Bundesamt für Sicherheit in der Informationstechnik

M 6.88 Erstellen eines Notfallplans für den Webserver

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der teilweise oder komplette Ausfall eines Webservers hat in vielen Fällen gravierende Auswirkungen. So kann der Webserver etwa wesentlicher Bestandteil innerbetrieblicher Arbeitsabläufe oder eines E-Commerce- oder E-Government-Systems sein.

Ein Ausfall des Webservers hat dann auch den Ausfall des Gesamtsystems zur Folge. Falls der Webserver ein öffentliches Webangebot beherbergt, so wird ein Ausfall oder eine Störung auch schnell öffentlich bekannt werden.

Im Rahmen der Notfallvorsorge ist daher ein Konzept zu entwerfen, wie die Folgen eines Ausfalls minimiert werden können und welche Aktivitäten im Falle eines Ausfalls durchzuführen sind.

Folgende Aspekte müssen dabei berücksichtigt werden:

  • Die Notfallplanung für den Webserver muss in den existierenden Notfallplan integriert werden (siehe Baustein B 1.3 Notfallmanagement). Vor allem ist abzuklären, ob für alle anderen Systeme und Netzanbindungen, die zum Betrieb des Webservers benötigt werden, entsprechende Notfallpläne vorhanden sind.
  • Durch einen Systemausfall kann es auch zu Datenverlusten kommen. Daher ist ein Datensicherungskonzept für den Webserver zu erstellen, das in das existierende Datensicherungskonzept integriert werden sollte (siehe auch Baustein B 1.4 Datensicherungskonzept). Hierin sollte nicht nur der Webserver selbst, sondern auch das Gesamtsystem, innerhalb dessen der Webserver eingesetzt wird, berücksichtigt werden. Dazu gehören unter Umständen Datenbanken, Applikationsserver oder Proxy-Installationen zur Lastverteilung.
  • Bestehen besondere Anforderungen an die Verfügbarkeit des Webservers, so sollten benötigte Komponenten redundant ausgelegt werden. Beispielsweise kann der Webserver selbst in manchen Anwendungen durch die Verwendung eines gemeinsamen, externen Speichersystems redundant ausgelegt werden.
  • Zum Betrieb des Webservers im Internet ist eine funktionierende Internet-Anbindung Voraussetzung. Bei bestimmten Konfigurationen ist auch ein korrekt funktionierender DNS-Server nötig. Ein Ausfall dieser Komponenten muss daher ebenfalls in Betracht gezogen werden.
  • Wird SSL auf dem Webserver eingesetzt, so muss beim Wiederanlauf des Systems auch der private Schlüssel des SSL-Zertifikates zugreifbar sein. Da dieser durch ein Passwort geschützt sein sollte, muss dieses sicher hinterlegt sein, damit es für den Wiederanlauf verfügbar ist (siehe auch M 2.22 Hinterlegen des Passwortes).
  • Die Systemkonfiguration ist zu dokumentieren. Wichtige Aufgaben müssen so beschrieben sein, dass das Gesamtsystem im Notfall auch ohne vorherige Kenntnis dieser Systemkonfiguration wiederhergestellt werden kann.
  • Es muss ein Wiederanlaufplan erstellt werden, der das geregelte Hochfahren des Systems gewährleistet.

Prüffragen:

  • Gibt es ein Konzept zur Notfallvorsorge, das die Folgen eines Ausfalls minimiert und die Handlungen im Falle eines Ausfalls vorgibt?

  • Ist die Notfallplanung für den Webserver in den existierenden Notfallplan integriert?

  • Gibt es ein Datensicherungskonzept für den Webserver und das Gesamtsystem in dem er eingesetzt wird, welches in das existierende Datensicherungskonzept integriert ist?

  • Bei hohen Anforderungen an die Verfügbarkeit: Werden Komponenten des Webservers redundant angelegt?

  • Wird der Ausfall der Internet-Anbindung eingeplant?

  • DNS -Server benötigt: Wird der Ausfall des DNS -Servers eingeplant?

  • Bei SSL -Nutzung: Kann auf den privaten Schlüssel des SSL -Zertifikats bei einem Wiederanlauf des Systems zugegriffen werden?

  • Bei SSL -Nutzung: Ist der private Schlüssel des SSL -Zertifikats durch ein Passwort geschützt und dieses Passwort sicher hinterlegt?

  • Sind wichtige Aufgaben so beschrieben, dass das Gesamtsystem im Notfall, ohne vorherige Kenntnis der Systemkonfiguration wiederhergestellt werden kann?

  • Ist die Systemkonfiguration dokumentiert?

  • Gibt es einen Wiederanlaufplan, der das geregelte Hochfahren des Systems gewährleistet?

Stand: 13. EL Stand 2013