Bundesamt für Sicherheit in der Informationstechnik

M 4.41 Einsatz angemessener Sicherheitsprodukte für IT-Systeme

Verantwortlich für Initiierung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter, Verantwortliche der einzelnen Anwendungen, Leiter IT

Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle

Je nachdem, welche Sicherheitsanforderungen an ein IT-System gestellt werden, reichen eventuell die vorhandenen Sicherheitsfunktionalitäten nicht aus, so dass zusätzlich geeignete Sicherheitsprodukte eingesetzt werden sollten. Typische Beispiele dafür sind Zugangskontrolle, Zugriffsrechteverwaltung und -prüfung, Protokollierung oder Verschlüsselung.

Bei IT-Systemen muss beispielsweise sichergestellt werden, dass

  • nur autorisierte Personen das IT-System benutzen können (siehe auch BDSG , Zugangskontrolle). Hierfür sind geeignete Authentisierungsmechanismen auszuwählen.
  • die Benutzer auf die Daten nur in der Weise zugreifen können, die sie zur Aufgabenerfüllung benötigen. Hierbei unterstützen geeignete Benutzertrennung und Rechtevergabe.
  • Unregelmäßigkeiten und Manipulationsversuche erkennbar werden. Hierbei helfen Protokollierungsfunktionen, Verschlüsselung und digitale Signatur.
  • Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Hierbei unterstützen beispielsweise Backup-Programme.

Reichen die Protokollierungsmöglichkeiten des IT-Systems nicht aus, um eine ausreichende Beweissicherung zu gewährleisten, so müssen diese nachgerüstet werden. Hierzu gibt es auch verschiedene Gesetze, die dies erfordern. Beispielsweise ist nach BDSG, bei der Eingabekontrolle "zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind".

Ist es mit dem IT-System nicht möglich, den Administrator daran zu hindern, auf bestimmte Daten zuzugreifen oder zumindest diesen Zugriff zu protokollieren und zu kontrollieren, dann kann z. B. mit einer Verschlüsselung der Daten verhindert werden, dass der Administrator diese Daten im Klartext liest, wenn er nicht im Besitz des zugehörigen Schlüssels ist.

Empfohlene Mindestfunktionalitäten:

IT-Systeme sollten mindestens die folgenden Sicherheitseigenschaften besitzen. Wenn diese nicht im Standardumfang vorhanden sind, sollten diese über zusätzliche Sicherheitsprodukte nachgerüstet werden.

  • Identifikation und Authentisierung: Es sollte eine Sperre des Systems nach einer vorgegebenen Anzahl fehlerhafter Authentisierungsversuche statt finden, die nur ein Administrator zurücksetzen kann. Wird ein Passwort verwendet, sollte das Passwort mindestens acht Stellen umfassen und darf nicht unverschlüsselt im System gespeichert werden.
  • Rechteverwaltung und -kontrolle: Es sollte eine Rechteverwaltung und -kontrolle auf Festplatten und Dateien vorhanden sein, wobei zumindest zwischen lesendem und schreibendem Zugriff unterschieden werden soll. Für Benutzer sollte kein Systemzugriff auf Betriebssystemebene möglich sein.
  • Rollentrennungzwischen Administrator und Benutzer: Es sollte eine klare Trennung zwischen Administrator und Benutzer möglich sein, wobei nur der Administrator Rechte zuweisen oder entziehen können sollte.
  • Protokollierung der Vorgänge Anmelden, Abmelden und Rechteverletzung sollte möglich sein.
  • Automatische Bildschirmsperre: Nach zeitweiser Inaktivität der Tastatur oder Maus sollte eine Bildschirmsperre automatisch aktiv werden. Diese sollte sich auch direkt aktivieren lassen. Der erneute Zugriff auf das IT-System darf erst nach erfolgreicher Identifikation und Authentisierung wieder möglich sein.
  • Boot-Schutz soll verhindern, dass der Rechner unbefugt von anderen Medien gebootet werden kann.

Sollte ein oder mehrere dieser Sicherheitsfunktionalitäten nicht vom Betriebssystem unterstützt werden, so müssen ersatzweise geeignete zusätzliche Sicherheitsprodukte eingesetzt werden.

Zusätzliche Forderungen an Sicherheitsprodukte:

  • Benutzerfreundliche Oberfläche zur Erhöhung der Akzeptanz.
  • Aussagekräftige und nachvollziehbare Dokumentation für Administrator und Benutzer.

Wünschenswerte Zusatzfunktionalität von Sicherheitsprodukten:

  • Rollentrennung zwischen Administrator, Revisor und Benutzer; nur der Administrator kann Rechte zuweisen oder entziehen und nur der Revisor hat Zugriff auf die Protokolldaten,
  • Protokollierung von Administrationstätigkeiten,
  • Unterstützung der Protokollauswertung durch konfigurierbare Filterfunktionen,
  • Verschlüsselung der Datenbestände mit einem geeigneten Verschlüsselungsalgorithmus und in einer Weise, dass ein Datenverlust bei Fehlfunktion (Stromausfall, Abbruch des Vorgangs) systemseitig abgefangen wird.

Die Realisierung dieser Funktionalität kann sowohl in Hardware wie auch in Software erfolgen. Bei der Neubeschaffung eines Produktes sollte Maßnahme M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung berücksichtigt werden.

Übergangslösung:

Sollte es nicht möglich sein, kurzfristig ein geeignetes Sicherheitsprodukt zu beschaffen, sind andere geeignete Sicherheitsmaßnahmen zu ergreifen. Diese sind dann typischerweise organisatorischer Natur und müssen von den Benutzern konsequent eingehalten werden. Wenn ein IT-System beispielsweise keine Bildschirmsperre hat, muss dieses in den kurzen Phasen, wo es nicht benutzt wird, ein- oder weggeschlossen werden.

Prüffragen:

  • Bei höheren Sicherheitsanforderungen an ein IT -System: Ist der Einsatz zusätzlicher Sicherheitsprodukte geprüft worden?

  • Werden organisatorische Maßnahmen ergriffen, falls ein geeignetes Sicherheitsprodukt kurzfristig nicht beschafft werden kann?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK