Bundesamt für Sicherheit in der Informationstechnik

M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Die Sicherheitsvorgaben für jeden Server ergeben sich aus der organisationsweiten Sicherheitsrichtlinie. Ausgehend von der allgemeinen Richtlinie müssen die Anforderungen für den gegebenen Kontext konkretisiert werden und in einer Sicherheitsrichtlinie für den Server oder eine Gruppe von Servern zusammengefasst werden. In diesem Zusammenhang ist zu prüfen, ob neben der organisationsweiten Sicherheitsleitlinie weitere übergeordnete Vorgaben wie IT-Richtlinien, Passwortrichtlinien oder Vorgaben zur Internetnutzung zu berücksichtigen sind.

Die Sicherheitsrichtlinie muss allen Personen und Gruppen, die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt sein und Grundlage für deren Arbeit sein. Wie bei allen Richtlinien sind ihre Inhalte und ihre Umsetzung im Rahmen einer übergeordneten Revision regelmäßig zu prüfen.

Die Sicherheitsrichtlinie sollte das generell zu erreichende Sicherheitsniveau spezifizieren und grundlegende Festlegungen zum Betrieb des Servers treffen. Zur Verbesserung der Übersichtlichkeit kann es sinnvoll sein, für verschiedene Einsatzgebiete gesonderte Sicherheitsrichtlinien zu entwickeln.

Als erstes sollte die allgemeine Konfigurations- und Administrationsstrategie ("Liberal" oder "Restriktiv") festgelegt werden, da die weiteren Entscheidungen von dieser Festlegung wesentlich abhängen.

Für Server, die lediglich Daten mit normalem Schutzbedarf speichern und verarbeiten, kann eine relativ liberale Strategie gewählt werden, was in vielen Fällen die Konfiguration und Administration vereinfacht. Generell ist es aber auch in diesen Fällen empfehlenswert, die Strategie nur "so liberal wie nötig" auszulegen.

Bei einem Server, auf dem Daten mit hohem Schutzbedarf gespeichert oder verarbeitet werden, wird grundsätzlich eine restriktive Strategie empfohlen. Für Server mit besonderem Schutzbedarf bezüglich eines der drei Grundwerte sollte unbedingt eine restriktive Konfigurations- und Administrationsstrategie umgesetzt werden.

Nachfolgend sind einige Punkte aufgeführt, die berücksichtigt werden sollten:

  • Regelungen zur physikalischen Zugriffskontrolle: Ein Server sollte grundsätzlich in einem abschließbaren Rechnerraum oder Serverschrank aufgestellt oder eingebaut werden. Dabei ist zu regeln, wer Zutritt zu dem Raum beziehungsweise Zugriff auf den Server selbst erhält.
  • Regelungen für die Arbeit der Administratoren und Revisoren:
    • Nach welchem Schema werden Administrationsrechte vergeben? Welcher Administrator darf welche Rechte ausüben und wie erlangt er diese Rechte?
    • Über welche Zugangswege dürfen Administratoren und Revisoren auf die Systeme zugreifen (beispielsweise nur lokal an der Konsole, über ein eigenes Administrationsnetz oder über verschlüsselte Verbindungen)?
    • Welche Vorgänge müssen dokumentiert werden? In welcher Form wird die Dokumentation erstellt und gepflegt?
    • Gilt für bestimmte Änderungen ein Vier-Augen-Prinzip?
  • Vorgaben für die Installation und Grundkonfiguration
    • Welche Installationsmedien werden zur Installation verwendet?
    • Soll ein zentraler Authentisierungsdienst genutzt werden oder erfolgt die Benutzerverwaltung und -authentisierung nur lokal?
    • Regelungen zur Benutzer- und Rollenverwaltung, Berechtigungsstrukturen (Ablauf und Methoden der Authentisierung und Autorisierung, Berechtigung zu Installation, Update, Konfigurationsänderungen etc.). Nach Möglichkeit sollte ein Rollenkonzept für die Administration erarbeitet werden.
    • Vorgaben für die zu installierenden Softwarepakete.
    • Falls bei der Planung für den Server festgelegt wurde, dass Teile des Dateisystems verschlüsselt werden sollen, so ist es empfehlenswert, an dieser Stelle festzulegen, wie dies zu geschehen hat:
      • Welche Teile des Dateisystems sollen verschlüsselt werden?
      • Welcher Mechanismus zur Einbindung des verschlüsselten Dateisystems soll verwendet werden?
      • Welche Kryptoalgorithmen und Schlüssellängen sollen verwendet werden?
      • Welche Daten sollen in den verschlüsselten Dateisystemen gespeichert werden?
      • Wie werden die verschlüsselten Dateisysteme in das Backup einbezogen?
    • Es empfiehlt sich, beim Einsatz verschlüsselter Dateisysteme hierfür ein eigenes Konzept zu erstellen und die Details der Konfiguration besonders sorgfältig zu dokumentieren, da im Fall von Problemen (Verlust des Schlüssels oder der Passphrase zum Schlüssel, inkorrekte Konfiguration oder ähnliches) die Daten auf den verschlüsselten Dateisystemen sonst vollständig verloren sein können.
    • Regelungen zu Erstellung und Pflege von Dokumentation
  • Vorgaben für den sicheren Betrieb
    • Welcher Benutzerkreis darf sich lokal auf dem System anmelden?
    • Welche Benutzer erhalten Zugriff über das Netz? Welche Protokolle dürfen verwendet werden?
    • Auf welche Ressourcen dürfen die Benutzer zugreifen?
  • Vorgaben für die Passwortnutzung (Passwortregeln, Regeln und Situationen für Passwortänderungen, gegebenenfalls Hinterlegung von Passwörtern)
    • Wer darf das System herunterfahren?
  • Netzkommunikation und -dienste
    • Soll ein lokaler Paketfilter aufgesetzt werden?
    • Welche Netzdienste werden von dem Server angeboten?
    • Welche Authentisierungsverfahren sollen für die angebotenen Dienste gewählt werden?
    • Auf welche externen Netzdienste soll von dem Rechner aus zugegriffen werden können?
    • Soll ein verteiltes Dateisystem eingebunden werden?

    • Verteilte Dateisysteme, bei denen die Nutzdaten unverschlüsselt übertragen werden, sollten nur im internen Netz verwendet werden. Soll ein verteiltes Dateisystem über ein unsicheres Netz hinweg genutzt werden, so muss es durch zusätzliche Maßnahmen (kryptographisch geschütztes VPN, Tunneling) gesichert werden.

  • Protokollierung
    • Welche Ereignisse werden protokolliert?
    • Wo werden die Protokolldateien gespeichert? Werden sie lokal gespeichert oder soll ein zentraler Server eingesetzt werden, an dem die einzelnen Systeme im Netz ihre Protokollierungsinformationen schicken?
    • Wie und in welchen Abständen werden die Protokolle ausgewertet?
    • Wer hat Zugriff auf die Logdateien?
    • Ist gewährleistet, dass personenbezogene Informationen nicht an unbefugte Personen gelangen?
    • Wie lange sollen die Logdateien gespeichert werden?

Anhand der oben genannten Punkte kann eine Checkliste erstellt werden, die bei Audits oder Revisionen hilfreich sein kann.

Die Verantwortung für die Sicherheitsrichtlinie liegt beim Sicherheitsmanagement, Änderungen und Abweichungen hiervon dürfen nur in Abstimmung mit dem Sicherheitsmanagement erfolgen.

Bei der Erstellung einer Sicherheitsrichtlinie ist es empfehlenswert, so vorzugehen, dass zunächst ein Maximum an Forderungen und Vorgaben für die Sicherheit der Systeme aufgestellt wird. Diese können anschließend den tatsächlichen Gegebenheiten angepasst werden. Idealerweise wird so erreicht, dass alle notwendigen Aspekte berücksichtigt werden. Für jede im zweiten Schritt verworfene oder abgeschwächte Vorgabe sollte der Grund für die Nicht-Berücksichtigung dokumentiert werden.

Prüffragen:

  • Existiert eine Sicherheitsrichtlinie mit dem definierten Sicherheitsniveau für den Betrieb des Servers?

  • Berücksichtigt die Sicherheitsrichtlinie des Servers alle zur Erreichung des angestrebten Sicherheitsniveaus notwendigen Strategien, Vorgaben und Regelungen?

  • Werden die Inhalte und die Umsetzung der Sicherheitsrichtlinie regelmäßig aktualisiert und technisch überprüft?

Stand: 13. EL Stand 2013