Bundesamt für Sicherheit in der Informationstechnik

M 4.84 Nutzung der BIOS-Sicherheitsmechanismen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Moderne BIOS -Varianten, z. B. UEFI (Unified Extensible Firmware Interface), bieten eine Vielzahl von Sicherheitsmechanismen an, mit denen sich die Systemadministration vertraut machen sollte. Auf keinen Fall sollten ungeschulte Benutzer BIOS-Einträge verändern, da hierdurch schwerwiegende Schäden verursacht werden können.

  • Schreibschutz: Viele Mainboards besitzen einen Hardware-Schreibschutz für das BIOS (meist in Form eines Jumpers auf dem Mainboards). Sofern ein solcher Schreibschutz existiert, sollte er genutzt werden und nur bei notwendigen BIOS-Änderungen entfernt werden, z. B. nach einem nötigen BIOS-Update (siehe M 6.27 Sicheres Update des BIOS ). Anschließend sollte er wieder gesetzt werden.
  • Passwortschutz: Bei den meisten BIOS-Varianten kann ein Passwortschutz aktiviert werden. Dieser ist teilweise verhältnismäßig einfach überwindbar, sollte aber auf jeden Fall benutzt werden, wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen.
    Meist kann ausgewählt werden, ob das Passwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS-Einstellungen überprüft werden soll. Teilweise können sogar verschiedene Passwörter für diese Prüfungen benutzt werden. Um zu verhindern, dass Unbefugte die BIOS-Einstellungen ändern, sollte das Setup- oder Administrator-Passwort immer aktiviert werden.
  • Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein, dass nur vom Datenträger mit dem vorgesehenen Betriebssystem gebootet werden kann. Das Booten von anderen Datenträgern sollte verhindert werden. Dies schützt vor einer Infektion mit bestimmten Schadprogrammen, falls versehentlich ein Datenträger im System vergessen wurde.
    Ohne eine Umstellung der Boot-Reihenfolge können auch Zugriffsschutzmechanismen (siehe M 4.1 Passwortschutz für IT-Systeme ) und weitere Sicherheitsmaßnahmen umgangen werden. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems, so dass gesetzte Sicherheitsattribute ignoriert werden (siehe M 4.49 Absicherung des Boot-Vorgangs für ein Windows-System ).
    Generell sollte durch einen Boot-Versuch überprüft werden, ob die Umstellung der Boot-Reihenfolge wirksam ist, da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern.
  • Virenschutz, Virus-Warnfunktion: Wird diese Funktion aktiviert, verlangt der Rechner vor einer Veränderung des Boot-Sektors bzw. des MBR (Master Boot Record) eine Bestätigung, ob diese Änderung durchgeführt werden darf. Wird die Virus-Warnfunktion von der BIOS-Version unterstützt, sollte diese Funktion als zusätzlicher Schutz aktiviert werden.

Prüffragen:

  • Ist das BIOS so konfiguriert, dass die BIOS-Einstellungen nur nach Eingabe eines Passworts bzw. nach Entfernen eines Hardware-Schreibschutzes geändert werden können?

  • Wurde getestet, dass die im BIOS eingestellte Boot-Reihenfolge zum Booten von der Festplatte führt?

  • Ist die Virus-Warnfunktion des BIOS zum Schutz vor unbeabsichtigten Veränderungen des Boot-Sektors oder des MBR (Master Boot Record) aktiviert?

Stand: 13. EL Stand 2013