Bundesamt für Sicherheit in der Informationstechnik

M 2.322 Festlegen einer Sicherheitsrichtlinie für ein Client-Server-Netz

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Die Sicherheitsvorgaben für alle Clients ergeben sich aus der organisationsweiten Sicherheitsrichtlinie. Ausgehend von der allgemeinen Richtlinie müssen die Anforderungen für den gegebenen Kontext konkretisiert werden und in einer Sicherheitsrichtlinie für die jeweilige Gruppe von Clients zusammengefasst werden. In diesem Zusammenhang ist zu prüfen, ob neben der organisationsweiten Sicherheitsleitlinie weitere übergeordnete Vorgaben wie IT-Richtlinien, Passwortrichtlinien oder Vorgaben zur Internet-Nutzung zu berücksichtigen sind.

Die Sicherheitsrichtlinie muss allen Anwendern und anderen Personen, die an der Beschaffung und dem Betrieb der Clients beteiligt sind, bekannt sein und Grundlage für deren Arbeit sein. Wie bei allen Richtlinien sind ihre Inhalte und ihre Umsetzung im Rahmen einer übergeordneten Revision regelmäßig zu prüfen.

Die Sicherheitsrichtlinie sollte das generell zu erreichende Sicherheitsniveau spezifizieren und grundlegende Festlegungen treffen. Zur Verbesserung der Übersichtlichkeit kann es sinnvoll sein, für verschiedene Einsatzgebiete gesonderte Sicherheitsrichtlinien zu entwickeln.

Als erstes sollte die allgemeine Konfigurations- und Administrationsstrategie ("Liberal" oder "Restriktiv") festgelegt werden, da die weiteren Entscheidungen von dieser Festlegung wesentlich abhängen.

Für Clients mit normalem Schutzbedarf kann eine relativ liberale Strategie gewählt werden, was in vielen Fällen die Konfiguration und Administration vereinfacht. Generell ist es aber auch in diesen Fällen empfehlenswert, die Strategie nur "so liberal wie nötig" auszulegen.

Bei Clients mit einem hohen Schutzbedarf wird grundsätzlich eine restriktive Strategie empfohlen. Für Clients mit besonderem Schutzbedarf bezüglich eines der drei Grundwerte sollte unbedingt eine restriktive Konfigurations- und Administrationsstrategie umgesetzt werden.

Nachfolgend sind einige Punkte aufgeführt, die berücksichtigt werden sollten:

  • Regelungen für die Arbeit der Benutzer der Clients:
    • Soll ein Client nur von jeweils einem einzelnen Benutzer genutzt werden, oder ist ein Betrieb mit wechselnden Benutzern vorgesehen?
    • Dürfen Benutzer bestimmte Konfigurationseinstellungen selbst ändern (beispielsweise Bildschirmhintergrund, Bildschirmschoner oder ähnliches) oder werden alle Einstellungen zentral vorgegeben?
    • Dürfen Benutzer auf bestimmte Bereiche des Systems keinen Zugriff haben? Diese Vorgaben haben in der Regel sowohl Auswirkungen auf die Rechtevergabe im System selbst als auch auf die Vorgaben für die Installation und Grundkonfiguration.
    • Welche Informationen dürfen die Benutzer lokal auf den Clients abspeichern? Generell sollten alle geschäftsrelevanten Informationen zentral auf einem Server abgelegt werden, auf dem sie regelmäßig gesichert werden. Andernfalls muss dafür gesorgt werden, dass alle Informationen der Benutzer, die lokal auf den Clients abgespeichert sind, im Datensicherungskonzept des Clients berücksichtigt werden.
    • Sind die Benutzer gehalten, den Rechner abends herunterzufahren und auszuschalten, oder muss er rund um die Uhr in Betrieb sein?
      Für das Ausschalten von Client-Rechnern bei Arbeitsschluss sprechen beispielsweise Brandschutz und Stromersparnis. Darüber hinaus sind etwa Festplatten, die in Client-Computern eingesetzt werden, meist nicht für einen Dauerbetrieb geeignet. Ein durchgehender Betrieb der Rechner kann dennoch erwünscht sein, beispielsweise wenn über Nacht automatische Datensicherungen laufen oder die Rechner für andere Anwendungen genutzt werden.

  • Regelungen für die Arbeit der Administratoren und Revisoren:
    • Nach welchem Schema werden Administrationsrechte vergeben? Welcher Administrator darf welche Rechte ausüben und wie erlangt er diese Rechte?
    • Über welche Zugangswege dürfen Administratoren und Revisoren auf die Systeme zugreifen?
    • Welche Vorgänge und Ereignisse müssen dokumentiert werden? In welcher Form wird die Dokumentation erstellt und gepflegt?
    • Gilt für bestimmte Änderungen ein Vier-Augen-Prinzip?

  • Vorgaben für die Installation und Grundkonfiguration:
    • Welche Installationsmedien werden zur Installation verwendet?
    • Soll ein zentraler Authentisierungsdienst genutzt werden oder erfolgt die Benutzerverwaltung und -authentisierung nur lokal?
    • Regelungen zur Benutzer- und Rollenverwaltung, Berechtigungsstrukturen (Ablauf und Methoden der Authentisierung und Autorisierung, Berechtigung zu Installation, Update, Konfigurationsänderungen etc. ). Nach Möglichkeit sollte ein Rollenkonzept für die Administration erarbeitet werden. Es dürfen keine Sammelkonten, die verschiedene Benutzer mit derselben Kennung nutzen, verwendet werden.
    • Vorgaben für die zu installierenden Softwarepakete
    • Falls bei der Planung für die Clients festgelegt wurde, dass Teile des Dateisystems verschlüsselt werden sollen, so sollte an dieser Stelle festgelegt werden, wie dies zu geschehen hat.
    • Beim Einsatz verschlüsselter Dateisysteme sollte hierfür ein eigenes Konzept erstellt und die Details der Konfiguration besonders sorgfältig dokumentiert werden, da im Fall von Problemen (Verlust des Schlüssels oder der Passphrase zum Schlüssel, inkorrekte Konfiguration oder ähnliches) die Daten auf den verschlüsselten Dateisystemen sonst vollständig verloren sein können.
    • Regelungen zu Erstellung und Pflege von Dokumentation

  • Vorgaben für den sicheren Betrieb:
    • Welcher Benutzerkreis darf sich auf dem System anmelden?
    • Wie können sich die Benutzer gegenüber dem IT -System authentisieren? Generell sollte auf eine automatische Anmeldung, bei der die Benutzer ohne eine aktive Authentisierung beim Hochfahren des Clients angemeldet werden, verzichtet werden.
    • Erhalten Benutzer Zugriff auf ein oder mehrere LANs oder das Internet? Welche Protokolle dürfen verwendet werden? Bei Clients, die als Arbeitsplatzrechner in einer Organisation genutzt werden, ist es in der Regel nicht notwendig und oft auch nicht wünschenswert, dass normale Benutzer über das Netz auf einen anderen Arbeitsplatzrechner zugreifen.
    • Auf welche Ressourcen dürfen die Benutzer zugreifen?
    • Es müssen Vorgaben für die Passwortnutzung erstellt werden (Passwortregeln, Regeln und Situationen für Passwortänderungen, gegebenenfalls Hinterlegung von Passwörtern).
    • Wer darf das System herunterfahren?
    • Soll das System mit einer Boot-Sperre versehen werden, die ein Starten von externen Medien wie Disketten, CD-ROMs oder USB-Sticks verhindert?
      Es wird empfohlen, für den Normalbetrieb eine solche Sperre vorzusehen, die nur im Rahmen einer Störungssuche und -beseitigung vom Administrator aufgehoben werden kann, wenn er das System mit dem Notfall-Bootmedium (siehe M 6.24 Erstellen eines Notfall-Bootmediums ) startet.

