendatenbank: Kompletterfassung aus Papierlage: 10 AT
Protokolldaten: nicht rekonstruierbar, da kein Ausdruck auf Papier
erfolgt

Datenvolumen
Für die Auswahl des Speichermediums ist ein entscheidender Faktor das
gespeicherte und zu sichernde Datenvolumen. Die erforderliche Angabe
richtet sich ausschließlich auf die zu sichernden Daten und sollte als
Maßeinheit Megabyte (MB) benutzen.
Beispielergebnis 4: Datenvolumen
Software: 100 MB
Systemdaten:
am Netz-Server: 2 MB
am PC: 0,3 MB
Anwendungsdaten:
Dateien mit Schriftverkehr: 100 MB
Kundendatenbank: 10 MB
Protokolldaten: 10 MB (wöchentliche Kontrolle nebst Löschung)
Änderungsvolumen
Um die Häufigkeit der Datensicherung und das adäquate Sicherungsverfahren
bestimmen zu können, muß bekannt sein, wieviele Daten/Dateien sich in
einem bestimmten Zeitabschnitt ändern. Als Arbeitsgröße wäre hier eine
Einheit MB/Woche denkbar. Notwendig sind Angaben, ob bestehende Dateien
inhaltlich geändert oder ob neue Dateien erzeugt werden.
Beispielergebnis 5: Änderungsvolumen
Software: durchschnittlich 50 MB bei einem Versionswechsel, höchstens
einmal jährlich
Systemdaten:
am Netz-Server: 0,1 MB/Woche
am PC: 0,1 MB/Woche
Anwendungsdaten:
Dateien mit Schriftverkehr: 1 MB/Woche durch neue Dateien
Kundendatenbank: 10 MB/Woche durch Änderungen in der Datenbank (die Datenbank kann nur vollständig gesichert werden).
Protokolldaten: 10 MB/Woche
Änderungszeitpunkte der Daten
Es gibt IT-Anwendungen, bei denen sich Datenänderungen nur zu bestimmten
Terminen ergeben, wie zum Beispiel der Abrechnungslauf zur Lohnbuchhal-

_____________________________________________________________________ ..........................................
46

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.34
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

tung zum Monatsende. In solchen Fällen ist eine Datensicherung unverzüglich
nach einem solchen Termin sinnvoll. Daher sollte für die zu sichernden Daten
angegeben werden, ob sie sich täglich, wöchentlich oder zu bestimmten
Terminen ändern.
Beispielergebnis 6: Änderungszeitpunkte
Software: Änderungen nur bei einem Versionswechsel
Systemdaten: häufige Änderungen
Anwendungsdaten:
Dateien mit Schriftverkehr: tägliche Änderungen
Kundendatenbank: tägliche Änderungen
Protokolldaten: ständige Änderung
Fristen
Für die Daten ist zu klären, ob bestimmte Fristen einzuhalten sind. Hierbei
kann es sich um Aufbewahrungsfristen oder auch um Löschfristen im Zusammenhang mit personenbezogenen Daten handeln. Diese Fristen sind bei der
Festlegung der Datensicherung zu berücksichtigen.
Beispielergebnis 7: Fristen
Software: Aufbewahrung
erforderlich

der

Datensicherungsbestände

ist

nicht

Systemdaten: Aufbewahrung der Datensicherungsbestände ist nicht erforderlich
Anwendungsdaten:
Dateien mit Schriftverkehr: Aufbewahrungsfrist für Buchungsbelege
beträgt sechs Jahre (§257 HGB); ein (Jahres-) Datensicherungsbestand ist für diese Zeit aufzuheben
Kundendatenbank: Aufbewahrung der Daten ist nicht erforderlich,
Löschfristen sind gemäß BDSG (§20 bzw. § 35) zu beachten
Protokolldaten:
nach der wöchentlichen Auswertung der Protokolldaten müssen
regelmäßig 2 MB der Daten für ein Jahr bzw. bis zur Prüfung durch
den Datenschutzbeauftragten aufbewahrt werden

Vertraulichkeitsbedarf der Daten
Der Vertraulichkeitsbedarf einer Datei überträgt sich bei einer Datensicherung
auf die Sicherungskopie. Bei der Zusammenführung von Sicherungskopien
mit gleichem Vertraulichkeitsbedarf auf einem Datenträger, kann sich durch
die Kumulation ein höherer Vertraulichkeitsbedarf der gespeicherten Daten
ergeben. Anzugeben ist also, wie hoch der Vertraulichkeitsbedarf der
einzelnen zu sichernden Daten ist und zusätzlich, welche Kombinationen von
Daten einen höheren Vertraulichkeitsbedarf haben als die Daten selbst.

_____________________________________________________________________ ..........................................
47

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.34
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Beispielergebnis 8: Vertraulichkeitsbedarf
Software:
geringer Vertraulichkeitsbedarf, da es sich um öffentlich
zugängliche Daten handelt, lediglich Copyright-Vereinbarungen sind
zu beachten
Systemdaten:
am Netz-Server: mittel vertraulich (Paßworte sind verschlüsselt
gespeichert)
am PC: nicht vertraulich
Anwendungsdaten:
Dateien mit Schriftverkehr: Einzeldateien besitzen mittleren
Vertraulichkeitsbedarf, sämtliche Dateien zusammen einen hohen
Vertraulichkeitsbedarf
Kundendatenbank: hoher Vertraulichkeitsbedarf
Protokolldaten:
hoher Vertraulichkeitsbedarf (personenbezogene Daten, die ein Nutzungsprofil ermöglichen)
Integritätsbedarf der Daten
Für Datensicherungen muß sichergestellt sein, daß die Daten integer
gespeichert wurden und während der Aufbewahrungszeit nicht verändert
werden. Dies ist um so wichtiger, je höher der Integritätsbedarf der Nutzdaten
ist. Daher ist für die Datensicherungen anzugeben, wie hoch der
Integritätsbedarf ist.
Beispielergebnis 9: Integritätsbedarf
Software:

die Software muß hohe Integritätsansprüche erfüllen

Systemdaten:
am Netz-Server: hoher Integritätsbedarf (wegen Rechteverwaltung)
am PC: hoher Integritätsanspruch
Anwendungsdaten:
Dateien mit Schriftverkehr: Einzeldateien besitzen einen mittleren
Integritätsbedarf
Kundendatenbank: hoher Integritätsbedarf
Protokolldaten:
die Daten besitzen bis zur Auswertung einen hohen Integritätsbedarf,
nach der Auswertung besitzen nur noch die aufzubewahrenden
Daten einen mittleren Integritätsbedarf.

_____________________________________________________________________ ..........................................
48

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.34
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Kenntnisse und datenverarbeitungsspezifische Fähigkeiten der ITBenutzer
Um entscheiden zu können, wer die Datensicherung durchführt, der IT-Benutzer
selbst
oder
speziell
beauftragte
Mitarbeiter
bzw.
die
Systemadministratoren, ist ausschlaggebend, über welche Kenntnisse und
datenverarbeitungsspezifischen Fähigkeiten der IT-Benutzer verfügt und
welche Werkzeuge ihm zur Verfügung gestellt werden können. Falls die
zeitliche Belastung bei der Durchführung einer Datensicherung für ITBenutzer zu hoch ist, sollte dies angegeben werden.
Beispielergebnis 10: Kenntnisse
Der Netzadministrator verfügt über ausreichende Kenntnisse, die Datensicherung am Netz-Server durchzuführen. Die IT-Benutzer des PCs verfügen
über ausreichende Kenntnisse und Fähigkeiten, die Datensicherung der PCSystemdaten selbständig durchzuführen.
Ergänzende Kontrollfragen:
- Wurden bei der Erhebung der Einflußfaktoren sowohl
Systemadministratoren als auch die IT-Anwender eingebunden?

die

- Wie werden diese Angaben aktualisiert?
- Werden neue Anforderungen rechtzeitig
Datensicherungskonzept berücksichtigt?

in

einem

aktualisierten

_____________________________________________________________________ ..........................................
49

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.35

Festlegung der Verfahrensweise für die Datensicherung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement,
IT-Verfahrensverantwortlicher
Die Verfahrensweise, wie die Datensicherung durchzuführen ist, wird von den
in M 6.34 Erhebung der Einflußfaktoren der Datensicherung erhobenen
Einflußfaktoren bestimmt. Für jedes IT-System und für jede Datenart muß die
Verfahrensweise der Datensicherung festgelegt werden. Bei Bedarf ist sogar
noch eine Unterscheidung für einzelne IT-Anwendungen des IT-Systems vorzunehmen, wenn sich hier differente Datensicherungsstrategien ergeben, was
insbesondere im Großrechnerbereich sinnvoll sein kann.
Folgende Modalitäten einer Datensicherung sind für die Festlegung einer Verfahrensweise für die Datensicherung zu betrachten:
- Art der Datensicherung,
- Häufigkeit und Zeitpunkt der Datensicherung,
- Anzahl der Generationen,
- Vorgehensweise und Speichermedium,
- Verantwortlichkeit für die Datensicherung,
- Aufbewahrungsort,
- Anforderungen an das Datensicherungsarchiv,
- Transportmodalitäten,
- Aufbewahrungsmodalität.
In der nachfolgenden Tabelle werden die Abhängigkeiten zwischen den
Modalitäten einer Datensicherung und den Einflußfaktoren dargestellt und
anschließend erläutert:
Art der
Datensicherung
Verfügbarkeitsanforderungen

X

Rekonstruktionsaufwand
ohne Datens.
Datenvolumen
Änderungsvolumen
Änderungszeitpunkte
der Daten

X
X
(X)

Häufigkeit Anzahl der
und Zeit- Generapunkte der tionen
Datens.

(X)

X

(X)

X

X
X

X
X

Vertraulichkeitsbedarf
der Daten

Kenntnisse der
IT-Benutzer

(X)
X

X

Verantwortlichkeit für
Datens.

X

X
X

Aufbewah- Anforde- Transport- Aufberungsort
rungen an modaliwahrungsDS-Archiv täten
modalität

X

X

X

X

X

X
(X)

Fristen

Integritätsbedarf der
Daten

Vorgehens
weise und
Speichermedium

X
(X)

X

X
X

X

X
X

(X)

X

X

X

X

X

X

X bedeutet direkter Einfluß, (X) bedeutet indirekter Einfluß

_____________________________________________________________________ ..........................................
50

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Erläuterungen:
Art der Datensicherung
Folgende Datensicherungsarten lassen sich aufzeigen:
- Datenspiegelung: bei der Datenspiegelung werden die Daten redundant
und zeitgleich auf verschiedenen Datenträgern gespeichert. Da es sich
meist um schnelle Datenträger handelt, entstehen durch die doppelte Auslegung der Datenträger und durch die notwendige Steuerungssoftware
entsprechend hohe Kosten. Der wesentliche Vorteil der Datenspiegelung
ist, daß der Ausfall eines dieser Speicher ohne Zeitverlust überbrückt
werden kann.
- Volldatensicherung: bei der Volldatensicherung werden sämtliche zu
sichernden Dateien zu einem bestimmten Zeitpunkt auf einen zusätzlichen
Datenträger gespeichert. Es wird dabei nicht berücksichtigt, ob die Dateien
sich seit der letzten Datensicherung geändert haben oder nicht. Daher
benötigt eine Volldatensicherung einen hohen Speicherbedarf. Der Vorteil
ist, daß die Daten vollständig für den Sicherungszeitpunkt vorliegen und
die Restaurierung von Dateien einfach und schnell möglich ist, da nur die
betroffenen Dateien aus der letzten Volldatensicherung extrahiert werden
müssen. Werden Volldatensicherungen selten durchgeführt, so kann sich
durch umfangreiche nachträgliche Änderungen innerhalb einer Datei ein
hoher Nacherfassungsaufwand ergeben.
- Inkrementelle Datensicherung: bei der inkrementellen Datensicherung
werden im Gegensatz zur Volldatensicherung nur die Dateien gesichert, die
sich gegenüber der letzten Datensicherung (Volldatensicherung oder inkrementelle Sicherung) geändert haben. Dies spart Speicherplatz und verkürzt
die erforderliche Zeit für die Datensicherung. Für die Restaurierung der
Daten ergibt sich i. allg. ein höherer Zeitbedarf, da die Dateien aus Datensicherungen verschiedener Zeitpunkte extrahiert werden müssen. Die
inkrementelle Datensicherung basiert immer auf einer Volldatensicherung.
In periodischen Zeitabständen werden Volldatensicherungen erzeugt, in
der Zeit dazwischen werden eine oder mehrere inkrementelle
Datensicherungen vollzogen. Bei der Restaurierung wird die letzte
Volldatensicherung als Grundlage genommen, die um die in der
Zwischenzeit geänderten Dateien aus den inkrementellen Sicherungen
ergänzt wird.
- Differentielle Datensicherung: bei der differentiellen Datensicherung
werden nur die Dateien gesichert, die sich gegenüber der letzten Volldatensicherung geändert haben. Eine differentielle Datensicherung benötigt
mehr Speicherplatz als eine inkrementelle, Dateien lassen sich aber
einfacher und schneller restaurieren. Für die Restaurierung der Daten reicht
die letzte Volldatensicherung sowie die aktuellste differentielle, nicht wie
bei der inkrementellen, wo u. U. mehrere Datensicherungen nacheinander
eingelesen werden müssen.
Eine spezielle Form dieser genannten Datensicherungsstrategien ist die ImageDatensicherung. Bei der Image-Datensicherung werden nicht die einzelnen
Dateien eines Festplattenstapels gesichert, sondern die physikalischen

_____________________________________________________________________ ..........................................
51

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Sektoren der Festplatte. Es handelt sich dabei um eine Vollsicherung, die sehr
schnell auf eine gleichartige Festplatte restauriert werden kann.
Eine weitere Form ist das Hierarchische Speicher-Management (HSM). Hierbei geht es in erster Linie um die wirtschaftliche Ausnutzung teurer Speicher.
Dateien werden abhängig von der Häufigkeit, mit der auf sie zugegriffen wird,
auf schnellen Online-Speichern (Festplatten) gehalten, auf Nearline-Speicher
(automatische Datenträger-Wechselsysteme) ausgelagert oder auf OfflineSpeichern (Magnetbänder) archiviert. Gleichzeitig bieten diese HSM-Systeme
i. allg. auch automatische Datensicherungsroutinen kombiniert aus
inkrementeller Datensicherung und Volldatensicherung.
Eine redundante Datenspeicherung bieten RAID-Systeme an (Redundant
Array of Inexpensive Disks). Das RAID-Konzept beschreibt die Verbindung
von mehreren Festplatten unter dem Kommando eines sogenannten ArrayControllers. Man unterscheidet verschiedene RAID-Level, wovon RAIDLevel 1 die Datenspiegelung beschreibt.
RAID-Systeme ersetzen keine Datensicherung! RAID-Systeme helfen nicht
bei Diebstahl oder Brand, daher müssen auch die auf RAID-Systemen gespeicherten Daten auf zusätzliche Medien gesichert werden und diese Medien
auch in anderen Brandabschnitten untergebracht werden.
Für die Entscheidung, welche Datensicherungsstrategie angewendet werden
soll, sind die folgenden Einflußfaktoren zu berücksichtigen, um eine für die
Anforderungen geeignete und gleichzeitig wirtschaftliche Form zu finden:
Verfügbarkeitsanforderungen:
Sind die Verfügbarkeitsanforderungen sehr hoch, so ist eine Datenspiegelung in Erwägung zu ziehen, sind die Verfügbarkeitsanforderungen hoch,
so sollte einer Volldatensicherung gegenüber der inkrementellen Datensicherung der Vorzug gegeben werden.
Datenvolumen und Änderungsvolumen:
Entspricht das Änderungsvolumen annähernd dem Datenvolumen (z. B. bei
der Nutzung einer Datenbank), so verringert sich die Speicherplatzersparnis der inkrementellen Datensicherung so stark, daß eine Vollsicherung in Erwägung gezogen werden kann. Ist jedoch das Änderungsvolumen erheblich kleiner als das Datenvolumen, so spart die inkrementelle
Datensicherung Speicherplatz und damit Kosten im großen Umfang.
Änderungszeitpunkte der Daten:
Einen geringen Einfluß auf die Datensicherungsstrategie können die Änderungszeitpunkte der Daten haben. Gibt es Zeitpunkte, an denen anwendungsbezogen der Komplettdatenbestand gesichert werden muß (z. B. nach
buchhalterischen Tages-, Wochen-, Monats- oder Jahresabschlüsse), so
kommt zu diesen Zeitpunkten nur eine Vollsicherung in Frage.
Kenntnisse der IT-Benutzer:
Die Implementierung einer Datenspiegelung setzt entsprechende Kenntnisse des Systemadministrators voraus, erfordert jedoch auf Seiten der ITBenutzer keinerlei Kenntnisse. Eine Volldatensicherung läßt sich auch von

_____________________________________________________________________ ..........................................
52

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

einem IT-Benutzer mit geringen Systemkenntnissen durchführen.
Demgegenüber erfordert eine inkrementelle Datensicherung schon mehr
Systemkenntnisse und Erfahrungen im Umgang mit Datensicherungen.
Häufigkeit und Zeitpunkte der Datensicherung
Tritt ein Datenverlust ein (z. B. durch Headcrash auf der Festplatte), so
müssen zur Restaurierung der Daten sämtliche Datenänderungen seit der
letzten Datensicherung nochmals vollzogen werden. Je kürzer der zeitliche
Abstand der Datensicherungen ist, um so geringer ist i. allg. auch der für eine
Restaurierung und Nacherfassung erforderliche Zeitaufwand. Gleichzeitig
muß beachtet werden, daß der Zeitpunkt der Datensicherung nicht nur periodisch (täglich, wöchentlich, werktags, ...) gewählt werden kann, sondern daß
auch ereignisabhängige Datensicherungen (z. B. nach x Transaktionen, nach
Ausführung eines bestimmten Programms, nach Systemänderungen) notwendig sein können.
Zur Auswahl der Häufigkeit und Zeitpunkte der Datensicherung sind folgende
Einflußfaktoren zu beachten.
Verfügbarkeitsanforderungen, Rekonstruktionsaufwand ohne Datensicherung
und Änderungsvolumen:
Der zeitliche Abstand der Datensicherungen ist so zu wählen, daß die
Restaurierungs- und Nacherfassungszeit (Rekonstruktionsaufwand der
geänderten Daten, für die keine Datensicherung vorhanden ist) der in
diesem Zeitraum geänderten Daten (Änderungsvolumen) kleiner als die
maximal tolerierbare Ausfallzeit ist.
Änderungszeitpunkte der Daten:
Gibt es Zeitpunkte, an denen sich die Daten in großem Umfang ändern
(z. B. Programmlauf für Gehaltszahlung oder Versionswechsel der Software) oder an denen der Komplettdatenbestand vorliegen muß, so bietet es
sich an, unmittelbar danach eine Volldatensicherung durchzuführen. Dazu
sind neben den periodischen die ereignisabhängigen Datensicherungszeitpunkte festzulegen.
Anzahl der Generationen
Einerseits werden Datensicherungen in kurzen Zeitabständen wiederholt, um
eine Kopie eines möglichst aktuellen Datenbestandes verfügbar zu haben,
andererseits muß die Datensicherung gewährleisten, daß gesicherte Daten
möglichst lange aufbewahrt werden. Bezeichnet man eine Volldatensicherung
als Generation, so bedarf es einer Festlegung der Anzahl der aufzubewahrenden Generationen und des zeitlichen Abstandes, der zwischen den Generationen liegen muß. Diese Anforderungen lassen sich an folgenden Beispielen erläutern:
- Wird eine Datei absichtlich oder unabsichtlich gelöscht, so ist diese Datei
in allen späteren Datensicherungen nicht mehr verfügbar. Stellt sich heraus, daß diese gelöschte Datei dennoch benötigt wird, so muß zur Restaurierung auf eine ältere Datensicherung zurückgegriffen werden, die zeitlich
vor dem Löschen erstellt wurde. Ist eine solche Generation nicht mehr
vorhanden, so muß die Datei neu erfaßt werden.

_____________________________________________________________________ ..........................................
53

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

- Tritt ein Integritätsverlust in einer Datei auf (z. B. durch einen technischen
Defekt, durch unbeabsichtigtes Ändern einer Datei oder durch einen
Computer-Virus), so ist es wahrscheinlich, daß dies nicht direkt, sondern
erst zeitlich versetzt bemerkt wird. Um die Integrität der Datei wiederherstellen zu können, muß dann auf eine Generation zurückgegriffen
werden, die vor dem Integritätsverlust erstellt wurde.
- Es kann nicht ausgeschlossen werden, daß die Erstellung einer Datensicherung fehlerhaft oder unvollständig durchgeführt wurde. In diesem Fall ist
es oftmals hilfreich, wenn auf eine weitere Generation zurückgegriffen
werden kann.
Um diese Vorteile des Generationenprinzips aufrechterhalten zu können, muß
jedoch eine Randbedingung eingehalten werden: der zeitliche Abstand der
Generationen darf ein Mindestmaß nicht unterschreiten. Beispiel: In einem
automatisierten Datensicherungsverfahren kommt es zu wiederholten Abbrüchen des Datensicherungslaufs. Hierdurch würden nacheinander sämtliche
Generationen überschrieben werden. Verhindert werden kann dies, indem vor
Überschreiben einer Generation das Mindestalter überprüft und nur dann
überschrieben wird, wenn dieses Alter überschritten ist.
Charakterisieren läßt sich ein Generationsprinzip durch zwei Größen: das
Mindestalter der ältesten Generation und die Anzahl der verfügbaren Generationen. Dabei gilt:
- je höher das Mindestalter der ältesten Generation ist, je größer ist die
Wahrscheinlichkeit, daß zu einer Datei mit Integritätsverlust (eine gelöschte Datei, die im nachhinein als notwendig erkannt wird, ist ebenfalls
darunter zu fassen) noch eine Vorläuferversion vorhanden ist,
- je größer die Anzahl der verfügbaren Generationen ist, um so aktueller ist
die angeforderte Vorläuferversion.
Die Anzahl der Generationen steht aber im direkten Zusammenhang mit den
Kosten der Datensicherung, da Datenträger in ausreichender Zahl zur Verfügung stehen müssen. Dies folgt aus der Notwendigkeit, daß für jede Generation eigene Datenträger benutzt werden sollten. Aus Wirtschaftlichkeitsgründen muß daher die Anzahl der Generationen auf ein sinnvolles Maß
beschränkt werden.
Für die Wahl der Parameter des Generationsprinzips ergeben sich folgende
Einflüsse:
Verfügbarkeitsanforderungen und Integritätsbedarf der Daten:
Je höher die Verfügbarkeitsanforderungen oder der Integritätsbedarf der
Daten sind, um so mehr Generationen müssen vorhanden sein, um im Fall
des Integritätsverlustes die Restaurierungszeit zu minimieren. Wenn der
Verlust einer Datei oder eine Integritätsverletzung möglicherweise erst sehr
spät bemerkt werden kann, sind zusätzliche Quartals- oder Jahressicherungsdatenbestände empfehlenswert.

_____________________________________________________________________ ..........................................
54

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Rekonstruktionsaufwand ohne Datensicherung:
Sind die Daten zwar umfangreich, aber auch ohne Datensicherung rekonstruierbar, so kann dies als eine weitere "Pseudo-Generation" ins Kalkül
gezogen werden.
Datenvolumen:
Je höher das Datenvolumen ist, desto höher sind auch die Kosten einer
Generation aufgrund des benötigten Speicherplatzes. Ein hohes Datenvolumen kann deshalb die Anzahl der Generationen aus wirtschaftlichen
Gründen beschränken.
Änderungsvolumen:
Je höher das Änderungsvolumen ist, um so kürzer sollten die Zeitabstände
zwischen den Generationen sein, um eine möglichst zeitnahe Version der
betreffenden Datei zu haben, um den Restaurierungsaufwand durch Nachbearbeitung gering zu halten.
Vorgehensweise und Speichermedium
Nach der Festlegung der Art der Datensicherung, der Häufigkeit und des
Generationenprinzips gilt es nun, die Vorgehensweise einschließlich des
erforderlichen und wirtschaftlich angemessenen Datenträgers auszuwählen.
Zunächst sollen einige gängige Datensicherungsverfahren beispielhaft aufgezeigt werden:
Beispiel 1: Manuelle dezentrale Datensicherung am PC
Bei nichtvernetzten PCs wird die Datensicherung vom IT-Anwender meist
manuell als Vollsicherung der Anwendungsdaten durchgeführt. Als Speichermedium werden Disketten verwendet.
Beispiel 2: Manuelle zentrale Datensicherung im Unix-System
Für Unix-Systeme mit angeschlossenen Terminals oder PCs mit Terminalemulation bietet sich aufgrund des zentralen Datenbestandes die zentrale
Datensicherung an. Sie wird oft als Kombination von wöchentlichen
Vollsicherungen und täglichen inkrementellen Datensicherungen mittels
Streamer-Tapes vom Unix-Administrator manuell durchgeführt.
Beispiel 3: Manuelle zentrale Datensicherung im lokalen Netz
Im Bereich eines lokalen Netzes mit angeschlossenen PCs wird vielfach
die Datensicherung dergestalt durchgeführt, daß der angeschlossene PCBenutzer seine zu sichernden Anwendungsdaten auf einem zentralen
Server im Netz ablegt und daß dann der Netzadministrator die Daten dieses
Servers zentral sichert, wozu eine wöchentliche Vollsicherung und eine
tägliche inkrementelle Sicherung durchgeführt werden.
Beispiel 4: Automatische zentrale Datensicherung im Großrechnerbereich
Vergleichbar dem Beispiel 2 werden im Großrechnerbereich zentrale
Datensicherungen als Kombination von wöchentlichen Vollsicherungen
und täglichen inkrementellen Datensicherungen durchgeführt. Vielfach
wird dies automatisch mit Hilfe eines Tools (HSM) initiiert. Für einzelne

_____________________________________________________________________ ..........................................
55

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

IT-Anwendungen werden vielfach noch zusätzliche ereignisorientierte
Volldatensicherungen vollzogen.
Beispiel 5: Automatische zentrale Datensicherung im verteilten System
Eine weitere Variante besteht aus der Kombination der Beispiele 3 und 4.
Die lokalen Daten der verteilten Systeme werden auf einen zentralen Großrechner bzw. auf einen zentralen Server übertragen, auf dem die
Datensicherung als Kombination von Vollsicherungen und inkrementellen
Datensicherungen durchgeführt wird.
Beispiel 6: Voll-automatische zentrale Datensicherung dezentral gespeicherter
Daten im verteilten System
Im Gegensatz zum vorangegangenen Beispiel erfolgt hier der Transfer vom
dezentralen zum zentralen System automatisch. Mittlerweile werden Tools
angeboten, die einen Zugriff von einem zentralen Datensicherungsserver
auf die dezentralen Datenbestände erlauben. Eine Datensicherung kann
somit transparent für den dezentralen Anwender zentral erfolgen.
Um das Datenvolumen auf dem Speichermedium zu minimieren, können
zusätzlich Datenkompressionsalgorithmen angewandt werden. Teilweise kann
das Datenvolumen damit um bis zu 80 % reduziert werden. Es ist bei Anwendung der Kompression sicherzustellen, daß die gewählten Parameter und
Algorithmen im Rahmen der Datensicherung dokumentiert und für die Datenrestaurierung (Dekompression) vorgehalten werden.
Für die Vorgehensweise gibt es zwei Parameter, die festgelegt werden
müssen: den Automatisierungsgrad und die Zentralisierung (Speicherort).
Beim Automatisierungsgrad ist zwischen manuell und automatisch zu unterscheiden:
- Manuelle Datensicherung bedeutet, daß der Anstoß zur Datensicherung
manuell gegeben wird. Vorteilhaft kann sein, daß der Ausführende individuell den Termin der Datensicherung dem Arbeitsablauf anpassen kann.
Nachteilig ist, daß die Wirksamkeit und Güte der Datensicherung dann von
der Motivation und Disziplin des Ausführenden abhängt. Durch Krankheit
oder sonstige Abwesenheitsgründe können Datensicherungen ausfallen.
- Automatische Datensicherungen werden programmgesteuert zu
bestimmten Terminen angestoßen. Vorteilhaft ist, daß die Disziplin und
Zuverlässigkeit der Ausführenden nachrangig ist, wenn der Terminplan
vollständig und aktuell ist. Nachteilig kann sein, daß die Steuerungsprogramme Kosten verursachen, der Terminplan aktuellen Änderungen
angepaßt werden muß oder wichtige Änderungen nicht unmittelbar gesichert werden.
Bezüglich der Zentralisierung sind zentral und dezentral durchgeführte Datensicherungen zu unterscheiden:
- Zentrale Datensicherungen zeichnen sich dadurch aus, daß der Speicherort
und die Durchführung der Datensicherung am zentralen IT-System von
einem Ausführenden durchgeführt werden. Diese Verfahrensweise hat den
Vorteil, daß nur ein Mitarbeiter intensiv geschult werden muß und die ITAnwender des IT-Systems von dieser Arbeit entlastet werden. Vorteilhaft

_____________________________________________________________________ ..........................................
56

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

ist weiterhin, daß durch das höhere zentrale Datenaufkommen kostengünstigere Speichermedien verwendet werden können. Nachteilig ist, daß evtl.
vertrauliche Daten übertragen und von nicht Befugten eingesehen werden
könnten.
- Dezentrale Datensicherungen werden von den IT-Anwendern selbst
durchgeführt, ohne daß die Daten auf ein zentrales IT-System übertragen
werden müssen. Vorteilhaft ist, daß der IT-Anwender die Kontrolle über
die Daten und die Backup-Datenträger behält, insbesondere wenn es sich
um vertrauliche Daten handelt. Nachteilig ist, daß die konsequente
Datensicherung damit von der Zuverlässigkeit der IT-Anwender abhängt
und daß dezentrale Lösungen den IT-Anwendern Zeitaufwand abfordern.
Nach der Entscheidung, ob die Datensicherung manuell oder automatisch,
zentral oder dezentral durchgeführt wird, muß nun der geeignete Datenträger
für die Datensicherung gefunden werden. Dazu können folgende Parameter
betrachtet werden:
- Datenträger-Anforderungszeit: der Zeitaufwand für die Vorbereitung der
Daten-Restaurierung ist bestimmt durch die Zeit, die benötigt wird, den
erforderlichen Datensicherungs-Datenträger zu identifizieren und im
System verfügbar zu machen. Kassetten in einem Roboter-System können
innerhalb von Minuten zur Restaurierung bereit stehen, ausgelagerte
Bänder müssen unter Umständen erst aufwendig transportiert und aufgelegt
werden.
- Zugriffszeit, Transferrate: der Zeitaufwand für die Erstellung und
Restaurierung der Daten selbst hängt von der mittleren Zugriffszeit auf die
Daten des Datenträgers und von der Datentransferrate ab. Festplatten
erlauben einen Zugriff auf bestimmte Dateien im Millisekunden-Bereich,
ein Magnetband muß erst zur entsprechenden Stelle gespult werden. Bei
der Auswahl des Datenträgers ist zu berücksichtigen, daß bei entsprechend
hohen Transferraten es nicht zu einer Überlastung der Übertragungskanäle
kommen darf.
- Praktikabilität/Speicherkapazität: je umständlicher die Datensicherung
ist, um so größer ist die Gefahr, daß sie fehlerhaft vollzogen oder von den
Verantwortlichen überhaupt nicht durchgeführt wird. Datenträger mit zu
kleiner Speicherkapazität verhindern eine effektive Datensicherung, da der
ständige Wechsel zeitaufwendig und fehleranfällig ist.
- Kosten: die Kosten für die Datensicherung, also Beschaffungskosten für
Lese-/ Schreibgeräte und Datenträger, erforderliche Rechen- und Arbeitszeit müssen in einem angemessenen Verhältnis zum Sicherungszweck
stehen. Hierbei ist auch die Lebensdauer der Datenträger und der Zuverlässigkeit zu berücksichtigen. Auf keinen Fall dürfen die laufenden
Datensicherungskosten die Summe der Restaurierungskosten ohne Datensicherung und der Folgeschäden übersteigen.
Um bei der Auswahl der Verfahrensweise und des Speichermediums Anhaltspunkte für die Beschaffungskosten, die Zugriffszeiten und Transferzeiten zu
haben, sind in der nachfolgenden Tabelle mit Stand von 1995 einige Eckdaten
dargestellt:

_____________________________________________________________________ ..........................................
57

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Speichermedium

Kapazität Kosten Kosten Mittlere DatenMB
DM
pro MB Zugriffs- transfer in
zeit
in KB/Sek.
Sek.

DIN-A4-Papier

0,002

0,03

15,00

-

IDE Festplatte HDD
1 GB

1000 400,00

0,400

0,01

3000

SCSI Festplatte 4 GB

4000 2000,0
0

0,500

0,08

6000

3.5 " HD Floppy

1,44

1,00

0,700

0,10

60

WORM 5.25"

800 700,00

0,870

0,02

6000

Mikrofilm

0,6

0,50

0,830

10,00

40

MO/ROD 3,5"

230

40,00

0,170

1300 120,00

0,090

5,25"

-

0,03 lesen 3000
schreiben
1000

CD-WORM

680

15,00

0,022

0,15

CD-ROM

680

2,00

0,003

0,15 600-1200

Data Cartridge

2500

60,00

0,020

10,00 200 ... 800

QIC DAT

4000

30,00

0,008

270 100,00

0,370

Magn. Wechselplatten

0,015

300-600

2000

Aufgrund des Preisverfalls im Bereich der Speichermedien und der technologischen Fortschritte können diese Zahlen nur als grobe Näherungswerte
betrachtet werden. Aktuelle Zahlen sind bei der Speichermedien-Auswahl zu
eruieren.
Die folgenden Einflußgrößen müssen dabei beachtet werden:
Verfügbarkeitsanforderungen:
Je höher die Verfügbarkeitsanforderungen sind, desto schneller muß auf
die Datenträger als Speichermedium der Datensicherung zugegriffen
werden können und desto schneller müssen die benötigten Daten vom
Datenträger wieder einspielbar sein.
Aus Verfügbarkeitsgründen muß sichergestellt sein, daß die Speichermedien auch bei Ausfall eines Lesegerätes zur Restaurierung genutzt
werden können. Die Kompatibilität und Funktion eines Ersatzgerätes ist zu
gewährleisten.
Daten- und Änderungsvolumen:
Mit zunehmenden Datenvolumen werden i. allg. preisgünstige Bandspeichermedien wie Magnetbänder oder Bandkassetten (Data Cartridge)
benutzt.

_____________________________________________________________________ ..........................................
58

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Fristen:
Müssen Löschfristen eingehalten werden (z. B. bei personenbezogenen Daten), so muß das ausgewählte Speichermedium die Löschung ermöglichen.
Speichermedien, die nicht oder nur mit großem Aufwand löschbar sind
(z. B. WORM), sollten in diesem Fall vermieden werden.
Vertraulichkeitsbedarf und Integritätsbedarf der Daten:
Ist der Vertraulichkeits- oder Integritätsbedarf der zu sichernden Daten
hoch, so überträgt sich dieser Schutzbedarf auch auf die zur Datensicherung eingesetzten Datenträger. Ist eine Verschlüsselung der Datensicherung nicht möglich, kann über die Auswahl von Datenträgern nachgedacht werden, die aufgrund ihrer kompakten Bauart und Transportabilität in Datensicherungsschränken oder Tresoren untergebracht werden
können.
Kenntnisse der IT-Benutzer:
Die Kenntnisse und datenverarbeitungsspezifische Fähigkeiten der ITBenutzer entscheiden darüber, ob eine Verfahrensweise gewählt werden
kann, in der der IT-Benutzer selbst manuell für die Datensicherung tätig
wird, ob andere ausgebildete Personen die Datensicherung dezentral durchführen oder ob eine automatisierte Datensicherung praktikabler ist.
Verantwortlichkeit für die Datensicherung
Für die Entscheidung, wer für die Durchführung der Datensicherung verantwortlich ist, kommen drei Personengruppen in Frage. Zunächst kann es der
IT-Benutzer selbst sein (typischerweise bei dezentralen und nichtvernetzen
IT-Systemen), der Systemverwalter oder ein für die Datensicherung speziell
ausgebildeter Administrator. Wird die Datensicherung nicht vom Benutzer
selbst durchgeführt, sind die Verantwortlichen auf Verschwiegenheit bezüglich der Dateninhalte zu verpflichten und ggf. eine Verschlüsselung in
Betracht zu ziehen.
Darüber hinaus sind die Entscheidungsträger zu benennen, die eine DatenRestaurierung veranlassen können. Zu klären ist weiterhin, wer berechtigt ist,
auf Datensicherungsträger zuzugreifen, insbesondere wenn sie in Datensicherungsarchiven ausgelagert sind. Es muß sichergestellt sein, daß nur
Berechtigte Zutritt erhalten. Abschließend ist zu definieren, wer berechtigt ist,
eine Daten-Restaurierung des Gesamtdatenbestandes oder ausgewählter, einzelner Dateien operativ durchzuführen.
Bei der Festlegung der Verantwortlichkeit ist insbesondere der Vertraulichkeits-, Integritätsbedarf der Daten und die Vertrauenswürdigkeit der zuständigen Mitarbeiter zu betrachten. Es muß sichergestellt werden, daß der Verantwortliche erreichbar ist und ein Vertreter benannt und eingearbeitet wird.
Als Einflußfaktor ist zu beachten:
Kenntnisse der IT-Anwender:
Die Kenntnisse und datenverarbeitungsspezifischen Fähigkeiten der ITBenutzer entscheiden darüber, ob die Datensicherung eigenverantwortlich
je IT-Benutzer durchgeführt werden sollte. Sind die Kenntnisse der IT-

_____________________________________________________________________ ..........................................
59

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Benutzer nicht ausreichend, ist die Verantwortung dem Systemadministrator oder einer speziell ausgebildeten Person zu übertragen.
Aufbewahrungsort
Grundsätzlich sollten Datensicherungsmedien und Originaldatenträger in
unterschiedlichen Brandabschnitten aufbewahrt werden. Werden Datensicherungsmedien in einem anderen Gebäude oder außerhalb des Betriebsgeländes
aufbewahrt, so sinkt die Wahrscheinlichkeit, daß in einem Katastrophenfall
die Datensicherungen in Mitleidenschaft gezogen werden. Je weiter jedoch die
Datenträger von der zur Restaurierung notwendigen IT-Peripherie (z. B.
Bandstation) entfernt ist, desto länger können die Transportwege und Transportzeiten sein, und desto länger ist die Gesamtrestaurierungszeit. Als Einflußfaktor ist daher zu betrachten:
Verfügbarkeitsanforderungen:
Je höher die Verfügbarkeitsanforderungen sind, um so schneller müssen
die Datenträger der Datensicherung verfügbar sein. Werden aus Sicherheitsgründen die Datenträger extern ausgelagert, so ist bei sehr hohen
Verfügbarkeitsanforderungen zu erwägen, Kopien der Datensicherung
zusätzlich in unmittelbarer Nähe des IT-Systems vorzuhalten.
Vertraulichkeitsbedarf und Integritätsbedarf der Daten:
Je höher dieser Bedarf ist, um so besser muß verhindert werden, daß an den
Datenträgern manipuliert werden kann. Die notwendige Zutrittskontrolle
läßt sich i. allg. nur durch entsprechende infrastrukturelle und organisatorische Maßnahmen erreichen, vgl. Kapitel 4.3.3 Datenträgerarchiv.
Datenvolumen:
Mit steigendem Datenenvolumen gewinnt die Sicherheit des Aufbewahrungsortes an Bedeutung.
Anforderungen an das Datensicherungsarchiv
Aufgrund der Konzentration von Daten auf Datensicherungsmedien besitzen
diese einen mindestens ebenso hohen Schutzbedarf bezüglich Vertraulichkeit
und Integrität wie die gesicherten Daten selbst. Bei der Aufbewahrung in
einem zentralen Datensicherungsarchiv sind daher entsprechend wirksame ITSicherheitsmaßnahmen wie z. B. Zutrittskontrolle notwendig.
Zusätzlich muß durch organisatorische und personelle Maßnahmen
(Datenträgerverwaltung) sichergestellt werden, daß der schnelle und gezielte
Zugriff auf benötigte Datenträger möglich ist. Hierzu sind die Maßnahme
M 2.3 Datenträgerverwaltung und Kapitel 4.3.3 Datenträgerarchiv zu beachten.
Folgende Einflußfaktoren müssen beachtet werden:
Verfügbarkeitsanforderungen:
Je höher die Verfügbarkeitsanforderungen sind, um so schneller muß der
gezielte Zugriff auf benötigte Datenträger möglich sein. Wenn eine
manuelle Bestandsführung den Verfügbarkeitsanforderungen nicht genügt,

_____________________________________________________________________ ..........................................
60

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

können automatisierte Zugriffsverfahren (z. B. Roboter-Kassettenarchiv)
zum Einsatz kommen.
Datenvolumen:
Das Datenvolumen bestimmt letztendlich die Anzahl der aufzubewahrenden Datenträger. Für entsprechend große Datenvolumen ist eine ausreichende Aufbewahrungskapazität im Datenträgerarchiv vorzusehen.
Fristen:
Sind Löschungsfristen einzuhalten, muß die Organisation des Datensicherungsarchivs dem angepaßt sein und ggf. müssen auch die erforderlichen
Löscheinrichtungen vorhanden sein. Zu den vorgegebenen Löschungszeitpunkten ist im Datensicherungsarchiv die Löschung zu initiieren bzw.
durchzuführen und zu dokumentieren. Ist eine Löschung technisch nicht
möglich, so ist durch organisatorische Maßnahmen eine Wiederverwendung zu löschender Daten zu verhindern.
Vertraulichkeits- und Integritätsbedarf der Daten:
Je höher dieser Bedarf ist, um so besser muß verhindert werden, daß an den
Datenträgern manipuliert werden kann. Die notwendige Zutrittskontrolle
läßt sich i. allg. nur durch entsprechende infrastrukturelle und organisatorische Maßnahmen erreichen vergleichbar dem Kapitel 4.3.3 Datenträgerarchiv.
Transportmodalitäten
Bei der Durchführung einer Datensicherung werden Daten transportiert. Sei
es, daß sie über ein Netz oder eine Leitung übertragen werden, sei es, daß
Datenträger zum Datenträgerarchiv transportiert werden. Dabei gilt es folgendes zu beachten:
Verfügbarkeitsanforderungen:
Je höher die Verfügbarkeitsanforderungen sind, desto schneller müssen die
Daten zur Restaurierung bereitstellbar sein. Dies ist bei der Auswahl des
Datenübertragungsmediums bzw. bei Auswahl des Datenträger-Transportweges zu berücksichtigen.
Datenvolumen:
Wenn zur Datenrestaurierung die Daten über ein Netz übertragen werden,
so muß bei der Auswahl der Übertragungskapazität des Netzes das Datenvolumen beachtet werden. Es muß gewährleistet sein, daß das Datenvolumen innerhalb der erforderlichen Zeit (Verfügbarkeitsanforderung)
übertragen werden kann.
Änderungszeitpunkte der Daten:
Werden Datensicherungen über ein Netz durchgeführt (insbesondere zu
ausgewählten Terminen), kann aufgrund des zu übertragenen Datenvolumens ein Kapazitätsengpaß entstehen. Daher ist zum Zeitpunkt der Datensicherung eine ausreichende Datenübertragungskapazität sicherzustellen.

_____________________________________________________________________ ..........................................
61

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.35
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Vertraulichkeits- und Integritätsbedarf der Daten:
Je höher dieser Bedarf ist, um so besser muß verhindert werden, daß die
Daten auf dem Transport abgehört, unbefugt kopiert oder manipuliert werden. Bei Datenübertragungen ist schließlich eine Verschlüsselung oder ein
kryptographischer Manipulationsschutz zu überdenken, beim physikalischen Transport sind sichere Behältnisse und Wege zu benutzen und ggf.
auch der Nutzen und Aufwand einer Verschlüsselung abzuwägen.
Aufbewahrungsmodalität
Im Rahmen des Datensicherungskonzeptes sollte mitbetrachtet werden, ob für
bestimmte Daten Aufbewahrungs- oder Löschfristen einzuhalten sind.
Fristen:
Falls Aufbewahrungsfristen einzuhalten sind, kann dem durch die Archivierung einer Datensicherungsgeneration nachgekommen werden. Sind die
Aufbewahrungsfristen lang, so ist zusätzlich sicherzustellen, daß die erforderlichen Lesegeräte bevorratet werden und daß unter Umständen ein
Refresh (erneutes Aufspielen der magnetisch gespeicherten Daten) bei
magnetischen Datenträgern erforderlich werden kann, da diese mit der Zeit
ihre Magnetisierung und damit den Dateninhalt verlieren.
Falls Löschfristen einzuhalten sind, muß der organisatorische Ablauf festgelegt werden und ggf. müssen auch die erforderlichen Löscheinrichtungen
vorhanden sein. Zu den vorgegebenen Löschungszeitpunkten ist die
Löschung zu initiieren bzw. durchzuführen.
Ergänzende Kontrollfragen:
- Wird die Vorgehensweise zur Datensicherung bei veränderter IT-Ausstattung aktualisiert?
- Werden sporadisch Übungen zur Daten-Restaurierung durchgeführt?
- Werden Kontrollen durchgeführt, ob die im Datensicherungskonzept festgelegten Modalitäten eingehalten werden?
- Werden die Verantwortlichen für ihre Aufgaben bei der Datensicherung
ausreichend geschult?

_____________________________________________________________________ ..........................................
62

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.36
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.36

Festlegung des Minimaldatensicherungskonzeptes

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Für
ein
Unternehmen/eine
Behörde
ist
festzulegen,
welche
Minimalforderungen zur Datensicherung eingehalten werden müssen. Damit
können viele Fälle, in denen eingehende Untersuchungen und die Erstellung
eines Datensicherungskonzeptes zu aufwendig sind, pauschal behandelt
werden. Weiterhin ist damit eine Grundlage gegeben, die generell für alle ITSysteme gültig ist und auch für neue IT-Systeme, für die noch kein
Datensicherungskonzept erarbeitet wurde.
Ein Beispiel soll dies erläutern:
Minimaldatensicherungskonzept
Software:
Sämtliche Software, erworben oder selbst erstellt, ist einmalig mittels einer
Vollsicherung zu sichern.
Systemdaten:
Systemdaten sind mindestens einmal monatlich mit einer Generation zu
sichern.
Anwendungsdaten:
Alle Anwendungsdaten sind mindestens einmal monatlich mittels einer
Vollsicherung im Drei-Generationen-Prinzip zu sichern.
Protokolldaten:
Sämtliche Protokolldaten sind mindestens einmal monatlich mittels einer
Vollsicherung im Drei-Generationen-Prinzip zu sichern.
Ergänzende Kontrollfragen:
- Werden sämtliche Mitarbeiter, auch neu eingestellte, auf ein Datensicherungskonzept oder ersatzweise auf das Minimaldatensicherungskonzept
hingewiesen und verpflichtet?
- Wird das Minimaldatensicherungskonzept aktualisiert?
- Werden die notwendigen Betriebsmittel für die Minimaldatensicherung
bereitgestellt?

_____________________________________________________________________ ..........................................
63

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.37
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.37

Dokumentation der Datensicherung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche für die Datensicherung
In einem Datensicherungskonzept muß festgelegt werden, wie die Dokumentation der Datensicherung zu erfolgen hat. Für eine ordnungsgemäße und
funktionierende Datensicherung ist eine Dokumentation erforderlich. So ist
bei der Erstellung der Datensicherung für jedes IT-System zu dokumentieren:
- das Datum der Datensicherung,
- der Datensicherungsumfang (welche Dateien/Verzeichnisse wurden gesichert),
- der Datenträger, auf dem die Daten im operativen Betrieb gespeichert sind,
- der Datenträger, auf dem die Daten gesichert wurden,
- die für die Datensicherung eingesetzte Hard- und Software (mit Versionsnummer) und
- die bei der Datensicherung gewählten Parameter (Art der Datensicherung
usw.).
Darüber hinaus bedarf es einer Beschreibung der Vorgehensweise für die
Wiederherstellung eines Datensicherungsbestandes. Auch hier muß eine
Beschreibung der erforderlichen Hard- und Software, der benötigten
Parameter und der Vorgehensweise, nach der die Datenrekonstruktion zu
erfolgen hat, erstellt werden.
Ergänzende Kontrollfragen:
- Werden die Datensicherungen im genannten Umfang dokumentiert?
- Kann eine Datenrestaurierung aufgrund der Dokumentation vorgenommen
werden, selbst wenn derjenige, der die Datensicherung vorgenommen hat,
verhindert ist?

_____________________________________________________________________ ..........................................
64

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.38
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.38

Sicherungskopie der übermittelten Daten

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Sind die zu übertragenden Daten nur zum Zweck der Datenübertragung
erstellt bzw. zusammengestellt worden und nicht auf einem weiteren Medium
gespeichert, sollte eine Sicherungskopie dieser Daten vorgehalten werden. Bei
Verlust oder Beschädigung des Datenträgers kann der Versand mit
geringfügigem Aufwand erneut erfolgen.
Ergänzende Kontrollfragen:
- Ist die Erstellung einer Sicherungskopie für auszutauschende Datenträger
vorzusehen?

_____________________________________________________________________ ..........................................
65

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.39
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.39

Auflistung von Händleradressen zur
Fax-Wiederbeschaffung

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fax-Verantwortlicher, Beschaffer
Es sollte in den Not- und Katastrophenplan eine Liste von Fachhändlern für
Fax-Geräte aufgenommen werden, bei denen im Notfall unverzüglich neue
Geräte beschafft werden können, wenn eine Reparatur aus Zeitgründen nicht
möglich ist.
Ergänzende Kontrollfragen:
- Existiert eine Liste der Fachhändler für Fax-Geräte im Notfallplan?

_____________________________________________________________________ ..........................................
66

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.40
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.40

Regelmäßige Batterieprüfung/-wechsel

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Batterien und Akkumulatoren verlieren mit der Zeit ihre Kapazität. Daher
sollten bei Anrufbeantwortern mit digitaler Ansagetext- oder Anrufspeicherung diese Energiequellen für die Notstromversorgung regelmäßig ausgewechselt werden. In der Regel sollte ein Batteriewechsel im Jahresrhythmus
erfolgen.

_____________________________________________________________________ ..........................................
67

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.41
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.41

Übungen zur Datenrekonstruktion

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche für die Datensicherung
Die Rekonstruktion von Daten mit Hilfe von Datensicherungsbeständen muß
sporadisch, zumindestens aber nach jeder Änderung des Datensicherungsverfahrens, getestet werden. Hierbei muß zumindest einmal nachgewiesen
werden, daß eine vollständige Datenrekonstruktion (z. B. der Gesamtdatenbestand eines Servers) möglich ist. Auf diese Weise kann zuverlässig ermittelt
werden, ob
- die Datenrekonstruktion überhaupt möglich ist,
- die Verfahrensweise der Datensicherung praktikabel ist,
- eine ausreichende Dokumentation der Datensicherung vorliegt, damit ggf.
auch ein Vertreter die Datenrekonstruktion vornehmen kann und
- die erforderliche Zeit zur Datenrekonstruktion den Anforderungen an die
Verfügbarkeit entspricht (siehe M 6.1 Erstellung einer Übersicht über Verfügbarkeitsanforderungen).
Bei Übungen zur Datenrekonstruktion sollte auch berücksichtigt werden, daß
- die Daten ggf. auf einem Ausweich-IT-System installiert werden müssen,
- für die Datensicherung und Datenrekonstruktion unterschiedliche Schreib/Lesegeräte benutzt werden.
Ergänzende Kontrollfragen:
- Kann eine sachverständiger Dritter die Datenrestaurierung anhand der
vorhandenen Dokumentation durchführen?

_____________________________________________________________________ ..........................................
68

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.42
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.42

Erstellung von Rettungsdisketten für Windows NT

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
Für jedes unter Windows NT betriebene System, das über ein Diskettenlaufwerk verfügt, sollte ein Satz von Reparaturdisketten bereitgehalten werden.
Dieser besteht für Rechner mit Intel-Prozessoren aus den drei Setup-Disketten,
die mit Windows NT geliefert werden, sowie einer Notfalldiskette, mit der
sich der anfängliche Setup-Status wiederherstellen läßt, wenn Dateien
beschädigt werden. Für jeden Rechner muß eine eigene Notfalldiskette erstellt
werden, da diese Disketten nicht zwischen verschiedenen Rechnern ausgetauscht werden können.
Während des Windows NT Setup wird der Benutzer gefragt, ob er eine Notfalldiskette erstellen will. Zur Erstellung der Notfalldiskette muß eine leere
3½"-Diskette auf Anforderung in Laufwerk A: eingelegt werden, auf der dann
die zur Reparatur des Systems benötigten Informationen gespeichert werden.
Sofern bei der Installation keine Notfalldiskette erstellt wurde, kann diese
auch nachträglich mit dem Dienstprogramm RDISK (im Windows-Systemverzeichnis %SystemRoot%\SYSTEM32, z. B. \WINNT\SYSTEM32) erzeugt
werden. Das Programm ist mit dem Parameter /s zu starten, wenn die Benutzerkonten und die Zugriffsberechtigungen mit gesichert werden sollen. Die
Wahl dieses Parameters kann jedoch dazu führen, daß die Sicherung nicht
mehr auf eine Diskette paßt, wenn auf dem betreffenden System eine größere
Anzahl von Benutzerprofilen definiert ist. Daher sollte zunächst die Option
"Notfall-Informationen aktualisieren" gewählt werden, um den aktuellen
Systemzustand zu retten, und dann sollte mit der Option "Erstellen einer
Notfalldiskette" die eigentliche Notfalldiskette generiert werden.
Hinweis: Dieser Prozeß sollte nach jeder Veränderung der Systemkonfiguration wiederholt werden, damit die Notfalldiskette stets den aktuellen
Systemzustand widerspiegelt. Nur so wird sichergestellt, daß in den Reparaturinformationen neue Angaben zur Konfiguration, wie Zuweisung von
Laufwerkbuchstaben, Stripe Sets, Datenträgersätzen, Spiegelungen usw.
berücksichtigt werden. Im anderen Fall kann der Zugriff auf bestimmte
Laufwerke nach Systemfehlern unmöglich sein. Die Erstellung der Notfalldiskette sollte nach dem nächsten erfolgreichen Systemstart durchgeführt
werden, um sicher zu sein, daß eine lauffähige Systemversion gesichert wird.
Falls keine Setup-Disketten verfügbar sind, können diese mit dem
Windows NT Setup-Programm (WINNT für das Setup von MS-DOS oder
Windows 95, WINNT32 für das Setup von Windows NT aus) der
Windows NT Installations-CD erzeugt werden, indem dieses Programm mit
dem Parameter /ox aufgerufen wird. Das Programm fordert dann drei leere
3½"-Disketten in Laufwerk A: an und kopiert die zum Starten von
Windows NT benötigten Dateien auf diese Disketten.
Falls Systemdateien, Bootvariablen oder der Bootsektor beschädigt werden,
und sich die vorherige Startkonfiguration mit der Methode der letzten als

_____________________________________________________________________ ..........................................
69

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.42
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

funktionierend bekannten Konfiguration nicht wiederherstellen läßt, muß der
Reparaturprozeß im Windows NT Setup verwendet werden, um den
ursprünglichen Systemzustand wiederherzustellen.
Zum Reparieren einer Windows NT Installation benötigt das Setup-Programm
entweder die Konfigurationsinformationen, die im Unterverzeichnis REPAIR
des Windows-Verzeichnisses %SystemRoot%, z. B. in \WINNT\REPAIR,
gespeichert sind, oder die Notfalldiskette.
Zum Wiederherstellen einer beschädigten Windows NT Installation ist die
erste der drei Setup-Disketten in Laufwerk A: einzulegen und der Rechner
dann von diesem Laufwerk aus zu booten. Im Textbildschirm des Setup-Programms, in dem gefragt wird, ob Windows NT installiert oder Dateien repariert werden sollen, ist der Parameter r einzugeben. Das Setup-Programm fragt
dann nach der Notfalldiskette. Falls keine Notfalldiskette vorhanden ist, zeigt
das Setup-Programm eine Liste der vorhandenen Windows NT Installationen
an, die auf dem Computer gefunden wurden, und fragt, welche Installation
repariert werden soll. Nach Erscheinen der abschließenden Meldung ist die
Notfalldiskette aus Laufwerk A: zu entfernen und der Rechner neu zu starten.
Der Reparaturprozeß im Setup-Programm ermöglicht es, verschiedene Elemente zur Reparatur auszuwählen:
- Systemdateien - Das Setup-Programm überprüft die Übereinstimmung des
Verzeichnisbaumes von Windows NT mit der Protokolldatei auf der Notfalldiskette, um sicherzustellen, daß alle Systemdateien vorhanden und
unbeschädigt sind. Fehlen Dateien oder werden beschädigte Dateien gefunden, so werden diese von der jeweiligen Windows NT Setup-Quelle (z. B.
CD-ROM) wiederhergestellt. Das Setup-Programm überprüft auch die
Windows NT Dateien auf der System-Partition, um sicherzustellen, daß
alle Bootdateien vorhanden und unbeschädigt sind.
- Standard-Systemkonfiguration - Das Setup-Programm bietet die Möglichkeit, fehlerhafte Dateien der Registrierung aus denjenigen wiederherzustellen, die bei der Installation von Windows NT angelegt wurden. Dabei
ist zu beachten, daß Benutzerkonten und Berechtigungen, die seit der
ersten Installation bzw. der letzten Aktualisierung der Notfalldiskette
eingerichtet wurden, verlorengehen.
- Bootvariablen - Bei Wahl dieser Option stellt das Setup-Programm die
Bootvariablen für die spezielle Installation von Windows NT auf der Festplatte von der Notfalldiskette wieder her.
- Bootsektor (nur bei Computern mit x86-Prozessor) - Bei Wahl dieser
Option legt das Setup-Programm auf der System-Partition einen neuen
Bootsektor an.
Falls andere Dateien fehlen oder beschädigt sind, so stellt das Setup-Programm diese von der entsprechenden Windows NT Setup-Diskette oder von
CD-ROM wieder her. Falls die System-Partition auf einem Computer mit x86Prozessor irrtümlich formatiert oder geändert wurde, so daß Windows NT
nicht mehr startet, stellt das Reparaturprogramm die ursprüngliche Bootkonfiguration wieder her.

_____________________________________________________________________ ..........................................
70

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.42
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Hinweis: Wenn die Systemdateien repariert werden, entfernt Setup die
Sicherheitseinstellungen von diesen Dateien, falls diese sich auf einer NTFSPartition befinden. Dies ist sinnvoll, um falsch vergebene Berechtigungen für
Systemdateien zurücksetzen zu können, die sonst verhindern würden, daß
Windows NT auf die Systemdateien zugreifen kann, die zum Starten des
Systems erforderlich sind. Es ist aus diesem Grund unbedingt erforderlich, die
Notfalldiskette und die Setup-Disketten so zu verwahren, daß sie gegen
Mißbrauch geschützt sind.
Ergänzende Kontrollfragen:
- Sind die Informationen auf der Notfalldiskette aktuell?
- Werden die Reparaturdisketten unter Verschluß gehalten, um eventuellen
Mißbrauch zu vermeiden?
- Ist für jedes Windows NT System eine Notfalldiskette erstellt worden?

_____________________________________________________________________ ..........................................
71

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.43
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.43

Einsatz redundanter Windows NT Server

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
In Abhängigkeit von den Verfügbarkeitsanforderungen der Daten und Anwendungen ist eine Redundanz zu schaffen, die einem Totalverlust der Daten mit
akzeptablem Aufwand vorbeugt. Je nach diesen Anforderungen sind Teile des
Datenbestandes oder auch der gesamte Datenbestand parallel auf mehreren
Plattenspeichern zu führen, so daß auch bei Ausfall eines Plattenlaufwerks
dessen Daten nicht verloren sind und die Benutzer weiterarbeiten können,
ohne auf das Wiedereinspielen einer Datensicherung warten zu müssen.
Die Systeme können je nach den definierten Verfügbarkeitsanforderungen so
ausgelegt werden, daß bei Ausfall eines Servers dessen Aufgaben von einem
oder mehreren anderen Servern übernommen werden können. Dabei muß
jedoch dafür gesorgt werden, daß diese verteilten Datenbestände konsistent
bleiben, und dies muß auch bei Ausfall einzelner Geräte gewährleistet bleiben.
In dieser Beziehung bestehen gravierende Unterschiede hinsichtlich der
Leistungsfähigkeit verschiedener Redundanzkonzepte:
- Eine direkte physikalische Redundanz läßt sich mit RAID-Plattensystemen
(RAID: Redundant Array of Independent Disks) erreichen. Zu beachten ist
bei der Entscheidung für dieses Verfahren, daß der räumliche Abstand zwischen den einzelnen Platten eines RAID-Systems starken Einschränkungen
unterworfen ist, so daß im Falle eines Brandes oder eines ähnlichen Schadens alle Parallelkopien gleichermaßen zerstört werden. RAID-Systeme
sind daher kein Ersatz für Datensicherungen.
- Durch Einsatz von Windows NT Clustern können parallele Kopien des
Datenbestandes verteilt auf verschiedene Platten und unter Kontrolle verschiedener Rechner geführt werden. Durch die Verwendung leistungsstarker Cluster mit bis zu vier Servern läßt sich die Zahl der Serversysteme
reduzieren, was wiederum zu einer Reduktion des Administrationsaufwandes und damit zu einer Verbesserung der Sicherheit führt.
- Die Replikation einzelner Verzeichnisse erlaubt eine ähnlich weite Verteilung der Daten, doch stehen hier keine Synchronisationsmechanismen zur
Verfügung, die es erlauben, auch die aktuell in Bearbeitung befindlichen
Dateien konsistent parallel zu führen. Ein Ausfall des primären Plattenlaufwerks führt hier somit immer zu mehr oder weniger großen Datenverlusten. Der Einsatz der Replikatordienste unter Windows NT sollte daher
auf die Fälle beschränkt bleiben, in denen nur an einer Stelle geändert
wird, und er darf keinesfalls als Ersatz für die regelmäßige Durchführung
von Datensicherungen angesehen werden.
Um einem Ausfall der Server-Rechner vorzubeugen, sind diese bei Bedarf
redundant auszulegen. Hier stehen mehrere Möglichkeiten zur Verfügung,
unter denen, ausgehend von der tolerierbaren Ausfallzeit, eine geeignete
Alternative auszuwählen ist:
- Wenn Ausfälle in der Größenordnung einer halben Stunde tolerierbar sind,
ist ein separater Rechner zur Verfügung zu stellen, der bei Ausfall eines

_____________________________________________________________________ ..........................................
72

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.43
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Servers dessen Aufgaben übernimmt. Um Zugriff auf die Daten des ausgefallenen Servers zu erhalten, müssen dessen Plattenlaufwerke auf den Ausweichrechner umgeschaltet werden.
- Wenn Ausfälle von maximal einigen Minuten tolerierbar sind, ist ein
Cluster-System mit Zugriff aller Rechner auf alle Platten einzusetzen. Das
System ist so zu konfigurieren, daß bei Ausfall eines Servers automatisch
auf einen Ersatzrechner innerhalb des Systems umgeschaltet wird.
- Wenn äußerstenfalls Ausfälle im Sekundenbereich toleriert werden
können, ist der Einsatz eines voll redundanten, ausfallsicheren Systems mit
parallel arbeitenden mehrfachen CPUs erforderlich. In diesem Fall bleibt
ein Ausfall einer CPU oder eines Hauptspeichermoduls für den Benutzer
unbemerkbar. Diese Lösung bietet somit die größte Ausfallsicherheit, doch
ist sie gleichzeitig auch erheblich aufwendiger und teurer als die beiden
anderen Lösungen, so daß man nur bei extremen Anforderungen an die
Verfügbarkeit auf sie zurückgreifen wird. Windows NT kann derzeit so
hohe Anforderungen nicht erfüllen, so daß in diesem Fall Spezialsysteme
einzusetzen sind, die unter anderen Betriebssystemen laufen.
Es muß in jedem Fall anhand einer sorgfältigen Analyse festgestellt werden,
welche konkreten Verfügbarkeitsanforderungen gegeben sind, und im Rahmen
einer detaillierten Planung der System- und Netzarchitektur muß dann eine
geeignete Kombination redundanter Rechner und/oder Plattenlaufwerke
gefunden werden, die diesen Anforderungen genügt.
Ergänzende Kontrollfragen:
- Sind die aktuellen Verfügbarkeitsanforderungen der Anwendungen und
deren Abhängigkeiten untereinander bekannt?

_____________________________________________________________________ ..........................................
73

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.44
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.44

Datensicherung unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Unter Windows NT kann die Datensicherung mit dem zum System gehörigen
Dienstprogramm NTBACKUP.EXE durchgeführt werden, wobei zu beachten
ist, daß dieses Programm nur Sicherungen auf Band unterstützt und auch nicht
in der Lage ist, die Sicherungsbänder zu verschlüsseln, so daß diese gesichert
aufbewahrt werden müssen.
Bei der Durchführung der Datensicherung sind die folgenden Punkte zu
beachten:
- Für die Datensicherung sind Zugriffsrechte auf das Windows-Systemverzeichnis %SysRoot%\SYSTEM32 (in der Regel \WINNT\SYSTEM32) notwendig, da NTBACKUP dort temporäre Dateien und Log-Dateien anlegt.
- Die Sicherungssoftware ist in der Lage, die Registrierung des lokalen
Rechners zu sichern. Dies sollte in regelmäßigen Abständen und nach
größeren Änderungen der Konfiguration durchgeführt werden.
- In regelmäßigen Abständen (nach jeweils etwa 20 Nutzungen) sollten zur
Datensicherung verwendete Viertelzoll-Bänder durch Wahl der Option
"Band spannen" sauber aufgewickelt werden, um lockere Stellen und
dadurch mögliche Beschädigung des Bandes durch Abrieb zu vermeiden.
4 mm (DAT-) und 8 mm (Video 8-) Bänder erfordern diese Maßnahme
nicht; die entsprechende Operation steht für diese Bänder nicht zur Verfügung.
- Bei Angabe der Option "Band löschen" sollte "Sicheres Löschen" gewählt
werden, wenn schutzwürdige Daten auf dem Band waren, da hiermit die
alten Daten überschrieben werden. Sofern diese Option nicht gewählt wird,
bleibt der größte Teil der ursprünglich auf diesem Band gespeicherten
Daten erhalten und kann ohne großen Aufwand wieder rekonstruiert
werden.
- Bei der Durchführung der Sicherungsoperation ist unbedingt die Möglichkeit zu nutzen, eine Protokolldatei anzulegen. Nach Abschluß der Operation ist die Protokolldatei daraufhin zu überprüfen, ob alle zu sichernden
Daten auch tatsächlich gesichert werden konnten oder ob während der
Sicherung Fehler aufgetreten sind. Dabei ist die Option "Alle Angaben
protokollieren" empfehlenswert, da man damit auch feststellen kann, ob
alle zu sichernden Daten gesichert wurden und ob überhaupt die Verzeichnisse in die Datensicherung einbezogen wurden, die gesichert werden
sollen.
- Bei der Wiederherstellung gesicherter Dateien wird deren Zugriffsschutz
ebenfalls wiederhergestellt, sofern diese Dateien in einem Verzeichnis
wiederhergestellt werden, das keine explizite Zugriffskontrolle für die
darin gespeicherten Dateien vorgibt. Ist jedoch eine solche Vorgabe im
Verzeichnis spezifiziert, so wird diese übernommen, und die ursprüngliche
Zugriffskontrollinformation wird ignoriert.

_____________________________________________________________________ ..........................................
74

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.44
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

- Die Auswahl der zu sichernden Dateien und Verzeichnisse kann unter der
graphischen Bedienoberfläche nicht gespeichert werden. Um regelmäßig
dieselben Verzeichnisse zu sichern, können Skripten angelegt werden;
diese sind jedoch nicht für Dateiauswahl geeignet.
Wegen der durch das Dienstprogramm NTBACKUP.EXE gegebenen Einschränkungen sollte für umfangreichere Installationen bzw. bei hohen Verfügbarkeitsanforderungen zusätzliche Software zur Durchführung von
Datensicherungen eingesetzt werden. Bei der Auswahl derartiger Sicherungssoftware sollte darauf geachtet werden, daß sie die folgenden Anforderungen
erfüllt:
- Die eingesetzten Dateisysteme, also FAT, NTFS und ggf. auch HPFS
sollten bei der Sicherung und Wiederherstellung unterstützt werden.
- Es sollte möglich sein, Sicherungen automatisch zu vorwählbaren Zeiten
bzw. in einstellbaren Intervallen durchführen zu lassen, ohne daß hierzu
manuelle Eingriffe (außer dem eventuell notwendigen Bereitstellen von
Sicherungsdatenträgern) erforderlich wären.
- Es sollte möglich sein, einen oder mehrere ausgewählte Benutzer automatisch über das Sicherungsergebnis und eventuelle Fehlermeldungen per EMail oder ähnliche Mechanismen zu informieren.
- Die Sicherungssoftware sollte die Sicherung des Backup-Mediums durch
ein Paßwort, oder noch besser durch Verschlüsselung unterstützen.
Weiterhin sollte sie in der Lage sein, die gesicherten Daten in komprimierter Form abzuspeichern.
- Durch Vorgabe geeigneter Include- und Exclude-Listen bei der Datei- und
Verzeichnisauswahl sollte genau spezifiziert werden können, welche Daten
zu sichern sind und welche nicht. Es sollte möglich sein, diese Listen zu
Sicherungsprofilen zusammenzufassen, abzuspeichern und für spätere
Sicherungsläufe wieder zu benutzen.
- Es sollte möglich sein, die zu sichernden Daten in Abhängigkeit vom
Datum ihrer Erstellung bzw. ihrer letzten Modifikation auszuwählen.
- Die Sicherungssoftware sollte die Erzeugung logischer und physischer
Vollkopien sowie inkrementeller Kopien (Änderungssicherungen) unterstützen.
- Die Sicherung sollte auch auf Festplatten und Netzlaufwerken erfolgen
können.
- Die Sicherungssoftware sollte in der Lage sein, nach der Sicherung einen
automatischen Vergleich der gesicherten Daten mit dem Original durchzuführen und nach der Wiederherstellung von Daten einen entsprechenden
Vergleich zwischen den rekonstruierten Daten und dem Inhalt des Sicherungsdatenträgers durchzuführen.
- Bei der Wiederherstellung von Dateien sollte es möglich sein auszuwählen,
ob die Dateien am ursprünglichen Ort oder auf einer anderen Platte bzw. in
einem anderen Verzeichnis wiederhergestellt werden. Ebenso sollte es
möglich sein, das Verhalten der Software für den Fall zu steuern, daß am
Zielort schon eine Datei gleichen Namens vorhanden ist. Dabei sollte man

_____________________________________________________________________ ..........................................
75

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.44
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

wählen können, ob diese Datei immer, nie oder nur in dem Fall, daß sie
älter als die zu rekonstruierende Datei ist, überschrieben wird, oder daß in
diesem Fall eine explizite Anfrage erfolgt.
Zusätzlich zur Durchführung der normalen Datensicherungen ist es empfehlenswert, die aktuelle Systemkonfiguration nach jeder größeren Änderung mit
dem
Dienstprogramm
RDISK
in
den
Rettungsverzeichnis
%SystemRoot%\REPAIR (z. B. \WINNT\REPAIR) sowie auf eine Notfalldiskette zu sichern, um sie bei eventuellen Inkonsistenzen wiederherstellen zu
können (siehe auch M 6.42 Erstellung von Rettungsdisketten für
Windows NT). Dabei ist zu beachten, daß die aktuellen Sicherheitseinträge der
Registrierung (in den Bereichen SECURITY und SAM) nur dann gesichert
werden, wenn RDISK mit dem Parameter /s aufgerufen wird. Dies kann
jedoch dazu führen, daß die Sicherung nicht mehr auf eine Diskette paßt,
wenn auf dem betreffenden System eine größere Anzahl von Benutzerprofilen
definiert ist.
Eine Sicherung der Registrierung ist auch mit dem Dienstprogramm
REGBACK.EXE des Windows NT Resource Kits möglich; die Wiederherstellung erfolgt in diesem Fall mit dem Dienstprogramm REGREST.EXE des
Windows NT Resource Kits.
Ergänzende Kontrollfragen:
- Sind alle Daten eines Rechners gesichert?
- Wird der Datensicherungsvorgang dokumentiert?
- Ist der Datensicherungsvorgang konform zu einem vorhandenen Datensicherungskonzept?

_____________________________________________________________________ ..........................................
76

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.45
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.45

Datensicherung unter Windows 95

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Generell zu beachten sind die Anforderungen aus M 6.32 Regelmäßige Datensicherung. Nachfolgend soll aufgezeigt werden, welche besonderen Aspekte
unter Windows 95 zu berücksichtigen sind.
Unter Windows 95 sollten nach Möglichkeit nur Programme zur Datensicherung eingesetzt werden, die lange Dateinamen unterstützen (zum Beispiel das
Windows 95 Programm BACKUP.EXE). Zur Konvertierung langer Dateinamen in die 8.3-Dateinamen-Konvention steht das zum Lieferumfang
gehörenden Programm LFNBK.EXE zur Verfügung. Allerdings ist beim
Einsatz dieses Programmes besondere Vorsicht geboten, da möglicherweise
Dateinamen oder sogar einzelne Dateien nicht rekonstruiert werden können,
falls nach der Sicherung Veränderungen an der Verzeichnisstruktur auf dem
PC, von dem gesichert wurde, vorgenommen worden sind.
Ergänzende Kontrollfragen:
- Werden Programme zur Datensicherung eingesetzt, die lange Dateinamen
nicht verarbeiten können?

_____________________________________________________________________ ..........................................
77

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.46
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.46

Erstellung von Rettungsdisketten für Windows 95

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Für jeden Windows 95-Rechner sollten Rettungsdisketten erstellt werden, um
bei Systemproblemen den Rechner wieder starten und ggf. benutzerspezifischen Profile wieder herstellen zu können.
Dazu benötigt man zum einen eine startfähige Systemdiskette, die für alle
Rechner gemeinsam genutzt werden kann, zum anderen eine rechner- und
benutzerspezifische Diskette, die die individuellen Einstellungen des
Benutzers und des jeweiligen Rechners enthält.
Erzeugen der startfähigen Systemdiskette
Eine für alle Rechner nutzbare Systemdiskette kann mit der Registerkarte
STARTDISKETTE unter der Systemsteuerungsoption SOFTWARE erzeugt
werden. Allerdings benötigt man dazu eine Windows 95 CD. Stattdessen kann
der erfahrene Benutzer alle relevante Dateien auch manuell auf die Diskette
kopieren. Dazu gehören beispielsweise COMMAND.COM, IO.SYS,
DRVSPACE.BIN und MSDOS.SYS. In diesem Fall sollten außerdem der deutsche Tastaturtreiber KEYB.COM sowie KEYBOARD.SYS, COUNTRY.SYS und
ggf. weitere Systemdateien (z. B. einen CD-ROM-Treiber) kopiert werden.
Die deutsche Tastatur stellt man dann mit dem Befehl KEYB
GR,,KEYBOARD.SYS ein. Für andere notwendige Dateien, z. B. einen Editor,
Programme zur Festplattendekomprimierung oder Backup-Programme, kann
ggf. eine zusätzliche Diskette verwendet werden.
Erzeugen von rechner- und benutzerspezifischen Disketten
Hierzu wird für jeden Rechner eine vorformatierte Diskette und das Programm
EMERGENCY RECOVERY UTILITY (ERU) benötigt, welches zum Systemumfang gehört. Dieses wird zwar nicht standardmäßig installiert, befindet sich
aber auf der mitgelieferten Windows 95 CD-ROM. Mit diesem Programm
lassen sich in einfacher Weise die relevanten und aktuellen Systemdateien,
insbesondere die Datei mit den Benutzereinstellungen USER.DAT bzw. die
Datei mit den Systemeinstellungen SYSTEM.DAT, auf Diskette kopieren. Die
Dateien USER.DAT und SYSTEM.DAT beinhalten die entsprechenden
Informationen, die unter Windows 3.x in den ini-Dateien gespeichert sind.
Diese Diskette sollte bei umfangreichen oder wichtigen Änderungen an der
Rechnerkonfiguartion oder an den Benutzereinstellungen aktualisiert werden.
Nach dem Erstellen der Rettungsdisketten sollten diese auf Computer-Viren
überprüft und danach schreibgeschützt werden.
Nutzung der Start-Diskette
Um von der Systemdiskette zu starten, wird diese in das Diskettenlaufwerk
eingelegt, die Start-Reihenfolge im BIOS zugunsten des Diskettenlaufwerkes
priorisiert und der Rechner neu gestartet. Der Rechner fährt dann im
Zeilenmodus hoch.

_____________________________________________________________________ ..........................................
78

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.46
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Nutzung der rechner- und benutzerspezifischen Diskette
Falls der Rechner ordnungsgemäß startet (mit oder ohne Start-Diskette), die
rechner- und benutzerspezifischen Dateien jedoch zerstört sind, können diese
mit dem Programm ERD.EXE, das sich auf der rechner- und benutzerspezifischen Diskette befindet, zurückgespielt werden. Die korrespondierende
Dateien auf der Festplatte werden zuvor in das Verzeichnis
C:\WINDOWS\ERUNDO verschoben und können mit den Befehl ERD
/UNDO ggf. rekonstruiert werden.
Hinweis: Für die Nutzung des Programmes ERD.EXE ist es notwendig, den
Rechner im Zeilenmodus zu starten. Dies erreicht man zum Beispiel, indem
man von der Startdiskette startet, beim Beenden von Windows 95
COMPUTER IM MS-DOS MODUS STARTEN wählt oder beim Starten des
Rechners während der Nachricht “Windows 95 wird gestartet” die F8-Taste
betätigt und anschließend “5. Nur Eingabeaufforderung” wählt. Letzteres ist
allerdings nur dann möglich, wenn in der Datei MSDOS.SYS die Zeile
BootKeys=1 eingetragen ist.
Ergänzende Kontrollfragen:
- Wurde für Windows 95 Rechner eine startfähige Systemdiskette erstellt?
- Wurde für jeden Windows 95 Rechner eine rechner- und benutzerspezifische Rettungsdiskette erstellt?

_____________________________________________________________________ ..........................................
79

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.47
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.47

Aufbewahrung der Backup-Datenträger für
Telearbeit

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Telearbeiter
Backup-Datenträger müssen im häuslichen Bereich verschlossen aufbewahrt
werden. Es ist sicherzustellen, daß nur der Telearbeiter selber bzw. sein
Vertreter darauf Zugriff hat.
Jeweils eine Generation der Backup-Datenträger sollte jedoch in der
Institution aufbewahrt werden, damit im Katastrophenfall der Vertreter auf die
Backup-Datenträger zugreifen kann.
Ergänzende Kontrollfragen:
- Wo werden die Datenträger der Datensicherungen des Telearbeiters aufbewahrt?

_____________________________________________________________________ ..........................................
80

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.48
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.48

Verhaltensregeln nach Verlust der Datenbankintegrität

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Falls sich das Datenbanksystem in nicht vorgesehener Weise verhält (zum
Beispiel undefiniertes Systemverhalten, nicht auffindbare Tabellen oder
Datensätze, veränderte Tabelleninhalte, unerklärlich langes Antwortzeitverhalten), kann ein Verlust der Datenbankintegrität vorliegen. Dieser kann auch
durch missbräuchliche Nutzung des Systems verursacht worden sein, zum
Beispiel durch Veränderungen der Systemeinstellungen oder Überschreiten
der maximal zulässigen Connects.

missbräuchliche
Nutzung

Dann sollten die Benutzer folgende Punkte beachten:
- Ruhe bewahren!

Keine Panik!

- Benachrichtigen Sie den Datenbankadministrator.
- Greifen sie nicht mehr auf die Datenbank zu.
Der Datenbankadministrator sollte folgende Schritte durchführen:
- Benachrichtigung aller betroffenen Benutzer,
- Herunterfahren des Datenbanksystems,
- Hochfahren des Datenbanksystems im Exklusiv-Modus (falls dies vom
Datenbanksystem unterstützt wird),
- Sichern aller Dateien, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten (z. B. ob tatsächlich ein Angriff erfolgt
ist und auf welche Weise der Angreifer eindringen konnte), d. h. insbesondere Sichern aller relevanten Protokolldateien,

Protokolldateien sichern

- Überprüfung und ggf. Zurücksetzen der Zugriffsrechte auf Systemtabellen,
- Überprüfung der Datenbanksoftware auf sichtbare Veränderungen, z. B.
Erstellungsdatum und Größe der entsprechenden Dateien (Da diese von
einem Angreifer auch wieder auf ihre Ursprungswerte zurückgesetzt
werden können, sollte die Integrität der Dateien mit Prüfsummenverfahren
überprüft werden.),

Software auf
Veränderungen prüfen

- ggf. Löschen der Datenbanksoftware und Wiedereinspielen der OriginalDateien von schreibgeschützten Datenträgern (vgl. M 6.21 Sicherungskopie der eingesetzten Software). Programme aus existierenden Datensicherungen sollten nicht wiedereingespielt werden, da diese den Fehler
schon enthalten können,

Originaldateien wieder
einspielen

- Überprüfung der Protokolldateien nach Auffälligkeiten (in Zusammenarbeit mit dem Revisor),
- Änderung aller Passwörter,
- Benachrichtigung der Benutzer mit der Bitte, ihre Bereiche auf Unregelmäßigkeiten zu prüfen.

_____________________________________________________________________ ..........................................
81

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.48
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Nach der Änderung aller Passwörter müssen diese den betroffenen Benutzern
mitgeteilt werden. Hierbei sollte kein allen Benutzern bekanntes Passwort
oder Ableitungsschema benutzt werden. Besser ist es, die Passwörter zufällig
zu erzeugen und den Benutzern auf zuverlässigem Weg mitzuteilen, z. B. in
versiegelten Umschlägen. Diese Passwörter sollten unmittelbar nach der
Erstanmeldung geändert werden.

neue Passwörter zufällig
erzeugen

Falls Daten gelöscht oder unerwünscht geändert wurden, können diese aus den
Datensicherungen wiedereingespielt werden (siehe M 6.51 Wiederherstellung
einer Datenbank).
Wenn Anzeichen auf einen vorsätzlichen Angriff gegen eine Datenbank
vorliegen, ist für die Schadensminimierung und weitere Schadensabwehr
sofortiges Handeln notwendig. Hierzu ist ein Alarmplan erforderlich, in dem
die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche
Personen über den Vorfall zu unterrichten sind (siehe auch M 6.60
Verhaltensregeln und Meldewege bei Sicherheitsvorfällen). Der Alarmplan
enthält ggf. auch Informationen darüber, ob und wie der Datenschutzbeauftragte und die Rechtsabteilung zu beteiligen sind.

Alarmplan heranziehen

Ergänzende Kontrollfragen:
- Werden die Benutzer regelmäßig darüber informiert, dass bei Auftreten
von Unregelmäßigkeiten sofort der Datenbankadministrator benachrichtigt
werden muss?
- Wird diese Regelung auch angewendet?
- Gibt es Datenbankadministratoren mit entsprechenden Kenntnissen?
- Ist ein Verfahren zur schnellen Vergabe von Passwörtern etabliert und
getestet?

_____________________________________________________________________ ..........................................
82

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.49
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.49

Datensicherung einer Datenbank

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Sicherung der Daten eines Datenbanksystems kann in aller Regel nicht
mit den Datensicherungsprogrammen auf Betriebssystemebene vollständig
abgedeckt werden. Letztere bilden in den meisten Fällen lediglich das Bindeglied, um die zu sichernden Daten auf ein Sicherungsmedium zu schreiben.
Zur Sicherung des DBMS und der Daten müssen dagegen für die meisten
Datenbankprodukte zusätzlich die jeweiligen Dienstprogramme des DBMS
eingesetzt werden.
Die einfachste Möglichkeit einer Datenbanksicherung, die zugleich die
sicherste darstellt, ist eine Komplettsicherung der Datenbank in heruntergefahrenem Zustand. Dabei werden alle zur Datenbank gehörenden Dateien auf
dem Sicherungsmedium gesichert. Meist ist dieses Vorgehen allerdings aus
Gründen der Verfügbarkeitsanforderungen an die Datenbank oder aufgrund
des zu sichernden Datenvolumens nicht durchführbar.
Eine Alternative zur oben beschriebenen Komplettsicherung ist eine OnlineSicherung der Datenbank. Die Sicherung erfolgt dann während des laufenden
Betriebs, d. h. die Datenbank muß nicht heruntergefahren werden. Die Nachteile dieser Sicherungsart sind, daß Inkonsistenzen nicht explizit ausgeschlossen werden können, und daß auch in diesem Fall bei einer Zerstörung der
Datenbank eine (Offline-) Komplettsicherung existieren muß, auf der aufbauend die Online-Sicherungen zurückgespielt werden können. Online-Sicherungen sollten aus diesem Grund nur dann durchgeführt werden, wenn eine permanente Verfügbarkeit der Datenbank gefordert ist. Auf eine OfflineKomplettsicherung, die in vertretbar großen Zeitabständen durchgeführt
werden kann, sollte trotzdem nicht verzichtet werden.
Partielle Datenbanksicherungen stellen eine weitere Möglichkeit dar. Sie
sollten immer dann verwendet werden, wenn das zu sichernde Datenvolumen
zu groß ist, um eine vollständige Sicherung durchführen zu können. Dies kann
daraus resultieren, daß die Kapazitäten der Sicherungsmedien nicht ausreichen
oder daß der zur Verfügung stehende Zeitrahmen je Sicherung nicht genügt,
um eine vollständige Sicherung durchführen zu können.
Falls möglich, so sollten in jedem Fall alle Transaktionen zwischen zwei
Offline-Komplettsicherungen archiviert werden. Oracle bietet dazu
beispielsweise die Möglichkeit an, indem der sogenannte ARCHIVE-Mode
für die Datenbank aktiviert wird. Transaktionen werden bei Oracle in sogenannten Log-Dateien protokolliert, von denen es mehrere gibt. Diese werden
nacheinander beschrieben und sobald alle Log-Dateien voll sind, so wird
wieder die erste Log-Datei überschrieben. Der ARCHIVE-Mode erstellt von
diesen Log-Dateien eine Sicherungskopie, bevor sie wieder überschrieben
werden. Auf diese Art und Weise können bei einer Zerstörung der Datenbank
alle Transaktionen komplett rekonstruiert werden. Auch hierfür ist allerdings
die Existenz einer Komplettsicherung der Datenbank die Voraussetzung. Die
Dauer eines solchen Recovery wächst mit der Anzahl der zurückzuspielenden
Archiv-Log-Dateien an.

_____________________________________________________________________ ..........................................
83

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.49
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Für die Datensicherung eines Datenbanksystems muß ein eigenes Datensicherungskonzept erstellt werden. Einflußfaktoren für ein solches Konzept sind:
- Verfügbarkeitsanforderungen an die Datenbank
Wenn beispielsweise eine Datenbank werktags rund um die Uhr zur Verfügung stehen muß, so kann eine Komplettsicherung nur am Wochenende
durchgeführt werden, da dies im allgemeinen ein Herunterfahren der
Datenbank erfordert.
- Datenvolumen
Das gesamte zu sichernde Datenvolumen muß mit den zur Verfügung stehenden Sicherungskapazitäten verglichen werden. Dabei muß festgestellt
werden, ob die Sicherungskapazitäten (z. B. ein DAT-Tape pro Sicherungslauf) für das entsprechende Datenvolumen der Datenbank ausreichend dimensioniert sind.
Falls dies nicht der Fall ist, muß ein Konzept zur Teilsicherung des Datenvolumens erstellt werden. Dies kann z. B. bedeuten, daß die Daten einzelner Anwendungen oder einzelner Bereiche der Datenbank immer im
Wechsel gesichert werden bzw. nur die aktuellen Änderungen. Die Möglichkeiten einer Teilsicherung hängen von der verwendeten DatenbankSoftware ab.
- Maximal verkraftbarer Datenverlust
Hier muß festgelegt werden, ob bei einer Zerstörung der Datenbank der
Datenverlust eines Tages verkraftbar ist, oder ob die Datenbank bis zur
letzten Transaktion wiederherstellbar sein muß. Dies ist im allgemeinen bei
einer hohen Anforderung an die Verfügbarkeit bzw. Integrität der Daten
der Fall.
- Wiederanlaufzeit
Auch die maximal zulässige Zeitdauer des Wiederherstellens der Datenbank nach einem Absturz muß festgelegt werden, um den Verfügbarkeitsanforderungen zu genügen.
- Datensicherungsmöglichkeiten der Datenbank-Software
Im allgemeinen werden von einer Datenbank-Standardsoftware nicht alle
denkbaren Datensicherungsmöglichkeiten unterstützt, wie z. B. eine
partielle Datenbanksicherung. Im konkreten Fall gilt es also zu prüfen, ob
das erstellte Datensicherungskonzept mit den zur Verfügung stehenden
Mechanismen auch umgesetzt werden kann.
Anhand dieser Informationen kann ein Konzept für die Datensicherung der
Datenbank erstellt werden. In diesem Sicherungskonzept wird u. a. festgelegt
(siehe hierzu auch Kapitel 3.4 Datensicherungskonzept)
- wer für die ordnungsgemäße Durchführung von Datensicherungen
zuständig ist,
- in welchen Zeitabständen eine Datenbanksicherung durchgeführt wird,
- in welcher Art und Weise die Datenbanksicherung zu erfolgen hat,

_____________________________________________________________________ ..........................................
84

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.49
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

- zu welchem Zeitpunkt die Datenbanksicherung durchgeführt wird,
- die Spezifikation des zu sichernden Datenvolumens je Sicherung.
- wie die Erstellung von Datensicherungen zu dokumentieren ist, und
- wo die Datensicherungsmedien aufbewahrt werden.
Beispiel:
Sicherung von Montag bis Samstag:
- Startzeit: morgens um 3.00h
- Es erfolgt eine vollständige Sicherung der Daten, wobei die Datenbank
nicht heruntergefahren, sondern die Möglichkeit der Online-Sicherung des
DBMS genutzt wird.
Sicherung am Sonntag
- Startzeit: morgens um 3.00h
- Die Datenbank wird heruntergefahren und es erfolgt eine Komplettsicherung der Datenbank.
Ergänzende Kontrollfragen:
- Existiert eine Dokumentation, wie im Falle eines Absturzes der Datenbank
diese wiederherzustellen ist?
- Ist für die Institution ein aktuelles Datensicherungskonzept für den Bereich
Datenbanken dokumentiert?
- Wie werden Mitarbeiter über den sie betreffenden Teil des Konzepts
unterrichtet?
- Wird die Einhaltung dieses Konzepts kontrolliert?
- Wie werden Änderungen der Einflußfaktoren berücksichtigt?

_____________________________________________________________________ ..........................................
85

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.50
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.50

Archivierung von Datenbeständen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Ist eine Archivierung von Daten eines Datenbanksystems erforderlich, so muß
dazu ein entsprechendes Konzept erstellt werden, um die Datenbestände zu
einem späteren Zeitpunkt wieder zur Verfügung stellen zu können. Hierbei
sind folgende Punkte zu berücksichtigen:
Archivierung
- Die zur Verfügung stehenden Archivierungsmöglichkeiten müssen identifiziert werden.
- Es muß dokumentiert werden, welches Datenmodell den zu archivierenden
Daten zugrunde liegt.
- Der Zeitpunkt der Archivierung ist zu dokumentieren.
- Aufbau, Systematik und Ordnungskriterien des Archivs müssen spezifiziert
werden.
- Für alle Archivierungsmedien ist anhand von Herstellerangaben und
Erfahrungswerten eine maximale Lebensdauer zu bestimmen. Entsprechend dessen müssen Zeitpunkte für die Auffrischung des archivierten
Datenbestandes festgelegt werden.
- Die geforderte Verfügbarkeit der archivierten Datenbestände ist zu überprüfen und gegebenenfalls an die konkreten Anforderungen anzupassen. Es
kann beispielsweise gefordert sein, archivierte Datenbestände der letzten
sechs Monate kurzfristig zur Verfügung zu stellen, während Datenbestände
älteren Datums nur auf Anfrage und mit längeren Vorlaufzeiten
wiedereingespielt werden müssen. Dieses Kriterium hat u. a. Auswirkungen auf die Wahl des Archivierungsmediums sowie auf die Art und Weise
der Archivierung. Bei hohen Verfügbarkeitsanforderungen muß evtl. ein
redundantes Archiv geführt werden.
- Es muß sichergestellt sein, daß vorgegebene Aufbewahrungsfristen eingehalten werden.
Wiedereinspielen
- Der aktuelle Datenbestand darf von dem archivierten Datenbestand nicht
beeinflußt werden.
- Für die Wiedereinspielung von archivierten Datenbeständen muß genügend
Speicherplatz zur Verfügung gestellt werden.
- Der archivierte Datenbestand muß wiederherstellbar sein, auch wenn sich
zwischenzeitlich das Datenmodell geändert hat. In diesem Fall muß das
Datenmodell zum Archivierungszeitpunkt bekannt sein, um den alten
Stand wiederherstellen zu können.
- Wenn die wiedereingespielten Daten von einer Anwendung verarbeitet
werden sollen, muß auch von dieser Anwendung eine Version vorhanden
sein, die das "alte" Datenmodell unterstützt.

_____________________________________________________________________ ..........................................
86

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.50
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

- Es muß sporadisch überprüft werden, ob sich der archivierte Datenbestand
wiedereinspielen läßt.
Bei der Archivierung von Datenbeständen, die personenbezogene Daten enthalten, muß darüber hinaus berücksichtigt werden, daß die Betroffenen ein
Recht auf Berichtigung, Sperrung bzw. Löschung der über sie gespeicherten
Daten haben. Um dies zu gewährleisten, sind entsprechende technisch-organisatorische Verfahren zu entwickeln. Insbesondere müssen auch nach dem
Wiedereinspielen alter Datenbestände vorher durchgeführte Berichtigungen,
Sperrungen bzw. Löschungen erhalten bleiben.
Ergänzende Kontrollfragen:
- Existiert eine Dokumentation, wie beim Wiedereinspielen von archivierten
Datenbeständen zu verfahren ist?
- Ist für die Institution ein aktuelles Archivierungskonzept dokumentiert?
- Wie werden Änderungen der Einflußfaktoren berücksichtigt?

_____________________________________________________________________ ..........................................
87

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.51
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.51

Wiederherstellung einer Datenbank

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Es ist ein Konzept zu erstellen, wie das Wiedereinspielen von Datenbanksicherungen durchzuführen ist. Dem Konzept zugrunde gelegt werden müssen
- das Datensicherungskonzept (siehe M 6.49 Datensicherung einer Datenbank) und
- die möglichen Fehlersituationen, die ein Wiedereinspielen von Datenbanksicherungen erforderlich machen können.
Anhand dieser beiden Punkte ist abzuleiten, welche Datenbanksicherungen in
welcher Form wiedereingespielt werden müssen.
Die Wiederherstellung einer Datenbank ist eine komplexe Aufgabe, die ein
äußerst sorgfältiges Vorgehen und viel Übung erfordert. Trotzdem sollte
immer damit gerechnet werden, daß eine Wiederherstellung nicht reibungslos
und fehlerfrei funktionieren wird. Daher sollte die zerstörte Datenbank nicht
durch ein einfaches Zurückspielen der Datenbanksicherung überschrieben
werden.
Häufig läßt sich die für korrupt gehaltene Datenbank wieder bereinigen. Um
jedoch die Wiederanlaufzeit zu minimieren, sollte parallel zur Fehlersuche mit
der Wiederherstellung der Datenbank in einem getrennten Speicherbereich
begonnen werden. Auch wenn sich die beschädigte Datenbank nicht mehr
reparieren läßt, sollte sie dennoch erhalten bleiben, um sie analysieren und die
Fehlerursache feststellen zu können.
Bei der Wiederherstellung sollte die Datenbanksicherung daher zuerst auf
getrennten Speichermedien eingespielt werden. Dabei ist zu beachten, daß
hierfür das gleiche Volumen an Speicherkapazität benötigt wird wie für die
defekte Datenbank.
Diese Speicherkapazitäten müssen für den Notfall vorgehalten werden, um
einem Verlust der Datenbankintegrität vorzubeugen und die Verfügbarkeitsanforderungen zu erfüllen. Ist dies nicht möglich, so ist festzulegen, auf
welche Weise kurzfristig die erforderlichen Speicherkapazitäten zur Verfügung gestellt werden können. Selbstverständlich darf dies nicht zu einem
zusätzlichen Datenverlust führen, wenn beispielsweise Festplattenbereiche mit
anderen Daten gelöscht werden sollen, um die erforderlichen Ressourcen für
das Wiedereinspielen der Datenbanksicherung zur Verfügung zu stellen.
Müssen aufgrund mangelnder Speicherkapazitäten andere Daten gelöscht
werden, so sind diese sorgfältig zu sichern, damit gewährleistet werden kann,
daß die Daten nach Abschluß der Restaurierungsmaßnahme wieder ordnungsgemäß zur Verfügung stehen.
Für den Fall, daß keine vollständige Restaurierung der Datenbank notwendig
ist, sondern lediglich einzelne Datenbestände wiederherzustellen sind, so ist
ein Wiedereinspielen der Daten immer getrennt von den Originaldatenbeständen durchzuführen. Auch hier sind dann entsprechende Speicherkapazitäten erforderlich. Es ist an dieser Stelle sinnvoller, hierfür parallel eine eigene

_____________________________________________________________________ ..........................................
88

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.51
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Datenbank einzurichten, damit die Datenbestände der Originaldatenbank auf
jeden Fall unbeeinfußt bleiben. Dies gilt selbst dann, wenn die Möglichkeit
besteht, die Daten in der Originaldatenbank gesondert einzuspielen.
Ergänzende Kontrollfragen:
- Wurde ein Konzept zum Wiedereinspielen von Datenbanksicherungen
erstellt?
- Wann wurde das Wiedereinspielen von Datenbanksicherungen das letzte
Mal geübt?
- Werden für den Notfall genügend Speichermedien bereitgehalten?

_____________________________________________________________________ ..........................................
89

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.52
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.52

Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
An die Verfügbarkeit der zentralen aktiven Netzkomponenten müssen hohe
Anforderungen gestellt werden, da in der Regel viele Benutzer vom reibungslosen Funktionieren eines lokalen Netzes abhängig sind. Damit in einem
Fehlerfall der Betrieb so schnell wie möglich wieder aufgenommen werden
kann, müssen alle Konfigurationsdaten der aktiven Netzkomponenten in
elektronischer Form gesichert werden (vgl. auch M 6.32 Regelmäßige Datensicherung). Diese Sicherung kann prinzipiell lokal an den einzelnen Komponenten erfolgen oder über das Netz, z. B. mit Hilfe eines Netzmanagementtools. Wurden die Daten elektronisch gesichert, kann in diesem Fall das
Wiederherstellen einer Konfiguration schneller und sicherer durchgeführt
werden und eine zeitaufwendige manuelle Eingabe entfallen. Das Wiedereinspielen der Daten kann hierbei automatisch, z. B. durch ein zentrales Netzmanagementtool oder manuell durch den Eingriff eines Administrators erfolgen.
Bei einer Sicherung der Konfigurationsdaten über das Netz ist jedoch, im
Gegensatz zu einer lokalen Sicherung, zu beachten, daß die übertragenen
Daten eventuell mitgelesen werden können und potentielle Angreifer möglicherweise sicherheitskritische Informationen über die Konfiguration der aktiven Netzkomponenten, wie z. B. Paßwörter, und damit möglicherweise über
die gesamte Netzkonfiguration erhalten. Dabei werden im allgemeinen die
Protokolle Trivial File Transfer Protocol (TFTP) oder Remote Copy Protocol
(RCP) eingesetzt, wobei nach Möglichkeit RCP mit Authentifizierung verwendet werden sollte (siehe M 5.20 Einsatz der Sicherheitsmechanismen von
rlogin, rsh und rcp). TFTP bietet dagegen keine Schutzmechanismen vor
einem unbefugten Zugriff auf die Konfigurationsdaten (siehe auch M 5.21
Sicherer Einsatz von telnet, ftp, tftp und rexec), so daß von dessen Einsatz
abgeraten wird.
Bei allen Sicherungsmethoden muß ein Test durchgeführt werden, ob die
Sicherung ordnungsgemäß durchgeführt wurde und die Wiederherstellung der
Konfigurationsdaten möglich ist. Dies gilt insbesondere bei der Sicherung
über das Netz, da hier nach einem Fehlerfall das Netz u. U. in einem Zustand
ist, der keine Wiederherstellung über das Netz ermöglicht.
Ergänzende Kontrollfragen:
- Sind alle Konfigurationsdaten aktiver Netzkomponenten gesichert?
- Wird der Datensicherungsvorgang dokumentiert?
- Ist der Datensicherungsvorgang konform zu einem vorhandenen Datensicherungskonzept (vgl. M 6.13 Erstellung eines Datensicherungsplans)?

_____________________________________________________________________ ..........................................
90

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.53
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.53

Redundante Auslegung der Netzkomponenten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle
An die Verfügbarkeit der zentralen Netzkomponenten müssen hohe Anforderungen gestellt werden, da in der Regel viele Benutzer vom reibungslosen
Funktionieren eines lokalen Netzes abhängig sind. Damit in einem Fehlerfall
der Betrieb so schnell wie möglich wieder aufgenommen werden kann, ist in
Abhängigkeit von den entsprechenden Verfügbarkeitsanforderungen im jeweiligen Bereich Redundanz zu schaffen, die einem Teil- oder Totalausfall
der relevanten Netzkomponenten mit akzeptablem Aufwand vorbeugt.
Dabei gibt es zwei verschiedene Möglichkeiten, Redundanz zu erreichen:
- Die Netzkomponenten können redundant im Lager vorgehalten werden,
um in einem Notfall kurzfristig einen Austausch durchführen zu können.
Wird dies nicht beachtet, sind oft langwierige Beschaffungsvorgänge nötig,
bevor die Störung behoben werden kann. Alternativ sind Wartungs- bzw.
Lieferverträge mit den entsprechenden Herstellern abzuschließen, die einen
schnellen Ersatz defekter Komponenten garantieren (siehe auch M 6.14
Ersatzbeschaffungsplan). Danach können die gesicherten Konfigurationsdaten wieder eingespielt werden, um die Ausfallzeit der betroffenen
Netzsegmente so gering wie möglich zu halten (siehe M 6.52 Regelmäßige
Sicherung der Konfigurationsdaten aktiver Netzkomponenten).
- Es ist weiterhin sinnvoll, bereits bei der Konzeption des Netzes eine
redundante Auslegung der Netzkomponenten einzuplanen. So sollten alle
zentralen Switches und je nach den verwendeten Protokollen alle Router
zumindest doppelt in das Netz eingebunden sein, um die Anbindung der
Server und die Verbindung zwischen den einzelnen Netzkomponenten
redundant zu halten (siehe Abb. 1). Die korrekte Funktionsweise ist durch
eine geeignete logische Netzkonfiguration zu gewährleisten.
Hub
Endgerät

Switch

Switch

Serversystem

Abb. 1: Redundante Verbindungen der Netzkomponenten

_____________________________________________________________________ ..........................................
91

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.53
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Ist je nach Verfügbarkeitsanforderungen auch eine Redundanz im Endgeräte-Bereich nötig, so müssen zusätzlich alle Endgeräte mit zwei Netzadaptern ausgerüstet werden (siehe Abb. 2).
Hubs

Endgerät

Switch

Switch

Serversystem

Abb. 2: Redundanz bis in den Endgeräte-Bereich

Dabei gilt es im konkreten Fall zu prüfen, ob diese Technik von den eingesetzten aktiven Netzkomponenten und Betriebssystemen unterstützt wird.
Weiterhin stellt das Netzteil von aktiven Netzkomponenten eine häufige
Störungsursache dar, da diese auf eine stabile Stromversorgung angewiesen sind. Viele Komponenten lassen sich deshalb mit redundanten Netzteilen ausrüsten oder sind hiermit bereits ausgestattet. So läßt sich die Ausfallsicherheit einzelner Netzkomponenten erhöhen, ohne daß zwei Netzkomponenten eingesetzt werden müssen. Durch solch eine Maßnahme wird
aber nicht die Ausfallsicherheit der eigentlichen Funktionalität der
Netzkomponenten erhöht.
Es muß in jedem Fall anhand einer sorgfältigen Analyse festgestellt werden,
welche konkreten Verfügbarkeitsanforderungen gegeben sind. Im Rahmen
einer detaillierten Planung der System- und Netzarchitektur muß dann ein
geeignetes Redundanzkonzept entwickelt werden, welches diesen Anforderungen genügt. In diesem Zusammenhang ist auch die Maßnahme M 6.18
Redundante Leitungsführung zu beachten.

_____________________________________________________________________ ..........................................
92

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.53
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wurden die Verfügbarkeitsanforderungen an das Netz ermittelt und
dokumentiert?
- Werden alle wichtigen Netzkomponenten im Lager vorgehalten bzw.
existieren dazu Lieferverträge?
- Wurde bei der Planung des Netzes die Redundanz der Komponenten
berücksichtigt?

_____________________________________________________________________ ..........................................
93

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.54
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.54

Verhaltensregeln nach Verlust der Netzintegrität

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Falls sich das Netz in nicht vorgesehener Weise verhält (z. B. Server sind
nicht verfügbar, Zugriff auf Netzressourcen ist nicht möglich, Netzperformance bricht dauerhaft ein), kann ein Verlust der Netzintegrität vorliegen.
Dieser kann durch missbräuchliche Nutzung des Netzes verursacht worden
sein, z. B. durch Veränderungen der Konfigurationen der aktiven Netzkomponenten oder deren Beschädigung.

missbräuchliche
Nutzung

Dann sollten die Benutzer folgende Punkte beachten:
- Sicherung der Arbeitsergebnisse und ggf. Beendigung aktiver Programme.
- Der Administrator muss über eine geeignete Eskalationsstufe (z. B. User
Help Desk) von den Benutzern benachrichtigt werden. Dabei ist sicherzustellen, dass der Administrator durch den Benachrichtigungsprozess in
seiner Arbeit nicht wesentlich behindert wird.

Administrator
benachrichtigen

Der Netzadministrator sollte folgende Schritte durchführen:
- Eingrenzen des fehlerhaften Verhaltens auf ein Netzsegment bzw. eine
Netzkomponente,
- Überprüfen der Konfigurationen der dort vorhandenen aktiven Netzkomponenten (darunter fällt auch die Kontrolle der Passwörter),
- Sichern aller Dateien, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten (z. B. ob tatsächlich ein Angriff erfolgt
ist und auf welche Weise der Angreifer eindringen konnte), d. h. insbesondere Sichern aller relevanten Protokolldateien,

Protokolldateien sichern

- ggf. Wiedereinspielen der Original-Konfigurationsdaten (siehe M 6.52
Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten),
- ggf. Überprüfung der eingesetzten Hardware (Verkabelung, Steckverbindungen, aktive Netzkomponenten usw.) auf Defekte,
- Benachrichtigung der Benutzer mit der Bitte, ihre Arbeitsbereiche auf
Unregelmäßigkeiten zu prüfen.
Wenn Anzeichen auf einen vorsätzlichen Angriff gegen das Netz vorliegen, ist
für die Schadensminimierung und weitere Schadensabwehr sofortiges Handeln
notwendig. Hierzu ist ein Alarmplan erforderlich, in dem die einzuleitenden
Schritte aufgeführt werden und festgelegt wird, welche Personen über den
Vorfall zu unterrichten sind (siehe auch M 6.60 Verhaltensregeln und
Meldewege bei Sicherheitsvorfällen). Der Alarmplan enthält ggf. auch
Informationen darüber, ob und wie der Datenschutzbeauftragte und die
Rechtsabteilung zu beteiligen sind.

Alarmplan heranziehen

_____________________________________________________________________ ..........................................
94

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.54
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Ergänzende Kontrollfragen:
- Wie ist sichergestellt, dass der Administrator effektiv benachrichtigt wird?
- Wird diese Regelung auch angewendet?
- Ist ein Verfahren zur schnellen Vergabe von Passwörtern etabliert und
getestet?

_____________________________________________________________________ ..........................................
94.1

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.55
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.55

Reduzierung der Wiederanlaufzeit für Novell
Netware Server

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um die Wiederanlaufzeit eines Novell Netware Servers nach einem Ausfall zu
reduzieren, sollten die erforderliche Software und die notwendigen Starttreiber
(für Festplatte, Netzadapterkarte usw.) für den Fall einer Neuinstallation
gesondert abgespeichert und auf externen Datenträgern ausgelagert werden.
Es empfiehlt sich eine Aufbewahrung zusammen mit den Backupmedien der
sonstigen Datensicherungen. Die benötigten Konfigurationsparameter können
der zugehörigen Dokumentation des Servers entnommen werden (siehe
M 2.153 Dokumentation von Novell Netware 4x Servern).
Weiterhin sollte eine Vorgehensweise für den Wiederanlauf eines Netware
Servers mit den dafür verantwortlichen Personen entwickelt werden. Diese
Prozedur sollte regelmäßig im Rahmen von Notfallübungen simuliert und
durchgeführt werden, um das Verfahren zu verifizieren und auf seine Durchführbarkeit zu testen. Insbesondere ist bei der Durchführung solcher Übungen
zu testen, ob der ausschließliche Einsatz der Software und Daten, die in internen oder externen Sicherungsarchiven aufbewahrt werden reicht, um eine
vollständige Rekonstruktion durchzuführen.
Die für einen Wiederanlauf der Novell Netware Server erforderlichen Schritte
müssen in einem Notfall-Handbuch erläutert werden (siehe M 6.3 Erstellung
eines Notfall-Handbuches, Teil D). Beispiele für solche Schritte sind:
- Aufbau und Installation der eventuell notwendigen Hardware-Komponenten,
- Einspielen der Systemsoftware,
- Einspielen der Starttreiber,
- Bereitstellen der notwendigen Daten einschließlich Konfigurationsdateien
und
- Wiederanlauf.
Der Wiederanlauf kann, je nach Umfang und Komplexität der NDS, mit
einem erheblichen Zeitaufwand verbunden sein. Der Zeitaufwand für die mit
dem Wiederanlauf verbundenen Maßnahmen kann durch solche Übungen
ermittelt werden und ist bei der Überarbeitung des Wiederanlaufplans zu
berücksichtigen.
Ergänzende Kontrollfragen:
- Wurde der Wiederanlaufplan erprobt?
- Wann wurde zuletzt überprüft, ob die gesicherten Daten rekonstruiert
werden können?

_____________________________________________________________________ ..........................................
95

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.56
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.56

Datensicherung bei Einsatz kryptographischer
Verfahren

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter
Beim Einsatz kryptographischer Verfahren darf die Frage der Datensicherung
nicht vernachlässigt werden. Neben der Frage, wie sinnvollerweise eine
Datensicherung der verschlüsselten Daten erfolgen sollte, muß auch überlegt
werden, ob und wie die benutzten kryptographischen Schlüssel gespeichert
werden sollen. Daneben ist es noch zweckmäßig, die Konfigurationsdaten der
eingesetzten Kryptoprodukte zu sichern.
Datensicherung der Schlüssel
Es muß sehr genau überlegt werden, ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen, da jede Schlüsselkopie eine
potentielle Schwachstelle ist.
Trotzdem kann es aus verschiedenen Gründen notwendig sein, kryptographische Schlüssel zu speichern. Es gibt unterschiedliche Methoden der
Schlüsselspeicherung:
- die Speicherung zu Transportzwecken auf einem transportablen Datenträger, z. B. Diskette, Chipkarte (dient vor allem zur Schlüsselverteilung
bzw. zum Schlüsselaustausch, siehe M 2.46 Geeignetes Schlüsselmanagement),
- die Speicherung in IT-Komponenten, die dauerhaft auf kryptographische
Schlüssel zugreifen müssen, also z. B. zur Kommunikationsverschlüsselung,
- die Schlüsselhinterlegung als Vorbeugung gegen Schlüsselverlust oder im
Rahmen von Vertretungsregelungen.
Hierbei ist grundsätzlich zu beachten:
- Kryptographische Schlüssel sollten so gespeichert bzw. aufbewahrt
werden, daß Unbefugte sie nicht unbemerkt auslesen können. Beispielsweise könnten Schlüssel in spezieller Sicherheitshardware gespeichert
werden, die die Schlüssel bei Angriffen automatisch löscht. Falls sie in
Software gespeichert werden, sollten sie auf jeden Fall überschlüsselt
werden. Hierbei ist zu bedenken, daß die meisten Standard-Anwendungen,
bei denen Schlüssel oder Paßwörter in der Anwendung gespeichert werden,
dies im allgemeinen mit leicht zu brechenden Verfahren geschieht. Als
weitere Variante kann auch das Vier-Augen-Prinzip bei der Schlüsselspeicherung benutzt werden, also die Speicherung eines Schlüssels in
Schlüsselhälften oder Schlüsselteilen.
- Von Kommunikationsschlüsseln und anderen kurzlebigen Schlüsseln
sollten keine Kopien erstellt werden. Damit eine unautorisierte Nutzung
ausgeschlossen ist, sollten auch von privaten Signaturschlüsseln i. allg.
keine Kopien existieren. Falls jedoch für die Schlüsselspeicherung eine
reine Softwarelösung gewählt wurde, d. h. wenn keine Chipkarte o. ä.
verwendet wird, ist das Risiko des Schlüsselverlustes erhöht, z. B. durch

_____________________________________________________________________ ..........................................
96

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.56
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Bitfehler oder Festplattendefekt. In diesem Fall ist es unter Umständen
weniger aufwendig, eine ausreichend gesicherte Möglichkeit der
Schlüsselhinterlegung zu schaffen, als bei jedem Schlüsselverlust alle
Kommunikationspartner zu informieren.
- Von langlebigen Schlüsseln, die z. B. zur Archivierung von Daten oder zur
Generierung von Kommunikationsschlüsseln eingesetzt werden, sollten auf
jeden Fall Sicherungskopien angefertigt werden.
Datensicherung der verschlüsselten Daten
Besondere Sorgfalt ist bei der Datensicherung von verschlüsselten Daten bzw.
beim Einsatz von Verschlüsselung während der Datenspeicherung notwendig.
Treten hierbei Fehler auf, sind nicht nur einige Datensätze, sondern meist alle
Daten unbrauchbar.
Die Langzeitspeicherung von verschlüsselten oder signierten Daten bringt
viele zusätzliche Probleme mit sich. Hierbei muß nicht nur sichergestellt
werden, daß die Datenträger regelmäßig aufgefrischt werden und jederzeit
noch die technischen Komponenten zum Verarbeiten dieser zur Verfügung
stehen, sondern daß die verwendeten kryptographischen Algorithmen und die
Schlüssellänge noch dem Stand der Technik entsprechen. Bei der langfristigen
Archivierung von Daten kann es daher sinnvoller sein, diese unverschlüsselt
zu speichern und dafür entsprechend sicher zu lagern, also z. B. in Tresoren.
Die verwendeten Kryptomodule sollten vorsichtshalber immer archiviert
werden, da die Erfahrung zeigt, daß auch noch nach Jahren Daten auftauchen,
die nicht im Archiv gelagert waren.
Datensicherung der Konfigurationsdaten der eingesetzten Produkte
Bei komplexeren Kryptoprodukten sollte nicht vergessen werden, deren
Konfigurationsdaten zu sichern (siehe auch M 4.78 Sorgfältige Durchführung
von Konfigurationsänderungen). Die gewählte Konfiguration sollte dokumentiert sein, damit sie nach einem Systemversagen oder einer Neuinstallation
schnell wieder eingerichtet werden kann.
Ergänzende Kontrollfragen:
- Gibt es eine Vorgabe innerhalb des Unternehmens bzw. der Behörde zur
Hinterlegung von Schlüsselkopien?
- Wie wird sichergestellt, daß auf verschlüsselt gespeicherte Daten auch
nach längeren Zeiträumen noch zugegriffen werden kann?

_____________________________________________________________________ ..........................................
97

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.57
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.57

Erstellen eines Notfallplanes für den Ausfall des
Managementsystems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Auch ein Managementsystem kann aus verschiedenen Gründen ausfallen,
etwa durch einen Rechnerabsturz durch Software- oder Hardwarefehler, durch
einen Stromausfall oder Sabotage. Da Managementsysteme vor allem bei
größeren Systemen eingesetzt werden, sollten für diese Systeme sowohl ein
Notfallvorsorgekonzept wie in Kapitel 3.3 beschrieben als auch ein Datensicherungskonzept (siehe Kapitel 3.4) vorhanden sein.
Im Rahmen eines solchen Notfallvorsorgekonzeptes müssen dann auch für den
Ausfall des Managementsystems Regelungen festgelegt und dokumentiert
werden. Insbesondere sind Regelungen zu treffen, die Verhaltensrichtlinien
für den Ausfall der verschiedenen Managementsystemkomponenten
(Manager, Management Server, Managementkonsole) enthalten.
Desweiteren ist die Erstellung eines Wiederanlaufplanes für das Managementsystem insgesamt oder dessen Einzelkomponenten zwingend erforderlich.
Im Idealfall sollte ein automatisches Wiederanlaufen des Managementsystems
erfolgen. Im Rahmen der Datensicherung sollten für den Fall des
Datentotalverlustes (Plattencrash) Sicherungskopien der Managementsystemsoftware vorhanden sein. Der Aufbewahrungsort ist im Notfallhandbuch zu
vermerken. Ebenso sind dort die Kenntnisse zu vermerken, die benötigt
werden, um Zutritt oder Zugriff zum Aufbewahrungsort zu erhalten, z. B.
Namen und Telefonnummern der Mitarbeiter, die erforderliche
Tresorkombinationen oder Paßwörter kennen (siehe auch M 2.22 Hinterlegen
des Paßwortes).

_____________________________________________________________________ ..........................................
98

IT-Grundschutzhandbuch: Stand Juli 1999

M 6.58
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.58

Etablierung eines Managementsystems zur
Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Mit der zunehmenden Einbindung der IT in alle Abläufe einer Behörde oder
eines Unternehmens nimmt auch die Abhängigkeit von deren korrekten
Funktionieren immer weiter zu. Eine wichtige Aufgabe des IT-Sicherheitsmanagements ist daher die Vorbereitung auf den angemessenen Umgang mit
Sicherheitsvorfällen aller Art. Sicherheitsvorfälle können durch eine Vielzahl
von Ereignissen ausgelöst werden und z. B. zum Verlust der Verfügbarkeit,
Integrität und/oder Vertraulichkeit von Daten, einzelnen IT-Systemen oder des
gesamten Netzes führen.
Sicherheitsvorfälle, die im Rahmen des IT-Sicherheitsmanagements einer
besonderen Behandlung bedürfen, sind solche, die das Potential für große
Schäden besitzen. Sicherheitsprobleme, die nur lokal begrenzte und geringfügige Schäden verursachen oder verursachen können, sollten auch in der
lokalen Verantwortlichkeit gelöst werden, um das IT-Sicherheitsmanagement
nicht zu überlasten.
Die Behandlung von Sicherheitsvorfällen verfolgt als Teil des IT-Sicherheitsmanagements dabei folgende Ziele:

Ziele bei der Behandlung
von Sicherheitsvorfällen

- Reaktionsfähigkeit, damit Sicherheitsvorfälle und Sicherheitsprobleme
rechtzeitig bemerkt und an eine zuständige Stelle gemeldet werden,
- Entscheidungsfähigkeit, ob es sich um ein lokales Sicherheitsproblem oder
um einen Sicherheitsvorfall handelt,
- Handlungsfähigkeit, damit bei einem Sicherheitsvorfall die notwendigen
Maßnahmen kurzfristig ergriffen und umgesetzt werden,
- Schadensminimierung, in dem weitere potentiell betroffene Bereiche
rechtzeitig benachrichtigt werden und
- Effektivität, in dem die Fähigkeit zur Behandlung von Sicherheitsvorfällen
geübt und überwacht wird.
Um diese Ziele erreichen zu können, ist ein Managementsystem zur Behandlung von Sicherheitsvorfällen zu etablieren. Unbedingte Voraussetzung dafür
ist, dass die Behörden- oder Unternehmensleitung beteiligt wird und letztlich
das Managementsystem in Kraft setzt, um die notwendige Sensibilisierung für
IT-Sicherheit, die Vergabe von Entscheidungskompetenzen und die Unterstützung der Sicherheitsziele zu gewährleisten.

