Bundesamt für Sicherheit in der Informationstechnik

M 2.525 Erstellung einer Sicherheitsrichtlinie für Speicherlösungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Speicherlösungen als zentrale Instanz zur Datenspeicherung einzusetzen, ist für viele Abläufe und Geschäftsprozesse einer Institution essenziell. Der sichere und ordnungsgemäße Betrieb kann nur sichergestellt werden, wenn Planung, Stationierung, Administration und Betrieb von Speicherlösungen in die bestehenden sicherheitstechnischen Vorgaben integriert sind.

Die zentralen sicherheitstechnischen Anforderungen und das zu erreichende Sicherheitsniveau ergeben sich aus der organisationsweiten Sicherheitsleitlinie. Die Anforderungen sollten in einer spezifischen Sicherheitsrichtlinie für Speicherlösungen formuliert werden, um die übergeordnete und allgemein formulierte Sicherheitsleitlinie im gegebenen Kontext zu konkretisieren und umzusetzen.

Grundlage für eine angemessene Definition von Forderungen, die in der Sicherheitsrichtlinie Ausdruck finden, ist die Dokumentation der Schutzbedarfsfeststellung aller Daten, die in einer ausgewählten Speicherlösung (M 2.362 Auswahl einer geeigneten Speicherlösung ) gespeichert werden sollen. Nur hieraus lässt sich ableiten, welche Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit der Daten gestellt werden und entsprechend, welcher technische und organisatorische Aufwand angemessen ist.

Werden in einer Institution unterschiedliche Speicherlösungen ( z. B. SAN , NAS , Objekt-Storage, Cloud Storage) eingesetzt, kann es sinnvoll für die Verantwortlichen sein, für die einzelnen Anwendungsfälle separate Sicherheitsrichtlinien zu erstellen und sich dabei an der vorliegenden Maßnahme zu orientieren.

Da SAN -Lösungen ein dediziertes Netz enthalten, ist für die Erstellung einer Sicherheitsrichtlinie für SAN -Lösungen zusätzlich die Maßnahme M 2.279 Erstellung einer Sicherheitsrichtlinie für Router und Switches zu beachten. Dort werden die allgemeinen Sicherheitsvorkehrungen für IT-Komponenten, die in einem internen Netz den Zugang zu Informationen oder anderen Systemen ermöglichen, vorgestellt. Für die Erstellung einer Sicherheitsrichtlinie für NAS -Lösungen ist zusätzlich die Maßnahme M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server zu beachten. Dort werden die allgemeinen Sicherheitsvorkehrungen für IT-Systeme mit einer Serverfunktion vorgestellt. Sofern Cloud-Storage-Lösungen zum Einsatz kommen, sind zusätzlich die Vorgaben aus M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung aus dem Baustein B 1.17 Cloud-Nutzung zu betrachten.

Weitere Aspekte, die in der Sicherheitsrichtlinie für Speicherlösungen behandelt werden müssen, sind:

Vorgaben für die Planung von Speichersystemen

  • Es sind Vorgaben für die technische Infrastruktur zu entwickeln, in der Speicherkomponenten aufgestellt werden. Die Infrastruktur der Räume, in denen Komponenten der Speicherlösung stationiert werden, muss geeignet sein, um die Verfügbarkeitsanforderungen der Speicherlösung durch entsprechende Strom-, Netz- und Klimaversorgung zu erfüllen. Ebenso soll der Zutritt zu diesen Räumen angemessen geschützt werden.
  • Es sind Vorgaben zu machen, die den Zugriff Externer (beispielsweise zu Wartungszwecken) regeln. Da Überwachungs- und Wartungsverträge von Lieferanten der Speicherkomponenten oftmals direkte Anbindung der Speicherlösung an Überwachungssysteme des Herstellers oder Lieferanten fordern, ist festzulegen, wie solche Zugriffe kontrolliert und protokolliert werden.
  • Wenn in Bezug auf die Verfügbarkeit ein sehr hoher Schutzbedarf festgestellt wird, sollte der Einsatz einer desastertoleranten SAN -Lösung eingefordert werden. Zu diesem Zweck sollte die Speicherlösung hinsichtlich SPoFs (Single Points of Failure), die bei einem Ausfall den Komplettausfall des Systems nach sich ziehen, analysiert werden. Ist eine sehr hohe Verfügbarkeit der Speicherlösung gefordert, ist die Analyse von SpoFs in jedem Fall vorzunehmen. Sollen neue Komponenten in eine hochverfügbare SAN -Lösung eingebracht werden, ist deren reibungslose Integration zunächst innerhalb spezieller Testsysteme zu überprüfen.

Vorgaben für die Arbeit von Administratoren

  • Es ist zu dokumentieren, nach welchem Schema Administrationsrechte für einzelne Komponenten der Speicherlösung oder das Gesamtsystem vergeben werden. Es ist empfehlenswert, ein entsprechendes Rollenkonzept zu entwickeln.
  • Es sollten Administrator-Rollen definiert werden, denen aufgabenbezogen die notwendigen Rechte eingeräumt werden. Insbesondere sollte die routinemäßige Systemverwaltung (zum Beispiel Backup) nur mit den unbedingt notwendigen Rechten durchgeführt werden können. Die Administrator-Kennungen werden in der Folge den Rollen zugeordnet. Um die Auswirkungen von Fehlern zu reduzieren, darf unter einer Administrator-Kennung nur gearbeitet werden, wenn es zwingend notwendig ist.
  • Der administrative Zugriff ist mindestens durch Einsatz starker Passwörter, gegebenenfalls auch durch besondere Maßnahmen zur Benutzerauthentisierung abzusichern.
  • Die Verwaltung und Kontrolle von Speicherressourcen durch die Administratoren und der Zugriff für Revisoren auf die Systeme ist entweder nur lokal über eine direkt angeschlossene Konsole, ein eigenes Administrationsnetz oder über verschlüsselte Verbindungen zulässig. Der Zugriff auf Speicherressourcen ist auf definierte Systeme zu beschränken und z. B. durch Sicherheitsgateways zu kontrollieren.
  • IT-Systeme, die als Managementkonsole oder zur Revision eingesetzt werden, sind auf bestmögliche Weise vor Schadprogrammen zu schützen.
  • Durch die vorgegebene Aufgabenteilung, durch Vorgaben und Regelungen und eine stets aktuelle Dokumentation der Einstellungen aller Speicherkomponenten ist sicherzustellen, dass Administratoren keine Aktionen ausführen oder Einstellungen an der Speicherlösung vornehmen, die zu Inkonsistenzen, Ausfällen oder Datenverlust führen können. Relevante Änderungen müssen dokumentiert werden. Es ist dazu empfehlenswert, ein Änderungsmanagement-Verfahren, z. B. in Anlehnung an ITIL (IT Infrastructure Library) zu betreiben.
  • Es ist festzulegen, ob für bestimmte Änderungen das Vieraugenprinzip anzuwenden ist.

Vorgaben für die Installation und Konfiguration der Speicherlösung

  • Das Vorgehen bei der Erstinstallation ist zu dokumentieren. Da diese in den meisten Fällen vom Hersteller oder Lieferanten vorgenommen wird, ist die entsprechende Dokumentation einzufordern.
  • Nach der Installation sind die Default-Einstellungen in Bezug auf Sicherheitsgefährdungen zu überprüfen, unsichere Dienste auf Netzkomponenten und Speichergeräten zu deaktivieren und die Standardkennungen und -passwörter zu ändern.
  • Zugriffe von Systemkonsolen auf Speicherkomponenten über das LAN sollten ausschließlich über verschlüsselte Verbindungen ermöglicht werden. Der Kreis der zugriffsberechtigten Anwender auf die Geräte ist möglichst klein zu halten. Regeln zur Verwendung und Konfiguration der Konsole und Restriktion der Zugriffsarten sind zu dokumentieren.
  • Es ist zu regeln, wie Dokumentationen zu erstellen und zu pflegen sind und in welcher Form die Dokumentationen ( z. B. Verfahrensanweisungen für die Einrichtung administrativer Kennungen, Betriebshandbücher für Abläufe und Kontrollen im Normalbetrieb) vorliegen sollen.
  • Innerhalb des SAN s sollten spezifische Methoden der Segmentierung (siehe M 5.130 Absicherung des SANs durch Segmentierung ) genutzt werden. Damit wird im SAN ein besserer Schutz von Teilbereichen sowohl bezüglich der Vertraulichkeit und Verfügbarkeit als auch bezüglich der Integrität der Konfiguration und der Verfügbarkeit des SAN s erreicht.

Vorgaben für den sicheren Betrieb

  • Die Administration der Speicherlösung ist abzusichern, indem Zugriffe nur über besondere Verbindungen (ein separates Administrationsnetz, gegebenenfalls auch das Speichernetz selbst) zugelassen werden.
  • Es sind gegebenenfalls Werkzeuge auszuwählen, mit denen die Speicherkomponenten in einem bestehenden Netzmanagement betrieben, gewartet und integriert werden können. Vorgaben für eine sichere Konfiguration dieser Werkzeuge müssen definiert werden. Wenn möglich, sollten nur verschlüsselte Verbindungen genutzt und nicht benötigte Schnittstellen und Dienste deaktiviert bzw. gesperrt werden.
  • Falls eine Fernwartung oder Überwachung durch den Hersteller genutzt werden soll, müssen Vorgaben für die Absicherung der Zugänge definiert werden. Beispielsweise ist die Anbindung per VPN oder exklusiv genutzte Verbindungen zu realisieren und eine für die Institution nachvollziehbare Protokollierung dieser Aktivitäten einzufordern. Weitere Informationen sind in der Maßnahme M 4.80 Sichere Zugriffsmechanismen bei Fernadministration enthalten.
  • Es ist eindeutig festzulegen, wer berechtigt ist, Software-Updates zu initiieren oder Konfigurationen zu ändern. Die Vorgehensweise ist zu dokumentieren. Sobald sehr hohe Anforderungen an die Verfügbarkeit bestehen, ist zu fordern, dass Änderungen und Updates stets vor dem Wirkbetrieb an baugleichen Testsystemen zu erproben und zu bewerten sind.
  • Während des Betriebes einer Speicherlösung sind alle administrativen Tätigkeiten zu protokollieren. Darüber hinaus muss ein Konzept für die Verwaltung und Überwachung der Speichersysteme erstellt werden. Informationen zu diesem Thema finden sich in M 2.359 Überwachung und Verwaltung von Speicherlösungen .
  • In Abhängigkeit vom Schutzbedarf ( z. B. hoch oder sehr hoch), vom Betreibermodell ( z. B. bei Fremdbetrieb), von der Lokation ( z. B. Unterbringung einzelner Komponenten oder der kompletten Speicherlösung bei einem Dienstleister) oder in Abhängigkeit von der Mandantenfähigkeit besteht die Notwendigkeit zum Einsatz von Verschlüsselung. Hinweise hierzu finden sich in M 4.448 Einsatz von Verschlüsselung für Speicherlösungen .
  • Die Regelungen für die Datensicherung der Speicherlösung sind mit dem übergreifenden Datensicherungskonzept der Institution (siehe dazu Baustein B 1.4 Datensicherungskonzept ) und mit den Schutzbedarfsanforderungen der Speicherlösung abzustimmen. Bei besonderen Anforderungen an die Vertraulichkeit ist hier die Rechteverwaltung auf Backups vorzugeben.
  • Aufgrund der zentralen Bedeutung einer Speicherlösung sind deren Notfallvorsorge und die Pläne für den Notfall (siehe auch M 6.98 Notfallvorsorge und Notfallreaktion für Speicherlösungen ) in das organisationsweite Notfallmanagement einzubinden.
  • Verantwortlichkeiten und Vorgehen für Revision und Audit sind zu beschreiben. Die Revision von Speicherlösungen ist in ein übergreifendes Revisionskonzept zu integrieren.

Prüffragen:

  • Wurde eine Sicherheitsrichtlinie für den Betrieb von Speicherlösungen erstellt?

  • Wurde ein Sicherheitsniveau in der Sicherheitsrichtlinie definiert?

  • Wurden in der Sicherheitsrichtlinie Vorgaben zur Planung, Administration, Installation und Konfiguration sowie zum Betrieb von Speicherlösungen beschrieben?

  • Wann wurde die Sicherheitsrichtlinie zum letzten Mal aktualisiert?

  • Wurde die Sicherheitsrichtlinie für Speichersysteme in das organisationsweite System für Revision und Audits aufgenommen und Schnittstellen zum Notfallmanagement geschaffen?

Stand: 14. EL Stand 2014