  • Netzkommunikation und -dienste:
    • Soll ein lokaler Paketfilter aufgesetzt werden?
    • Auf welche externen Netzdienste soll von dem Rechner aus zugegriffen werden können?
    • Soll ein verteiltes Dateisystem eingebunden werden?
    • Verteilte Dateisysteme, bei denen die Nutzdaten unverschlüsselt übertragen werden, sollten nur im internen Netz verwendet werden. Soll ein verteiltes Dateisystem über ein unsicheres Netz hinweg genutzt werden, so muss es durch zusätzliche Maßnahmen (kryptographisch geschütztes VPN, Tunneling) gesichert werden.

  • Protokollierung:
    • Welche Daten werden protokolliert? Wie und in welchen Intervallen werden die Protokolldaten ausgewertet? Wer führt die Auswertung durch?

Anhand der oben genannten Punkte kann eine Checkliste erstellt werden, die bei Audits oder Revisionen hilfreich sein kann.

Die Verantwortung für die Sicherheitsrichtlinie liegt beim Sicherheitsmanagement. Änderungen und Abweichungen hiervon dürfen nur in Abstimmung mit dem Sicherheitsmanagement erfolgen.

Bei der Erstellung einer Sicherheitsrichtlinie ist es empfehlenswert, so vorzugehen, dass zunächst ein Maximum an Forderungen und Vorgaben für die Sicherheit der Systeme aufgestellt wird. Diese können anschließend den tatsächlichen Gegebenheiten angepasst werden. Idealerweise wird so erreicht, dass alle notwendigen Aspekte berücksichtigt werden. Für jede im zweiten Schritt verworfene oder abgeschwächte Vorgabe sollte der Grund für die Nicht-Berücksichtigung dokumentiert werden.

Im Bezug auf Regelungen für die Benutzer sollte jedoch beachtet werden, dass diese nur so weit sinnvoll sind, wie sie im normalen Arbeitsalltag anwendbar sind, aber auch wie sie überwacht und durchgesetzt werden können. Beispielsweise ist es bei Zugriffsbeschränkungen nicht zielführend, den Benutzern nur in der Sicherheitsrichtlinie den Zugriff auf bestimmte Verzeichnisse zu verbieten, diese aber nicht auch durch eine entsprechende Rechtevergabe tatsächlich vor dem Zugriff zu schützen. Zugriffsbeschränkungen, die bei der Erstellung der Sicherheitsrichtlinie festgelegt wurden, sollten daher immer so weit wie möglich über entsprechende Vorgaben für die Installation und Konfiguration der Rechner umgesetzt werden.

Bei der Formulierung der Sicherheitsrichtlinie für Clients ist es auch wichtig, eine Balance zwischen Sicherheit (durch Einschränkungen der Funktionalität und restriktive Vergabe von Benutzerrechten) und Benutzerfreundlichkeit zu finden. Werden die Benutzer durch Regelungen, die für sie nicht transparent sind und die eventuell sogar als Schikane empfunden werden, zu sehr eingeschränkt, so kann sie dies im Gegenzug dazu verleiten, diese Beschränkungen mit besonderer Kreativität zu umgehen.

Dies unterscheidet die Sicherheitsrichtlinie für Clients von den entsprechenden Richtlinien etwa für Server oder aktive Netzkomponenten, bei denen in der Regel nur technisch versierte Anwender und Administratoren angesprochen sind, denen viele Einschränkungen eher plausibel gemacht werden können.

Prüffragen:

  • Ist eine Client-Sicherheitsrichtlinie vorhanden, die das zu erreichende Sicherheitsniveau beschreibt?

  • Wird die Client-Sicherheitsrichtlinie regelmäßig den aktuellen Erfordernissen angepasst?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK