Bundesamt für Sicherheit in der Informationstechnik

M 4.497 Sichere Installation eines Netzmanagement-Systems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Installation eines Netzmanagement-Systems erfordert eine umfangreiche und sorgfältige Planung. Nach erfolgter Netzanalyse (siehe M 2.140 Analyse der aktuellen Netzsituation ), Festlegung des Netzmanagement-Konzepts (siehe M 2.143 Entwicklung eines Netzmanagement-Konzeptes ) und Auswahl eines geeigneten Netzmanagement-Systems (siehe M 2.171 Geeignete Auswahl eines Systemmanagement-Produktes ) muss die Installation des Produktes detailliert geplant und entsprechend umgesetzt werden. In Abhängigkeit von der dem Management-Produkt zugrunde liegenden Architektur ist für das lokale Netz eine Konfiguration des Netzmanagement-Systems zu erstellen, die dem formulierten Netzmanagement-Konzept Rechnung trägt.

Oft müssen auf den zentralen Rechnern Datenbanksysteme installiert werden, in denen die Managementinformationen von der Managementsoftware persistent abgelegt werden. Je nach Produkt ist hier die Einbindung eines schon vorhandenen Datenbanksystems möglich. Für die Managementsoftware sollte ein dediziertes, ausreichend leistungsfähiges IT -System verwendet werden.

Neben diesen Kriterien, die im Wesentlichen den geregelten technischen Ablauf des Systems garantieren sollen, sind aus Sicherheitsgesichtspunkten die dem Managementsystem zugehörige Software und die entsprechenden Daten in die Schutzbedarfsfeststellung gemäß IT -Grundschutz (siehe BSI -Standard 100-2 IT -Grundschutz-Vorgehensweise) aufzunehmen. Die Kompromittierung des Netzmanagement-Systems kann den Ausfall des gesamten Netzes nach sich ziehen. Durch unbemerkte Veränderungen am System kann zudem beträchtlicher Schaden entstehen, der auch existenzbedrohende Formen annehmen kann. Sollte der Schutzbedarf der Netzmanagement-Informationen als "hoch" oder "sehr hoch" eingestuft werden, so ist eine ergänzende Sicherheitsanalyse und gegebenenfalls eine Risikoanalyse durchzuführen.

Insbesondere ist bei der Installation auf folgende Punkte zu achten:

  • Alle Rechner, auf denen Managementinformationen gelagert werden, sind besonders zu sichern:
  • Es sind die Maßnahmen der Bausteine aus Schicht 3, je nach vorliegendem System, durchzuführen.
  • Der Zugang zur Managementsoftware ist nur den berechtigten Administratoren und Revisoren zu gestatten.
  • Der Zutritt zu den Rechnern sollte beschränkt werden.
  • Die Kommunikation zwischen den Managementkomponenten sollte verschlüsselt erfolgen, um zu verhindern, dass Managementinformationen mitgehört und gesammelt werden können. Unterstützt das Produkt keine Verschlüsselung, so sind gesonderte Maßnahmen zu ergreifen, um die Kommunikation abzusichern (siehe M 5.68 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation oder M 2.579 Regelmäßige Audits des lokalen Netzes Aufbau eines Management-Netzes).
    Die Managementsoftware muss in das Datensicherungskonzept eingebunden werden.

Prüffragen:

  • Ist das Netzmanagement-System sicher installiert worden?

Stand: 15. EL Stand 2016