B 3.201 Allgemeiner Client

Beschreibung
Betrachtet wird ein IT-System mit einem beliebigen Betriebssystem, das die Trennung von Benutzern zulässt (es sollte mindestens eine Administrator- und eine Benutzer-Umgebung eingerichtet werden können). Typischerweise ist ein solches IT-System vernetzt und wird als Client in einem Client-Server-Netz betrieben.
Das IT-System kann auf einer beliebigen Plattform betrieben werden, es kann sich dabei um einen PC mit oder ohne Festplatte, aber auch um eine Unix-Workstation oder einen Apple Macintosh handeln. Das IT-System kann über Disketten-, CD-ROM-, DVD- oder andere Laufwerke für auswechselbare Datenträger sowie andere Peripheriegeräte verfügen. Falls der Client weitere Schnittstellen zum Datenaustausch hat, wie z. B. USB, Bluetooth, WLAN, müssen diese entsprechend den Sicherheitsvorgaben der Institution abgesichert werden, wie dies in den entsprechenden Bausteinen beschrieben ist.
Dieser Baustein bietet einen Überblick über Gefährdungen und IT-Sicherheitsmaßnahmen, die für alle Clients unabhängig von der verwendeten Plattform und vom eingesetzten Betriebssystem zutreffen. Je nach dem eingesetzten Betriebssystem sind zusätzlich die weiterführenden Bausteine der IT-Grundschutz-Kataloge (zum Beispiel B 3.206 Unix-System) zu beachten.
Gefährdungslage
Für den IT-Grundschutz eines allgemeinen Clients werden folgende Gefährdungen angenommen:
Höhere Gewalt:
- | G 1.1 | Personalausfall |
Organisatorische Mängel:
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.7 | Unerlaubte Ausübung von Rechten |
- | G 2.21 | Mangelhafte Organisation des Wechsels zwischen den Benutzern |
- | G 2.24 | Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes |
- | G 2.25 | Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten |
- | G 2.37 | Unkontrollierter Aufbau von Kommunikationsverbindungen |
Menschliche Fehlhandlungen:
- | G 3.3 | Nichtbeachtung von IT-Sicherheitsmaßnahmen |
- | G 3.6 | Gefährdung durch Reinigungs- oder Fremdpersonal |
- | G 3.8 | Fehlerhafte Nutzung des IT-Systems |
- | G 3.9 | Fehlerhafte Administration des IT-Systems |
- | G 3.17 | Kein ordnungsgemäßer PC-Benutzerwechsel |
Technisches Versagen:
- | G 4.10 | Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen |
- | G 4.13 | Verlust gespeicherter Daten |
- | G 5.1 | Manipulation/Zerstörung von IT-Geräten oder Zubehör |
Vorsätzliche Handlungen:
- | G 5.2 | Manipulation an Daten oder Software |
- | G 5.4 | Diebstahl |
- | G 5.7 | Abhören von Leitungen |
- | G 5.9 | Unberechtigte IT-Nutzung |
- | G 5.20 | Missbrauch von Administratorrechten |
- | G 5.21 | Trojanische Pferde |
- | G 5.23 | Computer-Viren |
- | G 5.40 | Abhören von Räumen mittels Rechner mit Mikrofon |
- | G 5.43 | Makro-Viren |
- | G 5.71 | Vertraulichkeitsverlust schützenswerter Informationen |
- | G 5.85 | Integritätsverlust schützenswerter Informationen |
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Für den Einsatz von Arbeitsplatzrechnern sollten im Hinblick auf die IT-Sicherheit von Clients folgende Schritte durchlaufen werden:
Planung des Einsatzes von Clients
Für die sichere Nutzung von IT-Systemen müssen vorab die Rahmenbedingungen festgelegt werden. Dabei müssen die Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie die geplanten Einsatzszenarien von Anfang an mit einbezogen werden (siehe M 2.321 Planung des Einsatzes von Client-Server-Netzen). Schon vor der Beschaffung der Rechner und Software sollte eine Sicherheitsrichtlinie für die Clients erstellt werden (siehe M 2.322 Festlegen einer Sicherheitsrichtlinie für ein Client-Server-Netz).
Übergreifende Fragen der sicheren Nutzung von IT-Systemen werden im Baustein B 1.9 Hard- und Software-Management betrachtet.
Beschaffung
Für die Beschaffung von Clients, die typischerweise in größeren Mengen erfolgt, müssen ausgehend von den Einsatzszenarien Kriterien für die Auswahl geeigneter Produkte formuliert werden (siehe hierzu B 1.10 Standardsoftware). Auch bei der Beschaffung von Einzelsystemen ist es wichtig, dass das System zur vorhandenen Struktur passt, damit nicht für ein einzelnes System wegen dessen Besonderheiten ein unangemessen hoher Aufwand bei Integration und Betrieb entsteht.
Falls Hard- oder Software nicht die festgelegten Sicherheitsanforderungen erfüllen, sind weitere Maßnahmen erforderlich. Diese können organisatorischer Art sein (beispielsweise durch Regelungen, dass der Client ausschließlich hinter verschlossener Bürotür betrieben werden darf) oder es können Zusatzkomponenten beschafft werden, um die identifizierten Mankos auszugleichen (siehe hierzu M 4.41 Einsatz angemessener Sicherheitsprodukte für IT-Systeme).
Bei besonders hohen Anforderungen an die Verfügbarkeit der Clients ist für diese der Einsatz einer Unterbrechungsfreien Stromversorgung (USV) empfehlenswert. Dabei kann es sich beispielsweise um eine "Einzelplatz-USV" handeln, falls die hohen Anforderungen nur für einzelne Clients gelten, oder aber um einen eigenen entsprechend abgesicherten Stromkreis ("rote Steckdose"). Weitere Informationen finden sich in M 1.28 Lokale unterbrechungsfreie Stromversorgung .
Umsetzung
Um Risiken durch Fehlbedienung oder absichtlichen Missbrauch der IT-Systeme auszuschließen, sind eine sorgfältige Auswahl der Betriebssystem- und Softwarekomponenten, eine sichere Installation und sorgfältige Konfiguration wichtig. Die dabei zu treffenden Maßnahmen sind in hohem Grade abhängig von dem eingesetzten Betriebssystem. Näheres dazu findet sich deswegen in spezifischen Bausteinen, beispielsweise in B 3.204 Client unter Unix oder B 3.205 Client unter Windows NT .
Sichere Installation
Der Grundstein für die Sicherheit wird bereits bei der Vorbereitung der Installation gelegt. Vor der Installation sollte festgelegt werden, welche Komponenten des Betriebssystems und welche Anwendungsprogramme und Tools installiert werden sollen. Die getroffenen Entscheidungen müssen so dokumentiert werden, dass gegebenenfalls nachvollzogen werden kann, welche Konfiguration und Softwareausstattung für das System gewählt wurde (siehe M 4.237 Sichere Grundkonfiguration eines IT-Systems).
Für die Installation sollten nur Installationsmedien benutzt werden, die aus einer sicheren Quelle stammen (beispielsweise direkt vom Hersteller oder Distributor des Betriebssystems oder Programms). Die Installation des Betriebssystems sollte wenn möglich durchgeführt werden, ohne dass das System an das Netz angeschlossen ist (Offline-Installation). Falls bei der Installation Teile der Pakete über das Netz geladen werden sollen, sollte für die Installation ein eigenes Netz (Testnetz) genutzt werden, das vom übrigen Netz getrennt ist. Von einem Nachladen von Paketen über das Internet wird dringend abgeraten. Falls es in Ausnahmefällen erforderlich ist, ein System direkt im Produktionsnetz zu installieren, so muss durch geeignete zusätzliche Maßnahmen sichergestellt werden, dass auf das System während der Installation nicht von außen zugegriffen werden kann.
Bereits im Verlauf der Installation werden meist einige Grundeinstellungen zur Systemkonfiguration (unterschiedlich je nach Betriebssystem) vorgenommen.
Sichere Konfiguration
An die eigentliche Installation schließt sich die Grundkonfiguration eines Clients an. In dieser Phase wird die vorläufige Konfiguration, wie sie im Verlauf der Installation vom Installationsprogramm eingerichtet wurde, an die tatsächlichen Gegebenheiten und Anforderungen des IT-Verbunds angepasst, in dem der Client eingesetzt werden soll. Oft werden dabei weitere Programme installiert oder es werden Programme aus einer Standardkonfiguration entfernt, die Einstellungen für den Zugriff auf das Netz werden festgelegt und der Client wird für den Zugriff auf Verzeichnisdienste oder ähnliches konfiguriert. Außerdem werden nicht benötigte Benutzer-Kennungen gelöscht oder deaktiviert, und die Benutzer-Kennungen für die eigentlichen Benutzer werden angelegt.
In dieser Phase werden auch die benötigten Anwendungsprogramme installiert und konfiguriert. Für die Installation und Konfiguration der Anwendungsprogramme sind analoge Sicherheitsaspekte wie für die Installation des Betriebssystems selbst zu beachten.
Falls eine größere Anzahl ähnlich konfigurierter Clients installiert und konfiguriert werden soll, so bietet es sich an, dies nicht für jeden Client einzeln durchzuführen, sondern eine "generische" Installation zu erstellen, die anschließend auf die einzelnen Clients übertragen wird, und an der nur noch minimale Änderungen vor der Inbetriebnahme erforderlich sind. Eine solche generische Konfiguration kann erheblich zur Effizienz beitragen und das Risiko von Fehlern verringern helfen. Andererseits ist bei der Erstellung der Referenzinstallation besondere Sorgfalt erforderlich. Die vorgenommenen Einstellungen müssen nachvollziehbar dokumentiert sein.
Ein wichtiger Grundsatz bei der Konfiguration von Clients ist, dass normale Bedienungsfehler der Anwender zu keinen gravierenden Schäden am System und an Daten anderer Benutzer führen sollten, und dass Anwender nicht durch einfache Neugierde Zugriff auf Informationen erlangen dürfen, die nicht für sie bestimmt sind. Mehr dazu findet sich in M 4.237 Sichere Grundkonfiguration eines IT-Systems.
Nachdem der Client fertig konfiguriert ist, kann der Rechner an die Anwender übergeben werden. Falls die Anwender keine ausreichenden Kenntnisse des eingesetzten Betriebssystems, einzelner Anwendungsprogramme oder Tools besitzen, so müssen sie vorab geschult werden. Allgemeine Aspekte hierzu finden sich im Baustein B 1.13 IT-Sicherheitssensibilisierung und -schulung .
Betrieb
Eine der wichtigsten IT-Sicherheitsmaßnahmen beim Betrieb heutiger Client-Systeme ist es, die Systeme durch zeitnahes Einspielen von Sicherheitspatches stets auf einem aktuellen Stand zu halten (siehe M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates) sowie die Installation und permanente Aktualisierung eines Virenscanners (siehe dazu auch B 1.6 Computer-Virenschutzkonzept). Daneben ist eine regelmäßige Datensicherung (siehe auch B 1.4 Datensicherungskonzept) eine grundlegende Voraussetzung dafür, dass Hardwaredefekte und Programm- oder Benutzerfehler nicht zu gravierenden Datenverlusten führen.
Ein Mittel zur Erkennung von Angriffen oder missbräuchlicher Nutzung ist die Überwachung des Systems. Dafür relevante Maßnahmen finden sich in M 4.93 Regelmäßige Integritätsprüfung und M 5.8 Regelmäßiger Sicherheitscheck des Netzes sowie im Baustein B 1.9 Hard- und Software-Management .
Auch bei Clients ist es wichtig, dass die Administration auf sicheren Wegen erfolgt und dass die Arbeit der Administratoren nachvollziehbar ist. Die entsprechenden Aspekte sind in M 4.234 Aussonderung von IT-Systemen beschrieben.
Aussonderung
Bei der Aussonderung eines Clients muss zunächst sichergestellt werden, dass alle Benutzerdaten gesichert oder auf ein Ersatzsystem übertragen werden. Anschließend muss dafür gesorgt werden, dass keine sensitiven Daten auf den Festplatten des Rechners zurück bleiben. Dazu genügt es nicht, die Platten einfach neu zu formatieren, sondern sie müssen mindestens einmal vollständig überschrieben werden. Es ist zu beachten, dass weder ein reines logisches Löschen noch das Neuformatieren der Platten mit den Mitteln des installierten Betriebssystems die Daten wirklich von den Festplatten entfernt. Mit geeigneter Software können Daten, die auf diese Weise gelöscht wurden wieder rekonstruiert werden, oft sogar ohne großen Aufwand. Hinweise zum sicheren Löschen finden sich in M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln und in M 2.309 Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung . Nach der Aussonderung eines Clients müssen Bestandsverzeichnisse und Netzpläne aktualisiert werden.
Notfallvorsorge
Das notwendige Maß an Notfallvorsorge für einen allgemeinen Client ist stark vom individuellen Einsatzszenario abhängig. Oft wird als Notfallvorsorge für einen Client eine regelmäßige Datensicherung (siehe M 6.32 Regelmäßige Datensicherung) und das Erstellen eines bootfähigen Datenträgers für Notfälle (siehe M 6.24 Erstellen eines Notfall-Bootmediums) ausreichend sein. Für Clients mit besonderen Anforderungen an die Verfügbarkeit kann es sinnvoll sein, weitere Maßnahmen zu ergreifen, beispielsweise ein Austauschsystem bereit zu halten.
Abhängig vom eingesetzten Betriebssystem sind bei der Anwendung dieses Bausteins gegebenenfalls weitere Maßnahmen erforderlich. Diese finden sich in den jeweiligen Bausteinen.
Für den allgemeinen Client sind folgende Maßnahmen umzusetzen:
Planung und Konzeption
- | M 2.23 | (Z) | Herausgabe einer PC-Richtlinie |
- | M 2.321 | (A) | Planung des Einsatzes von Client-Server-Netzen |
- | M 2.322 | (A) | Festlegen einer Sicherheitsrichtlinie für ein Client-Server-Netz |
- | M 5.37 | (B) | Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz |
Umsetzung
- | M 2.25 | (A) | Dokumentation der Systemkonfiguration |
- | M 4.237 | (A) | Sichere Grundkonfiguration eines IT-Systems |
Betrieb
- | M 2.273 | (A) | Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates |
- | M 3.18 | (A) | Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung |
- | M 4.2 | (A) | Bildschirmsperre |
- | M 4.3 | (A) | Regelmäßiger Einsatz eines Anti-Viren-Programms |
- | M 4.4 | (C) | Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern |
- | M 4.40 | (A) | Verhinderung der unautorisierten Nutzung des Rechnermikrofons |
- | M 4.41 | (C) | Einsatz angemessener Sicherheitsprodukte für IT-Systeme |
- | M 4.93 | (B) | Regelmäßige Integritätsprüfung |
- | M 4.200 | (Z) | Umgang mit USB-Speichermedien |
- | M 4.238 | (A) | Einsatz eines lokalen Paketfilters |
- | M 4.241 | (A) | Sicherer Betrieb von Clients |
- | M 4.242 | (Z) | Einrichten einer Referenzinstallation für Clients |
- | M 5.45 | (B) | Sicherheit von WWW-Browsern |
Aussonderung
- | M 2.323 | (A) | Geregelte Außerbetriebnahme eines Clients |
Notfallvorsorge
- | M 6.24 | (A) | Erstellen eines Notfall-Bootmediums |
- | M 6.32 | (A) | Regelmäßige Datensicherung |