Bundesamt für Sicherheit in der Informationstechnik

M 6.24 Erstellen eines Notfall-Bootmediums

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei der Einrichtung eines Rechners sollte ein Bootmedium erstellt werden, das bei Ausfall einer Festplatte zum Starten des Systems oder bei Auftreten eines Schadprogramms zum Erzeugen eines kontrollierten Systemzustands genutzt werden kann. Solche Medien können beispielsweise CD s sein, deren Erstellung das jeweilige Betriebssystem eventuell anbietet, es können aber auch eigens eingerichtete CDs oder portable Laufwerke (beispielsweise USB-Sticks oder externe Festplatten mit USB- oder Firewire-Schnittstelle) erstellt werden. Art und Umfang des Notfall-Bootmediums richten sich nach dem Einsatzzweck des Rechners und den vorhandenen Schnittstellen.

Das Notfall-Bootmedium kann unter anderem bei folgenden Problemen zum Einsatz kommen:

  • Datenverlust durch Fehlbedienung,
  • Bedienungs- und Administrationsfehler, die die Benutzung und einen Neustart verhindern,
  • Infektion des Systems mit Schadprogrammen (beispielsweise Computer-Viren),
  • Kompromittierung des Systems durch einen Angreifer, oder auch
  • Hardware-Probleme.

Idealerweise sollte das Notfall-Bootmedium alle Programme und Daten enthalten, die zu einer Untersuchung und - falls möglich - der Behebung der Probleme benötigt werden. Gegebenenfalls können unterschiedliche Medien für verschiedene Problemszenarien erstellt werden.

Als "Grundausstattung" für ein Notfall-Bootmedium werden folgende Programme empfohlen:

  • Viren-Schutzprogramme mit aktuellen Signaturen,
  • Programme zur Bearbeitung von Konfigurationsdateien oder Datenbanken des Systems (Editoren für Dateien, Registry oder ähnliches),
  • Programm zur Wiederherstellung des Bootsektors und des MBR (Master Boot Record) der Systemplatte,
  • Backup- / Recovery-Programme,
  • Diagnoseprogramme zur Analyse von Hardware-Defekten.

Darüber hinaus können Programme zur weitergehenden Analyse hinzugefügt werden, etwa zur forensischen Untersuchung eines kompromittierten Systems.

Dabei ist es wichtig, dass alle Programme und Bibliotheken ausschließlich vom Bootmedium geladen werden. Es dürfen keine Komponenten des installierten Systems verwendet werden. Bei der Erstellung des Bootmediums ist außerdem darauf zu achten, dass neben den notwendigen Programmen auch alle Treiber vorhanden sind, die für den Zugriff auf die eingebauten Platten des Rechners benötigt werden. Dazu zählen beispielsweise Treiber für Festplattencontroller (insbesondere RAID-Controller) und Treiber für eine Festplattenverschlüsselung oder Festplattenkomprimierung.

Falls das Bootmedium genügend Speicherplatz bietet, können weitere Programme oder Dokumentation auf dem Medium gespeichert werden. Beispielsweise kann es die Effizienz der Fehlersuche erhöhen, wenn auf dem Bootmedium stets eine aktuelle Dokumentation der Systemkonfiguration enthalten ist.

Das Notfall-Bootmedium muss selbst frei von Viren und anderen Schadprogrammen sein. Es dürfen deshalb nur Programme eingesetzt werden, die aus vertrauenswürdigen Quellen (etwa direkt von der CD des Herstellers) stammen oder deren digitale Signatur überprüft wurde. Zumindest einmal nach der Erstellung sowie bei jeder Änderung sollte das Bootmedium außerdem mit einem Viren-Schutzprogramm überprüft werden.

Es ist nicht unbedingt notwendig, für jedes System ein eigenes Bootmedium zu erstellen. Ein entsprechend flexibel angelegtes Bootmedium kann für eine große Anzahl verschiedener Systeme ausreichend sein. Auf dem Bootmedium braucht nicht einmal notwendigerweise das selbe Betriebssystem eingesetzt zu werden, wie auf dem Zielsystem selbst. Aus Gründen der Kompatibilität ist dies jedoch oft vorteilhaft. Es muss allerdings unbedingt durch entsprechende Tests sichergestellt werden, dass das Medium auch wirklich bei allen Rechnern funktioniert, für die es eingesetzt werden soll. Je nach Betriebssystem müssen außerdem noch systemspezifische Aspekte beachtet werden, die in den jeweiligen IT-Grundschutz-Bausteinen beschrieben werden.

Nach Veränderungen am Zielsystem, etwa einem Update des Betriebssystems oder Konfigurationsänderungen, muss gegebenenfalls das Notfall-Bootmedium und die darauf gespeicherte Dokumentation aktualisiert werden. Änderungen am Bootmedium müssen dokumentiert werden.

Das Notfall-Bootmedium muss für die Systembetreuer schnell greifbar sein, damit im Falle einer Störung nicht wertvolle Zeit verloren geht. Andererseits muss es auch so sicher aufbewahrt werden, dass Unbefugte keinen Zugriff darauf haben.

Die Funktion des Notfall-Bootmediums sollte regelmäßig getestet und die Bedienung der darauf gespeicherten Programme geübt werden, damit sichergestellt ist, dass das Medium im Fall von Problemen funktioniert und die Administratoren mit der Bedienung vertraut sind. Es sollte überlegt werden, mit dem Medium eine kurze gedruckte Anleitung aufzubewahren, die für typische Einsatzszenarien die wichtigsten Schritte zusammenfasst.

Prüffragen:

  • Stehen Notfall-Bootmedien zur Verfügung, mit denen die IT -Systeme gestartet und in einen kontrollierten Zustand versetzt werden können?

  • Werden alle Programme und Bibliotheken ausschließlich vom Bootmedium geladen?

  • Enthalten die Notfall-Bootmedien alle erforderlichen Programme, Treiber und Daten?

  • Werden die Notfall-Bootmedien zumindest bei Erstellung und Änderung auf Schadprogramme überprüft?

  • Werden Inhalte für Bootmedien aus sicheren Quellen bezogen?

  • Werden die Notfall-Bootmedien auf einem aktuellen Stand gehalten?

  • Ist sichergestellt, dass nur die hierzu berechtigten Personen auf die Notfall-Bootmedien zugreifen können?

  • Werden Bootmedien nach dem Erstellen getestet?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK