Bundesamt für Sicherheit in der Informationstechnik

G 2.120 Ungeeignete Aufstellung von sicherheitsrelevanten IT-Systemen

Werden sicherheitsrelevante IT -Systeme, auf denen Authentikationsdaten vorgehalten werden, an leicht zugänglichen Orten aufgestellt, kann dies zu einer massiven Gefährdung der Gesamtsicherheit eines Netzes führen. Zu den sicherheitsrelevanten IT-Systemen gehören z. B. Sicherheitsgateways, Directory Server, die einen Verzeichnisdienst für Benutzeridentitätsdaten bereitstellen oder IT-Systeme, auf denen Authentikationsdaten vorgehalten werden. Nicht geeignete Orte für deren Aufstellung sind beispielsweise öffentliche Besprechungsräume, Flure oder normale Büroräume. Auch kleinere, aber trotzdem sicherheitsrelevante Netzkoppelelemente wie Router, Switches oder Access Points dürfen nicht ungesichert in Durchgangswegen untergebracht werden. Ein Access Point sollte z. B. nicht ungeschützt direkt unter der Decke installiert werden. Hierdurch ist ein einfacher physischer Zugriff gegeben, durch den Zugriffsinformationen auf das zugehörige WLAN sehr einfach ausgelesen werden könnten. Falls ein direkter Zugriff auf sicherheitsrelevante IT-Systeme möglich ist, können dabei auch andere Sicherheitsmechanismen außer Kraft gesetzt werden.

Beispiel:

Ein Access Point wird in einem öffentlichen Besprechungsraum aufgestellt, um einen drahtlosen Zugriff auf das Internet zu gewährleisten. Access Points stellen einen gewissen Wert dar, der zum Diebstahl verleiten kann. Bei einer Besprechung fällt auf, dass dieser Access Point nicht mehr vorhanden ist und es stellt sich heraus, dass er vor mehreren Wochen gestohlen wurde. Da ein Access Point in der Regel wichtige Informationen für den Zugriff auf das WLAN enthält, kann der Dieb unbehindert und unbemerkt Informationen für eine weitere Kompromittierung erlangen. Mit ihm sind z. B. wichtige Zertifikate für die Authentikation am WLAN entwendet worden. Bis zu deren Sperrung und Änderung war das Netz angreifbar.

Auch durch ungünstige Umgebungseinflüsse (z. B. Erschütterungen, unzulängliche klimatische Bedingungen oder eine hohe Staubbelastung) können Schäden an sicherheitsrelevanten IT-Systemen hervorgerufen werden.

Stand: Stand 2006

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK