M 4.151 Sichere Installation von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei der Installation eines Internet- PC s müssen eine Reihe von Entscheidungen getroffen werden, die Auswirkungen auf die Informationssicherheit des Systems haben.

Hardware

Die Hardware des Internet-PCs ist so vorzubereiten, dass nur die im Einsatzkonzept vorgesehenen Komponenten vorhanden sind. Gegebenenfalls müssen nicht vorgesehene Laufwerke oder Schnittstellen, z. B. USB -Anschlüsse oder interne WLAN -Karten, entfernt oder deaktiviert werden (siehe auch M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern).

Die Boot-Reihenfolge sollte im System-BIOS so eingestellt werden, dass der Computer immer zuerst versucht, von der Festplatte zu starten, z. B. C, C only oder Harddisk first/only.

Der Zugang zum System-BIOS sollte durch ein Passwort geschützt werden. Es kann ebenfalls darüber nachgedacht werden, auch ein Boot-Passwort im BIOS zu aktivieren. Dies bietet einen gewissen Schutz vor Missbrauch durch Gelegenheitstäter. Weitere Empfehlungen zur Absicherung des Boot-Prozesses sind in der Maßnahme M 4.49 Absicherung des Boot-Vorgangs für ein NT-basiertes Windows-System beschrieben.

Betriebssystem

Im Anschluss an die Installation der Hardware wird das im Einsatzkonzept vorgesehene Betriebssystem installiert. Zu beachten ist dabei, dass gängige Betriebssysteme unterschiedliche Sicherheitsfunktionen bieten. Die aktuellen Windows-Betriebssysteme und Linux verfügen beispielsweise über eine wirksame Benutzertrennung und Zugriffsrechte. Diese Funktionen sind wichtig für die Trennung von Administrator- und Benutzerbereichen.

Grundsätzlich sollten nur die Betriebssystem-Komponenten installiert werden, die auch wirklich für den festgelegten Einsatzbereich benötigt werden. Besonders kritisch zu prüfen sind hierbei "Dienste" (Windows) bzw. "Daemons" (Linux). Ein Internet-PC sollte in der Regel keine Dienste im Internet anbieten (siehe auch M 5.72 Deaktivieren nicht benötigter Netzdienste).

Nach der Installation des Betriebssystems müssen alle Standardpasswörter geändert werden. Unter Linux betrifft dies insbesondere das root-Passwort, sofern die verwendete Distribution hierfür ein Standardpasswort vergibt.

Vor der Inbetriebnahme müssen alle aktuellen sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Für Windows-Betriebssysteme sind Empfehlungen hierzu in der Maßnahme M 4.249 Windows Client-Systeme aktuell halten enthalten. Falls Linux eingesetzt wird, sollte zunächst beim Hersteller der verwendeten Distribution nach verfügbaren Patches und Updates gesucht werden. Falls das Angebot des Herstellers unzureichend ist, sollten weitere Quellen hinzugezogen werden, z. B. einschlägige Webseiten. Weitere Empfehlungen hierzu finden sich in M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems und M 4.107 Nutzung von Hersteller-Ressourcen. Auch im laufenden Betrieb eines Internet- PC s ist darauf zu achten, dass für das Betriebssystem und alle installierten Software-Komponenten die jeweils verfügbaren sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Diese sollten aus vertrauenswürdigen Quellen, beispielsweise direkt vom Hersteller, bezogen werden (siehe M 4.152 Sicherer Betrieb von Internet-PCs).

Für Windows-Betriebssysteme gelten darüber hinaus folgende Empfehlungen:

Bei der Verwendung von Linux sollten folgende Empfehlungen berücksichtigt werden:

Client-Programme

Neben dem eigentlichen Betriebssystem sollten auf dem Internet-PC nur die zusätzlichen Programme installiert werden, die für die Nutzung der im Einsatzkonzept festgelegten Internet-Dienste erforderlich sind.

Für das Surfen im Internet muss ein Browser installiert werden. Empfehlungen zur sicheren Browser-Konfiguration finden sich in der Maßnahme M 5.45 Sichere Nutzung von Browsern .

Falls vom Internet-PC aus E-Mails gesendet oder empfangen werden sollen, muss entweder ein E-Mail-Client installiert werden oder es muss auf einen webbasierten E-Mail-Dienst (z. B. GMX oder Web.de) zurückgegriffen werden. Gängige E-Mail-Clients sind Outlook, Windows Mail, Thunderbird oder KMail. Empfehlungen zur sicheren Konfiguration dieser Programme finden sich in der Maßnahme M 5.94 Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs.

Falls im Einsatzkonzept vorgesehen ist, weitere Internet-Dienste wie beispielsweise NetNews oder Instant Messaging zu nutzen, müssen dafür die entsprechenden Client-Programme installiert werden.

Alle Programme müssen so konfiguriert werden, dass sie optimale Sicherheit bieten. Die Benutzer sollten in deren sichere Nutzung eingewiesen werden.

Tools

Im Hinblick auf den sicheren Betrieb eines Internet-PCs müssen in der Regel zusätzliche Tools installiert werden, die nicht Bestandteil des Betriebssystems sind.

Unverzichtbar ist der Einsatz eines Viren-Schutzprogramms auf jedem Internet-PC. Solche Programme sind von verschiedenen Herstellern erhältlich. Wichtig ist, dass die zugehörigen Datenbanken, auf deren Grundlage diese Tools arbeiten, regelmäßig aktualisiert werden. Gängige Viren-Schutzprogramme stellen hierfür spezielle Funktionen zur Verfügung. Weitere Empfehlungen zum Schutz vor Schadsoftware finden sich in M 4.3 Einsatz von Viren-Schutzprogrammen.

Als zusätzliche Sicherheitsmaßnahme sollte eine so genannte Personal Firewall installiert werden. Damit diese auch wirksam ist, muss sie sorgfältig für den jeweiligen Einsatzzweck konfiguriert werden. Insbesondere muss das Programm so eingestellt werden, dass die Benutzer nicht mit einer Vielzahl von Warnmeldungen belästigt werden, die sie nicht interpretieren können. Weitere Empfehlungen finden sich in M 5.91 Einsatz von Personal Firewalls für Internet-PCs.

Zur Datensicherung für einen Internet-PC gibt es unterschiedliche Konzepte (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs). In vielen Fällen wird hierfür jedoch ein eigenständiges Tool benötigt, welches das erforderliche Backup automatisch oder halbautomatisch erledigt. Oft lassen sich Datensicherung und Datentransport vom oder ins Hausnetz über das gleiche Medium realisieren. Wichtig ist hierbei eine ordnungsgemäße Verwaltung der eventuell benötigten Datenträger.

Bei der Übertragung über das Internet können unter Umständen Daten mitgelesen oder manipuliert werden. Um diesen Gefährdungen entgegenzuwirken, können kryptographische Verfahren eingesetzt werden. Beispielsweise gibt es eine Reihe von Tools, mit denen E-Mails verschlüsselt und signiert werden können. Weiterhin besteht die Möglichkeit, sichere Kanäle zu bekannten Kommunikationspartnern aufzubauen, beispielsweise über so genannte Virtuelle Private Netze (VPNs). Planungshinweise zum Einsatz kryptographischer Verfahren finden sich im Baustein B 1.7 Kryptokonzept.

Informationen im Internet werden nicht nur im HTML -Format angeboten, sondern z. B. auch als Word-, Excel-, PowerPoint- oder PDF-Dateien. Wenn solche Dateien direkt auf dem Internet-PC betrachtet werden sollen, müssen hierfür geeignete Anzeige-Programme oder Plug-Ins für die Browser installiert werden. Diese Programme sollten nach Möglichkeit nicht in der Lage sein, Makro-Befehle auszuführen. Insbesondere sollte nach Möglichkeit kein Office-Paket auf dem Internet-PC installiert werden. Falls dies dennoch zwingend erforderlich ist, sollten alle integrierten Funktionen zum Schutz vor Makro-Viren aktiviert werden.

Nachdem alle Betriebssystem- und Software-Komponenten installiert sind, sollte ein Abbild, auch Image genannt, dieser Grundkonfiguration gesichert werden. Dies erlaubt es, das System schnell wiederherzustellen, wenn die Installation durch Abstürze, fehlgeschlagene Konfigurationsänderungen oder Manipulationen unbrauchbar wird (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs).

Surf-CD

Eine andere Möglichkeit sicher im Internet zu surfen, bietet die Nutzung einer Surf- CD , die alle notwendigen Komponenten enthält, um den Rechner mit der Surf-CD zu starten. So bleibt das eigentliche Betriebssystem des Clients unberührt, da das Betriebssystem auf der CD nicht auf lokale Festplatten zugreifen kann. Solche CDs werden beispielsweise regelmäßig fertig über Computerzeitschriften oder im Internet als Programmpakete angeboten. Solche Surf-CDs enthalten typischerweise nur ein gehärtetes Betriebssystem und die für die Internetnutzung absolut notwendigen Programme, um potentielle Sicherheitslücken zu minimieren.

Prüffragen: