M 4.84 Nutzung der BIOS-Sicherheitsmechanismen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen an, mit denen sich die Benutzer oder die Systemadministration vertraut machen sollten. Auf keinen Fall sollten aber ungeschulte Benutzer BIOS-Einträge verändern, da hierdurch schwerwiegende Schäden verursacht werden können.
- Passwortschutz:
Bei den meisten BIOS-Varianten kann ein Passwortschutz aktiviert werden. Dieser kann verhältnismäßig einfach überwunden werden, sollte aber auf jeden Fall benutzt werden, wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen. Meist kann ausgewählt werden, ob das Passwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS-Einstellungen überprüft werden soll. Teilweise können sogar verschiedene Passwörter für diese Prüfungen benutzt werden. Um zu verhindern, dass Unbefugte die BIOS-Einstellungen ändern, sollte das Setup- oder Adminstrator-Passwort immer aktiviert werden.
Mit einigen (leider wenigen) BIOS-Varianten kann zusätzlich der Zugriff auf die Diskettenlaufwerke durch ein Passwort geschützt werden. Dies sollte benutzt werden, um das unbefugte Aufspielen von Software oder das unbemerkte Kopieren von Daten zu verhindern. - Boot-Reihenfolge:
Die Boot-Reihenfolge sollte so eingestellt sein, dass immer als erstes von der Festplatte gebootet wird. Beispielsweise sollte also "C,A" eingestellt werden. Dies schützt vor der Infektion mit Boot-Viren, falls versehentlich eine Diskette im Laufwerksschacht vergessen wird, spart Zeit und schont das Diskettenlaufwerk.
Die Umstellung der Boot-Reihenfolge soll verhindern, dass der Boot-Vorgang von einem externen Datenträger erfolgt. Hiermit soll gewährleistet werden, dass während des Boot-Vorgangs nicht auf eine im Diskettenlaufwerk eingelegte Diskette zugegriffen wird, wodurch ein Boot-Virus den PC infizieren könnte (siehe G 5.23 Computer-Viren). Je nach verwendetem BIOS und Betriebssystem muss auch das Booten von anderen austauschbaren Datenträgern wie CD-ROMs verhindert werden.
Ohne eine Umstellung der Boot-Reihenfolge können auch weitere Sicherheitsmaßnahmen wie Zugriffsschutzmechanismen (siehe M 4.1 Passwortschutz für IT-Systeme) umgangen werden. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems, so dass gesetzte Sicherheitsattribute ignoriert werden (siehe M 4.49 Absicherung des Boot-Vorgangs für ein Windows NT/2000/XP System).
Generell sollte die Wirksamkeit der Umstellung der Boot-Reihenfolge durch einen Boot-Versuch geprüft werden, da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern. - Virenschutz, Virus-Warnfunktion:
Wird diese Funktion aktiviert, verlangt der Rechner vor einer Veränderung des Boot-Sektors bzw. des MBR (Master Boot Record) eine Bestätigung, ob diese durchgeführt werden darf.
Ergänzende Kontrollfragen:
- Welche BIOS- Sicherheitsmechanismen sind aktiviert?