Bundesamt für Sicherheit in der Informationstechnik

M 4.135 Restriktive Vergabe von Zugriffsrechten auf Systemdateien

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Systemdateien bzw. -verzeichnisse sind Dateien und Verzeichnisse, für die der Administrator zuständig ist. Diese sind entweder für alle Benutzer von Bedeutung oder sie dienen Administrationszwecken.

Auf Systemdateien sollten möglichst nur die Systemadministratoren Zugriff haben. Der Kreis der zugriffsberechtigten Administratoren sollte möglichst klein gehalten werden. Auch Verzeichnisse dürfen nur die notwendigen Privilegien für die Benutzer zur Verfügung stellen. Die Vergabe von Zugriffsrechten auf Systemdateien sollte grundsätzlich restriktiv und nur in Übereinstimmung mit den hausinternen Sicherheitsrichtlinien erfolgen (siehe auch M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle ).

Systemdateien sollten getrennt von Applikationsdaten und Benutzerdateien gespeichert werden (siehe auch M 2.138 Strukturierte Datenhaltung ). Dies sorgt für eine bessere Übersicht und erleichtert auch die Durchführung von Datensicherungen und die Sicherstellung des korrekten Zugriffsschutzes.

Der Zugriff auf Systemdateien sollte immer protokolliert werden. Überflüssige, also nicht benötigte Systemdateien sollten vom System entfernt werden, damit sie nicht für Angriffe missbraucht werden können und auch nicht ständig auf Integrität kontrolliert werden müssen.

Bei der restriktiven Vergabe von Zugriffsrechten reicht es nicht aus, nur die Rechte eines Programms zu überprüfen. Zusätzlich muss auch die Rechtevergabe aller Programme überprüft werden, die von diesem Programm aus aufgerufen werden.

Die Integrität aller Systemdateien und -verzeichnisse, sowie die Korrektheit der Zugriffsrechte sollte nach Möglichkeit regelmäßig verifiziert werden. Für viele Betriebssysteme gibt es dafür Tools, mit denen solche Prüfungen schnell und zuverlässig durchgeführt werden können.

Prüffragen:

  • Wird der Zugriff auf Systemdateien auf einen möglichst kleinen Kreis von Administratoren beschränkt?

  • Sind Systemverzeichnisse so eingerichtet, dass sie den Benutzern nur die benötigten Privilegien zur Verfügung stellen?

  • Erfolgt die Vergabe von Zugriffsrechten restriktiv und im Einklang mit den organisationseigenen Sicherheitsrichtlinien?

  • Wird die Rechtevergabe aller Programme inklusive der von diesen aufgerufenen weiteren Programme überprüft?

  • Wird der Zugriff auf Systemdateien immer protokolliert?

Stand: 13. EL Stand 2013