M 4.151 Sichere Installation von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei der Installation des Internet- PC müssen eine Reihe von Entscheidungen getroffen werden, die Auswirkungen auf die IT -Sicherheit des Systems haben.

Hardware

Die Hardware des Internet-PCs ist so zu konfektionieren, dass nur die im Einsatzkonzept vorgesehenen Komponenten vorhanden sind. Gegebenenfalls müssen nicht vorgesehene Laufwerke oder Schnittstellen, z. B. Diskettenlaufwerke oder interne Modems, entfernt oder deaktiviert werden (siehe auch M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern ).

Die Boot-Reihenfolge sollte im System- BIOS so eingestellt werden, dass der Computer nur vom Datenträger mit dem vorgesehenen Betriebssystem startet Soll das IT-System beispielsweise von einer nicht wiederbeschreibbaren CD - oder DVD-ROM gestartet werden, sollte CD-ROM Drive eingestellt werden. Befindet sich das Betriebssystem auf der Festplatte "C", sollte C: A:, C only oder Harddisk first/only gewählt werden.

Der Zugang zum System-BIOS sollte durch ein Passwort geschützt werden. Falls ein Betriebssystem ohne zwingende Benutzer-Authentisierung eingesetzt wird, z. B. Windows 9x/ME, kann darüber nachgedacht werden, auch ein Boot-Passwort im BIOS zu aktivieren. Dies bietet einen gewissen Schutz vor Missbrauch durch Gelegenheitstäter.

Betriebssystem

Im Anschluss an die Installation der Hardware wird das im Einsatzkonzept vorgesehene Betriebssystem installiert. Zu beachten ist dabei, dass gängige Betriebssysteme unterschiedliche Sicherheitsfunktionen bieten. Windows NT-basierte Betriebssysteme und Linux verfügen beispielsweise über eine wirksame Benutzertrennung und Zugriffsrechte. Diese Funktionen stehen bei Windows 9x/ME nur ansatzweise oder gar nicht zur Verfügung, sind jedoch wichtig für die Trennung von Administrator- und Benutzerbereichen.

Grundsätzlich sollten nur die Betriebssystem-Komponenten installiert werden, die auch wirklich für den festgelegten Einsatzbereich benötigt werden. Besonders kritisch zu prüfen sind hierbei "Dienste" (Windows) bzw. "Daemons" (Linux). Ein Internet-PC sollte in der Regel keine Dienste im Internet anbieten (siehe auch M 5.72 Deaktivieren nicht benötigter Netzdienste ).

Nach der Installation des Betriebssystems müssen alle evtl. vergebenen Standardpasswörter geändert werden. Unter Linux betrifft dies insbesondere das root-Passwort, sofern die verwendete Distribution hierfür ein Standardpasswort vergibt.

Vor der Inbetriebnahme müssen alle aktuellen sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Für Windows-Betriebssysteme sind entsprechende Informationen auf den WWW-Seiten der Firma Microsoft (www.microsoft.com) erhältlich. Falls Linux eingesetzt wird, sollte zunächst beim Hersteller der verwendeten Distribution nach verfügbaren Patches und Updates gesucht werden. Falls das Angebot des Herstellers unzureichend ist, sollten weitere Quellen hinzugezogen werden, z. B. www.linuxdoc.org.

Weitere Empfehlungen hierzu finden sich in M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems und M 4.107 Nutzung von Hersteller- und Entwickler-Ressourcen .

Für Windows-Betriebssysteme gelten darüber hinaus folgende Empfehlungen:

Bei der Verwendung von Linux sollten folgende Empfehlungen berücksichtigt werden:

Als zusätzliche Sicherheitsmaßnahme kann eine so genannte Personal Firewall installiert werden. Damit diese auch wirksam ist, muss sie sorgfältig für den jeweiligen Einsatzzweck konfiguriert werden. Insbesondere muss das Programm so eingestellt werden, dass die Benutzer nicht mit einer Vielzahl von Warnmeldungen belästigt werden, die sie nicht interpretieren können. Weitere Empfehlungen finden sich in M 5.91 Einsatz von Personal Firewalls für Clients .

Client-Programme

Neben dem eigentlichen Betriebssystem sollten auf dem Internet-PC nur die zusätzlichen Programme installiert werden, die für die Nutzung der im Einsatzkonzept festgelegten Internet-Dienste erforderlich sind.

Falls die Nutzung des World Wide Web im Einsatzkonzept vorgesehen ist, muss ein WWW-Browser installiert werden. Gängige Browser-Programme sind der Internet Explorer, Firefox, Chrome, Safari und Opera. Empfehlungen zur sicheren Konfiguration dieser Browser finden sich der Maßnahme M 5.93 Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs .

Falls vom Internet-PC aus E-Mails gesendet oder empfangen werden sollen, muss entweder ein E-Mail-Client installiert werden oder es muss auf einen WWW-basierten E-Mail-Dienst (z. B. GMX oder Web.de) zurückgegriffen werden. Gängige E-Mail-Clients sind Outlook, Outlook Express, Thunderbird oder KMail. Empfehlungen zur sicheren Konfiguration dieser Programme finden sich in der Maßnahme M 5.94 Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs .

Falls im Einsatzkonzept vorgesehen ist, weitere Internet-Dienste zu nutzen, z. B. Internettelefonie oder Instant Messaging, müssen unter Umständen weitere Client-Programme installiert werden.

Alle Programme sollten so konfiguriert werden, dass sie optimale Sicherheit bieten, und die Benutzer sollten in deren sichere Nutzung eingewiesen werden.

Tools

Im Hinblick auf den sicheren Betrieb eines Internet-PCs müssen in der Regel zusätzliche Tools installiert werden, die nicht Bestandteil des Betriebssystems sind.

Unverzichtbar ist der Einsatz eines Viren-Schutzprogramms auf jedem Internet-PC. Solche Programme sind von verschiedenen Herstellern erhältlich. Wichtig ist, dass die zugehörigen Datenbanken, auf deren Grundlage diese Tools arbeiten, regelmäßig aktualisiert werden. Gängige Viren-Schutz-

programme stellen hierfür spezielle Funktionen zur Verfügung. Dabei ist zu beachten, dass dies nicht zentral gesteuert werden kann, wenn die Internet-PCs nicht untereinander vernetzt sind. Weitere Empfehlungen zum Schutz vor Schadprogrammen finden sich in M 4.3 Einsatz von Viren-Schutzprogrammen .

Zur Datensicherung für einen Internet-PC gibt es unterschiedliche Konzepte (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs ). In vielen Fällen wird hierfür jedoch ein eigenständiges Tool benötigt, dass das erforderliche Backup automatisch oder halbautomatisch erledigt. Oft lassen sich Datensicherung und Datentransport vom oder ins Hausnetz über das gleiche Medium realisieren. Wichtig ist hierbei eine ordnungsgemäße Verwaltung der eventuell benötigten Datenträger.

Bei der Übertragung über das Internet können Daten unter Umständen mitgelesen oder manipuliert werden. Um diesen Gefährdungen entgegenzuwirken, können kryptographische Verfahren eingesetzt werden. Beispielsweise existieren eine Reihe von Tools, mit denen E-Mails verschlüsselt und signiert werden können. Weiterhin besteht die Möglichkeit, sichere Kanäle zu bekannten Kommunikationspartnern aufzubauen, beispielsweise über so genannte Virtuelle Private Netze (VPNs). Planungshinweise zum Einsatz kryptographischer Verfahren finden sich in Baustein B 1.7 Kryptokonzept .

Informationen im Internet werden nicht nur im HTML -Format angeboten, sondern z. B. auch als Word-, Excel-, PowerPoint- oder PDF-Dateien. Wenn solche Dateien direkt auf dem Internet-PC betrachtet werden sollen, müssen hierfür geeignete Viewer-Programme installiert werden. Diese Viewer sollten nach Möglichkeit nicht in der Lage sein, Makro-Befehle auszuführen. Insbesondere sollte nach Möglichkeit kein Office-Paket auf dem Internet-PC installiert werden. Falls dies dennoch zwingend erforderlich ist, sollten alle integrierten Funktionen zum Schutz vor Makro-Viren aktiviert werden.

Für alle installierten Betriebssystem- und Software-Komponenten sollten die jeweils verfügbaren sicherheitsrelevanten Patches bzw. Updates eingespielt werden. Diese sollten aus vertrauenswürdigen Quellen, beispielsweise direkt vom Hersteller, bezogen werden (siehe auch M 4.152 Sicherer Betrieb von Internet-PCs ).

Nachdem alle Betriebssystem- und Software-Komponenten installiert sind, sollte ein Abbild ("Image") dieser Grundkonfiguration gesichert werden. Dies erlaubt es, das System schnell wiederherzustellen, wenn die Installation durch Abstürze, fehlgeschlagene Konfigurationsänderungen oder Manipulationen unbrauchbar wird (siehe auch M 6.79 Datensicherung beim Einsatz von Internet-PCs ).

Surf-CD

Eine andere Möglichkeit sicher im Internet zu surfen, bietet die Nutzung einer Surf-CD, die alle notwendigen Komponenten enthält, um den Rechner mit der Surf-CD zu starten. So bleibt das eigentliche Betriebssystem des Clients unberührt, da das Betriebssystem auf der CD nicht auf lokale Festplatten zugreifen kann. Solche CDs werden beispielsweise regelmäßig fertig über Computerzeitschriften oder im Internet als Programmpakete angeboten. Solche Surf-CDs enthalten typischerweise nur ein gehärtetes Betriebssystem und die für die Internetnutzung absolut notwendigen Programme, um potentielle Sicherheitslücken zu minimieren.

Prüffragen: