Bundesamt für Sicherheit in der Informationstechnik

Absicherung eines PC-Clients (ISi-Client)

In der heutigen Zeit bildet der Arbeitsplatz-PC (APC) die technische Basis für die Nutzung von IT-gestützten Arbeitsabläufen. Anwender können mit Hilfe des Arbeitsplatz-PCs auf lokale oder im Netz vorhandene Informationen wie Dokumente und E-Mails sowie auf Dienste im Internet zugreifen.

Aufgrund der Abhängigkeit von einer funktionierenden IT-Landschaft ist es von größter Bedeutung, die Arbeitsplatzrechner als Schnittstelle zwischen Benutzern und IT-Infrastruktur vor Angriffen zu schützen, ohne dabei die Arbeitsfähigkeit der Anwender mit dem Arbeitsplatz-PC maßgeblich einzuschränken.

Ein zentrales Sicherheits-Gateway, wie in ISi-LANA beschrieben, schützt nicht gegen alle Angriffsvektoren, wie beispielsweise Angriffe aus dem internen Netz oder Schadprogramme, die über Wechseldatenträger auf den APC gelangen. Daher sind zusätzliche Maßnahmen direkt am APC als weitere Verteidigungslinie notwendig.

Basis für die Empfehlungen der Studie ISi-Client ist ein Minimalsystem, in dem auf nicht benötigte Hard- und Software-Komponenten verzichtet wird. Dieses Minimalsystem bildet zusammen mit einigen zusätzliche Schutzkomponenten die Grundarchitektur für einen sicheren APC.

Die Grundarchitektur für einen Arbeitsplatz-PC beinhaltet folgende Komponenten:

  • Ausführungskontrolle: Die Ausführungskontrolle verhindert den Start von ausführbaren Dateien aus Verzeichnissen, in die der Benutzer schreiben kann. Durch diesen Mechanismus wird verhindert, dass beispielsweise heruntergeladene oder von zu Hause mitgebrachte Dateien, die möglicherweise infiziert sind, am APC ausgeführt werden.
  • Virenschutz: Das Virenschutzprogramm prüft Dateien auf schädliche Inhalte. Mit dem Virenschutzprogramm auf dem APC werden auch Dateien auf Wechselmedien geprüft, die nicht das zentrale Sicherheits-Gateway passieren.
  • Personal Firewall: Die Personal Firewall kontrolliert ein- und ausgehende Verbindungen. Damit schützt sie den APC vor Zugriffen von außen und verhindert, dass beliebige Anwendungen Daten versenden können.
  • Gerätekontrolle: Eine Gerätekontrolle regelt, welche Geräte über externe Schnittstellen angeschlossen werden können.
    Benutzerverwaltung: Jeder Benutzer erhält ein persönliches Konto. Dabei werden dem Konto nur die Rechte zugewiesen, die der Benutzer für seine Arbeit benötigt. Die Verwaltung der Benutzer erfolgt typischerweise über einen Verzeichnisdienst.
  • Logging: Relevante Ereignisse, wie beispielsweise Meldungen des Virenschutzprogramms, werden kontinuierlich erfasst, um Sicherheitsvorfälle zeitnah zu erkennen.

Nach der Konzeption der Grundarchitektur kommt der Beschaffung und Konfiguration der verwendeten Komponenten eine zentrale Bedeutung zu. In der Studie werden Anforderungen an verschiedene Hard- und Softwarekomponenten gestellt, die bei der Beschaffung zu berücksichtigen sind. Im Rahmen der Konfiguration wird detailliert eine Vorgehensweise zur Minimalisierung und Absicherung, die auf alle Betriebssysteme angewendet werden kann, vorgestellt.
Anschließend werden betriebliche Aspekte erläutert, die für einen sicheren und störungsarmen Betrieb fortwährend beachtet werden müssen.

ISi-Dokumente zur Absicherung eines PC-Clients

Bestandteile des Moduls sind die Leitlinie (ISi-L) mit einem kurzen Abriss und die Studie (ISi-S) mit umfassenden Informationen sowie zugehörige Checklisten (ISi-Check). Die Leitlinie ISi-L richtet sich primär an Führungskräfte und IT-Koordinatoren, die Studie ISi-S an alle IT-Fachleute und die Checkliste ISi-Check speziell an die Administratoren, Programmierer und Revisoren.

IT-Grundschutz

Mit den IT-Grundschutz-Katalogen stellt das BSI in Form von Bausteinen zu verschiedenen Themen Zusammenstellungen von Gefährdungen und Maßnahmen zur Verfügung. Nachfolgend werden exemplarisch einige dieser Gefährdungen und Maßnahmen herausgegriffen, die einen besonderen Bezug zum betrachteten Thema haben. Eine umfassende Grundsicherung nach IT-Grundschutz eines IT-Verbunds kann jedoch nur erreicht werden, wenn die im BSI-Standard 100-2 beschriebene IT-Grundschutz-Vorgehensweise insgesamt angewendet wird.
Die IT-Grundschutz-Kataloge widmen dem Thema Allgemeiner Client (B 3.201) einen eigenen Baustein. Hierin wird auf Gefährdungen und Maßnahmen Bezug genommen.

Weitere IT-Grundschutz-Bausteine zu dem Thema:


Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK