Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 3.36 Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 3.36 Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement,

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement,

Die Gefahr eines Angriffs auf einen aus dem Internet erreichbaren IIS ist sehr groß. Aus diesem Grunde sollten nicht nur funktionale Aspekte bei der Installation und Konfiguration eine Rolle spielen. Insbesondere die Sicherheit ist von großer Bedeutung, da nicht nur der Server selbst bedroht ist, sondern dieser u. U. auch als Ausgangspunkt für Angriffe auf das gesamte Netz missbraucht werden kann.

Sicherheitslücken im IIS basieren zum einen auf Schwachstellen der Software, z. B. Programmierfehler. Obwohl Microsoft bei Bedarf neue Hotfixes und in gewissen Abständen Service Packs veröffentlicht, werden sowohl in Windows wie auch in allen Versionen des IIS immer wieder Schwachstellen entdeckt, für die erst nach einiger Zeit Hotfixes verfügbar sind und die erst nach längerer Zeit in Service Packs berücksichtigt werden. Zum anderen entstehen Sicherheitslücken durch fehlerhafte Konfiguration des Systems, beispielweise durch standardmäßig installierte Beispielanwendungen und Scripts.

Um eine sichere Installation und Konfiguration des IIS zu gewährleisten, müssen die verantwortlichen Administratoren über entsprechende Kenntnisse und Qualifikationen verfügen. Das bedeutet, dass den Administratoren die relevanten Gefahren und Sicherheitslücken bekannt sind und dass sie wissen, welche wirksamen Maßnahmen zur Absicherung des IIS-Systems durchzuführen sind.

Aus diesem Grund sind regelmäßige Schulungsmaßnahmen für die Administratoren durchzuführen.

Bei der Planung von Schulungsmaßnahmen ist zu beachten, dass der IIS nicht alleine betrachtet werden kann. Voraussetzung für eine sichere Installation des IIS ist ein sicher konfiguriertes Betriebssystem. Außerdem steht ein Web-Server in der Regel nicht alleine, sondern ist in eine Systemumgebung (weitere Server und Clients) eingebunden. Aufgrund dieser Komplexität ist ein umfangreiches Schulungsprogramm zu empfehlen, in dem folgende Themenschwerpunkte zu berücksichtigen sind:

Damit sichergestellt ist, dass die Administratoren auch über aktuelle Sicherheitsrisiken im Zusammenhang mit dem IIS und über aktuelle Entwicklungen in der Informationstechnik informiert sind, sollten die Schulungen in regelmäßigen Abständen, z. B. halbjährlich, durchgeführt werden.

Ergänzende Kontrollfragen: