You are on page 1of 2908

Bundesamt fr Sicherheit in der Informationstechnik 2004

Der Prsident
_________________________________________________________________________________________

Vorwort

Das vorliegende IT-Grundschutzhandbuch enthlt Standardsicherheitsmanahmen, Umsetzungshin-


weise und Hilfsmittel fr zahlreiche IT-Konfigurationen, die typischerweise im heutigen IT-Einsatz
anzutreffen sind. Dieses Informationsangebot soll zur zgigen Lsung hufiger Sicherheitsprobleme
dienen, die Anhebung des Sicherheitsniveaus von IT-Systemen untersttzen und die Erstellung von
IT-Sicherheitskonzepten vereinfachen. Die im IT-Grundschutzhandbuch zusammengestellten Stan-
dardsicherheitsmanahmen orientieren sich dabei an einem Schutzbedarf, der fr die meisten IT-
Systeme zutrifft.
Damit kann fr die berwiegende Zahl der IT-Systeme der bislang arbeitsintensive Prozess der
Erstellung eines IT-Sicherheitskonzepts erheblich vereinfacht werden, da aufwendige und oft kom-
plexe Analysen von Bedrohungen und Eintrittswahrscheinlichkeiten entfallen. Mit Verwendung des
Handbuchs bedarf es lediglich eines Abgleichs des Manahmen-Solls mit dem Manahmen-Ist, um
Sicherheitsdefizite zu ermitteln und passende Sicherheitsmanahmen zu identifizieren.
Das IT-Grundschutzhandbuch ist als "weiterentwicklungsfhiges Werk" angelegt. Durch eine halb-
jhrliche Fortschreibung sollen Verbesserungsvorschlge, Erweiterungen sowie die Weiterent-
wicklung der IT bercksichtigt werden. Fr die von den Anwendern des IT-Grundschutzhandbuchs
bersandten Beitrge, die bei der Fortschreibung der vorliegenden Version bercksichtigt wurden,
mchte ich mich bedanken.

Dr. Udo Helmbrecht

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1
Bundesamt fr Sicherheit in der Informationstechnik 2004

Der Prsident
_________________________________________________________________________________________

Hinweis:
Wird im Text die mnnliche Form verwendet, geschieht dies ausschlielich aus Grnden der
leichteren Lesbarkeit.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 2
Dankesworte 2004
_________________________________________________________________________________________

Dankesworte

Fr die Mitarbeit bei der Weiterentwicklung des IT-Grundschutzes und die engagierte Untersttzung
bei der Fortschreibung der 5. Ergnzungslieferung des IT-Grundschutzhandbuchs wird an dieser Stelle
folgenden Beteiligten gedankt:

- Gesamtkoordination Frau Isabel Mnch, BSI


- Redaktionelle Bearbeitung und Hotline Frau Elke Csar, BSI
Frau Gabriele Scheer-Gumm, BSI
Frau Petra Simons-Felwor, BSI
- Baustein Router und Switches Herr Herbert Blaauw, Atos Origin CCI
Herr Matthias Mnter, Atos Origin CCI
Herr Thomas Hberlen, BSI
- Baustein S/390- und zSeries-Mainframe Herr Stephan Httinger, TSI (T-Systems
International GmbH)
Herr Torsten Kullich, TSI
Herr Klaus Mller, TSI
Herr Stefan Morkovsky, TSI
Herr Dr. Harald Niggemann, BSI
- Baustein PDA Frau Isabel Mnch, BSI
Herr Thomas Hberlen, BSI
- berarbeitung Baustein Sicherheitsgateway Herr Bjrn Dehms, BSI
(Firewall) Herr Thomas Hberlen, BSI
- Qualittssicherung Frau Isabel Mnch, BSI
Herr Dr. Harald Niggemann, BSI
Herr Michael Mehrhoff, BSI
Herr Frank Weber, BSI

Darber hinaus sei allen gedankt, die sich durch konstruktive Kritik und praktische Verbesserungs-
vorschlge an der Verbesserung des IT-Grundschutzhandbuchs beteiligt haben.

Bei der Fortschreibung und Weiterentwicklung vorhergehender Versionen des IT-Grundschutz-


handbuchs haben die nachfolgend aufgezhlten Personen und Institutionen mitgewirkt. Auch ihnen sei
hiermit Dank ausgesprochen:

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 3
Dankesworte 2004
_________________________________________________________________________________________

- ConSecur GmbH - Innenministerium des Landes


Herr Nedon, Hr. Eckardt Schleswig-Holstein
Herr Kuhr
- Daimler-Benz AG
Herr Heinle, Hr. Schlette - Landesbeauftragter fr den Datenschutz
Saarland
- Europische Kommission
Herr Simon
GD Informationsgesellschaft
Herr Achim Klabunde - Fa. Novell
- Fa. EUROSEC GmbH - Fa. Oracle
Herr Fnfrocken
- Rhm GmbH Chemische Fabrik
Herr Dr. Zieschang
Datenschutzbeauftragter
- Evangelische Kirche von Westfalen, Herr Gldemeister
Das Landeskirchenamt
- Atos Origin CCI
Herr Huget
Herr Gtz, Herr Jaster, Herr Pohl
- Flughafen Dsseldorf GmbH
- Universitt GH Essen, FB Wirtschaft-
Herr Andreas Peters
informatik
- GUIDE SHARE EUROPE Herr Prof. Dr. Vobein
Arbeitskreis "DATENSCHUTZ und
- Universittsklinikum der TU Dresden
DATENSICHERHEIT"
Klinik fr Orthopdie
- Henkel KGaA Herr Frank Heyne
Herr Rhefus
- Verband der Chemischen Industrie e. V.
- HiSolutions Software GmbH
- VZM GmbH
Herr Alexander Geschonneck
Herr Bruno Hecht, Herr Werner Metterhausen,
- INFODAS Herr Rainer von zur Mhlen
Herr Dr. Weck
- Zentrale Datenverarbeitungsstelle fr das
- Ingenieurbro Mink Saarland
Herr Mller

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 4
Dankesworte 2004
_________________________________________________________________________________________

Folgende Autoren haben durch die Erstellung von Bausteinen ihr Fachwissen in das IT-
Grundschutzhandbuch einflieen lassen. Ihnen gebhrt besonderer Dank, da ihr Engagement die
Entstehung und Weiterentwicklung des IT-Grundschutzhandbuchs erst ermglicht hat.
Bundesministerium des Innern: Herr Jrg-Udo Aden, Herr Andr Reisen, Herr Manfred Kramer
Bundesministerium fr Bildung und Wissenschaft: Herr Frank Stefan Stumm
Bundesamt fr Sicherheit in der Informationstechnik: Herr Rainer Belz, Herr Thomas Biere, Herr Uwe
Dornseifer, Herr Gnther Ennen, Herr Olaf Erber, Herr Frank W. Felzmann, Herr Michael Frtsch,
Herr Dr. Kai Fuhrberg, Herr Dr. Dirk Hger, Herr Dr. Hartmut Isselhorst, Herr Harald Kelter, Herr
Kurt Klinner, Herr Dr. Christian Mrugalla, Frau Isabel Mnch, Herr Robert Rasten, Frau Martina
Rohde, Herr Fabian Schelo, Herr Heiner Schorn, Herr Dr. Ernst Schulte-Geers, Herr Carsten Schulz,
Herr Bernd Schweda, Frau Katja Vogel, Herr Frank Weber, Herr Helmut Weisskopf, Herr Dr. Stefan
Wolf

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 5
Inhaltsverzeichnis 2004
_________________________________________________________________________________________

Inhaltsverzeichnis
Vorwort
Inhaltsverzeichnis
Einleitung

1 Wegweiser durch das 4 Infrastruktur


IT-Grundschutzhandbuchs
1.1 IT-Grundschutz: Ziel, Idee und 4.1 Gebude
Konzeption 4.2 Verkabelung
1.2 Aufbau und Lesart des Handbuchs 4.3 Rume
1.3 Anwendungsweisen des 4.3.1 Broraum
IT-Grundschutzhandbuchs 4.3.2 Serverraum
1.4 Kurzdarstellung vorhandener Bausteine 4.3.3 Datentrgerarchiv
1.5 Hilfsmittel 4.3.4 Raum fr technische Infrastruktur
1.6 Informationsfluss und Kontakte 4.4 Schutzschrnke
4.5 Huslicher Arbeitsplatz
4.6 Rechenzentrum
2 Anwendung des IT- 5 Nicht vernetzte Systeme
Grundschutzhandbuchs
2.1 IT-Strukturanalyse 5.1 DOS-PC (ein Benutzer)
2.2 Schutzbedarfsfeststellung 5.2 Unix-System
2.3 Modellierung nach IT-Grundschutz 5.3 Tragbarer PC
2.4 Basis-Sicherheitscheck 5.4 PCs mit wechselnden Benutzern
2.5 Ergnzende Sicherheitsanalyse 5.5 PC unter Windows NT
2.6 Realisierung von 5.6 PC mit Windows 95
IT-Sicherheitsmanahmen 5.7 Windows 2000 Client
2.7 IT-Grundschutz-Zertifikat 5.8 Internet-PC
5.99 Allgemeines nicht vernetztes IT-System
3 bergeordnete Komponenten 6 Vernetzte Systeme
3.0 IT-Sicherheitsmanagement 6.1 Servergesttztes Netz
3.1 Organisation 6.2 Unix-Server
3.2 Personal 6.3 Peer-to-Peer-Dienste
3.3 Notfallvorsorge-Konzept 6.4 Windows NT Netz
3.4 Datensicherungskonzept 6.5 Novell Netware 3.x
3.5 Datenschutz 6.6 Novell Netware 4.x
3.6 Computer-Virenschutzkonzept 6.7 Heterogene Netze
3.7 Kryptokonzept 6.8 Netz- und Systemmanagement
3.8 Behandlung von Sicherheitsvorfllen 6.9 Windows 2000 Server
3.9 Hard- und Software-Management 6.10 S/390- und z-Series-Mainframe
3.10 Outsourcing

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 6
Inhaltsverzeichnis 2004
_________________________________________________________________________________________

7 Datenbertragungseinrichtungen 8 Telekommunikation
7.1 Datentrgeraustausch 8.1 TK-Anlage
7.2 Modem 8.2 Faxgert
7.3 Sicherheitsgateway (Firewall) 8.3 Anrufbeantworter
7.4 E-Mail 8.4 LAN-Anbindung eines IT-Systems ber
7.5 Web Server ISDN
7.6 Remote Access 8.5 Faxserver
7.7 Lotus Notes 8.6 Mobiltelefon
7.8 Internet Information Server 8.7 PDA
7.9 Apache Webserver
7.10 Exchange/Outlook2000
7.11 Router und Switches

9 Sonstige IT-Komponenten
9.1 Standardsoftware
9.2 Datenbanken
9.3 Telearbeit
9.4 Novell eDirectory 8.6
9.5 Archivierung

Kataloge zu Manahmen und


Gefhrdungen
Manahmenkataloge Gefhrdungskataloge
M1 Infrastruktur G1 Hhere Gewalt
M2 Organisation G2 Organisatorische Mngel
M3 Personal G3 Menschliche Fehlhandlungen
M4 Hardware/Software G4 Technisches Versagen
M5 Kommunikation G5 Vorstzliche Handlungen
M6 Notfallvorsorge

Anhang
- Hilfsmittel
- KBSt- Empfehlungen 2/95
- Bezugsdokumente
- Index

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 7
Neues 2004
_________________________________________________________________________________________

Neues in Version 2004 des IT-Grundschutzhandbuchs


Bedarfsorientierte Weiterentwicklung
Aufgrund der jhrlichen Bedarfsabfrage bei registrierten Anwendern wurde das Handbuch bedarfs-
orientiert weiterentwickelt.
Insgesamt wurden fr die Version 2004 folgende Bausteine neu entwickelt:
6.10 S/390- und z-Series-Mainframe
7.11 Router und Switches
8.7 PDA
Aktualisierung und berarbeitung
Der Baustein 7.3 wurde berarbeitet und enthlt jetzt alle Grundschutzmanahmen zum Thema
Sicherheitsgateway (Firewall).
Darber hinaus wurden zahlreiche einzelne Gefhrdungen und Manahmen an neue technische
Entwicklungen, neue Bedrohungsszenarien und neue Entwicklungen in der IT-Sicherheit angepasst.
Weitere strukturelle Vernderungen wurden in der aktualisierten Ausgabe nicht durchgefhrt. Die
Nummerierung bestehender Gefhrdungen und Manahmen blieb erhalten, sodass ein im Vorjahr auf
Basis des IT-Grundschutzhandbuchs erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es
empfiehlt sich dennoch, die ausgewhlten Manahmen bei der Bearbeitung komplett zu lesen, um
Ergnzungen bercksichtigen zu knnen und um ggf. das Wissen zur IT-Sicherheit aufzufrischen.
Eine detaillierte Darstellung der durchgefhrten nderungen kann dem Winword-Versionsvergleich
entnommen werden, der sich auf der CD-ROM im Verzeichnis .../VGL befindet.
Rechtschreibung
In das Handbuch neu aufgenommene Seiten wurden nach den Regeln der Rechtschreibreform
abgefasst. Erfolgte fr ein auszutauschendes Blatt eine inhaltliche nderung auf nur einer Seite, so
wurde auch fr die andere Seite des Blattes die neue Rechtschreibung angewandt. Auf diese Weise
soll verhindert werden, dass mit dem Ablauf der bergangszeit zum 31. August 2005 eine
vollstndige berarbeitung des Werkes erfolgen muss. Um die Blattzahl der Ergnzungslieferung
durch die Anwendung der neuen Rechtschreibung nicht unntig zu erhhen, wurde darauf verzichtet,
nderungen bis ins letzte Detail durchzufhren. Dies hat jedoch zur Folge, dass z. B. die Schreibweise
einer Manahmenberschrift im Inhaltsverzeichnis von der Schreibweise im Manahmenkatalog
abweichen kann.
Fuzeilen
Seiten, die neu in das Handbuch aufgenommen oder inhaltlich aktualisiert wurden, sind durch die
Fuzeile "Stand 2004" gekennzeichnet. Wurde auf einer Seite lediglich die Rechtschreibung an die
neuen Regeln angepasst oder Marginalien hinzugefgt, so wurde die Angabe zum Versionsstand

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 8
Neues 2004
_________________________________________________________________________________________

nicht verndert. Auf diese Weise ist anhand der Fuzeilen direkt erkennbar, welche Seiten sich
inhaltlich gendert haben.
WWW-Seiten zum IT-Grundschutz
Das Bundesamt fr Sicherheit in der Informationstechnik ist auch ber das Internet erreichbar. Den
aktuellen Sachstand zum IT-Grundschutz knnen Sie ber die Seite http://www.bsi.bund.de/gshb
abrufen. Auf diesen Seiten ist ein Forum eingerichtet, um aktuelle Informationen zum IT-Grund-
schutzhandbuch zeitnah zu prsentieren.
IT-Grundschutz-Zertifikat
Da das IT-Grundschutzhandbuch mit seinen Empfehlungen von Standardsicherheitsmanahmen
inzwischen einen Quasi-Standard fr IT-Sicherheit darstellt, bietet es sich an, dies als allgemein aner-
kanntes Kriterienwerk fr IT-Sicherheit zu verwenden. Hufige Anfragen nach einem "bescheinigten
Sicherheitsgrad" haben im BSI zu dem Entschluss gefhrt, ein Grundschutz-Zertifikat zu entwickeln.
Der weitere Sachstand wird in Kapitel 2.7 IT-Grundschutz-Zertifikat beschrieben. Aktuelle
Informationen finden sich im Internet unter http://www.bsi.bund.de/gshb/zert.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 9
Einleitung 2004
_________________________________________________________________________________________

Einleitung
IT-Grundschutz - Basis fr IT-Sicherheit
Zunehmend werden Funktionen in der ffentlichen
Verwaltung und der Wirtschaft, aber auch im tglichen
Leben in der modernen Informations- und Kommuni-
kationsgesellschaft durch den Einsatz von Informations-
technik (IT) untersttzt. Viele Arbeitsprozesse werden
elektronisch gesteuert und groe Mengen von Infor-
mationen werden digital gespeichert, elektronisch
verarbeitet und in lokalen und ffentlichen Netzen
bermittelt. Die Wahrnehmung mancher ffentlicher oder
privatwirtschaftlicher Aufgaben ist ohne IT berhaupt
nicht, die Erfllung anderer Aufgaben nur noch teilweise mglich. Damit sind viele Institutionen in
Verwaltung und Wirtschaft von dem einwandfreien Funktionieren der eingesetzten IT abhngig. Ein
Erreichen der Behrden- und Unternehmensziele ist nur bei ordnungsgemem und sicheren IT-
Einsatz mglich.
Dabei sind die auftretenden Abhngigkeiten von einer funktionierenden IT vielfltig. Fr Unter-
nehmen hngt der wirtschaftliche Erfolg und die Konkurrenzfhigkeit von der IT ab, letztlich sind es
damit sogar Arbeitspltze, die direkt vom Funktionieren der IT abhngen. Ganze Branchen wie zum
Beispiel Banken und Versicherungen, Automobilindustrie und Logistik knnen heute nicht mehr ohne
IT betrieben werden. Letztlich hngt damit das Wohl jedes Brgers von der IT ab: sei es der Arbeits-
platz des Brgers, sei es die Erfllung des tglichen Konsumbedarfs oder seine digitale Identitt im
Zahlungsverkehr, in der Kommunikation oder zunehmend im E-Commerce. Mit der Abhngigkeit von
der IT erhht sich auch der potentielle soziale Schaden durch den Ausfall von IT. Da IT an sich nicht
frei von Schwachstellen ist, besteht ein durchaus berechtigtes Interesse, die von der IT verarbeiteten
Daten und Informationen zu schtzen und die Sicherheit der IT zu planen, zu realisieren und zu
kontrollieren.
Die Schden durch IT-Fehlfunktionen knnen verschiedenen Kategorien zugeordnet werden. Am
aufflligsten ist der Verlust der Verfgbarkeit: luft ein IT-System nicht, knnen keine Geldtrans-
aktionen durchgefhrt werden, Online-Bestellungen sind unmglich, Produktionsprozesse stehen still.
Hufig diskutiert ist auch der Verlust der Vertraulichkeit von Daten: jeder Brger wei um die
Notwendigkeit, seine personenbezogenen Daten vertraulich zu halten, jedes Unternehmen wei, dass
firmeninterne Daten ber Umsatz, Marketing, Forschung und Entwicklung die Konkurrenz interessie-
ren. Aber auch der Verlust der Integritt (Korrektheit von Daten) kann schwerwiegende Folgen haben:
geflschte oder verflschte Daten fhren zu Fehlbuchungen, Produktionsprozesse stoppen wegen
fehlerhafter Lieferungen, falsche Entwicklungs- und Planungsdaten fhren zu fehlerhaften Produkten.
Seit einigen Jahren gewinnt auch der Verlust der Authentizitt als ein Teilbereich der Integritt an
Bedeutung: Daten werden einer falschen Person zugeordnet. Beispielsweise knnen Zahlungsan-
weisungen oder Bestellungen zu Lasten einer dritten Person verarbeitet werden, ungesicherte digitale
Willenserklrungen knnen falschen Personen zugerechnet werden, die "digitale Identitt" wird
geflscht.
Dabei wird diese Abhngigkeit von der IT in Zukunft noch weiter zunehmen. Besonders erwhnens-
wert sind dabei folgende Entwicklungen:

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 10
Einleitung 2004
_________________________________________________________________________________________

- Steigender Vernetzungsgrad: IT-Systeme arbeiten heutzutage nicht mehr isoliert voneinander,


sondern werden immer strker vernetzt. Die Vernetzung ermglicht es, auf gemeinsame Daten-
bestnde zuzugreifen und intensive Formen der Kooperation ber geographische Grenzen hinweg
zu nutzen. Damit entsteht nicht nur eine Abhngigkeit von den einzelnen IT-Systemen, sondern in
starkem Mae auch von den Datennetzen. Sicherheitsmngel eines IT-Systems knnen aber
dadurch schnell globale Auswirkungen haben.
- IT-Verbreitung: Immer mehr Bereiche werden durch Informationstechnik untersttzt. So findet
beispielsweise eine Verlagerung des Konsums in den Bereich E-Commerce statt, Auto- und
Verkehrsleittechnik werden IT-gesttzt perfektioniert, Haushaltsgerte lassen sich programmieren
und werden vernetzt.
- Steigende Leistungsfhigkeit: die fortschreitende Miniaturisierung ermglicht eine Leistungs-
steigerung der Hardwaretechnik, so dass immer mehr rechenintensive Aufgaben in dezentrale
Rechner oder sogar Mikroprozessoren verlagert werden knnen. Besonders deutlich zeigt sich dies
im Bereich Chipkartentechnologie. Moderne multifunktionale Chipkarten knnen Zahlungsverkehr
abwickeln, dienen zur Zeiterfassung, knnen Zutrittskontrollen ermglichen und hochkomplexe
mathematische Verschlsselungsoperationen durchfhren. Die Leistungssteigerung der Hardware
erlaubt auch die Implementation aufwendiger Softwarealgorithmen in Kleinstrechnern, fr die vor
einem Jahrzehnt noch Grorechner notwendig waren. Selbst Vorstellungen ber Software als
mobiler Code, der im Internet beispielsweise kostengnstige Anbieter bestimmter Waren autonom
sucht, konkretisieren sich derzeit.
Dabei steigt das Gefhrdungspotential berproportional an, da mehrere Ursachen zusammentreffen:
- Die Abhngigkeit von der IT und damit die Verletzlichkeit nimmt wie oben beschrieben zu.
- Die Verantwortung fr die Umsetzung der IT-Sicherheitsmanahmen ist hufig auf viele Einzel-
personen verteilt. Dabei sind einzelne Verantwortliche schnell durch die vielschichtigen Problem
im Bereich IT-Sicherheit berfordert.
- Das Wissen um Gefhrdungen und Manahmen zur IT-Sicherheit ist unzureichend. Kurze Innova-
tionszyklen der IT erschweren es, den berblick ber neue oder neu entdeckte Gefhrdungen und
notwendige Gegenmanahmen zu behalten. In vielen Fllen besteht auch Unsicherheit darber,
welche Sicherheitsmanahmen angemessen sind, um den jeweiligen Gefhrdungen zu begegnen.
- Die steigende Funktionalitt birgt letztlich auch eine grere Angriffsflche. Immer wieder werden
in Protokollen und Netzdiensten, aber auch in lokaler Anwendungssoftware Sicherheitslcher
gefunden, die fr Angriffe ausgenutzt werden knnen.
- Es findet eine immer weitergehende ffnung der IT-Systeme nach auen statt, z. B. durch Vernet-
zung, Internet-Zugang und Internetauftritt. Dadurch knnen aber auch immer mehr potentielle
Angreifer auf die IT-Systeme zugreifen.
Bezglich des Gefhrdungspotentials ist zwischen vorstzlich herbeigefhrten und durch "zufllige
Ereignisse" verursachten Schden zu unterscheiden. Letztere umfassen Strungen durch hhere
Gewalt, technisches Versagen, Nachlssigkeit und Fahrlssigkeit. Statistisch verursachen diese
"zuflligen Ereignisse" die meisten Schden. Demgegenber sind Schden, die auf vorstzliche
Handlungen zurckgefhrt werden knnen, seltener, aber bei Eintritt hufig kritischer. Als Ttermoti-
vationen sind hier Spieltrieb, Rachegefhle, Neid und persnliche Bereicherung zu nennen. Sowohl
bei den vorstzlichen als auch bei den nicht-vorstzlichen Strungen kann zustzlich noch dahin-
gehend unterschieden werden, ob die Ursache des Schadens innerhalb oder auerhalb der Institution
zu suchen ist. Bemerkenswert ist in diesem Zusammenhang, dass im Bereich vorstzlich herbeige-
fhrter IT-Schden der berwiegende Teil auf "Innentter" zurckgefhrt werden kann.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 11
Einleitung 2004
_________________________________________________________________________________________

Angesichts der vorgestellten Gefhrdungspotentiale und der steigenden Abhngigkeit stellen sich
damit fr jede Institution, sei es ein Unternehmen oder eine Behrde, bezglich IT-Sicherheit mehrere
zentrale Fragen:
- Wie sicher ist die IT einer Institution?
- Welche IT-Sicherheitsmanahmen mssen ergriffen werden?
- Wie mssen diese Manahmen konkret umgesetzt werden?
- Wie hlt bzw. verbessert eine Institution das erreichte Sicherheitsniveau?
- Wie sicher ist die IT anderer Institutionen, mit denen eine Kooperation stattfindet?
Bei der Suche nach Antworten auf diese Fragen ist zu beachten, dass IT-Sicherheit nicht alleine eine
technische Fragestellung ist. Um ein ausreichend sicheres IT-System betreiben zu knnen, sind neben
den technischen auch organisatorische, personelle und baulich-infrastrukturelle Manahmen zu reali-
sieren und insbesondere ist ein IT-Sicherheitsmanagement einzufhren, das die Aufgaben zur IT-
Sicherheit konzipiert, koordiniert und berwacht.
Vergleicht man jetzt die IT-Systeme aller Institutionen im Hinblick auf obige Fragen, so kristallisiert
sich eine besondere Gruppe von IT-Systemen heraus. Die IT-Systeme in dieser Gruppe lassen sich wie
folgt charakterisieren:
- Es sind typische IT-Systeme, d. h. diese Systeme sind keine Individuallsungen, sondern sie sind
weit verbreitet im Einsatz.
- Der Schutzbedarf der IT-Systeme bezglich Vertraulichkeit, Integritt und Verfgbarkeit liegt im
Rahmen des Normalmaes.
- Zum sicheren Betrieb der IT-Systeme sind Standard-Sicherheitsmanahmen aus den Bereichen
Infrastruktur, Organisation, Personal, Technik und Notfallvorsorge erforderlich.
Gelingt es, fr diese Gruppe der "typischen" IT-Systeme den gemeinsamen Nenner aller Sicherheits-
manahmen, die Standard-Sicherheitsmanahmen, zu beschreiben, so wrde dies die Beantwortung
obiger Fragen fr diese "typischen" IT-Systeme erheblich erleichtern. IT-Systeme, die auerhalb
dieser Gruppe liegen, seien es seltenere Individualsysteme oder IT-Systeme mit sehr hohem Schutz-
bedarf, knnen sich dann zwar an den Standard-Sicherheitsmanahmen orientieren, bedrfen letztlich
aber einer individuellen Betrachtung.
Das IT-Grundschutzhandbuch beschreibt detailliert diese Standard-Sicherheitsmanahmen, die
praktisch fr jedes IT-System zu beachten sind. Es umfasst:
- Standardsicherheitsmanahmen fr typische IT-Systeme mit "normalem" Schutzbedarf,
- eine Darstellung der pauschal angenommenen Gefhrdungslage,
- ausfhrliche Manahmenbeschreibungen als Umsetzungshilfe,
- eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen IT-
Sicherheitsniveaus und
- eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines
Soll-Ist-Vergleichs.
Da die Informationstechnik sehr innovativ ist und sich stndig weiterentwickelt, ist das vorliegende
Handbuch auf Aktualisierbarkeit und Erweiterbarkeit angelegt. Das Bundesamt fr Sicherheit in der
Informationstechnik aktualisiert auf der Grundlage von Anwenderbefragungen das Handbuch stndig
und erweitert es um neue Themen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 12
Einleitung 2004
_________________________________________________________________________________________

Dabei ist die Resonanz sehr positiv. Im Anhang des Handbuchs findet sich ein Auszug aus der Liste
derjenigen Institutionen, die das IT-Grundschutzhandbuch einsetzen. Sie stellt im berblick dar, in
welchen Branchen und in welchen Firmen bzw. Behrden IT-Grundschutz angewendet wird.
Da das Handbuch auch international groen Anklang findet, wird es zustzlich in einer englisch-
sprachigen Version digital zur Verfgung gestellt.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 13
Wegweiser durch das IT-Grundschutzhandbuch 1
_________________________________________________________________________________________

1 Wegweiser durch das IT-Grundschutzhandbuch

1.1 IT-Grundschutz: Ziel, Idee und Konzeption


1.2 Aufbau und Lesart des Handbuchs
1.3 Anwendungsweisen des IT-Grundschutzhandbuchs
1.4 Kurzdarstellung vorhandener Bausteine
1.5 Hilfsmittel
1.6 Informationsfluss und Kontakte

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 14
IT-Grundschutz: Ziel, Idee und Konzeption 1.1
_________________________________________________________________________________________

1. Wegweiser durch das IT-


Grundschutzhandbuch

1.1 IT-Grundschutz: Ziel, Idee und Konzeption


Im IT-Grundschutzhandbuch werden Standardsicherheitsmanahmen fr typische IT-Systeme
empfohlen. Das Ziel dieser IT-Grundschutz-Empfehlungen ist es, durch geeignete Anwendung von
organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmanahmen
ein Sicherheitsniveau fr IT-Systeme zu erreichen, das fr den normalen Schutzbedarf angemessen
und ausreichend ist und als Basis fr hochschutzbedrftige IT-Systeme und -Anwendungen dienen
kann.
Um den sehr heterogenen Bereich der IT einschlielich der Einsatzumgebung besser strukturieren und
aufbereiten zu knnen, verfolgt das IT-Grundschutzhandbuch das Baukastenprinzip. Die einzelnen
Bausteine spiegeln typische Bereiche des IT-Einsatzes wider, wie beispielsweise Client-Server-Netze,
bauliche Einrichtungen, Kommunikations- und Applikationskomponenten. In jedem Baustein wird
zunchst die zu erwartende Gefhrdungslage beschrieben, wobei sowohl die typischen Gefhrdungen
als auch die pauschalisierten Eintrittswahrscheinlichkeiten bercksichtigt werden. Diese Gefhr-
dungslage bildet die Grundlage, um ein spezifisches Manahmenbndel aus den Bereichen Infrastruk-
tur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge zu generieren.
Die Gefhrdungslage wird zur Sensibilisierung angefhrt, fr die Erstellung eines Sicherheitskon-
zeptes nach IT-Grundschutz wird sie nicht weiter bentigt. Um das fr einen durchschnittlichen
Schutzbedarf notwendige Sicherheitsniveau zu erreichen, brauchen die Anwender die vorgenannten
aufwendigen Analysen nicht durchzufhren. Es ist vielmehr ausreichend, die fr das relevante IT-
System oder den betrachteten IT-Verbund entsprechenden Bausteine zu identifizieren und die darin
empfohlenen Manahmen konsequent und vollstndig umzusetzen.
Mit Hilfe des IT-Grundschutzhandbuchs lassen sich IT-Sicherheitskonzepte einfach und arbeits-
konomisch realisieren. Bei der traditionellen Risikoanalyse werden zunchst die Gefhrdungen
ermittelt und mit Eintrittswahrscheinlichkeiten bewertet, um dann die geeigneten IT-Sicherheits-
manahmen auszuwhlen und anschlieend noch das verbleibende Restrisiko bewerten zu knnen. Bei
Anwendung des IT-Grundschutzhandbuchs wird hingegen nur ein Soll-Ist-Vergleich zwischen
empfohlenen und bereits realisierten Manahmen durchgefhrt. Dabei festgestellte fehlende und noch
nicht umgesetzte Manahmen zeigen die Sicherheitsdefizite auf, die es durch die empfohlenen
Manahmen zu beheben gilt. Erst bei einem signifikant hheren Schutzbedarf muss zustzlich eine
ergnzende Sicherheitsanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten durchgefhrt
werden. Hierbei reicht es dann aber in der Regel aus, die Manahmenempfehlungen des IT-Grund-
schutzhandbuchs durch entsprechende individuelle, qualitativ hherwertige Manahmen, zu ergnzen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 15
IT-Grundschutz: Ziel, Idee und Konzeption 1.1
_________________________________________________________________________________________

Bei den im IT-Grundschutzhandbuch aufgefhrten Manahmen handelt es sich um Standardsicher-


heitsmanahmen, also um diejenigen Manahmen, die fr die jeweiligen Bausteine nach dem Stand
der Technik umzusetzen sind, um eine angemessene Sicherheit zu erreichen. Teilweise wird mit diesen
Manahmen auch bereits ein hherer Schutzbedarf abgedeckt, trotzdem sind sie in den jeweiligen
Bereichen das Minimum dessen, was vernnftigerweise an Sicherheitsvorkehrungen umzusetzen ist.
Sicherheitskonzepte, die mittels des IT-Grundschutzhandbuchs erstellt werden, sind kompakt, da
innerhalb des Konzepts jeweils nur auf die entsprechenden Manahmen im Handbuch referenziert
werden muss. Dies frdert die Verstndlichkeit und die bersichtlichkeit. Um die Umsetzung der
Manahmenempfehlungen zu erleichtern, werden die Manahmenbeschreibungen im Handbuch so
detailliert gestaltet, das sie als konkrete Umsetzungshinweise dienen knnen. Bei der verwendeten
Fachterminologie wird darauf geachtet, dass die Manahmenbeschreibungen fr diejenigen verstnd-
lich sind, die die Manahmen realisieren mssen. Demzufolge unterscheiden sich Manahmen, die ein
versierter Administrator umsetzen soll, in Ausdrucksweise und Terminologie von denen, die ein
Anwender umsetzen soll.
Um die Realisierung der Manahmen zu vereinfachen, werden die Texte des Handbuchs konsequent
auch in elektronischer Form zur Verfgung gestellt. Darber hinaus wird die Realisierung der
Manahmen auch durch Hilfsmittel und Musterlsungen untersttzt, die teilweise durch das BSI und
teilweise auch von Anwendern des Handbuchs bereitgestellt werden.
Angesichts der Innovationsschbe und Versionswechsel im IT-Bereich ist das IT-Grundschutzhand-
buch auf leichte Erweiterbarkeit und Aktualisierbarkeit ausgerichtet. Daher ist es durch Bausteine und
Kataloge modular aufgebaut und als Lose-Blatt-Sammlung erweiterungsfhig. Das BSI berarbeitet
und aktualisiert regelmig die bestehenden Bausteine, um die Empfehlungen auf dem Stand der
Technik zu halten. Darber hinaus wird das bestehende Werk regelmig um weitere Bausteine
erweitert. Mageblich fr diese Fortschreibung des IT-Grundschutzhandbuchs sind die Wnsche der
Anwender, die regelmig mittels einer Befragung ermittelt werden. Nur so ist eine bedarfsgerechte
Weiterentwicklung dieses Werkes auf Dauer gewhrleistet. Das BSI bietet daher allen Anwendern die
Mglichkeit der freiwilligen, selbstverstndlich kostenfreien Registrierung an. Registrierte Anwender
erhalten regelmig Informationen ber aktuelle Themen. Die Registrierung ist auerdem die Grund-
lage fr die Anwenderbefragung. Nur durch den stndigen Erfahrungsaustausch mit den Benutzern des
Handbuchs ist eine bedarfsgerechte Weiterentwicklung mglich. Diese Bemhungen zielen letztlich
darauf, aktuelle Empfehlungen zu aktuellen typischen IT-Sicherheitsproblemen aufzeigen zu knnen.
Manahmenempfehlungen, die nicht stndig aktualisiert und erweitert werden, veralten sehr schnell
oder mssen so generisch gehalten werden, dass sie ihren eigentlichen Nutzen, Sicherheitslcken zu
identifizieren und die konkrete Umsetzung zu vereinfachen, nicht verfehlen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 16
Aufbau und Lesart des Handbuchs 1.2
_________________________________________________________________________________________

1.2 Aufbau und Lesart des Handbuchs


Das IT-Grundschutzhandbuch lsst sich in fnf Bereiche untergliedern, die zum Verstndnis des
Handbuchs hier kurz erlutert werden sollen:
Einstieg und Vorgehensweise
Dieser erste Teil umfasst die Kapitel 1 und 2. In ihnen wird die Konzeption IT-Grundschutz
dargestellt, ein Wegweiser zur Nutzung des Handbuchs erlutert, der Quereinstieg ins Handbuch zu
ausgewhlten Themen ermglicht und die Vorgehensweise zur Erstellung eines Sicherheitskonzepts
nach IT-Grundschutz vorgestellt. Wesentlich fr das Verstndnis dieses Handbuchs ist das
Durcharbeiten von Kapitel 2. Hier wird detailliert beschrieben, welche Schritte notwendig sind, um ein
IT-Sicherheitsniveau im Sinne des IT-Grundschutzes zu erreichen. Insbesondere wird dargestellt, wie
eine vorhandene IT-Landschaft mit den in diesem Handbuch enthaltenen Bausteinen abgebildet und
wie der Soll-Ist-Vergleich nach IT-Grundschutz durchgefhrt und dokumentiert werden kann.
Bausteine
Der zweite Teil umfasst die Kapitel 3 bis 9. Sie enthalten die Gefhrdungslage und die Manahmen-
empfehlungen fr verschiedene Komponenten, Vorgehensweisen und IT-Systeme, die jeweils in
einem Baustein zusammengefasst werden. Diese sind logisch gruppiert in die folgenden Kapitel:
Kapitel 3: IT-Grundschutz bergeordneter Komponenten
Kapitel 4: Infrastruktur
Kapitel 5: Nicht vernetzte Systeme
Kapitel 6: Vernetzte Systeme
Kapitel 7: Datenbertragungseinrichtungen
Kapitel 8: Telekommunikation
Kapitel 9: Sonstige IT-Komponenten
Gefhrdungskataloge
Dieser Bereich enthlt die ausfhrlichen Beschreibungen der Gefhrdungen, die in den einzelnen
Bausteinen als Gefhrdungslage genannt wurden. Die Gefhrdungen sind in fnf Kataloge gruppiert:
G1: Hhere Gewalt
G2: Organisatorische Mngel
G3: Menschliche Fehlhandlungen
G4: Technisches Versagen
G5: Vorstzliche Handlungen
Manahmenkataloge
Dieser Teil beschreibt die in den Bausteinen des Handbuchs zitierten IT-Sicherheitsmanahmen
ausfhrlich. Die Manahmen sind in sechs Manahmenkataloge gruppiert:
M 1: Manahmenkatalog Infrastruktur
M 2: Manahmenkatalog Organisation
M 3: Manahmenkatalog Personal
M 4: Manahmenkatalog Hardware/Software
M 5: Manahmenkatalog Kommunikation
M 6: Manahmenkatalog Notfallvorsorge
Anhang
Im letzten Teil des Handbuchs befinden sich ergnzende Hilfsmittel, Vordrucke, Kurzdarstellungen zu
Tools rund um den IT-Grundschutz und eine Liste registrierter Anwender des Handbuchs.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 17
Aufbau und Lesart des Handbuchs 1.2
_________________________________________________________________________________________

Lesart des Handbuchs


Die zentrale Rolle des IT-Grundschutzhandbuchs bilden die Bausteine, deren Aufbau im Prinzip
gleich ist. Zunchst enthlt jeder Baustein eine kurze Beschreibung der betrachteten Komponente, der
Vorgehensweise bzw. des IT-Systems.
Im Anschluss erfolgt eine Darstellung der Gefhrdungslage. Die Gefhrdungen sind dabei nach den
genannten Bereichen Hhere Gewalt, Organisatorische Mngel, Menschliche Fehlhandlungen, Tech-
nisches Versagen und Vorstzliche Handlungen unterteilt.
Um die Bausteine bersichtlich zu gestalten und um Redundanzen zu vermeiden, erfolgt lediglich eine
Referenzierung auf die Gefhrdungstexte. Hier ein Beispiel fr das Zitat einer Gefhrdung innerhalb
eines Bausteins:
- G 4.1 Ausfall der Stromversorgung
Im Krzel G x.y steht der Buchstabe "G" fr Gefhrdung. Die Zahl x vor dem Punkt bezeichnet den
Gefhrdungskatalog (hier G 4 = Technisches Versagen) und die Zahl y nach dem Punkt bezeichnet die
laufende Nummer der Gefhrdung innerhalb des jeweiligen Katalogs. Es folgt der Titel der
Gefhrdung. Ein Einlesen in die Gefhrdungen ist aus Grnden der Sensibilisierung und des
Verstndnisses der Manahmen empfehlenswert, aber fr die Erstellung eines IT-Sicherheitskonzepts
nach dem IT-Grundschutzhandbuch nicht unbedingt zwingend erforderlich.
Den wesentlichen Teil eines jeden Bausteins bilden die Manahmenempfehlungen, die sich an die
Gefhrdungslage anschlieen. Zunchst erfolgen kurze Hinweise zum jeweiligen Manahmenbndel.
So enthalten diese Ausfhrungen in einigen Bausteinen z. B. Hinweise zur folgerichtigen Reihenfolge
bei der Realisierung der notwendigen Manahmen.
Analog zu den Gefhrdungen sind die Manahmen in die Manahmenkataloge Infrastruktur, Organi-
sation, Personal, Hardware / Software, Kommunikation und Notfallvorsorge gruppiert. Wie bei den
Gefhrdungen wird hier ebenfalls nur auf die entsprechende Manahme referenziert. Hier ein Beispiel
fr das Zitat einer empfohlenen Manahme innerhalb eines Bausteins:
- M 1.15 (1) Geschlossene Fenster und Tren
Im Krzel M x.y bezeichnet "M" eine Manahme, die Zahl x vor dem Punkt den Manahmenkatalog
(hier M 1 = Infrastruktur). Die Zahl y nach dem Punkt ist die laufende Nummer der Manahme inner-
halb des jeweiligen Katalogs.
Mit der Zahl in Klammern - hier (1) - wird jeder Manahme eine Prioritt zugewiesen. Diese ist bei
der Erstellung eines Realisierungsplans fr bisher nicht oder nicht vollstndig umgesetzte Manahmen
von groer Bedeutung. In der Praxis treten gerade in dieser Phase hufig finanzielle, zeitliche oder
auch personelle Engpsse auf. Wird hierdurch die anzustrebende vollstndige Umsetzung aller
notwendigen Manahmen verzgert, so gibt die in den Bausteinen ausgewiesene Prioritt einer
Manahme einen Anhaltspunkt fr die anzustrebende Reihenfolge bei der Umsetzung fehlender
Manahmen. Folgende Priorittsstufen wurden vergeben:

"1": Diese Manahmen sind die Grundlage fr die Sicherheit innerhalb des
betrachteten Bausteins. Sie sind vorrangig umzusetzen.
"2": Diese Manahmen sind wichtig. Eine zgige Realisierung ist anzustreben.
"3": Diese Manahmen sind wichtig fr die Abrundung der IT-Sicherheit. Bei
Engpssen knnen sie zeitlich nachrangig umgesetzt werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 18
Aufbau und Lesart des Handbuchs 1.2
_________________________________________________________________________________________

Einige Manahmen werden mit dem Hinweis optional gekennzeichnet. Beispiel:


- M 2.18 (3) Kontrollgnge (optional)
Manahmen knnen aus verschiedenen Grnden als optional gekennzeichnet worden sein, etwa weil
sie kostentrchtig sind, weil sie auf einen hheren Schutzbedarf ausgerichtet sind oder weil sie andere
Manahmen ersetzen. Da solche Manahmen nicht pauschal als angemessen fr den IT-Grundschutz
angesehen werden knnen, ist bei diesen immer zu entscheiden und zu begrnden, ob diese ange-
messen und wirtschaftlich sind. Bei einem hheren Schutzbedarf ist die Umsetzung zumeist angeraten.
Um ein IT-Sicherheitskonzept nach dem IT-Grundschutzhandbuch erstellen und den dabei notwen-
digen Soll-Ist-Vergleich durchfhren zu knnen, ist es erforderlich, die Texte zu den jeweils in den
identifizierten Bausteinen enthaltenen Manahmen im jeweiligen Manahmenkatalog sorgfltig zu
lesen. Als Beispiel sei hier ein Auszug aus einer Manahme zitiert:

M 2.11 Regelung des Passwortgebrauchs


Verantwortlich fr Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: IT-Sicherheitsmanagement, IT-Benutzer
[Manahmentext ...]
Ergnzende Kontrollfragen:
- Sind die Benutzer ber den korrekten Umgang mit Passwrtern unterrichtet worden?
[...]

Neben der eigentlichen Empfehlung, wie die einzelnen Manahmen umzusetzen sind, werden Ver-
antwortliche beispielhaft genannt. Verantwortlich fr die Initiierung bezeichnet die Personen oder
Rollen, die die Umsetzung einer Manahme typischerweise veranlassen sollten. Verantwortlich fr die
Umsetzung bezeichnet die Personen oder Rollen, die die Realisierung der Manahme durchfhren
sollten.
Weiterhin werden ergnzende Kontrollfragen angefhrt, die das behandelte Thema abrunden und
nochmals einen kritischen Blick auf die Umsetzung der Manahmen bewirken sollen. Diese ergn-
zenden Kontrollfragen erheben dabei jedoch keinen Anspruch auf Vollstndigkeit.
Der Zusammenhang zwischen den fr den IT-Grundschutz angenommenen Gefhrdungen und den
empfohlenen Manahmen kann den Manahmen-Gefhrdungstabellen entnommen werden. Diese
werden nicht abgedruckt, sondern befinden sich auf der CD-ROM zum IT-Grundschutzhandbuch
(siehe Anhang: Hilfsmittel). Fr jeden Baustein gibt es eine Manahmen-Gefhrdungstabelle.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 19
Aufbau und Lesart des Handbuchs 1.2
_________________________________________________________________________________________

Als Beispiel sei ein Auszug aus der Manahmen-Gefhrdungstabelle fr den Baustein Datentrger-
austausch angefhrt:

G G G G G G G G
1. 1. 1. 2. 2. 2. 2. 2.
Prioritt 7 8 9 3 1 1 1 1
0 7 8 9
M 1.36 2* X X
M 2.42 2 X
M 2.43 1 X X X
M 2.44 1 X X X

Alle Tabellen haben einen einheitlichen Aufbau. In der Kopfzeile sind die im dazugehrigen Baustein
aufgelisteten Gefhrdungen mit ihren Nummern eingetragen. In der ersten Spalte finden sich entspre-
chend die Nummern der Manahmen wieder. In der zweiten Spalte ist eingetragen, welche Prioritt
die einzelne Manahme fr den betrachteten Baustein besitzt. Folgt dieser Zahl ein "*", ist diese
Manahme im Baustein als "optional" gekennzeichnet.
Die brigen Spalten beschreiben den Zusammenhang zwischen Manahmen und Gefhrdungen. Ist in
einem Feld ein "X" eingetragen, so bedeutet dies, dass die korrespondierende Manahme gegen die
entsprechende Gefhrdung wirksam ist. Diese Wirkung kann schadensvorbeugender oder schadens-
mindernder Natur sein.
Fr den Fall, dass eine empfohlene Manahme nicht umgesetzt werden kann, ist es anhand dieser
Tabellen mglich zu ermitteln, welche Gefhrdungen ggf. nicht mehr ausreichend abgewehrt werden.
Es ist dann abzuwgen, ob eine Ersatzmanahme realisiert werden sollte. Keinesfalls jedoch sollten
diese Tabellen so interpretiert werden, dass eine Manahme, die besonders viele "X"-Eintrge besitzt,
auch eine besonders hohe Bedeutung besitzt. Es gibt Flle, in denen eine Manahme genau gegen eine
Gefhrdung wirkt, aber dennoch unverzichtbar ist.
Abschlieend sei erwhnt, dass smtliche Bausteine, Gefhrdungen, Manahmen, Tabellen und
Hilfsmittel auf der CD-ROM zum IT-Grundschutzhandbuch enthalten sind. Diese Texte knnen bei
der Erstellung eines Sicherheitskonzeptes und bei der Realisierung von Manahmen weiterverwendet
werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 20
Anwendungsweisen des IT-Grundschutzhandbuchs 1.3
_________________________________________________________________________________________

