Bundesamt für Sicherheit in der Informationstechnik

M 2.300 Sichere Außerbetriebnahme oder Ersatz von Komponenten eines Sicherheitsgateways

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Sollen Komponenten des Sicherheitsgateway außer Betrieb genommen oder ersetzt werden, so müssen von den Geräten alle sicherheitsrelevanten Informationen gelöscht werden. Dies gilt besonders dann, wenn die Komponenten ausgesondert und an Dritte weitergegeben (beispielsweise verkauft) werden oder wenn ein Gerät im Rahmen eines Garantieaustausches oder einer Reparatur an den Hersteller oder eine Service-Firma übergeben wird, aber selbst dann, wenn die Geräte intern weiter verwendet oder verschrottet werden.

Je nach Einsatzzweck der Komponenten können beispielsweise folgende Informationen und Daten auf den Geräten gespeichert sein:

  • Konfigurationsdateien, aus denen Informationen über die Netzstruktur der Organisation (wie IP-Adressen, Routing-Tabellen, SNMP-Community Strings, Access-Control-Lists oder ähnliches) entnommen werden können
  • Passwortdateien
  • Protokolldateien, die sicherheitsrelevante Informationen oder personenbezogene Daten enthalten
  • Benutzerdaten, beispielsweise aus Web-Cache- oder E-Mail-Spool-Verzeichnissen
  • potentiell gefährliche Dateien (Schadsoftware) aus "Quarantäne-Verzeichnissen"
  • Zertifikate und Schlüssel (etwa SSL-Zertifikate bei SSL-Proxies oder Schlüssel für den Zugang per SSH)

Wegen der Sensibilität dieser Informationen ist darauf zu achten, dass die Dateien vor der Außerbetriebnahme oder dem Austausch defekter oder veralteter Geräte gelöscht beziehungsweise unlesbar gemacht werden. Nach dem Löschen der Daten muss überprüft werden, ob das Löschen auch erfolgreich war. Die Vorgehensweise hängt dabei stark von der Art und vom Verwendungszweck des Gerätes ab. In der Sicherheitsrichtlinie für das Sicherheitsgateway sollten hierfür entsprechende Verantwortlichkeiten definiert werden.

Die entsprechenden Dateien sind je nach Gerät und Einsatzzweck eventuell in mehreren unterschiedlichen Verzeichnissen gespeichert, beispielsweise befinden sich bei ALG s die verschiedenen Konfigurationsdateien meist an anderen Stellen als die Cache-Dateien, Spool- oder Quarantäneverzeichnisse. Vor der Außerbetriebnahme sollte daher geklärt werden, welche sicherheitsrelevanten Dateien an welchen Stellen gespeichert sind.

Bei "normalen" Rechnern, die als Komponenten des Sicherheitsgateway eingesetzt waren, sollten die Festplatten mit einem geeigneten Tool so gelöscht werden, dass keine Wiederherstellung der Dateien mehr möglich ist. Die kann beispielsweise dadurch geschehen, dass der Rechner von einem externen Boot-Medium gestartet wird und die Festplatten mit Zufallsdaten überschrieben werden. Dabei ist es empfehlenswert, den Überschreibvorgang mehrfach zu wiederholen.

Bei Appliances hängt die Vorgehensweise davon ab, ob in dem Gerät eine Festplatte eingebaut ist oder ob die Daten in einem nichtflüchtigen Speicher gespeichert werden. Oft bieten die Geräte eine "Factory-Reset" Option, mit der sämtliche Konfigurationseinstellungen auf die Werte des Auslieferungszustands zurückgesetzt werden können. Auch nach dem Ausführen eines "Factory-Reset" sollte überprüft werden, ob die Daten wirklich gelöscht beziehungsweise zurückgesetzt wurden oder ob bestimmte Daten oder Dateien noch vorhanden sind.

Sind auf dem Gerät besonders sicherheitskritische Informationen gespeichert und kann nicht mit hinreichender Sicherheit gewährleistet werden, dass die Daten wirklich gelöscht sind, so kann es erforderlich sein, die Speicherbausteine oder Festplatten physisch zu zerstören bzw. unbrauchbar zu machen.

Neben den Informationen, die auf dem Gerät selbst gespeichert sind sollte auch überprüft werden, ob auf den Backup-Medien sensitive Informationen enthalten sind. Falls es nicht aus anderen Gründen (beispielsweise Archivierung, Aufbewahrungspflicht aufgrund gesetzlicher Regelungen) erforderlich ist, die Backup-Medien aufzubewahren, so sollten die Medien nach der Außerbetriebnahme des Gerätes ebenfalls gelöscht werden.

Oft sind die Komponenten des Sicherheitsgateways von außen mit IP-Adressen, Hostnamen oder sonstigen technischen Informationen beschriftet. Auch diese Beschriftungen sollten vor der Entsorgung entfernt werden.

Prüffragen:

  • Werden bei Außerbetriebnahme oder Ersatz des Sicherheitsgateways oder einer der Komponenten alle sicherheitsrelevanten Informationen auf den Geräten sicher gelöscht?

  • Sind die Verantwortlichkeiten für den Ausmusterungsprozess des Sicherheitsgateways in der Sicherheitsrichtlinie definiert?

  • Sofern die Backup-Medien von Komponenten des Sicherheitsgateways nicht mehr benötigt werden: Werden die sensitiven Informationen auf den Backup-Medien sicher gelöscht?

  • Werden eventuell vorhandene Beschriftungen auf den Komponenten des Sicherheitsgateway vor der Ausmusterung entfernt?

Stand: 13. EL Stand 2013