Bundesamt für Sicherheit in der Informationstechnik

M 2.317 Beschaffungskriterien für einen Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Beschaffer

Die Beschaffung eines Servers betrifft sowohl die Hard- als auch die Software, aus der der Server aufgebaut werden soll. Werden bei der Beschaffung eines Servers Fehler gemacht, so kann dies schwerwiegende Folgen auf den sicheren Betrieb eines Netzes haben, da mit ungeeigneter Hard- und Software das angestrebte Sicherheitsniveau unter Umständen nur schwer erreichbar ist.

Bevor ein Server beschafft wird, muss daher eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. Aufgrund der Bewertung kann dann eine fundierte Kaufentscheidung erfolgen, die sicherstellt, dass der Server im praktischen Betrieb den Anforderungen genügt.

Auch rein funktionale Merkmale von Servern können Auswirkungen auf die Informationssicherheit haben. Meist ist dann der Grundwert Verfügbarkeit betroffen, beispielsweise wenn ein Server wegen unzureichender Speicherausstattung nicht die geforderten Antwortzeiten oder Durchsatzraten erreicht. Außerdem spielt die Unterstützung durch den Hersteller eine nicht zu vernachlässigende Rolle, wenn es beispielsweise darum geht, dass zeitnah Patches für Sicherheitslücken zur Verfügung gestellt werden.

Aus dem Blickwinkel der Informationssicherheit sind zentrale Anforderungen an Server, dass

  • Hard- und Software so ausgelegt sind, dass die Anforderungen an die Verfügbarkeit des Servers und die Integrität der Daten erfüllt werden können,
  • die Administration über sichere Protokolle möglich ist,
  • die Benutzerverwaltung es erlaubt, das organisationsweite Rollenkonzept entsprechend umzusetzen, und
  • dass es gegebenenfalls möglich ist, besonders sensitive Daten zu verschlüsseln.

Nachfolgend werden einige Anforderungen aufgelistet, die bei der Beschaffung von Servern berücksichtigt werden sollten:

  • Grundlegende funktionale Anforderungen
    • Unterstützt das Gerät alle benötigten Hardwareschnittstellen?
    • Unterstützt die Software alle benötigten Protokolle und Datenformate?
  • Sicherheit
    • Unterstützt das System sichere Protokolle zur Administration?
      Wenn Server nicht über ein eigenes Administrationsnetz administriert werden, muss die Administration mit Hilfe von sicheren Netzprotokollen möglich sein.
  • Wartbarkeit
    • Bietet der Hersteller regelmäßige Updates und schnell verfügbare Sicherheitspatches für die Software an?
      Es ist insbesondere wichtig, dass der Hersteller zeitnah auf bekannt gewordene Sicherheitsmängel reagiert.
    • Wird für das Produkt die Möglichkeit des Abschlusses von Wartungsverträgen angeboten?
      Oft ist der Zugriff auf Updates und Unterstützungsleistungen vom Hersteller nur in Verbindung mit einem gültigen Wartungsvertrag möglich.
    • Können im Rahmen der Wartungsverträge maximale Reaktionszeiten für die Problembehebung festgelegt werden?
      Ein Wartungsvertrag ist nur dann geeignet, wenn mit den garantierten Reaktions- und Wiederinbetriebnahmezeiten die festgelegten Ansprüche an die Verfügbarkeit der Geräte abgedeckt werden können.
    • Bietet der Hersteller einen technischen Kundendienst (Hotline) an, der in der Lage ist, sofort bei Problemen zu helfen?
      Dieser Punkt sollte Bestandteil des abgeschlossenen Wartungsvertrags sein. Beim Abschluss des Vertrags ist auf die Sprache der zur Verfügung gestellten Hotline des Herstellers zu achten.
  • Zuverlässigkeit/Ausfallsicherheit
    • Gibt es verlässliche Informationen zur Zuverlässigkeit und Ausfallsicherheit von Hard- und Software?
    • Bietet der Hersteller gegebenenfalls Hochverfügbarkeitslösungen an?
      Wenn die Verfügbarkeitsanforderungen nicht über Wartungsverträge abgedeckt werden können, sollte das System Hochverfügbarkeitslösungen unterstützen.
  • Benutzerfreundlichkeit
    • Lässt sich das Produkt einfach installieren, konfigurieren, administrieren und benutzen?
      Es sollten darüber hinaus Schulungen für das Produkt angeboten werden.
  • Kosten
    • Wie hoch sind die Anschaffungskosten für Hard- und Software?
    • Wie hoch sind die voraussichtlichen laufenden Kosten (Wartung, Betrieb, Support)?
      Diese Kosten müssen bereits in der Beschaffungsphase mit berücksichtigt werden. Der Inhalt der Wartungs- und Supportverträge sollte geprüft werden (Reaktionszeiten, Hotline, Qualifikation des Personals, etc.).
    • Wie hoch sind die voraussichtlichen laufenden Kosten für das Personal?
    • Müssen zusätzliche Soft- oder Hardware-Komponenten angeschafft werden?
      Diese Frage sollte bereits in der Planungsphase beantwortet werden. Wenn beispielsweise bereits ein Netz-Management-System im Einsatz ist, sollte die Kompatibilität mit den zu beschaffenden Geräten geprüft werden.
      Zudem sollte der Aufwand zur Integration in eine bestehende Infrastruktur beachtet werden.
    • Wie hoch sind die Kosten für die Schulung von Administratoren?
    • Mit welchen Kosten muss gerechnet werden, wenn wegen erhöhter Kapazitätsanforderungen ein Upgrade der Hardware notwendig ist?
      Die Kosten können in diesem Fall erheblich höher ausfallen, als die Kosten für die Hardware selbst, da in etlichen Lizenzmodellen von Softwareanbietern der Lizenzpreis von der Anzahl der Prozessoren oder dem Prozessortakt abhängt, so dass bei einem Hardwareupgrade auch gleichzeitig eine neue Programmlizenz erforderlich sein kann.
  • Protokollierung
    • Welche Möglichkeiten der Protokollierung sind vorhanden?
      Die angebotenen Möglichkeiten zur Protokollierung müssen mindestens die in der Sicherheitsrichtlinie festgelegten Anforderungen erfüllen. Insbesondere sind die folgenden Punkte relevant:
    • Ist der Detailgrad der Protokollierung konfigurierbar?
    • Werden durch die Protokollierung alle relevanten Daten erfasst?
    • Unterstützt das System zentrale Protokollierung (z. B. Syslog)?
    • Kann die Protokollierung so erfolgen, dass die Bestimmungen des Datenschutzes erfüllt werden können?
    • Werden Alarmierungsfunktionen unterstützt?
  • Infrastruktur
    • Abmessungen und Kompatibilität mit Schutzschränken
      Auch der Platzbedarf eines Servers ist bei der Beschaffung zu berücksichtigen. Kann das Gerät in die vorgesehenen Schutzschränke eingebaut werden (Formfaktor, Gewicht, Befestigungselemente)?
    • Stromversorgung und Abwärme
      Vom Hersteller sollten Angaben zum Stromverbrauch und zu den Anforderungen an die Umgebungstemperatur verfügbar sein. Reicht die vorhandene Kapazität der Stromversorgung und der USV aus? Reicht die vorhandene Kühlleistung zur Abfuhr der Abwärme des Geräts aus?

Die Anforderungen und die auf ihrer Basis getroffenen Auswahlentscheidungen sollten so dokumentiert werden, dass zu einem späteren Zeitpunkt nachvollziehbar ist, wie die Entscheidung zu Stande gekommen ist.

Prüffragen:

  • Existiert eine Anforderungsliste, die alle erforderlichen Merkmale zur Beschaffung von Servern berücksichtigt?

Stand: 13. EL Stand 2013