Bundesamt für Sicherheit in der Informationstechnik

M 4.92 Sicherer Betrieb eines Systemmanagementsystems

Verantwortlich für Initiierung: Informationssicherheitsmanagement, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für den sicheren Betrieb eines Systemmanagementsystems, welches auch aus verschiedenen Management-Tools (siehe M 2.171 Geeignete Auswahl eines Systemmanagement-Produktes ) bestehen kann, ist die sichere Konfiguration aller beteiligten Komponenten zu prüfen und sicherzustellen (siehe auch M 4.91 Sichere Installation eines Systemmanagementsystems ). Hierzu ist es nötig, die jeweiligen Betriebssysteme der Komponenten, die durch das Systemmanagementsystem verwaltet werden und damit Teile des Systems in Form von Software und/oder Daten installiert haben, entsprechend zu sichern. Zur Absicherung gehört dabei auch die sichere Aufstellung der Rechner, die zentrale Aufgaben für das Managementsystem erfüllen (Managementserver, Rechner mit Managementdatenbanken). Daneben muss für die sichere Datenübertragung Sorge getragen werden (siehe M 5.68 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ).

Auf die folgenden Punkte ist insbesondere während des laufenden Betriebs eines Managementsystems zu achten:

  • Im Rahmen der Fortschreibung der Systemdokumentation müssen die durch das Managementsystem neu hinzugekommenen Hard- und Softwarekomponenten dokumentiert werden.
  • Auch Änderungen am Managementsystem selbst müssen dokumentiert und/oder protokolliert werden.
  • Die Fortschreibung gilt in gleicher Weise für das Notfallhandbuch. Insbesondere sind einerseits die Anlauf- und Recovery-Pläne zu modifizieren, da viele Standardfunktionen der verwalteten Betriebssysteme nach Einführung eines Managementsystems nun nur noch mit Hilfe der Funktionen des Managementsystems erfolgen können. Andererseits muss das Notfallhandbuch aber auch Anweisungen dafür enthalten, wie das System ohne Managementsystem (etwa bei Totalausfall zentraler Komponenten) innerhalb kurzer Zeit in hinreichendem Maße (Notbetriebsregelung) verfügbar gemacht werden kann (siehe auch Baustein B 1.3 Notfallmanagement ).
  • Ein Zugriff auf die Komponenten oder Daten des Managementsystems erfolgt in der Regel ausschließlich durch das Managementsystem selbst oder berechtigte andere Systemmechanismen (z. B. Datensicherungssystem). Daher ist der Zugriff für normale Benutzer zu unterbinden. Dies gilt im Normalfall auch für die Rolle des lokalen Administrators eines einzelnen Rechners. Muss in Ausnahmefällen tatsächlich direkt auf einem Rechner auf die lokalen Komponenten des Managementsystems zugegriffen werden (z. B. bei Crashrecovery oder Neuinstallation von Komponenten, sofern das Managementsystem dies nicht im Rahmen des Managements unterstützt), so sollte diese Berechtigung explizit und nur für die Durchführung dieser Aufgabe erteilt werden.
  • Im Rahmen der Sicherheitspolitik müssen die Befugnisse festlegt sein. Auch für den Bereich Management ergibt sich eine Rollentrennung Administrator und Revisor - je nach Produkt auch zwischen Administratoren mit unterschiedlichen Rechten (z. B. Arbeitsgruppenadministrator, Bereichsadministrator). Es empfiehlt sich, bestimmte Rollen zu definieren und gemäß diesen verschiedenen Rollen Benutzer mit entsprechenden Berechtigungen einzurichten. Dadurch werden dem Zugreifenden lediglich die Rechte auf Komponenten oder Daten des Managementsystems erlaubt, die für seine momentane Aufgabe nötig sind. Je nach Managementsystem geschieht die Einrichtung der Benutzer im Managementsystem oder in der Benutzerverwaltung der Rechner. Da die existierenden Systeme nicht direkt die Definition unterschiedlicher Rollen (etwa Administrator und Revisor) vorsehen, müssen die Rollen bestmöglich durch das Einrichten unterschiedlicher Benutzerkonten (z. B. "Administrator", "Revisor", "RechnerAdmin", "Datenschutzbeauftragter") mit entsprechenden Berechtigungen nachgebildet werden. Je nach System ist diese Nachbildung der Rollen nur unvollständig und mit einigem Aufwand möglich, da u. U. für jede Systemkomponente (Dateien, Programme) die Berechtigungen für die einzelnen Rollen explizit vergeben und gewartet werden müssen.
  • Der Zugang zur Managementsoftware ist durch sichere Passwörter zu schützen. Die Passwörter sollten gemäß Sicherheitspolitik regelmäßig geändert werden.
  • Funktionen der Managementsoftware, die gemäß Managementstrategie nicht zum Einsatz kommen sollen, sind - wenn möglich - zu sperren.
  • Die Protokollierungsdateien sind in regelmäßigen Abständen auf Anomalien (z. B. Ausführung von Funktionen, die nicht zum Einsatz kommen sollen) zu untersuchen. Hier empfiehlt sich der Einsatz von Protokoll-Analysatoren, die entweder in das Managementprodukt integriert oder auch als Zusatzsoftware erhältlich sein können und die (meist) regelgesteuert im Bedarfsfall Alarmmeldungen (z. B. Mail, Pager) erzeugen können.
  • Das Managementsystem ist in Abständen Integritätstests zu unterziehen, so dass unberechtigte Änderungen so früh wie möglich entdeckt werden können. Dies gilt insbesondere für sämtliche Konfigurationsdaten des Managementsystems.
  • Wird über das Systemmanagementsystem auch Software verteilt, so sind auch die zu verteilenden Programmdaten regelmäßig auf Veränderungen zu überprüfen, um das Verteilen modifizierter Software über das gesamte Netz zu verhindern.
  • Das Managementsystem sollte auf sein Verhalten bei einem Systemabsturz getestet werden. Je nach Management- und Sicherheitspolitik muss ein automatischer Neustart des Managementsystems oder lokaler Teilkomponenten des Systems sichergestellt werden. Damit wird verhindert, dass Rechner, die dem Managementsystem angeschlossen sind, längere Zeit nicht für das Management zugreifbar sind (siehe auch M 6.57 Erstellen eines Notfallplans für den Ausfall des Managementsystems ).
  • Beim Systemabsturz dürfen die Managementdatenbanken nicht zerstört werden oder in einen inkonsistenten Zustand gelangen, damit vermieden wird, dass ein möglicher Angreifer provozierte Inkonsistenzen zum Angriff nutzen kann. Dazu muss das Managementsystem entweder auf ein Datenbanksystem zurückgreifen, das entsprechende Recovery-Mechanismen unterstützt, oder diese Mechanismen selbst implementieren (siehe M 2.170 Anforderungen an ein Systemmanagement-System ). Werden diese Mechanismen von dem gewählten System nicht zur Verfügung gestellt (z. B. beim Einsatz von mehreren Management-Tools), sollten die Rechner, die Managementinformationen speichern, maximal möglich (auch physikalisch) gesichert werden (siehe die Bausteine der Schicht 3).
  • Das Managementsystem sollte einen geeigneten Backup-Mechanismus zur Sicherung der Managementdaten enthalten oder mit einem Backup-System zusammenarbeiten. Beim Einspielen alter Datenbestände aus einer Datensicherung ist darauf zu achten, dass diese in der Regel manuell nachbearbeitet werden müssen, um der aktuellen Systemkonfiguration zu entsprechen.
  • Auch mittels Backup-Verfahren gesicherte Managementdatenbestände sind so zu lagern, dass kein unberechtigter Dritter Zugriff darauf erlangen kann. In der Regel sind die Daten nicht in sicherer Form auf dem Backupdatenträger gespeichert, so dass sie von jedem, der über das Backup-Programme und ein entsprechendes Laufwerk verfügt, eingesehen werden können.
  • Die Aufteilung in Managementdomänen und deren Zuständigkeiten sollte in regelmäßigen Abständen auf Gültigkeit hin untersucht werden. Dies gilt insbesondere für den Fall innerbetrieblicher Umstrukturierungen.

Prüffragen:

  • Werden Änderungen am Managementsystem und neu hinzugekommene Hard- und Softwarekomponenten dokumentiert sowie das Notfallhandbuch entsprechend aktualisiert?

  • Ist der Zugriff auf Komponenten oder Daten des Managementsystems ausschließlich diesem vorbehalten und der Zugriff für normale Benutzer unterbunden bzw. sind für Ausnahmefälle explizite Berechtigungen vergeben?

  • Sind differenzierte Rollen mit Rechten auf Komponenten oder Daten des Managementsystems für unterschiedliche Aufgaben definiert?

  • Werden sichere Passwörter für die Managementsoftware eingesetzt und regelmäßig geändert?

  • Sind alle Funktionen der Managementsoftware gesperrt, die gemäß der Managementstrategie nicht zum Einsatz kommen sollen?

  • Werden die Protokollierungsdateien der Managementsoftware regelmäßig auf Unregelmäßigkeiten hin untersucht?

  • Werden in regelmäßigen Abständen Integritätstests des Managementsystems durchgeführt, um frühzeitig unberechtigte Änderungen zu entdecken?

  • Im Fall der Softwareverteilung durch das Systemmanagementsystem: Werden in regelmäßigen Abständen Integritätstests der Programmdaten durchgeführt, um frühzeitig unberechtigte Änderungen zu entdecken?

  • Ist das Managementsystem auf das Verhalten bei einem Systemabsturz getestet, um längere Zeiten der Nichtverfügbarkeit vermeiden?

  • Sind Mechanismen vorhanden, die sicherstellen, dass nach einem Systemabsturz des Managementsystems die Managementdatenbanken konsistent bleiben?

  • Existiert ein Backup-Verfahren zur Sicherung der Managementdaten?

  • Wird die Aufteilung in Managementdomänen und deren Zuständigkeiten regelmäßig auf Gültigkeit hin überprüft?

Stand: 13. EL Stand 2013