Beteiligung der
Leitungsebene

Zur Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfällen kann man sich an folgenden Schritten orientieren:
Schritt 1:

Berücksichtigung in der Sicherheitsleitlinie

Als Teil des IT-Sicherheitsmanagements sollte die Behandlung von Sicherheitsvorfällen in der Sicherheitsleitlinie bzw. im IT-Sicherheitskonzept der
Behörde bzw. des Unternehmens geregelt werden. Hier ist festzulegen, dass
Sicherheitsvorfälle und Sicherheitsprobleme von den Benutzern und

_____________________________________________________________________ ..........................................
99

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.58
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Betroffenen dem zuständigen Sicherheitsverantwortlichen gemeldet werden.
Darüber hinaus sind die Entscheidungsfindungswege zu beschreiben und die
Notwendigkeit zu motivieren. Mit der Aufnahme in die Sicherheitsleitlinie
wird gleichzeitig die Unterstützung der IT-Sicherheit durch die Behördenbzw. Unternehmensleitung manifestiert.
Schritt 2:

Festlegung von Verantwortlichkeiten

In diesem Schritt wird festgelegt, wer welche Verantwortung beim Auftreten
von Sicherheitsvorfällen hat. Verantwortung tragen dabei unter anderem
folgende Gruppen für die exemplarisch beschriebenen Aufgaben:
- IT-Benutzer: Meldung von Sicherheitsproblemen und -vorfällen
- IT-Administratoren: Entgegennahme von Meldungen und erste Entscheidungsvorbereitung zwischen Sicherheitsproblem und -vorfall sowie Einleitung der Eskalation
- Verantwortliche für IT-Anwendung: Beteiligung als Träger des Schutzbedarfs der betroffenen IT-Anwendung bei Entscheidungsfindung und
Maßnahmenauswahl
- IT-Sicherheitsbeauftragte bzw. IT-Sicherheitsmanagement: Entgegennahme von Meldungen und Entscheidungsfindung zwischen Sicherheitsproblem und -vorfall, Einschaltung des Eskalationswegs und Einleitung
notwendiger Maßnahmen
- Sicherheitsvorfall-Team: ein aus betroffenen IT-Administratoren, ITAnwendern, IT-Sicherheitsbeauftragten, Öffentlichkeitsarbeit und ggf.
Leitungsebene zusammengesetztes Team zur Abwicklung eines Sicherheitsvorfalls
- Öffentlichkeitsarbeit bzw. Pressestelle: bei Bedarf Vorbereitung der
Informationspolitik bezüglich des Sicherheitsvorfalls
- IT-Sicherheitsrevision: Überprüfung des Managementsystems und Nachbereitung eines Sicherheitsvorfalls
- Behörden-/Unternehmensleitung: Abschließende Entscheidungsfindung
Die Verantwortlichkeiten sind zu regeln und in Kraft zu setzen. Näheres ist in
Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen beschrieben.
Schritt 3:

Verhaltensregeln und Meldeweg bei Auftreten eines Sicherheitsvorfalls

Für die effektive Behandlung von Sicherheitsvorfällen ist entscheidend, dass
sich Betroffene richtig und besonnen verhalten und den Vorfall unverzüglich
weitermelden. Dazu sind die Verhaltensregeln (Ruhe bewahren, Meldepflicht,
Auskunftspflicht über Begleitumstände, etc.) zu fixieren und die IT-Benutzer
entsprechend zu schulen. Insbesondere ist dabei festzulegen, an wen ein ITSicherheitsproblem oder -vorfall gemeldet werden muss.
Für eine Reihe von typischerweise zu erwartenden Sicherheitsvorfällen (z. B.
Auftreten eines Computer-Virus, Datenmanipulation durch Innentäter,
Hackingversuche durch Außentäter, ...) können vorab Handlungsanweisungen

typische
Sicherheitsvorfälle im
Vorfeld berücksichtigen

_____________________________________________________________________ ..........................................
100

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.58
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

ausgearbeitet werden, was in einem solchen Fall zu tun ist. Dies beschleunigt
im Ernstfall die Reaktionen und trägt damit zur Schadensbegrenzung bei. Da
der Aufwand zur Erstellung dieser Handlungsoptionen nicht unerheblich ist,
sollte er auf die relevanten planbaren Bereiche beschränkt werden.
Ausführlich wird dieses Thema in der Maßnahme M 6.60 Verhaltensregeln
und Meldewege bei Sicherheitsvorfällen beschrieben.
Schritt 4:

Eskalationsstrategie bei Sicherheitsvorfällen

Je kritischer ein Sicherheitsvorfall ist, desto mehr Kompetenzen werden bei
der Behandlung des Sicherheitsvorfalls in der Regel benötigt. Dies kann so
weit führen, dass die Behörden- bzw. Unternehmensleitung informiert und
eingeschaltet werden muss, um notwendige Maßnahmen wie Verbot der
Informationsweitergabe, Einschaltung der Polizei, kostenträchtige Ersatzmaßnahmen etc. einleiten zu dürfen. Dazu bedarf es jedoch einer im Vorfeld
erarbeiteten Eskalationsstrategie, wer in welchen Fällen hinzuzuziehen ist.
Näheres dazu ist in Maßnahme M 6.61 Eskalationsstrategie für Sicherheitsvorfälle beschrieben.
Schritt 5:

Prioritätensetzung

Da ein Sicherheitsvorfall meist aus einer Verkettung verschiedener Ursachen
entsteht und auch Auswirkungen auf verschiedene betroffene IT-Anwendungsbereiche besitzt, sollten die zu treffenden Maßnahmen anhand einer
Prioritätenliste umgesetzt werden. Diese Prioritätensetzung hängt vom
Schutzbedarf, von den IT-Einsatzbereichen und -Anwendungen sowie von den
individuellen Abhängigkeiten der Behörde bzw. des Unternehmens ab. Analog
zur Schutzbedarfsfeststellung ist vorab eine Prioritätensetzung durchzuführen,
um festzulegen, in welcher Reihenfolge die aus einem Sicherheitsvorfall
resultierenden Schäden bearbeitet werden sollen (vgl. M 6.62 Festlegung von
Prioritäten für die Behandlung von Sicherheitsvorfällen).
Schritt 6:

Methodik zur Untersuchung und Bewertung von Sicherheitsvorfällen

Nach Eingang einer Meldung über eine sicherheitsrelevante Unregelmäßigkeit
muss zunächst entschieden werden, ob es sich um ein lokales Sicherheitsproblem oder um einen Sicherheitsvorfall mit ggf. zu erwartenden
größeren Schäden handelt. Für diese Entscheidung sind eine Reihe von
Einflussfaktoren (potentielle Schadenshöhe und Folgeschäden, Ursache,
betroffene IT-Systeme, notwendige Sofortmaßnahmen) zu erheben und zu
bewerten. Bei Bedarf sind gemäß einer Eskalationsstrategie die nächsten
Managementebenen einzubeziehen. Einzelheiten dazu finden sich in
Maßnahme M 6.63 Untersuchung und Bewertung eines Sicherheitsvorfalls.
Schritt 7:

Umsetzung von Maßnahmen zur Behebung von Sicherheitsvorfällen

Bei der Umsetzung der notwendigen Maßnahmen zur Behebung von Sicherheitsvorfällen ist zu beachten, dass diese Maßnahmen meist unter Zeitdruck
vollzogen werden. Daher kann nicht ausgeschlossen werden, dass durch diese
Maßnahmen neue Probleme entstehen. Als Folge dessen ist es sinnvoll, die
Umsetzung der Maßnahmen ausreichend zu dokumentieren. Darüber hinaus
sollte, vorsätzliches Handeln bei Sicherheitsvorfällen vorausgesetzt, auch die

_____________________________________________________________________ ..........................................
101

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.58
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Behandlung des "Täters" mitbedacht werden. Unter Umständen sind
personelle Konsequenzen zu überdenken. Näheres dazu findet man in M 6.64
Behebung von Sicherheitsvorfällen.
Schritt 8:

Benachrichtigung betroffener Stellen

Sollte sich herausstellen, dass ein Sicherheitsvorfall in den Auswirkungen
nicht nur auf die Behörde bzw. das Unternehmen oder einzelne Organisationsbereiche beschränkt ist, muss zur Schadensminimierung eine Benachrichtigung der evtl. betroffenen Stellen erfolgen. Dazu sollten vorab die
Kommunikationswege erhoben werden und eine Abhängigkeitsanalyse
durchgeführt worden sein, um die Benachrichtigung zu beschleunigen (siehe
M 6.65 Benachrichtigung betroffener Stellen).
Schritt 9:

Nachbereitung eines Sicherheitsvorfalls

Um den Lerneffekt eines eingetretenen Sicherheitsvorfalls nicht zu vernachlässigen, sollte für die Behandlung von Sicherheitsvorfälle die Nachbereitung
festgelegt werden. Oftmals lassen sich daraus Verbesserungen für den
Umgang mit Sicherheitsvorfällen herausarbeiten oder Rückschlüsse auf die
Wirksamkeit der IT-Sicherheitskonzeption ziehen. Dabei sind unter anderem
folgende Aspekte zu beachten:
- Reaktionszeit
- Bekanntheitsgrad des Meldewegs
- Wirksamkeit der Eskalationsstrategie
- Effektivität der Untersuchung
- Möglichkeiten der Benachrichtigung betroffener Stellen
Ausführlich behandelt wird dieses Thema in Maßnahme M 6.66 Nachbereitung von Sicherheitsvorfällen.
Schritt 10: Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle
Je schneller ein Sicherheitsvorfall entdeckt und gemeldet wird, umso
effektiver können Gegenmaßnahmen ergriffen werden. Hierbei kann es
sinnvoll sein, die technisch möglichen Detektionsmaßnahmen zu nutzen, um
Verzögerungen durch menschliches Handeln zu reduzieren. Hier sind insbesondere Viren-Suchprogramme, Auswertungen von Protokolldaten und
Intrusion Detection Systeme zu nennen. Die Identifikation und Aktivierung
dieser Maßnahmen sowie deren Meldewege werden in Maßnahme M 6.67
Einsatz von Detektionsmaßnahmen für Sicherheitsvorfälle beschrieben.
Schritt 11: Effizienzprüfung
Um die Effektivität eines Managementsystems zur Behandlung von Sicherheitsvorfällen messen zu können und um die notwendige Praxis dieser
Managementaufgaben zu fördern, sind Übungen bzw. Planspiele durchzuführen. Da dies eines erheblichen Personaleinsatzes bedarf und sich auf den
normalen Geschäftsablauf störend auswirken kann, sollte dies auf wichtige
Bereiche beschränkt werden. Weitere Anregungen finden sich in Maßnahme
M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von
Sicherheitsvorfällen.

_____________________________________________________________________ ..........................................
102

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.58
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Die Ergebnisse dieser Schritte sollten sinnvollerweise in einem "Konzept zur
Behandlung von Sicherheitsvorfällen" dokumentiert werden. Dieses Konzept
ist in regelmäßigen Abständen zu aktualisieren und in geeigneter Weise den
Betroffenen bekanntzugeben.

Konzept erstellen und
regelmäßig aktualisieren

Ergänzende Kontrollfragen:
- Gibt es klar definierte Abläufe und Regeln für die verschiedenen Arten von
Sicherheitsvorfällen?
- Sind die Verhaltensregeln und Meldewege bei Sicherheitsvorfällen
schriftlich fixiert?
- Sind diese allen Mitarbeitern bekannt?

_____________________________________________________________________ ..........................................
103

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.59
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.59

Festlegung von Verantwortlichkeiten bei
Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um die Verantwortlichkeiten zur Behandlung von Sicherheitsvorfällen festzulegen, bietet es sich an, sich am imaginären zeitlichen Ablauf eines Sicherheitsvorfalls zu orientieren. Für die handelnden Personengruppen ist dabei
festzulegen, welche Aufgaben und Kompetenzen sie haben und auf welche Art
sie verpflichtet bzw. unterrichtet werden. Beispielhaft soll dies für einige der
typischerweise betroffenen Gruppen beschrieben werden.

Aufgaben und Kompetenzen festlegen

IT-Benutzer
Aufgabe:
Sobald IT-Benutzer eine sicherheitsrelevante Unregelmäßigkeit bemerken,
müssen sie die entsprechenden Verhaltensregeln einhalten und die
Unregelmäßigkeit melden.
Kompetenz:
IT-Benutzer müssen entscheiden, welcher Meldeweg in dem vorliegenden
Fall einzuschlagen ist (vgl. M 6.60 Untersuchung und Bewertung eines
Sicherheitsvorfalls).
Verpflichtung / Unterrichtung:
Jeder IT-Benutzer sollte über die Sicherheitsleitlinie des Hauses verpflichtet werden, sicherheitsrelevante Unregelmäßigkeiten zu melden. Darüber
hinaus sollten alle Benutzer schriftliche Handlungsanweisungen ausgehändigt bekommen, wie sie sich zu verhalten haben und an wen welche
Vorfälle zu melden sind.
IT-Administrator
Aufgabe:
Der IT-Administrator erhält in diesem Zusammenhang die Aufgabe,
Meldungen über sicherheitsrelevante Unregelmäßigkeiten, die mit den von
ihm betreuten IT-Systemen verbunden sind, entgegenzunehmen.
Anschließend hat er zu entscheiden, ob er selbst diese Unregelmäßigkeit
behebt oder ob er die nächst höhere Eskalationsebene zu unterrichten hat.
Kompetenz:
Ein Administrator muss entscheiden können, ob ein Sicherheitsproblem
vorliegt, ob er dieses eigenverantwortlich beheben kann, ob er sofort
andere Personen hinzuzieht (entsprechend dem Eskalationsplan) und wen
er informiert.
Verpflichtung / Unterrichtung:
Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von
Sicherheitsvorfällen festgelegt werden.

_____________________________________________________________________ ..........................................
104

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.59
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

IT-Sicherheitsbeauftragter / IT-Sicherheitsmanagement
Aufgabe:
Der IT-Sicherheitsbeauftragte nimmt Meldungen über Sicherheitsvorfälle
entgegen. Er führt die Untersuchung und Bewertung des Vorfalls durch. Er
wählt notwendige Maßnahmen aus und veranlasst deren Umsetzung,
soweit dies nicht seinen Kompetenzbereich überschreitet. Bei Bedarf ruft
er ein Sicherheitsvorfall-Team zusammen bzw. unterrichtet zur Eskalation
die Leitungsebene.
Kompetenz:
Er ist befugt, die Bewertung eines Sicherheitsvorfalls durchzuführen, einen
Vorfall weiter zu eskalieren. Darüber hinaus sind ihm finanzielle und
personelle Ressourcen (z. B. 100.000 DM und 2 Personenmonate)
zugebilligt, die er zur Behebung von Vorfällen selbständig einsetzen darf.
Verpflichtung / Unterrichtung:
Das IT-Sicherheitsmanagement erarbeitet das Konzept zur Behandlung von
Sicherheitsvorfällen. Daher sollten alle IT-Sicherheitsbeauftragten über
ihre Aufgaben und Kompetenzen bei der Behandlung von Sicherheitsvorfällen informiert sein.
IT-Sicherheitsrevision
Aufgabe:
Der IT-Sicherheitsrevision kann die Aufgabe übertragen werden, in
Abständen die Wirksamkeit des Managementsystems für Sicherheitsvorfälle zu prüfen. Darüber hinaus kann sie beauftragt werden, bei der
Nachbereitung von Sicherheitsvorfällen mitzuwirken.
Kompetenz:
In Absprache mit der Leitungsebene können genannte Prüfungen initiiert
und durchgeführt werden.
Verpflichtung / Unterrichtung:
Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von
Sicherheitsvorfällen festgelegt werden.
Öffentlichkeitsarbeit / Pressestelle
Aufgabe:
Die Information der Öffentlichkeit sollte bei schwerwiegenden Sicherheitsvorfällen ausschließlich durch die Pressestelle erfolgen. Dabei sollte
der Vorfall nicht beschönigt oder verharmlost, sondern sachlich dargestellt
werden, um keinen Imageverlust bei gegenteiligen Informationen zu
erleiden.
Kompetenz:
Die Pressestelle muss Informationen über den Sicherheitsvorfall zusammen
mit den technischen Experten aufbereiten und mit der Leitungsebene vor
der Weitergabe abstimmen.

_____________________________________________________________________ ..........................................
105

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.59
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Verpflichtung / Unterrichtung:
Dies sollte in der Stellenbeschreibung und im Konzept zur Behandlung von
Sicherheitsvorfällen festgelegt werden.
Behörden-/Unternehmensleitung
Aufgabe:
Sie wird bei schwerwiegenden Sicherheitsvorfällen unterrichtet und ggf.
mit der Entscheidungsfindung konfrontiert.
Kompetenz:
Als die die Gesamtverantwortung tragende Stelle kann sie die Verantwortung an oben genannte Gruppen delegieren. Darüber hinaus kann sie
Polizei und Strafverfolgungsbehörden einschalten, wenn der Verdacht auf
kriminelle Handlungen besteht.
Verpflichtung / Unterrichtung:
Die Behörden- bzw. Unternehmensleitung muss dem Konzept zur Behandlung von Sicherheitsvorfällen und den darauf aufbauenden Eskalationsplänen zustimmen. Dabei wird die Leitungsebene auch über ihre Rolle bei
der Behandlung von Sicherheitsvorfällen unterrichtet.
Sicherheitsvorfall-Team
Neben diesen Gruppen kann es bei einem schwierigen oder schwerwiegenden
Sicherheitsvorfall notwendig sein, zu dessen Behandlung ein Sicherheitsvorfall-Team zeitlich befristet einzuberufen. Dies wird üblicherweise vom ITSicherheitsbeauftragten initiiert, der ggf. die Leitungsebene vorab beteiligt.
Auch wenn das Sicherheitsvorfall-Team nur für einen konkreten Sicherheitsvorfall zusammentritt, müssen bereits im Vorfeld dessen Mitglieder benannt
und in ihre Aufgaben eingewiesen sein, damit die Reaktion auf den Sicherheitsvorfall schnellstmöglich erfolgen kann. Die Mitglieder des Sicherheitsvorfall-Teams sollten befugt sein, die ihnen übertragenen Aufgaben eigenverantwortlich durchzuführen. Die hierzu erforderlichen Regelungen sind
schriftlich festzuhalten und von der Behörden- bzw. Unternehmensleitung zu
autorisieren. Insbesondere ist festzulegen, wer die Leitung dieses Teams
übernimmt.

Mitglieder benennen und
Aufgaben festlegen

Zu einem Sicherheitsvorfall-Team können (je nach Art des Sicherheitsvorfalls) beispielsweise gehören:
- Behörden-/Unternehmensleitung
- IT-Sicherheitsmanagement / IT-Sicherheitsbeauftragter
- Leiter IT
- Pressestelle
- Datenschutzbeauftragter
- Justitiar
- Personalrat/Betriebsrat

_____________________________________________________________________ ..........................................
106

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.59
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Falls es erforderlich ist, müssen weitere Bereiche hinzugezogen werden, wie
z. B.
- die betroffenen Fachabteilungen (Leiter, IT-Verfahrensverantwortlicher),
- IT-Administratoren,
- die Bereiche Beschaffung, Haustechnik, Innerer Dienst, Organisation,
Personal und
- Brandschutzbeauftragter.
Es sollte im Vorfeld abgeklärt sein, wie mit der im Rahmen von Sicherheitsvorfällen anfallenden Mehrarbeit umzugehen ist, also ob die Arbeitszeitregelungen der Behörde bzw. des Unternehmens um Ausnahmeregelungen für
Mehrarbeit, Wochenendarbeit, etc. bei Sicherheitsvorfällen erweitert werden
muss. Darüber hinaus ist auch sicherzustellen, dass dieses Team bei Bedarf
auch die Diensträume außerhalb der regulären Arbeitszeit nutzen kann.

Regelungen für
Mehrarbeit

Ergänzende Kontrollfragen:
- Ist ein Sicherheitsvorfall-Team benannt worden?
- Sind die betroffenen Mitglieder des Teams in ihre Aufgaben eingewiesen
worden?
- Wer koordiniert welche Maßnahmen?
- Wann wurde der Aufbau des Katastrophen-Management-Teams zuletzt
aktualisiert?

_____________________________________________________________________ ..........................................
107

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.60
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.60

Verhaltensregeln und Meldewege bei
Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Viele Sicherheitsvorfälle werden erst durch falsche Reaktionen zu einem
größeren Problem, wenn überhastet Entscheidungen getroffen werden,
beispielsweise wenn spontan Daten gelöscht werden, die zum Nachvollziehen
des Ereignisses notwendig gewesen wären.
Zu unterscheiden ist hierbei zwischen allgemeingültigen Verhaltensregeln, die
für sämtliche vorstellbaren Sicherheitsvorfälle gelten, und den IT-spezifischen
Verhaltensregeln. Folgende allgemeingültige Verhaltensregeln können für alle
Arten von sicherheitsrelevanten Unregelmäßigkeiten festgehalten werden:
- Alle Beteiligten sollten Ruhe bewahren und keine übereilten Maßnahmen
ergreifen.

Keine Panik!

- Unregelmäßigkeiten sollten gemäß eines Meldeplans unverzüglich
gemeldet werden.

Geordnet vorgehen!

- Gegenmaßnahmen dürfen erst nach Aufforderung durch Berechtigte
ergriffen werden.
- Alle Begleitumstände sind ungeschönt, offen und transparent zu erläutern,
um damit zur Schadensminderung beizutragen.

Nichts verschleiern!

- Es sollte eine erste auf den persönlichen Erfahrungen beruhende Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der potentiell intern
und extern Betroffenen und möglicher Konsequenzen abgegeben werden.

Einschätzung des
Schadens

- Informationen über den Sicherheitsvorfall dürfen nicht unautorisiert an
Dritte weitergegeben werden.
Diese allgemeinen Verhaltensregeln müssen in geeigneter Weise allen
potentiell betroffenen Angehörigen einer Behörde bzw. eines Unternehmens
bekanntgegeben werden.
Darüber hinaus können spezifische Verhaltensregeln an die Betroffenen
weitergegeben werden, insbesondere an diejenigen, die als Meldestellen für
Sicherheitsvorfälle fungieren und die ersten Entscheidungen fällen bzw. die
ersten Maßnahmen ergreifen sollen. Dazu gehören die IT-Administratoren, die
IT-Anwendungsverantwortlichen und das IT-Sicherheitsmanagement. Zu
diesen Verhaltensregeln zählen die in den folgenden Maßnahmen
beschriebenen:
-

M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus

-

M 6.31 Verhaltensregeln nach Verlust der Systemintegrität

-

M 6.48 Verhaltensregeln nach Verlust der Datenbankintegrität

-

M 6.54 Verhaltensregeln nach Verlust der Netzintegrität

Verhaltensregeln
bekannt geben

_____________________________________________________________________ ..........................................
108

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.60
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Neben der Festlegung der Verhaltensregeln sind auch die Meldewege zu
definieren. Hier bietet sich folgendes Muster an:
- Bei Gefährdungen höherer Gewalt wie Feuer, Wasser, Stromausfall,
Einbruch und Diebstahl sind die örtlich verfügbaren Einsatzkräfte zu
unterrichten (Feuerwehr, Haustechnik, Pforte, Wachdienst, ...).
- Bei hardware-technischen Problemen oder bei Unregelmäßigkeiten bei
Betrieb der IT-Systeme ist der zuständige IT-Administrator zu benachrichtigen.
- Bei vermuteten vorsätzlichen Handlungen und bei ansonsten nicht zuzuordnenden Ereignissen (z. B. Datenmanipulationen, unerlaubter Ausübung
von Rechten, Spionage- und Sabotageverdacht) ist der IT-Sicherheitsbeauftragte bzw. das IT-Sicherheitsmanagement zu benachrichtigen.
Wichtig ist hier insbesondere, dass allen Mitarbeitern die Ansprechpartner und
die Meldewege für alle Arten von Sicherheitsvorfällen bekannt sind. Hierzu
könnte z. B. im internen Telefonverzeichnis oder im Intranet eine Liste mit
Namen, Telefonnummern und E-Mailadressen der jeweiligen Ansprechpartner
enthalten sein. Es darf jedoch weder schwierig noch zeitaufwendig sein,
Verdachtsfälle weiterzumelden. Dafür müssen schnelle und sichere
Kommunikationsverbindungen
bereitstehen.
Die
Authentizität
des
Kommunikationspartners und die Vertraulichkeit der über den Verdachtsfall
gemeldeten Informationen ist sicherzustellen.

Meldewege bekannt
geben

Es sollten auch alle Mitarbeiter darüber informiert sein, dass Auskünfte über
den Sicherheitsvorfall gegenüber Dritten nur über das IT-Sicherheitsmanagement erfolgen dürfen (siehe M 6.65 Benachrichtigung betroffener
Stellen).
Durch Übungen sollte auch sporadisch überprüft werden, ob die Verhaltensregeln für Sicherheitsvorfälle angemessen und durchführbar sind und ob sie
allen Mitarbeitern bekannt sind (siehe auch M 6.68 Effizienzprüfung des
Managementsystems zur Behandlung von Sicherheitsvorfällen).

Übungen durchführen

Besonders bei Sicherheitsvorfällen zeigt es sich immer wieder, wie wichtig
ein gutes Betriebsklima und eine gesunde Kommunikationskultur sind, damit
Sicherheitsvorfälle auch umgehend weitergemeldet und offen angegangen
werden (siehe auch M 3.8 Vermeidung von Störungen des Betriebsklimas).
Ein Beispiel, wie die Verhaltensregeln und der Meldeplan jedem betroffenen
Mitarbeiter bekanntgegeben werden können, ist ein von der Behörden- bzw.
Unternehmensleitung unterzeichnetes Informationsblatt, auf dem die
wichtigsten Informationen zusammengefasst sind und das am Arbeitsplatz und
ergänzend im Intranet vorgehalten werden kann. Ein Beispiel für ein solches
Informationsblatt findet sich unter den Hilfsmitteln auf der CD-ROM zum ITGrundschutzhandbuch (Verzeichnis ...\HILFSMI\15VERHAL.DOC). Damit
die Information im Ernstfall auch tatsächlich verfügbar ist, ist es nicht
sinnvoll, diese nur in elektronischer Form zu verbreiten, da dann auch genau
diese Information vom Sicherheitsvorfall betroffen sein könnte.

Merkblatt mit Meldeplan
und den wichtigsten
Verhaltensregeln

Alle Informationsblätter zu potentiellen Sicherheitsvorfällen müssen bei jeder
relevanten Änderung in der Organisation sofort aktualisiert werden, damit die

_____________________________________________________________________ ..........................................
109

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.60
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

dort beschriebenen Verhaltensregeln noch greifen und die Meldewege korrekt
sind.
Ergänzende Kontrollfragen:
- Gibt es klar definierte Verhaltensregeln für die verschiedenen Arten von
Sicherheitsvorfällen?
- Sind diese allen Mitarbeitern bekannt?
- Wann wurde diese Information letztmalig aktualisiert?

_____________________________________________________________________ ..........................................
110

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.61
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.61

Eskalationsstrategie für Sicherheitsvorfälle

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Nachdem die Verantwortlichkeiten für Sicherheitsvorfälle geregelt sind (siehe
M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen) und die
Verhaltensregeln und Meldewege allen Betroffenen bekanntgegeben worden
sind (siehe M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen),
ist als Nächstes zu regeln, wie mit eingegangenen Meldungen weiter verfahren
wird.
Derjenige, der eine Meldung über einen Sicherheitsvorfall erhalten hat, muss
diesen zunächst untersuchen und bewerten (siehe auch M 6.63). Falls es sich
tatsächlich um einen Sicherheitsvorfall handelt, müssen weitere Maßnahmen
ergriffen werden. Dabei stellen sich folgende Fragen:
- Wer ist im Fall einer Eskalation, also der Ausweitung der Aktionskette, zu
unterrichten?
- In welchen Fällen ist eine sofortige Eskalation vorzunehmen?
- Unter welchen Umständen ist ansonsten eine Eskalation durchzuführen?
- Wann wird diese Eskalation vorgenommen (sofort, am nächsten Tag, am
nächsten Werktag)?
- Über welche Medien wird die Meldung weitergegeben?
Die Antworten zu diesen Fragen sind in einer Eskalationsstrategie festzulegen
und bekanntzugeben. Die Eskalationsstrategie kann in drei Schritten erstellt
werden:
Schritt 1: Festlegung der Eskalationswege
Wer für die Behandlung von Sicherheitsvorfällen verantwortlich ist, wurde in
Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen festgelegt. In der Festlegung des Eskalationsweges ist zu definieren,
wer an wen eine Meldung weitergibt. Dies lässt sich in einfacher Weise durch
einen gerichteten Graphen veranschaulichen. Dabei sollten sowohl die
regulären Eskalationswege als auch der Vertretungsfall berücksichtigt werden.

Wer informiert wen?

_____________________________________________________________________ ..........................................
111

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.61
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Beispiel:

Vorstand

Vorstandsbereich IT

IT-Sicherheitsbeauftragter

Leiter IT

lokaler IT-SicherIT-Administrator heitsbeauftragter

Virenschutzbeauftragter

Pförtner

IT-Benutzer
Meldeweg
Ersatzweg
Schritt 2: Entscheidungshilfe für Eskalation
In diesem Schritt ist zunächst festzulegen, in welchen Fällen eine sofortige
Eskalation ohne weitere Untersuchungen und Bewertungen durchgeführt
werden sollte. Ein Beispiel für eine tabellarische Aufstellung ist:
Ereignis

sofortige Unterrichtung von

Infektion mit einem Computer-Virus

Virenschutzbeauftragter, Administrator

Brand

Pförtner, Feuerwehr

Vorsätzliche Handlungen und vermutete kriminelle Handlungen

IT-Sicherheitsbeauftragter

Verdacht auf Werksspionage

IT-Sicherheitsbeauftragter, Vorstand

Notwendigkeit, Polizeien und Strafverfolgungsbehörden einzuschalten

Vorstand

Existenzbedrohende Schäden

Vorstand

Wer muss wie schnell
informiert werden?

_____________________________________________________________________ ..........................................
112

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.61
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Anschließend ist für die restlichen Fälle vorzugeben, wann eine Eskalation
stattzufinden hat. Gründe dafür können sein:
- Die zu erwartende Schadenshöhe übertrifft den Verantwortungsbereich der
Stelle, die die Meldung entgegengenommen hat.
- Die Kosten und Ressourcen für die Schadensregulierung übertreffen deren
Kompetenzbereich.
- Die Komplexität des Sicherheitsvorfalls übersteigt deren Kompetenz- bzw.
Zuständigkeitsbereich.
Schritt 3: Art und Weise der Eskalation
Hierbei ist festzulegen, auf welche Weise die jeweils nächste Stelle in der
Eskalationskette unterrichtet werden soll. Möglichkeiten dazu sind:

Wie wird alarmiert?

- persönliche Vorsprache
- schriftlicher Bericht
- E-Mail
- Telefon, Handy
- Bote mit verschlossenem Umschlag
Ebenso ist festzulegen, wann diese Meldung weitergegeben wird. Beispiele
sind:
- bei Ereignissen, die eine sofortige Weitergabe erfordern: sofort innerhalb
einer Stunde.
- bei Ereignissen, die Sofortmaßnahmen erforden: sofort innerhalb einer
Stunde.
- bei Ereignissen, die zwar beherrscht werden, aber einer Unterrichtung der
nächsten Eskalationsstufe erfordern: am nächsten Werktag.
Diese Eskalationsstrategie sollten alle möglichen Empfänger von Meldungen
über Sicherheitsvorfälle erhalten, um zügige Reaktionen zu ermöglichen.
Zur Eindämmung eines Sicherheitsvorfalls ist im Allgemeinen kurzfristiges
Handeln erforderlich. Eventuell müssen Mitarbeiter aus anderen Projekten
abgerufen oder auch außerhalb der Arbeitszeit herangezogen werden. Daher
muss auch geregelt sein, wie mit der anfallenden Mehrarbeit umzugehen und
wie eine Rufbereitschaft geregelt ist (siehe auch M 6.59 Festlegung von
Verantwortlichkeiten bei Sicherheitsvorfällen).

Regelungen für
Mehrarbeit

Ergänzende Kontrollfragen:
- Wann wurde die Eskalationsstrategie letztmalig aktualisiert?
- Wurden die Eskalationswege in Übungen erprobt?

_____________________________________________________________________ ..........................................
113

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.62
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.62

Festlegung von Prioritäten für die Behandlung
von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement

IT-Sicher-

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Ein Sicherheitsvorfall entsteht erfahrungsgemäß durch eine Verkettung
verschiedener Ursachen. Daraus ergibt sich meist, dass die resultierenden
potentiellen Schäden verschiedenen Schadenskategorien zugerechnet werden
können (zum Beispiel Beeinträchtigung der persönlichen Unversehrtheit,
negative Außenwirkung, finanzielle Auswirkungen, vgl. Schutzbedarfsfeststellung Kapitel 2.2). Daher ist es wichtig, die Prioritäten für die Problembeseitigung möglichst vorab festzulegen. Von dieser Prioritätensetzung hängt
unter anderem ab, in welcher Reihenfolge die Probleme angegangen werden
sollen.
Eine Prioritätensetzung hängt dabei stark von den Gegebenheiten der jeweiligen Organisation ab. Für die Prioritätensetzung sind folgende Fragen zu
bearbeiten:

Sicherheitsvorfälle
stehen in Konkurrenz zu
anderen Problemen

- Welche Schadenskategorien sind für die Organisation relevant?
- In welcher Reihenfolge sollten Schäden der einzelnen Schadenskategorien
behoben werden?
Hilfestellung für die Bearbeitung der Fragen bietet eine nach IT-Grundschutz
(vgl. Kapitel 2.2) durchgeführte Schutzbedarfsfeststellung. In dieser Schutzbedarfsfeststellung werden die für die Organisation relevanten Schadenskategorien definiert.
Beispiel: Relevante Schadenskategorien sind:
-

Verstoß gegen Gesetze, Vorschriften oder Verträge
Beeinträchtigung des informationellen Selbstbestimmungsrechts
Beeinträchtigung der persönlichen Unversehrtheit
Beeinträchtigung der Aufgabenerfüllung
Negative Außenwirkung
Finanzielle Auswirkungen

Wie schwerwiegend sind
die Schäden?

Ebenso wird im Rahmen der Schutzbedarfsfeststellung eine Definition
erarbeitet, wie zu jeder Schadenskategorie die Schadenshöhe definiert wird.
Beispiel: Schadensdefinition Finanzielle Auswirkungen
Schadenskategorie Finanzielle Auswirkungen
Schaden mittel

Schaden kleiner 25.000.- DM

Schaden hoch

Schaden zwischen 25.000.- und
5.000.000.- DM

Schaden sehr hoch

Schaden höher als 5.000.000.- DM

_____________________________________________________________________ ..........................................
114

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.62
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Anhand dieser Kategorien und Schadenshöhenbestimmung kann man die
Prioritätensetzung wie folgt durchführen. In einer Tabelle werden in der ersten
Spalte die Schadenskategorien aufgeführt. Die drei anschließenden Spalten
erhalten als Überschrift die Schadenshöhen mittel, hoch und sehr hoch.
Anschließend wird jeder Kombination von Schadenskategorie und
Schadenshöhe eine Priorität zugeordnet. Die Prioritätensetzung kann einerseits
durch eine Prioritätenklassifizierung mit Einteilungen wie

Priorisierung in drei
Stufen oder durch
Reihenfolge

1 = besonders wichtig,
2 = wichtig,
3 = nachrangig
oder durch die Festlegung einer Reihenfolge stattfinden.
Beispiel:
Betrachtet wird als Organisation eine Stadtverwaltung, die dem Bürger ihre
Dienstleistungen auch über das Internet anbietet. Dazu kann der Bürger
Anträge per E-Mail an die Stadtverwaltung senden und über das Internet die
Bearbeitungsfortschritte seines Antrags beobachten. Als Informationsdienst
bietet diese Stadtverwaltung einen Internet-Server an.
Beispielergebnis mit Prioritätenklassifizierung:
Schadenskategorie

Schaden
mittel

Schaden
hoch

Schaden
sehr hoch

Verstoß gegen Gesetze, Vorschriften
oder Verträge

2

2

2

Beeinträchtigung des informationellen Selbstbestimmungsrechts

2

2

1

Beeinträchtigung der persönlichen
Unversehrtheit

2

1

1

Beeinträchtigung der Aufgabenerfüllung

3

3

2

Negative Außenwirkung

3

2

1

Finanzielle Auswirkungen

3

3

2

_____________________________________________________________________ ..........................................
115

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.62
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Beispielergebnis mit Prioritätensetzung durch Reihenfolge:
Schadenskategorie

Schaden
mittel

Schaden
hoch

Schaden
sehr hoch

Verstoß gegen Gesetze, Vorschriften
oder Verträge

13

12

11

Beeinträchtigung des informationellen Selbstbestimmungsrechts

8

6

3

Beeinträchtigung der persönlichen
Unversehrtheit

5

2

1

Beeinträchtigung der Aufgabenerfüllung

15

14

7

Negative Außenwirkung

17

9

4

Finanzielle Auswirkungen

18

16

10

Diese Prioritätensetzung muss durch die Behörden- bzw. Unternehmensleitung gebilligt und in Kraft gesetzt werden. Die Prioritätensetzung ist allen
Entscheidungsträgern bei der Behandlung von Sicherheitsvorfällen bekanntzugeben.

Genehmigung durch die
Leitungsebene

Tritt ein Sicherheitsvorfall ein, so kann die Prioritätensetzung wie folgt
verwendet werden. Nach der Untersuchung und Bewertung des Sicherheitsvorfalls kann eingeschätzt werden, welche Schäden zu erwarten wären. Diese
Schäden können den bekannten Schadenskategorien zugeordnet werden.
Anschließend sind diese Schäden in die Klassen "mittel", "hoch" und "sehr
hoch" einzuteilen. Aus der tabellarischen Übersicht der Prioritätensetzung
kann dann abgelesen werden, in welcher Reihenfolge die einzelnen Schäden
behoben werden sollten. Hierbei sollte allerdings beachtet werden, dass die
vorab vorgenommene Prioritätensetzung nur eine erste Orientierung bietet.
Gegebenenfalls muss sie im individuellen Fall angepasst werden.
Beispiel:
Angenommen wird, dass es in der obigen Beispiel-Stadtverwaltung einem
Hacker gelungen ist, die Informationen auf dem Internet-Informationsserver
zu manipulieren, so dass die Stadtverwaltung verunglimpft wird. Dies wird
frühzeitig bemerkt, das IT-Sicherheitsmanagement eingeschaltet und die obige
Schadenseinschätzung durchgeführt. Diese hätte zum Ergebnis, dass folgende
Schäden zu erwarten sind:

_____________________________________________________________________ ..........................................
116

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.62
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Schadenskategorie
Verstoß gegen Gesetze, Vorschriften
oder Verträge

Schaden
mittel

Schaden
hoch

Schaden
sehr hoch

S1

Beeinträchtigung des informationellen Selbstbestimmungsrechts
Beeinträchtigung der persönlichen
Unversehrtheit
Beeinträchtigung der Aufgabenerfüllung

S2

Negative Außenwirkung
Finanzielle Auswirkungen

S3
S4

Den Schäden S1, ..., S4 werden anhand der Prioritätensetzung folgende
Prioritäten zugeordnet:
Prioritätenklassifizierung: S1 = 2, S2 = 3, S3 = 1, S4 = 3
Prioritätenreihenfolge: S1 = 13, S2 = 15, S3 = 4, S4 = 18
In beiden Fällen würde deutlich, dass die Anstrengungen der Schadensbegrenzung sich zunächst auf den Schaden S3 (negative Außenwirkung)
konzentrieren müssten, bevor die anderen Schäden angegangen würden. Im
Beispiel würde man, um die negative Außenwirkung zu begrenzen, den manipulierten Internet-Server vom Netz nehmen, um anschließend weitere
Maßnahmen zu ergreifen. Hätte man die Schäden der negativen Außenwirkung niedriger priorisiert und hingegen die Beeinträchtigung der
Aufgabenerfüllung in den Vordergrund gestellt, würde man gegebenenfalls
von der Abschaltung des Internet-Servers als Sofortmaßnahme absehen.
Ergänzende Kontrollfragen:
- Ist die getroffene Prioritätensetzung mit der Behörden- bzw. Unternehmensleitung abgestimmt?
- Ist die Prioritätensetzung allen Entscheidungsträgern des Managementsystems zur Behandlung von Sicherheitsvorfällen bekannt?
- Wann wurde die Prioritätensetzung aktualisiert?

_____________________________________________________________________ ..........................................
117

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.63
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.63

Untersuchung und Bewertung eines
Sicherheitsvorfalls

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, IT-Administrator,
IT-Anwendungsverantwortlicher,
Sicherheitsvorfall-Team
Nicht jeder Sicherheitsvorfall ist unmittelbar als solcher zu erkennen. Viele
Sicherheitsvorfälle, insbesondere wenn es sich um gezielte vorsätzliche
Angriffe auf IT-Systeme handelt, fallen erst nach Tagen oder Wochen auf.
Oftmals kommt es auch zu Fehlalarmen, z. B. weil Hard- oder SoftwareProbleme als Infektion mit Computer-Viren fehlinterpretiert werden.
Um jedoch eine sicherheitsrelevante Unregelmäßigkeit untersuchen und
bewerten zu können, muss vorausgesetzt werden können, dass bestimmte
Vorabfeststellungen schon durchgeführt wurden. Dazu zählen
- die Erhebung der vorhandenen IT-Struktur und IT-Vernetzung,
- die Erhebung der Ansprechpartner bzw. Benutzer der IT-Systeme,
- die Erhebung der IT-Anwendungen auf den jeweiligen IT-Systemen und
- die Schutzbedarfsfeststellung der IT-Systeme.
Diese Untersuchungen werden im ersten Schritt der Anwendung des ITGrundschutzhandbuchs durchgeführt (siehe Kapitel 2.2) und müssten daher
dem IT-Sicherheitsmanagement im Ergebnis vorliegen.
Anhand dieser Informationen kann bei einer eingehenden Meldung kurzfristig
entschieden werden, welches IT-System mit welchen IT-Anwendungen und
mit welchem Schutzbedarf betroffen ist. Gleichzeitig ist bekannt, wer als
Ansprechpartner benannt ist und kurzfristig zur Entscheidungsfindung hinzugezogen werden kann.

Was ist alles betroffen?

Stellt sich dabei heraus, dass ein IT-System oder eine IT-Anwendung mit
einem hohen Schutzbedarf betroffen ist, so liegt ein Sicherheitsvorfall vor und
die festgelegten Schritte zu dessen Behandlung sind einzuleiten. Sind
hingegen nur IT-Anwendungen und IT-Systeme mit geringem Schutzbedarf
betroffen, kann versucht werden, das Sicherheitsproblem lokal zu beheben.
Zeichnet es sich ab, dass der Sicherheitsvorfall schwerwiegende Folgen haben
könnte und eine hinreichend große Komplexität besitzt, kann es sinnvoll sein,
das Sicherheitsvorfall-Team (siehe M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen) kurzfristig einzuberufen.

Mobilisieren des
Sicherheitsvorfall-Teams

Zur Untersuchung und Bewertung des Sicherheitsvorfalls sind als Nächstes
folgende Einflussfaktoren zu erheben:
- Welche IT-Systeme und IT-Anwendungen können von dem Sicherheitsvorfall zusätzlich betroffen sein?
- Können Folgeschäden auch durch die Vernetzung der IT-Systeme
entstehen?

_____________________________________________________________________ ..........................................
118

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.63
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

- Für welche IT-Systeme und IT-Anwendungen können Schäden und Folgeschäden ausgeschlossen werden?
- Wie hoch kann der durch den Sicherheitsvorfall verursachte direkte
Schaden oder Folgeschaden sein? Dabei ist insbesondere die Abhängigkeit
der verschiedenen IT-Systeme und IT-Anwendungen zu beachten.
- Wodurch wurde der Sicherheitsvorfall ausgelöst (z. B. durch Unachtsamkeit, Angreifer oder Ausfall der Infrastruktur)?
- Wann und an welcher Stelle hat sich der Sicherheitsvorfall ereignet? Dies
kann auch weit vor der ersten Beobachtung des Sicherheitsvorfalls liegen.
Auch bei dieser Untersuchung sind gut geführte Protokolldateien eine
wertvolle Hilfe, aber nur, wenn man sich darauf verlassen kann, dass sie
nicht manipuliert worden sind.

Protokolle zu Rate
ziehen

- Sind durch den Sicherheitsvorfall nur interne IT-Benutzer oder auch
externe Dritte betroffen?
- Wie viele Informationen über den Sicherheitsvorfall sind bereits an die
Öffentlichkeit gedrungen?
Stellt sich dabei heraus, dass der Sicherheitsvorfall schwerwiegende Folgen
nach sich ziehen kann, ist zumindest die nächste Eskalationsebene zu
beteiligen.
Nach dieser Erhebung der Einflussfaktoren sind die Handlungsoptionen zu
erarbeiten, die aus Sofortmaßnahmen und ergänzenden Maßnahmen bestehen.
Hierbei sind die getroffenen Prioritätenfestlegungen zu beachten (siehe
M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen). Dazu ist auch die notwendige Zeit für die Durchführung dieser
Maßnahmen und die erforderlichen Kosten und Ressourcen für die Problembehebung und Wiederherstellung abzuschätzen.

Aktionen festlegen

Übersteigen Schadenshöhe, Zeit und Kosten eine vorbestimmte Grenze, ist
vor der Entscheidung über die Maßnahmenauswahl die nächsthöhere Eskalations- und Entscheidungsebene miteinzubeziehen. Im Ergebnis liegen nach
einer so strukturierten Untersuchung und Bewertung eines Sicherheitsvorfalls
die Handlungsoptionen vor.
Ergänzende Kontrollfragen:
- Liegen die erforderlichen Informationen aus der Schutzbedarfsfeststellung
den Meldestellen und den nachfolgenden Eskalationsebenen vor?
- Sind Hilfsmittel vorhanden, um die Auswertung von Sicherheitsvorfällen
technisch zu unterstützen, beispielsweise Tools zur Auswertung von
Protokolldaten?

_____________________________________________________________________ ..........................................
119

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.64
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.64

Behebung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement,
Administrator

Leiter

IT,

Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, sollten
die erforderlichen Maßnahmen zu dessen Behebung ausgewählt und umgesetzt werden. Dazu muss zunächst das Problem eingegrenzt und beseitigt
werden und anschließend der "normale" Zustand wiederhergestellt werden.
Bereitstellung des notwendigen Expertenwissens
Die unabdingbare Voraussetzung für die Untersuchung und Beseitigung einer
Sicherheitslücke ist das entsprechende Fachwissen. Daher muss das Personal
entsprechend geschult sein oder es müssen Experten zu Rate gezogen werden.
Dafür sollte eine Liste mit den Kontaktadressen von einschlägigen internen
und externen Experten aus den verschiedenen Themenbereichen vorbereitet
sein, damit diese schnell zu Rate gezogen werden können. Zu den externen
Experten gehören unter anderem

Liste mit ExpertenAdressen

- Computer Emergency Response Teams (CERTs) (siehe auch M 2.35
Informationsbeschaffung über Sicherheitslücken des Systems),
- Hersteller bzw. Vertreiber der betroffenen IT-Systeme (siehe auch M 4.107
Nutzung von Hersteller-Ressourcen),
- Hersteller bzw. Vertreiber der eingesetzten Sicherheitssysteme, wie ComputerViren-Schutzprogramm, Firewall, Zutrittskontrolle, etc.,
- externe Berater mit sicherheitsspezifischem Fachwissen.
Wiederherstellung des sicheren Zustands
Zur Beseitigung von Sicherheitslücken müssen die betroffenen IT-Systeme
vom Netz genommen und alle Dateien gesichert werden, die Aufschluss über
die Art und Ursache des aufgetretenen Problems geben könnten. Hierzu
gehören insbesondere alle relevanten Protokolldateien. Da das gesamte ITSystem als unsicher oder manipuliert betrachtet werden sollte, müssen das
Betriebssystem und alle Applikationen auf Veränderungen untersucht werden.
Neben Programmen müssen aber auch Konfigurationsdateien und Benutzerdateien auf Manipulationen untersucht werden. Sinnvollerweise sollten hierfür
Prüfsummenverfahren eingesetzt werden. Dies setzt allerdings voraus, dass
die Prüfsummen des "sicheren" Zustandes im Vorfeld erhoben und auf
schreibgeschützte Datenträger ausgelagert wurden (siehe auch M 4.93
Regelmäßige Integritätsprüfung).

Untersuchung der
betroffenen IT-Systeme

Um sicherzugehen, dass von einem Angreifer hinterlassene trojanische Pferde
wirklich beseitigt worden sind, sollten die Original-Dateien von schreibgeschützten Datenträgern wiedereingespielt werden. Dabei muss darauf geachtet
werden, dass alle sicherheitsrelevanten Konfigurationen und Patches mitaufgespielt werden. Wenn Dateien aus Datensicherungen wiedereingespielt
werden, muss sichergestellt sein, dass diese vom Sicherheitsvorfall nicht
betroffen waren, also z. B. nicht bereits mit dem Computer-Virus infiziert
sind. Die Untersuchung der Datensicherungen kann andererseits hilfreich sein,

Vorsicht beim Einspielen
von Datensicherungen!

_____________________________________________________________________ ..........................................
120

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.64
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

um den Beginn eines Angriffs oder einer Computer-Virusinfektion festzustellen.
Vor der Wiederinbetriebnahme nach einem Angriff sollten alle Passwörter auf
den betroffenen IT-Systemen geändert werden. Dies schließt auch die ITSysteme ein, die nicht unmittelbar durch Manipulationen betroffen waren, von
denen aber der Angreifer vielleicht bereits Informationen über die Benutzer
und/oder Passwörter eingeholt hat.

Passwörter ändern!

Es sollte damit gerechnet werden, dass nach dem Wiederherstellen des
"sicheren" Zustands der Angreifer eine erneute Attacke versucht. Deshalb
sollten die IT-Systeme, insbesondere die Netzübergänge, mit den entsprechenden Überwachungstools beobachtet werden (siehe auch M 5.71 Intrusion
Detection und Intrusion Response Systeme).

Überwachung der
betroffenen IT-Systeme

Dokumentation
Während der Behebung eines Sicherheitsproblems sollten alle durchgeführten
Aktionen möglichst detailliert dokumentiert werden,
- um den Überblick zu behalten,
- um die aufgetretenen Probleme nachvollziehbar zu machen,
- um einen Fehler, der bei der meist zügigen Umsetzung der Gegenmaßnahmen erfolgen kann, wieder beheben zu können,
- um bereits bekannte Probleme bei einem erneuten Auftreten schneller
bereinigen zu können,
- um die Sicherheitslücken schließen und vorbeugende Maßnahmen ausarbeiten zu können und
- um für eine mögliche Strafverfolgung Beweise zu sammeln.
Zu einer solchen Dokumentation gehören nicht nur eine Beschreibung der
durchgeführten Aktionen inklusive der Zeitpunkte, sondern auch die Protokolldateien der betroffenen IT-Systeme.
Reaktion auf vorsätzliche Handlungen
Bei Sicherheitsvorfällen, die durch einen Angreifer ausgelöst wurden, muss
eine Entscheidung darüber getroffen werden, ob der entdeckte Angriff beobachtet oder möglichst schnell Gegenmaßnahmen durchgeführt werden sollen.
Natürlich kann versucht werden, den Angreifer "auf frischer Tat" zu ertappen,
aber dies birgt auch das Risiko, dass der Angreifer in der Zwischenzeit Daten
zerstört, manipuliert oder ausliest.
Leider stellt sich bei der Untersuchung von Sicherheitsproblemen häufig
heraus, dass diese von eigenen Mitarbeitern verursacht worden sind. Dies
kann durch Versehen, fehlerhafte Arbeitsabläufe oder technische Probleme
passieren, aber auch durch Nichtbeachtung von Sicherheitsmaßnahmen oder
vorsätzliche Handlungen.

Umgang mit Innentätern

Es muss bei allen intern verursachten Sicherheitsproblemen der Auslöser
untersucht werden. In vielen Fällen wird sich zeigen, dass die Probleme aus
fehlerhaften oder missverständlichen Regelungen resultieren. Dann müssen

_____________________________________________________________________ ..........................................
121

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.64
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

die Regelungen entsprechend geändert oder um weitere, z. B. technische
Maßnahmen, ergänzt werden.
Sind Sicherheitsprobleme vorsätzlich oder aus Nachlässigkeit verursacht
worden, sollten angemessene disziplinarische Maßnahmen ergriffen werden.
Ergänzende Kontrollfragen:
- Wann wurde die Liste der Sicherheitsexperten letztmalig aktualisiert?
- Sind schon vorsätzliche Angriffe durch Innentäter beobachtet worden?

_____________________________________________________________________ ..........................................
122

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.65
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.65

Benachrichtigung betroffener Stellen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement,
Administrator, Pressestelle

Leiter

IT,

Wenn ein Sicherheitsvorfall eingetreten ist, müssen alle davon betroffenen
internen und externen Stellen darüber informiert werden. Dies sind insbesondere diejenigen Stellen, die direkt durch den Sicherheitsvorfall Schäden erleiden könnten, Gegenmaßnahmen ergreifen müssen oder solche, die Informationen über Sicherheitsvorfälle aufbereiten und bei der Vorbeugung oder
Behebung helfen können. Bei Bedarf sollte auch die Öffentlichkeit aufgeklärt
werden, insbesondere wenn schon Informationen durchgesickert sind.
Hierzu muss individuell für den Sicherheitsvorfall ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolge in welcher Tiefe
informiert wird. Dazu muss sichergestellt sein, dass Auskünfte über den
Sicherheitsvorfall ausschließlich durch benannte Verantwortliche, wie zum
Beispiel das IT-Sicherheitsmanagement oder die Pressestelle, gegeben
werden.

Wer informiert wen?

Wer Informationen in welchem Detaillierungsgrad erhält, hängt natürlich
insbesondere vom fachlichen Hintergrund ab. Es sollten keine falschen oder
schöngefärbten Informationen weitergegeben werden, da dies zu Verwirrung,
Fehleinschätzungen und Imageverlust führen kann.

Nichts beschönigen!

Beispielhaft soll nachfolgend aufgezeigt werden, welche Stellen typischerweise über welche Inhalte aufgeklärt werden:
Interne Stellen
Besteht noch Unklarheit darüber, ob ein Sicherheitsvorfall vorliegt oder wie
schwerwiegend er ist, sollten die potentiell betroffenen internen Kräfte gebeten werden, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu prüfen.
Sind die erforderlichen Gegenmaßnahmen bei einem Sicherheitsvorfall
bekannt, müssen die betroffenen internen Stellen kurzfristig darüber informiert werden, was sie tun müssen, um die Auswirkungen eines Sicherheitsvorfalls zu minimieren oder um den sicheren Zustand wiederherzustellen.
Zu berücksichtigen sind dabei u. a. folgende Gruppen:
-

Leiter IT
Leiter von betroffenen Fachabteilungen,
IT-Benutzer,
IT-Administratoren,
IT-Benutzerservice,
Haustechnik
Überwachungspersonal,
interne Sicherheitskräfte und
Pförtner.

_____________________________________________________________________ ..........................................
123

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.65
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Externe Stellen
Falls der Sicherheitsvorfall nicht intern begrenzt ist, sollten alle externen
Stellen, die ebenfalls betroffen sind oder sein können, darüber informiert
werden, welches Sicherheitsproblem aufgetreten ist, welche Gegenmaßnahmen notwendig sind und wie die Auswirkungen eingedämmt werden können.
Sollte diese Informationsweitergabe nicht erfolgen, kann dies im Falle des
Bekanntwerdens eine weitere konstruktive Zusammenarbeit nachhaltig
schädigen und ein bestehendes Vertrauensverhältnis beeinträchtigen.
Zu berücksichtigen sind dabei folgende Gruppen:
-

Kunden,
Lieferanten,
freie Mitarbeiter,
Subunternehmen,
IT-Service-Dienstleister,
Stellen, zu denen Kommunikationsverbindungen existieren,
Software-Entwicklungsunternehmen und
Netzbetreiber.

Je nach Art des Vorfalls kann es außerdem notwendig sein, die Polizei bzw.
einen Rechtsbeistand hinzuzuziehen.
Öffentlichkeit
Bei größeren oder komplexeren Sicherheitsvorfällen kann es notwendig sein,
die Öffentlichkeit aufzuklären. Alle Pressekontakte sollten hierbei
ausschließlich über den Pressesprecher laufen. Dazu ist sicherzustellen, dass
der Pressesprecher über den Sicherheitsvorfall, über Schadenshöhe und erforderliche Gegenmaßnahmen und über benachrichtigte Stellen ausreichend
vorab informiert wird.

öffentliche Aussagen nur
durch den
Pressesprecher

Die Informationen für die Öffentlichkeit sollten jedoch so weit abstrahiert
werden, dass keine Nachahmer animiert werden.
Bei allen Personen, die Informationen über Sicherheitsvorfälle einholen
wollen, ist es wichtig, deren Identität zu überprüfen, damit sich der Angreifer
nicht über den Erfolg seiner Attacke auf dem Laufenden halten kann.
IT-Sicherheitsgemeinde
Ist der Sicherheitsvorfall auf eine noch nicht bekannte Sicherheitslücke
zurückzuführen, sollte diese Erkenntnis nicht verheimlicht, sondern an weitere
Stellen geleitet werden, damit vor der Sicherheitslücke gewarnt wird und
Gegenmaßnahmen entwickelt werden können. Als Adressaten kommen dabei
typischerweise folgende Stellen in Betracht:

Warnung vor
Sicherheitslücke
weiterleiten

- Hersteller des Computer-Viren-Suchprogramms, wenn der Verdacht
besteht, dass ein neuartiger Computer-Virus IT-Systeme infiziert hat, aber
der Viren-Scanner diesen nicht erkennt,
- Hersteller des Betriebssystems oder der Applikationssoftware, falls die
Sicherheitslücke darin aufgetreten ist,

_____________________________________________________________________ ..........................................
124

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.65
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

- Computer Emergency Response Team (CERT, siehe auch M 2.35
Informationsbeschaffung über Sicherheitslücken des Systems), wenn der
Sicherheitsvorfall auf system- oder applikationsspezifischen Sicherheitslücken beruht,
- IT-Sicherheitsfachpresse oder
- für IT-Sicherheit zuständige öffentliche Stellen wie das BSI.
Beispiel:
Es wurde bemerkt, dass sporadisch Daten auf PCs manipuliert oder unauffindbar waren. Nach Meldung und anschließender Untersuchung stellte sich
heraus, dass ein bislang unbekannter Makro-Virus aufgetreten ist. Dieser
Virus verbreitet sich über an E-Mail angehängte Dateien. In diesem Fall
sollten folgende Stellen umgehend benachrichtigt werden:
- Leiter IT,
- IT-Benutzer,
- IT-Administratoren,
- IT-Benutzerservice,
- sämtliche Stellen, mit denen seit dem ersten Auftreten des Computer-Virus
Daten ausgetauscht wurden,
- Hersteller des Computer-Viren-Suchprogramms, da der Viren-Scanner
diesen nicht erkannt hat,
- ein Computer Emergency Response Team.
Ergänzende Kontrollfragen:
- Wer gibt Informationen über Sicherheitsvorfälle an Dritte weiter?
- Wie wird sichergestellt, dass keine unautorisierte Person Informationen
über den Sicherheitsvorfall weitergibt?

_____________________________________________________________________ ..........................................
125

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.66
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.66

Nachbereitung von Sicherheitsvorfällen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung,
heitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement,
revision

IT-Sicher-

IT-Sicherheits-

Aus jedem Sicherheitsvorfall kann man etwas lernen. Um aus einem eingetretenen Sicherheitsvorfall den maximalen Lerneffekt ziehen zu können, darf
die Nachbereitung nicht vernachlässigt werden. Oftmals lassen sich daraus
Verbesserungen im Umgang mit Sicherheitsvorfällen herausarbeiten oder
Rückschlüsse auf die Wirksamkeit des IT-Sicherheitsmanagements bzw. der
vorhandenen IT-Sicherheitsmaßnahmen ziehen. Dabei sind unter anderem
folgende Aspekte zu beachten:
Reaktionszeit
Untersucht werden sollte, wie schnell der Sicherheitsvorfall bemerkt wurde.
Dabei ist zu prüfen, ob es sinnvoll ist, technische Detektionsmaßnahmen
nachzurüsten.
Darüber hinaus sollte auch der Frage nachgegangen werden, wie lange es
dauerte, bis die Meldung den erforderlichen Meldeweg durchlaufen hat.
Schließlich sollte der Aspekt betrachtet werden, wie schnell die Entscheidungen über die zu treffenden Maßnahmen erfolgte, wie lange deren Umsetzung dauerte und wann die Benachrichtigung der betroffenen internen und
externen Stellen erfolgte.
Bei der Rückverfolgung des Meldewegs sollte überprüft werden, ob der
Meldeweg jedem bekannt war oder ob zusätzliche Sensibilisierungsmaßnahmen und Informationen notwendig sind.

Hat der Informationsfluss funktioniert?

Wirksamkeit der Eskalationsstrategie
Anhand des konkreten Sicherheitsvorfalls sollte untersucht werden, ob die
festgelegte Eskalationsstrategie eingehalten wurde, welche zusätzlichen
Informationen notwendig sind und ob eine Anpassung der Eskalationsstrategie
notwendig ist.
Effektivität der Untersuchung
In einer Rückschau sollte betrachtet werden, ob die Einschätzung der
Schadenshöhe des Sicherheitsvorfalls korrekt war, ob die berücksichtigten
Prioritäten angemessen waren und ob ein für die Untersuchung geeignetes
Sicherheitsvorfall-Team eingesetzt wurde.
Benachrichtigung betroffener Stellen
Überprüft werden sollte, ob tatsächlich sämtliche betroffenen Stellen benachrichtigt wurden und ob die Benachrichtigung zeitlich ausreichend schnell war.
Unter Umständen müssen schnellere Wege der Benachrichtigung gefunden
werden.

_____________________________________________________________________ ..........................................
126

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.66
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

Rückmeldung an meldende Stelle
Diejenigen Stellen, die einen Sicherheitsvorfall entdeckt haben und diesen an
die zuständigen Experten weitergemeldet haben, sollten nach dessen
Behebung auch über die entstandenen Schäden und ergriffenen Maßnahmen
informiert werden. Dies zeigt, dass solche Meldungen ernst genommen
werden und fördert die Motivation. Zusätzlich könnte auch eine Belobigung
oder Belohnung für die korrekte Weitermeldung ausgesprochen werden, um
für das Betriebsklima ein Signal zu setzen, wie wichtig das Meldewesen für
Sicherheitsvorfälle ist.
Tätermotivation
Stellt sich heraus, dass der Sicherheitsvorfall auf eine vorsätzliche Handlung
zurückzuführen ist, sollte die Motivation des Täters untersucht werden.
Handelt es sich dabei um einen Innentäter, kommt der Motivation eine besondere Bedeutung zu. Stellt sich heraus, dass die Ursache im Bereich des
Betriebsklimas zu sehen ist, sollte dies auch der Leitungsebene bekanntgegeben werden, da zu erwarten ist, dass Fehlhandlungen und vorsätzliche
Handlungen wiederholt auftreten werden.
Je nach Relevanz der Nachbereitungsergebnisse sollte die Leitungsebene
unterrichtet werden, um Verbesserungen zu veranlassen. Daher kann es sinnvoll sein, diese Nachbereitung durch eine Organisationseinheit durchzuführen,
die nicht Teil des Meldeplans ist.
Entwicklung einer Handlungsanweisung
Im Rahmen der Nachbereitung eines Sicherheitsvorfalls ist es sinnvoll, aus
den Erfahrungen heraus eine Handlungsanweisung zu erstellen bzw. zu überarbeiten, wie bei Auftreten eines vergleichbaren Sicherheitsvorfalls zu
verfahren ist. Da jetzt die Probleme real bearbeitet wurden, können Handlungsanweisungen noch effizienter ausgearbeitet werden als bei der Erstellung
auf einer theoretischen Basis. Darüber hinaus beweist der aufgetretene
Sicherheitsvorfall, dass ein Bedarf für eine Handlungsanweisung konkret für
diese Art von Sicherheitsvorfall gegeben ist. Eine derart erstellte Handlungsanweisung ist den relevanten Personengruppen in geeigneter Weise bekanntzugeben.
Ergänzende Kontrollfragen:
- Wurde eine Nachbereitung der letzten Sicherheitsvorfälle durchgeführt?
- Findet eine jährliche Unterrichtung der Leitungsebene über die Sicherheitsvorfälle statt?
- Wie werden die konkreten Handlungsanweisungen aktualisiert und
bekanntgegeben?

_____________________________________________________________________ ..........................................
127

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.67
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.67

Einsatz von Detektionsmaßnahmen für
Sicherheitsvorfälle

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Neben der Prävention kommt auch der Detektion von Sicherheitsvorfällen
große Bedeutung zu. Es gibt eine Reihe von sicherheitsrelevanten Unregelmäßigkeiten, die mit entsprechender technischer Unterstützung automatisiert
und daher frühzeitig erkannt werden können. Diese Detektionsmaßnahmen
erhöhen meist die Zuverlässigkeit der Feststellung und verkürzen die Zeit
zwischen Auftreten und Erkennen einer Unregelmäßigkeit drastisch. Dem
Gewinn an Reaktionsfähigkeit und -zeit steht jedoch der Aufwand zur
Implementation und Kontrolle gegenüber, der vorher abgeschätzt werden
sollte. Praktisch unverzichtbar sind solche Detektionsmaßnahmen, wenn im
Schadensfall sehr große Schäden bis hin zum Personenschaden zu erwarten
sind.

Aufdecken von Sicherheitsvorfällen

Beispiele für solche technischen Detektionsmaßnahmen sind:
- Gefahrenmeldeanlage (siehe M 1.18 Gefahrenmeldeanlage)
- Fernanzeige von Störungen (siehe M 1.31 Fernanzeige von Störungen)
- Computer-Viren-Suchprogramme (siehe M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms)
- Intrusion Detection und Intrusion Response Systeme (siehe M 5.71
Intrusion Detection und Intrusion Response Systeme)
- Kryptographische Checksummen (siehe M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen)
Nicht alle Sicherheitsvorfälle lassen sich durch rein technische Maßnahmen
rechtzeitig feststellen. Häufig müssen zusätzlich organisatorische Maßnahmen
hinzukommen. Die Zuverlässigkeit von technischen Detektionsmaßnahmen ist
im Allgemeinen davon abhängig, wie aktuell diese sind und wie gut diese auf
die tatsächlichen Gegebenheiten angepasst sind. Die Zuverlässigkeit von
organisatorischen Detektionsmaßnahmen hängt stark davon ab, wie
zuverlässig die mit deren Umsetzung beauftragten Personen sind, aber auch, in
wie weit die Maßnahmen sich im laufenden Betrieb tatsächlich umsetzen
lassen.

Kombination von technischen und organisatorischen Maßnahmen

Typische Beispiele von Detektionsmaßnahmen, die ganz oder teilweise
organisatorischer Natur sind, sind:
- Informationsbeschaffung über Sicherheitslücken (siehe M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems)
- Regelmäßiger Sicherheitscheck ausgewählter IT-Systeme (siehe z. B.
M 2.92 Durchführung von Sicherheitskontrollen im Windows NT-ClientServer-Netz, M 4.93 Regelmäßige Integritätsprüfung, M 5.8 Monatlicher
Sicherheitscheck des Netzes)

_____________________________________________________________________ ..........................................
128

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.67
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

- Regelmäßige Auswertung von Protokoll-Dateien (siehe z. B. M 2.64
Kontrolle
der
Protokolldateien,
M 4.5
Protokollierung
der
TK-Administrationsarbeiten, M 4.25 Einsatz der Protokollierung im UnixSystem, M 4.47 Protokollierung der Firewall-Aktivitäten, M 4.54 Protokollierung unter Windows NT, M 5.9 Protokollierung am Server)
Ergänzende Kontrollfragen:
- Welche Detektionsmaßnahmen kommen zum Einsatz?
- Ist sichergestellt, dass Auffälligkeiten in Protokoll-Dateien gemeldet
werden?

_____________________________________________________________________ ..........................................
129

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.68
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.68

Effizienzprüfung des Managementsystems zur
Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement,
revision

IT-Sicherheits-

Das Managementsystem zur Behandlung von Sicherheitsvorfällen muss
regelmäßig auf seine Aktualität und Wirksamkeit geprüft werden. Daneben
sollten auch die darin formulierten Maßnahmen regelmäßig daraufhin getestet
werden, ob sie
- den betroffenen Mitarbeitern bekannt sind,
- unter Stress umsetzbar sind, also auch bei einem Sicherheitsvorfall, der
einen ungeordnet ablaufenden Betrieb zur Folge hat, und
- in den Betriebsablauf integrierbar sind.
Um die Wirksamkeit zu testen, sollte durch simulierte Schadensereignisse
überprüft werden, ob der festgelegte Handlungsablauf eingehalten wird bzw.
überhaupt eingehalten werden kann. Ist er das nicht, müssen entsprechende
Änderungen eingebracht werden.

Überprüfung des Managementsystems

Dazu könnten sowohl angekündigte als auch unangekündigte Übungen durchgeführt werden.
Bei allen unangekündigten Übungen dürfen auf keinen Fall irgendwelche
Aktionen ausgelöst werden, die zu irgendeinem nicht oder nur schwer behebbaren Schaden an IT-Systemen, Daten oder sonstigem führen können.

Durch Übungen darf kein
Schaden eintreten!

Sehr genau sollte vor dem Beginn jeder Übung überlegt werden, wer alles
vorab darüber informiert wird. Es ist immer unbedingt sicherzustellen, dass
die Übung durch die Behörden- bzw. Unternehmensleitung autorisiert ist.
Manchmal kann es nützlich sein, bestimmte Personengruppen nicht zu
informieren, z. B. die Pförtner oder die Administratoren. Es sollte aber sichergestellt sein, dass dabei die Situation unter Kontrolle bleibt. Es sollte also
vermieden werden, dass z. B. Polizei oder Feuerwehr alarmiert oder alle
Netzverbindungen der Behörde bzw. des Unternehmens gekappt werden.
Beispiele:
- Rufen Sie bei der Telefonzentrale ihres Unternehmens bzw. Behörde an
und geben Sie sich als Hacker aus, der in das interne Netz eingebrochen ist.
Wahlweise kann man sich auch als Journalist ausgeben, der darüber
informiert sein will, dass ein Hacker ins interne Netz eingebrochen ist und
sensitive Daten kopiert hat. Es können auch solche Mitarbeiter angerufen
werden, an die typischerweise in solchen Fällen verwiesen wird, also
beispielsweise der Pressesprecher oder der Leiter IT. Bei einem solchen
Anruf sollte sich zeigen, ob intern Panik ausbricht oder ob gezielt die
Aktionen eingeleitet werden, die in einem solchen Fall adäquat wären.

simulierte Schadensereignisse

- An einem beliebigen Tag könnten alle bei einer Computer-Viren-Infektion
durchzuführenden Handlungen und Meldewege getestet werden. Hierbei
müssen nicht unbedingt alle Beteiligten vorher informiert werden,

_____________________________________________________________________ ..........................................
130

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.68
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

spätestens aber in dem Moment, wo sie in die Handlungskette integriert
werden.
Ergänzende Kontrollfragen:
- Welche Übungen wurden zuletzt durchgeführt?
- Werden Übungen vorher mit der Leitungsebene abgestimmt?

_____________________________________________________________________ ..........................................
131

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.69
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

M 6.69

Notfallvorsorge und Ausfallsicherheit bei
Faxservern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Fax-Poststelle
Die Maßnahmen für Notfallvorsorge und Ausfallsicherheit von Faxservern
sind abhängig vom Volumen, das über den oder die Faxserver abgewickelt
wird und von den Anforderungen an die Verfügbarkeit dieses Dienstes.
Zunächst ist grundsätzlich sicherzustellen, dass alle Konfigurationsparameter
der benutzten Kommunikationskarten, des Betriebssystems und der FaxserverApplikation dokumentiert werden. Bei Veränderungen an der Konfiguration
ist die Dokumentation entsprechend zu aktualisieren. Nur so kann
sichergestellt werden, dass im Notfall ein Faxserver in kürzester Zeit neu
installiert werden kann.

Konfigurationsparameter
dokumentieren

Weiterhin sollten in regelmäßigen Abständen gemäß den Festlegungen des
Datensicherungskonzeptes und der Sicherheitspolitik Datensicherungen
durchgeführt werden. Dabei sollten neben den Datenpartitionen auch die
Partitionen, auf denen sich das Betriebssystem und die Faxserver-Applikation
befinden, mit in die Datensicherung einbezogen werden.

regelmäßige
Datensicherung

Die auf dem Faxserver gespeicherten Faxsendungen müssen regelmäßig
gesichert werden. Sofern eine dauerhafte Archivierung von Faxdaten
gewünscht ist, sollte diese nicht auf dem Faxserver sondern auf externen
Datenmedien erfolgen.
Um bei einem Ausfall des Faxservers bzw. des Netzes auch weiterhin Faxe
versenden und empfangen zu können, sollten ggf. ein oder mehrere
herkömmliche Faxgeräte vorgehalten werden. Die Anzahl der benötigten
Geräte ist vom Volumen an ein- und ausgehenden Faxsendungen im Notfall
abhängig. Sinnvoll ist, als Notfallreserve die Faxgeräte zu verwahren, die
schon vor Installation des Faxservers verwendet wurden.

herkömmliche Faxgeräte
vorhalten

Alle weiteren Maßnahmen zur Erhöhung der Ausfallsicherheit verursachen
z. T. erhebliche Kosten und werden daher wohl nur bei höheren Anforderungen an die Verfügbarkeit in Betracht kommen und müssen einzeln erwogen
werden.
Zunächst kann das IT-System, auf dem der Faxserver installiert ist, mit einem
RAID-System ausgerüstet werden. Dabei werden mehrere Festplatten zu
einem Stapel zusammengefasst und die darauf befindlichen Daten unter
Bildung von Redundanzen auf die verschiedenen Festplatten verteilt. Dies
führt z. B. bei einem so genannten RAID Level 5 dazu, dass auch beim
Ausfall einer Festplatte keine Datenverluste auftreten. Allerdings verringert
sich beim Einsatz der RAID-Technologie die freie Gesamtkapazität der
Festplatten wegen der Redundanzbildung. Außerdem muss berücksichtigt
werden, dass diese Lösung kein Ersatz für die externe Datensicherung ist und
auch nicht vor dem Gesamtausfall des Systems schützt.

Einsatz von RAIDSystemen

Ausfallsicherheit kann auch durch den Einsatz mehrerer Faxserver erreicht
werden. Sofern ein Server ausfällt, kann die Last auf die anderen Server
verteilt werden. Vorteilhaft an dieser Lösung ist zudem, dass auch eine Last-

Einsatz mehrerer
Faxserver

_____________________________________________________________________ ..........................................
132

IT-Grundschutzhandbuch: Stand Januar 2000

M 6.69
Maßnahmenkatalog Notfallvorsorge
Bemerkungen
_____________________________________________________________________ ..........................................

trennung erreicht wird und die Gefahr einer Überlastung eines einzelnen
Faxservers vermindert wird. Nachteilig ist allerdings, dass eingegangene
Faxsendungen, die sich auf dem ausgefallenen Server befinden, zumindest für
die Dauer des Ausfalls nicht mehr verfügbar sind.
Sofern Ausfälle bei Faxservern aufgrund der Verfügbarkeitsanforderungen
allenfalls im Minutenbereich tolerierbar sind, bietet sich der Einsatz redundanter Server an. Für jeden Faxserver, der in ein solches Redundanzkonzept
eingebunden wird, ist dann ein zweiter Server verfügbar, auf den die entsprechenden Daten repliziert werden. Diese Lösung bietet - ggf. in Kombination
mit RAID-Systemen - die höchstmögliche Ausfallsicherheit, verursacht aber
auch erhebliche Kosten.

Einsatz redundanter
Faxserver

Ergänzende Kontrollfragen:
- Ist die Dokumentation der Konfiguration aktuell?
- Wer ist für die Durchführung der Datensicherung zuständig?
- Stehen herkömmliche Faxgeräte als Notfallreserve zur Verfügung?

_____________________________________________________________________ ..........................................
133

IT-Grundschutzhandbuch: Stand Januar 2000