1.3 Anwendungsweisen des IT-Grundschutzhandbuchs


Fr die erfolgreiche Etablierung eines kontinuierlichen und effektiven IT-Sicherheitsprozesses mssen
eine ganze Reihe von Aktionen durchgefhrt werden. Hierfr bietet das IT-Grundschutzhandbuch
Hinweise zur Methodik und praktische Umsetzungshilfen. Enthalten sind ferner Lsungsanstze fr
verschiedene, die IT-Sicherheit betreffende Aufgabenstellungen, beispielsweise IT-Sicherheits-
konzeption, Revision und Qualifizierung. Je nach vorliegender Aufgabenstellung sind dabei unter-
schiedliche Anwendungsweisen des IT-Grundschutzhandbuchs zweckmig. Dieser Abschnitt dient
dazu, durch Querverweise auf die entsprechenden Kapitel des IT-Grundschutzhandbuchs den direkten
Einstieg in die einzelnen Anwendungsweisen zu erleichtern.
IT-Sicherheitsprozess und IT-Sicherheitsmanagement
Die Abhngigkeit vom ordnungsgemen Funktionieren der Informationstechnik hat in den letzten
Jahren sowohl in der ffentlichen Verwaltung als auch in der Privatwirtschaft stark zugenommen.
Immer mehr Geschftsprozesse werden auf die Informationstechnik verlagert oder mit ihr verzahnt.
Ein Ende dieser Entwicklung ist nicht abzusehen. IT-Sicherheit ist daher als integraler Bestandteil der
originren Aufgabe anzusehen. Der folgende Aktionsplan beinhaltet alle wesentlichen Schritte, die fr
einen kontinuierlichen IT-Sicherheitsprozess notwendig sind, und ist somit als eine planmig anzu-
wendende, begrndete Vorgehensweise zu verstehen, wie ein angemessenes IT-Sicherheitsniveau
erreicht und aufrechterhalten werden kann:
- Entwicklung einer IT-Sicherheitspolitik
- Auswahl und Etablierung einer geeigneten Organisationsstruktur fr das IT-Sicherheitsmanage-
ment
- Erstellung eines IT-Sicherheitskonzepts
- Realisierung der IT-Sicherheitsmanahmen
- Schulung und Sensibilisierung
- Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb
In Kapitel 3.0 wird der IT-Sicherheitsprozess im berblick dargestellt und es wird eine detaillierte
Erluterung der einzelnen Aktionen in Form empfohlener Standard-Manahmen gegeben.
IT-Strukturanalyse
Unter einem IT-Verbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und
technischen Komponenten zu verstehen, die der Aufgabenerfllung in einem bestimmten Anwen-
dungsbereich der Informationsverarbeitung dienen. Ein IT-Verbund kann dabei als Ausprgung die
gesamte IT einer Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B.
Abteilungsnetz) oder gemeinsame IT-Anwendungen (z. B. Personalinformationssystem) gegliedert
sind, umfassen. Fr die Erstellung eines IT-Sicherheitskonzepts und insbesondere fr die Anwendung
des IT-Grundschutzhandbuchs ist es erforderlich, die Struktur der vorliegenden Informationstechnik
zu analysieren und zu dokumentieren. Aufgrund der heute blichen starken Vernetzung von IT-
Systemen bietet sich ein Netztopologieplan als Ausgangsbasis fr die Analyse an. Die folgenden
Aspekte mssen bercksichtigt werden:
- die vorhandene Infrastruktur,
- die organisatorischen und personellen Rahmenbedingungen fr den IT-Verbund,
- im IT-Verbund eingesetzte vernetzte und nicht-vernetzte IT-Systeme,
- die Kommunikationsverbindungen zwischen den IT-Systemen und nach auen,
- im IT-Verbund betriebene IT-Anwendungen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 21
Anwendungsweisen des IT-Grundschutzhandbuchs 1.3
_________________________________________________________________________________________

Die einzelnen Schritte der IT-Strukturanalyse werden im Detail in Kapitel 2.1 dieses Handbuchs in
Form einer Handlungsanweisung beschrieben.
Schutzbedarfsfeststellung
Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz fr die Informationen und die
eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden fr jede Anwendung
und die verarbeiteten Informationen die zu erwartenden Schden betrachtet, die bei einer Beeintrch-
tigung von Vertraulichkeit, Integritt oder Verfgbarkeit entstehen knnen. Wichtig ist dabei auch
eine realistische Einschtzung der mglichen Folgeschden. Bewhrt hat sich eine Einteilung in die
drei Schutzbedarfskategorien "niedrig bis mittel", "hoch" und "sehr hoch". Erluterungen und
praktische Hinweise zur Schutzbedarfsfeststellung sind Gegenstand von Kapitel 2.2.
Sicherheitskonzeption
Die Informationstechnik in Behrden und Unternehmen ist heute blicherweise durch stark vernetzte
IT-Systeme geprgt. In der Regel ist es daher zweckmig, im Rahmen einer IT-Sicherheitsanalyse
bzw. IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten. Um diese
Aufgabe bewltigen zu knnen, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen
und jeweils einen Teil, eben einen IT-Verbund, getrennt zu betrachten. Voraussetzung fr die Anwen-
dung des IT-Grundschutzhandbuchs auf einen IT-Verbund sind detaillierte Unterlagen ber seine
Struktur. Diese knnen beispielsweise ber die oben beschriebene IT-Strukturanalyse gewonnen
werden. Anschlieend mssen die Bausteine des IT-Grundschutzhandbuchs in einem Modellierungs-
schritt auf die Komponenten des vorliegenden IT-Verbunds abgebildet werden.
In Kapitel 2.3 dieses Handbuchs wird beschrieben, wie die Modellierung eines IT-Verbunds durch
Bausteine des Handbuchs vorgenommen werden sollte. Wie die anschlieende IT-Grundschutzer-
hebung anhand eines Basis-Sicherheitschecks durchgefhrt werden sollte, wird in Kapitel 2.4
beschrieben.
Basis-Sicherheitscheck
Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen berblick ber
das vorhandene IT-Sicherheitsniveau bietet. Mit Hilfe von Interviews wird der Status Quo eines
bestehenden (nach IT-Grundschutz modellierten) IT-Verbunds in Bezug auf den Umsetzungsgrad von
Sicherheitsmanahmen des IT-Grundschutzhandbuchs ermittelt. Als Ergebnis liegt ein Katalog vor, in
dem fr jede relevante Manahme der Umsetzungsstatus "entbehrlich", "ja", "teilweise" oder "nein"
erfasst ist. Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Manahmen
werden Verbesserungsmglichkeiten fr die Sicherheit der betrachteten Informationstechnik auf-
gezeigt. Kapitel 2.4 beschreibt einen Aktionsplan fr die Durchfhrung eines Basis-Sicherheitschecks.
Dabei wird sowohl den organisatorischen Aspekten als auch den fachlichen Anforderungen bei der
Projektdurchfhrung Rechnung getragen.
IT-Sicherheitsrevision
Die im IT-Grundschutzhandbuch enthaltenen Sicherheitsmanahmen knnen auch fr die IT-Sicher-
heitsrevision genutzt werden. Hierzu sind exemplarisch auf der Grundlage der Bausteine
3.1 Organisation 5.5 PC unter Windows NT
3.2 Personal 5.6 PC mit Windows 95
Checklisten entwickelt worden, die das IT-Sicherheitsmanagement bei der berprfung der in einer
Behrde oder einem Unternehmen umgesetzten IT-Sicherheit untersttzen sollen. Die Checklisten
sind auf der CD-ROM zum IT-Grundschutzhandbuch enthalten (siehe Anhang: Hilfsmittel). Der
derzeitige Stand der Checklisten ist keineswegs endgltig, er bildet lediglich die Grundlage fr
Diskussionen und

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 22
Anwendungsweisen des IT-Grundschutzhandbuchs 1.3
_________________________________________________________________________________________

Erfahrungsaustausch mit den Anwendern des IT-Grundschutzhandbuchs. Kommentare und


Verbesserungsvorschlge knnen per E-Mail an gshb@bsi.de weitergegeben werden.
Ergnzende Sicherheitsanalyse
Die Standardsicherheitsmanahmen nach IT-Grundschutz bieten im Normalfall einen angemessenen
und ausreichenden Schutz. Bei hohem oder sehr hohem Schutzbedarf kann es jedoch sinnvoll sein zu
prfen, ob zustzlich oder ersatzweise hherwertige IT-Sicherheitsmanahmen erforderlich sind. Die
Auswahl geeigneter IT-Sicherheitsmanahmen erfolgt mittels einer ergnzenden Sicherheitsanalyse,
wobei unterschiedliche Methoden angewandt werden knnen, beispielsweise
- Risikoanalyse,
- Penetrationstest und
- Differenz-Sicherheitsanalyse.
In Kapitel 2.5 werden diese Methoden berblicksartig dargestellt. Die erfolgreiche Durchfhrung einer
ergnzenden Sicherheitsanalyse hngt entscheidend von den Fachkenntnissen des Projektteams ab.
Daher kann es sinnvoll sein, fachkundiges externes Personal hinzuzuziehen.
Umsetzung von IT-Sicherheitskonzepten
Ein ausreichendes IT-Sicherheitsniveau lsst sich nur erreichen, wenn in einer Sicherheitsanalyse
bestehende Schwachstellen ermittelt werden, in einem Sicherheitskonzept der Status Quo festgehalten
wird, erforderliche Manahmen identifiziert und wenn insbesondere diese Manahmen auch konse-
quent umgesetzt werden. In Kapitel 2.6 wird beschrieben, was bei der Umsetzungsplanung von IT-
Sicherheitsmanahmen beachtet werden muss.
Qualifizierung nach IT-Grundschutz
Das IT-Grundschutzhandbuch wird heute nicht nur fr die IT-Sicherheitskonzeption, sondern auch
zunehmend als Referenz im Sinne eines Sicherheitsstandards verwendet. Durch eine IT-Grundschutz-
Qualifizierung kann eine Institution nach auen hin dokumentieren, dass sie IT-Grundschutz in der
erforderlichen Tiefe umgesetzt hat. In Kapitel 2.7 wird die Qualifizierung nach IT-Grundschutz
vorgestellt und das diesbezgliche Qualifizierungsschema definiert. Das Niveau der Qualifizierung
wird dabei durch drei verschiedene Klassen unterteilt, die sich sowohl im Hinblick auf die Gte (d. h.
den erforderlichen Umsetzungsgrad der Sicherheitsmanahmen) als auch in Bezug auf die Vertrau-
enswrdigkeit unterscheiden. Das Eingangsniveau kann durch einen Mitarbeiter der Institution selbst
nachgewiesen werden, das hchste Niveau erfordert eine Prfung durch unabhngige Dritte.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 23
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________

1.4 Kurzdarstellung vorhandener Bausteine


In der nachfolgenden bersicht werden die im IT-Grundschutzhandbuch vorhandenen Bausteine kurz
skizziert. Sie bietet einen kompakten berblick ber den Umfang der erarbeiteten
Manahmenempfehlungen des IT-Grundschutzhandbuchs.

3.0 IT-Sicherheitsmanagement
Das Kapitel zeigt einen systematischen Weg auf, wie ein funktionierendes IT-Sicherheitsmanagement
eingerichtet und im laufenden Betrieb weiterentwickelt werden kann.
3.1 Organisation
In diesem Baustein werden die fr die IT-Sicherheit grundlegend notwendigen organisatorischen
Regelungen angefhrt. Beispiele sind Festlegung der Verantwortlichkeiten, Datentrgerverwaltung
und Regelungen zum Passwortgebrauch. Sie sind fr jedes IT-System umzusetzen.
3.2 Personal
Der Baustein "Personal" beschreibt die Manahmen im Personalbereich, die zum Erreichen von IT-
Sicherheit zu beachten sind. Beispiele sind Vertretungsregelungen, Schulungsmanahmen und gere-
gelte Verfahrensweise beim Ausscheiden von Mitarbeitern. Sie sind unabhngig von der Art der
eingesetzten IT-Systems zu beachten.
3.3 Notfallvorsorge-Konzept
Hier wird eine Vorgehensweise dargestellt, wie ein Notfallvorsorge-Konzept erstellt werden kann.
Dieser Baustein sollte insbesondere fr grere IT-Systeme bercksichtigt werden.
3.4 Datensicherungskonzept
Dieser Baustein stellt dar, wie ein fundiertes Datensicherungskonzept systematisch erarbeitet werden
kann. Dieser Baustein ist insbesondere fr grere IT-Systeme oder IT-Systeme mit groem Daten-
bestand gedacht.
3.5 Datenschutz
Die Rahmenbedingungen fr einen praxisgerechten Datenschutz und die Verbindung zur IT-Sicherheit
ber den IT-Grundschutz werden in diesem Baustein dargestellt. Das Kapitel Datenschutz wurde
federfhrend vom Bundesbeauftragten fr den Datenschutz (BfD) gemeinsam mit dem Arbeitskreis
Technik der Datenschutzbeauftragten des Bundes und der Lnder erstellt und kann beim BfD abge-
rufen werden.
3.6 Computer-Virenschutzkonzept
Ziel eines Computer-Virenschutzkonzeptes ist es, ein geeignetes Manahmenbndel zusammen-
zustellen, bei dessen Einsatz das Auftreten von Computer-Viren auf den in einer Organisation einge-
setzten IT-Systemen verhindert bzw. mglichst frh erkannt wird, um Gegenmanahmen vornehmen
zu knnen und mgliche Schden zu minimieren.
3.7 Kryptokonzept
Dieser Baustein beschreibt eine Vorgehensweise, wie in einer heterogenen Umgebung sowohl die
lokal gespeicherten Daten als auch die zu bertragenen Daten wirkungsvoll durch kryptographische
Verfahren und Techniken geschtzt werden knnen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 24
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________

3.8 Behandlung von Sicherheitsvorfllen


Um die IT-Sicherheit im laufenden Betrieb aufrecht zu erhalten, ist es notwendig, die Behandlung von
Sicherheitsvorfllen (Incident Handling) konzipiert und eingebt zu haben. Als Sicherheitsvorfall wird
dabei ein Ereignis bezeichnet, das Auswirkungen nach sich ziehen kann, die einen groen Schaden
anrichten knnen. Um Schden zu verhten bzw. zu begrenzen, sollte die Behandlung der
Sicherheitsvorflle zgig und effizient ablaufen.
3.9 Hard- und Software-Management
Ziel des Bausteins "Hard- und Software-Management" ist es, einen ordnungsgemen IT-Betrieb im
Hinblick auf Management bzw. Organisation sicherzustellen. Hierzu enthlt der Baustein schwer-
punktmig Empfehlungen zu Regelungen und Ablufen, die sich spezifisch auf informations-
technische Hardware- oder Software-Komponenten beziehen.
3.10 Outsourcing
Der Baustein Outsourcing beschreibt IT-Sicherheitsmanahmen, die zu beachten sind, wenn Arbeits-
oder Geschftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert
werden. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software, aber auch
Dienstleistungen betreffen.
4.1 Gebude
Hier werden die Manahmen genannt, die in jedem Gebude, in dem Datenverarbeitung stattfindet, zu
beachten sind. Es sind Manahmen zur Stromversorgung, zum Brand- und Gebudeschutz sowie
organisatorische Manahmen wie die Schlsselverwaltung.
4.2 Verkabelung
Im Baustein "Verkabelung" werden Manahmen empfohlen, die fr die Verkabelung eines Gebudes
mit Versorgungs- und Kommunikationsleitungen relevant sind. Beispiele sind Brandabschottung von
Trassen, Auswahl geeigneter Kabeltypen und Dokumentation der Verkabelung.
4.3.1 Broraum
Im Kapitel "Broraum" sind alle Manahmen zusammengefasst, die im Zusammenhang mit dem IT-
Einsatz in einem Bro zu beachten sind. Beispiele sind: Geschlossene Fenster und Tren und die
Beaufsichtigung von Fremdpersonen.
4.3.2 Serverraum
Hier werden die Manahmen genannt, die bei Nutzung eines Raumes, in dem ein Server (fr IT-
Systeme oder TK-Anlagen) aufgestellt ist, beachtet werden mssen. Beispiele sind: Vermeidung von
Wasserleitungen, Klimatisierung, lokale unterbrechungsfreie Stromversorgung und Rauchverbot.
4.3.3 Datentrgerarchiv
Wird ein Raum als Datentrgerarchiv genutzt, so sind bestimmte Randbedingungen fr die IT-Sicher-
heit einzuhalten. Diese werden als Manahmen fr den IT-Grundschutz formuliert. Beispiele sind:
Handfeuerlscher, Verwendung von Sicherheitstren und Rauchverbot.
4.3.4 Raum fr technische Infrastruktur
Auch fr Rume, in denen technische Infrastruktur installiert wird, wie im Eingangsraum fr externe
Kommunikationsleitungen, Verteilerraum, Niederspannungsverteilerraum, mssen im Sinne der IT-
Sicherheit bestimmte Manahmen ergriffen werden, die in diesem Kapitel genannt werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 25
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________

4.4 Schutzschrnke
Fr die sichere Aufbewahrung von Datentrgern oder Hardware knnen Schutzschrnke die Schutz-
wirkung von Rumen (Serverraum, Datentrgerarchiv) zustzlich erhhen. Ggf. kann ein spezieller
Serverschrank auch als Alternative zu einem Serverraum eingesetzt werden. Die fr die Beschaffung,
die Aufstellung und die Nutzung eines Schutzschrankes erforderlichen Manahmen werden in diesem
Baustein beschrieben.
4.5 Huslicher Arbeitsplatz
In diesem Baustein werden die Manahmen beschrieben, die erforderlich sind, um einen huslichen
Arbeitsplatz mit einem adquaten Sicherheitsstandard einzurichten, so dass dieser fr dienstliche
Aufgaben genutzt werden kann.
4.6 Rechenzentrum
Als Rechenzentrum werden die fr den Betrieb einer greren, zentral fr mehrere Stellen
eingesetzten Datenverarbeitungsanlage erforderlichen Einrichtungen und Rumlichkeiten bezeichnet.
Der Baustein enthlt Manahmenempfehlungen fr ein Rechenzentrum mittlere Art und Gte, d. h. die
Sicherheitsanforderungen liegen zwischen denen eines Serverraums und denen von Hoch-
sicherheitsrechenzentren.
5.1 DOS-PC (ein Benutzer)
In diesem Baustein werden die Manahmen genannt, die beim Einsatz eines handelsblichen PCs
beachtet werden mssen, der standardmig nur von einem Benutzer betrieben wird. Beispiele sind:
Passwortschutz, Einsatz eines Viren-Suchprogramms, regelmige Datensicherung.
5.2 Unix-System
Betrachtet wird ein IT-System unter dem Betriebssystem Unix oder Linux, das entweder ohne
Verbindung zu anderen Rechnern oder als Client in einem Netz betrieben wird. Terminals oder PCs,
die als Terminal betrieben werden, knnen angeschlossen sein. Hierzu werden sowohl
organisatorische wie auch Unix-spezifische Manahmen genannt.
5.3 Tragbarer PC
Ein tragbarer PC (Laptop) erfordert gegenber dem normalen PC zustzliche IT-Sicherheitsmanah-
men, da er aufgrund der mobilen Nutzung anderen Gefhrdungen ausgesetzt ist. Beispiele fr zustz-
liche Manahmen sind: geeignete Aufbewahrung im mobilen Einsatz und der Einsatz eines
Verschlsselungsproduktes.
5.4 PCs mit wechselnden Benutzern
In diesem Baustein werden die Manahmen genannt, die beim Einsatz eines handelsblichen PCs
beachtet werden mssen, der standardmig von mehreren Benutzern betrieben wird. Beispiele sind:
PC-Sicherheitsprodukt, Passwortschutz, Einsatz eines Viren-Suchprogramms, regelmige Daten-
sicherung.
5.5 PC unter Windows NT
In diesem Baustein werden Manahmen genannt, die fr nicht vernetzte PCs mit dem Betriebssystem
Windows NT (Version 3.51 oder 4.0) erforderlich sind. Auf sicherheitsspezifische Aspekte einzelner
Windows NT-Anwendungen wird nur am Rande eingegangen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 26
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________

5.6 PC mit Windows 95


Nicht vernetzte PCs mit dem Betriebssystem Windows 95 knnen als Stand-alone-Systeme bzw. als
Clients in einem Netz fr einen oder fr mehrere Benutzer eingerichtet werden. Fr beide Betriebs-
varianten werden die erforderlichen Manahmen in diesem Baustein genannt.
5.7 Windows 2000 Client
Betrachtet werden Stand-alone-PCs oder als Client in einem Netz betriebene PCs, die unter dem
Betriebssystem Windows 2000 Professional ablaufen. Der Baustein verweist auf die hierfr relevanten
Gefhrdungen und die erforderlichen Standard-Sicherheitsmanahmen.
5.8 Internet-PC
Ein Internet-PC ist ein Computer, der ber eine Internet-Anbindung verfgt, jedoch nicht mit dem
internen Netz der Institution verbunden ist. Hierdurch sollen zustzliche Bedrohungen fr das lokale
Netz vermieden werden. Dieser Baustein verweist auf die fr einen Internet-PC auf der Basis eines
Windows-Betriebssystems oder Linux erforderlichen Standard-Sicherheitsmanahmen.
5.99 Allgemeines nicht vernetztes IT-System
Fr die noch nicht im IT-Grundschutzhandbuch betrachteten IT-Systeme wie z. B. OS/2 kann der
generische Baustein 5.99 angewendet werden.
6.1 Servergesttztes Netz
In diesem Baustein werden die notwendigen Manahmen erlutert, die beim Betrieb eines server-
gesttzten Netzes beachtet werden mssen. Diese Betrachtungen sind unabhngig von den Server- und
Client-Betriebssystemen. Die bezglich der Betriebssysteme zu ergreifenden Manahmen befinden
sich in den spezifischen Bausteinen der Kapitel 5 und 6.
6.2 Unix-Server
Es werden IT-Systeme betrachtet, die als Server in einem Netz Dienste anbieten und unter dem
Betriebssystem Unix oder Linux betrieben werden. Fr diese IT-Umgebung werden Manahmen
genannt, die IT-Sicherheit ermglichen. Diese Manahmen sind Unix-spezifisch und mssen durch
Kapitel 6.1 ergnzt werden.
6.3 Peer-to-Peer-Dienste
Beschrieben wird, wie ein Peer-to-Peer-Dienst fr den IT-Grundschutz ausreichend sicher betrieben
werden kann. Themen sind die Konzeption eines solchen Netzes unter Sicherheitsgesichtspunkten,
Administrationsmglichkeiten und funktionelle Einschrnkungen. Grundlagen bilden die Betriebs-
systeme Windows fr Workgroups 3.11, Windows 95 und Windows NT.
6.4 Windows NT Netz
In diesem Baustein wird die Konzeption und der Betrieb eines sicheren Windows NT Netzes
beschrieben. Hierbei handelt es sich berwiegend um Windows NT-spezifische Manahmen, die um
die allgemeinen Manahmen aus Kapitel 6.1 ergnzt werden mssen.
6.5 Novell Netware 3.x
Gegenstand dieses Kapitels ist ein Novell 3.x Netz in einer Client-Server-Funktionalitt. Damit ist
dieses Kapitel die betriebssystemspezifische Ergnzung des Kapitels 6.1 "Servergesttztes Netz".
Behandelt werden die Installation, die Einrichtung, der Betrieb und die Revision von Novell Netware
Servern.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 27
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________

6.6 Novell Netware Version 4.x


Gegenstand dieses Kapitels ist ein Novell 4.x Netz in einer Client-Server-Funktionalitt. Damit ist
dieses Kapitel die betriebssystemspezifische Ergnzung des Kapitels 6.1 "Servergesttztes Netz". Die
erforderlichen Manahmen fr die Bereiche Installation, Einrichtung und Betrieb eines Novell 4.x
Netzes werden beschrieben. Hierbei wird insbesondere auch auf den Verzeichnisdienst NDS (Novell
Directory Services) eingegangen.
6.7 Heterogene Netze
Mit Hilfe des Bausteins wird die Analyse und Weiterentwicklung eines bestehenden bzw. die Planung
eines neuen heterogenen Netzes ermglicht. Fr einen sicheren Betrieb des heterogenen Netzes wird
u. a. aufgezeigt, wie eine geeignete Segmentierung des Netzes vorgenommen wird, wie ein Netz-
management-System geplant und umgesetzt wird und wie ein Audit und die Revision des Netzes
erfolgen kann. Daneben werden Aspekte wie die redundante Auslegung von Netzkomponenten und
Sicherung von Konfigurationsdaten im Rahmen der Notfallplanung behandelt.
6.8 Netz- und Systemmanagement
Mittels eines Managementsystems kann eine zentrale Verwaltung aller in einem lokalen Netz ange-
siedelten Hard- und Softwarekomponenten durchgefhrt werden. Fr den erfolgreichen Aufbau eines
Netz- und Systemmanagementsystems werden in diesem Baustein die erforderlichen Schritte
beschrieben, beginnend mit der Konzeption ber die Beschaffung bis hin zum Betrieb.
6.9 Windows 2000 Server
Windows 2000 ist das Nachfolgeprodukt zum Betriebssystem Windows NT. Der vorliegende Baustein
beschreibt die aus Sicherheitssicht relevanten Gefhrdungen und Manahmen, die fr einen Server mit
Windows 2000 zutreffen. Dabei wird insbesondere die Sicherheit des Active Directory und des
Kerberos-Verfahrens behandelt.
6.10 S/390- und zSeries-Mainframe
Der Baustein beschreibt Standard-Sicherheitsmanahmen fr den Einsatz von Grorechnern des Typs
IBM S/390 und zSeries. Diese Manahmen ergnzen die generischen Empfehlungen des Bausteins 6.1
um plattformspezifische Aspekte. Es wird davon ausgegangen, dass Grorechner in einem
Rechenzentrum betrieben werden.
7.1 Datentrgeraustausch
Beschrieben werden die Manahmen, die bei einem Datentrgeraustausch beachtet werden sollten.
Technische Manahmen wie Verschlsselung werden ebenso betrachtet wie die richtige Auswahl der
Versandart. Die Manahmen zielen insbesondere auf den Fall, dass der Datentrgeraustausch regel-
mig stattfindet.
7.2 Modem
Dargestellt werden in diesem Baustein Manahmen, die im Zusammenhang mit dem Einsatz eines
Modems zu beachten sind. Dies sind insbesondere Callback-Mechanismen und Verschlsselung. Auch
Hinweise zur Absicherung der Fernwartung ber Modem werden gegeben.
7.3 Sicherheitsgateway (Firewall)
Die Vernetzung vorhandener Teilnetze mit globalen Netzen wie dem Internet erfordert einen effekti-
ven Schutz des eigenen Netzes. Hierfr werden Sicherheitsgateways (oft auch Firewalls genannt)
eingesetzt. Um einen wirksamen Schutz zu gewhrleisten, bedarf es der Formulierung von
Sicherheitszielen, die schlielich durch eine korrekte Installation und Administration der soft- und
hardwaretechnischen Komponenten eines Sicherheitsgateways umgesetzt werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 28
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________

7.4 E-Mail
Fr eine sichere E-Mail-Kommunikation werden hier die erforderlichen Manahmen sowohl auf
Seiten des Mailservers als auch auf Seiten des Mailclients aufgefhrt. Auerdem werden die von den
Benutzern einzuhaltenden Sicherheitsbestimmungen vorgestellt.
7.5 Webserver
Ein WWW-Server ist ein IT-System, das ber eine Informationsdatenbank WWW-Clients Dateien zur
Verfgung stellt. Ein WWW-Client, auch Browser genannt, zeigt die Informationen eines WWW-
Servers auf dem Benutzerrechner an. Die Sicherheit der WWW-Nutzung beruht auf der Sicherheit des
WWW-Servers, des WWW-Clients und der Kommunikationsverbindung zwischen beiden. Die fr
eine sichere WWW-Nutzung erforderlichen Manahmen werden im Baustein WWW-Server
beschrieben.
7.6 Remote Access
Um einem Benutzer entfernte Zugriffe (Remote Access) mit seinem lokalen Rechner auf ein entferntes
Rechnernetz zu ermglichen, mssen hierfr entsprechende Dienste (RAS, Remote Access Service)
eingerichtet werden. Wie die einzelnen RAS-Systemkomponenten abgesichert werden knnen und wie
hierzu ein entsprechendes RAS-Sicherheitskonzept erstellt werden kann, wird in diesem Baustein
vorgestellt.
7.7 Lotus Notes
Lotus Notes ist ein Produkt im Bereich der Workgroup-Untersttzung. Hierzu stellt es Funktionen zur
Kommunikation, Datenbertragung und Datenhaltung zur Verfgung. Der Baustein enthlt
Manahmen zur sicheren Planung, Installation, Konfiguration und zum sicheren Betrieb der Client-
und Server-seitigen Komponenten von Lotus Notes.
7.8 Internet Information Server
Der Microsoft Internet Information Server (IIS) wird standardmig mit den Serverversionen von
Windows NT 4.0 (IIS 4), Windows 2000 (IIS 5), mit Windows XP Professional (IIS 5.1) und
Windows Server 2003 (IIS 6) ausgeliefert. Er stellt die Informationsdienste WWW, FTP, NNTP und
SMTP auf der Windows-Plattform zur Verfgung. Der Baustein beschreibt Sicherheitsmanahmen fr
die IIS-Versionen 4 und 5 und ergnzt somit den Baustein 7.5 um produktspezifische Aspekte.
7.9 Apache-Webserver
Der Apache Webserver ist die am hufigsten im Internet eingesetzte Webserver-Software. Sie kann
sowohl auf Unix- als auch auf Windows-Systemen betrieben werden. Der Baustein beschreibt
Sicherheitsmanahmen fr den Apache Webserver und ergnzt somit den Baustein 7.5 um
produktspezifische Aspekte. Der Schwerpunkt liegt auf der Versionsreihe 2.0.x, die meisten
Empfehlungen knnen jedoch problemlos auf die Versionen 1.3.x bertragen werden.
7.10 Exchange 2000 / Outlook 2000
Microsoft Exchange 2000 ist ein Managementsystem unter anderem fr E-Mails, Newsgroups,
Kalender und Aufgabenlisten. In Unternehmen und Behrden wird es hufig gemeinsam mit dem
Client-Produkt Outlook 2000 eingesetzt, das Teil des Microsoft Office 2000 Pakets ist. Der Baustein
beschreibt Standard-Sicherheitsmanahmen fr Exchange 2000 und Outlook 2000 und ergnzt somit
Baustein 7.4 um produktspezifische Aspekte.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 29
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________

7.11 Router und Switches


Router und Switches bilden die Basis und das Rckgrat aller vernetzten IT-Infrastrukturen. Daher
mssen Router und Switches vor unerlaubten Zugriffen und Manipulationen geschtzt werden. In
diesem Baustein sind die fr einen sicheren Einsatz von Routern und Switches zu bercksichtigenden
Manahmen aufgezeigt.
8.1 TK-Anlage
In diesem Baustein wird eine auf ISDN basierende Telekommunikationsanlage betrachtet. Eine TK-
Anlage in der heutigen Ausprgung ist ein komplexes IT-System, bei dessen Administration eine
Reihe von Manahmen beachtet werden mssen, um den sicheren Betrieb der TK-Anlage zu gewhr-
leisten.
8.2 Faxgert
Die Informationsbermittlung per stand-alone Faxgert erffnet ein neues Feld von Gefhrdungen.
Dargestellt werden daher die notwendigen Manahmen, mit denen fr die Faxnutzung ein IT-Grund-
schutz realisiert werden kann. Dies sind zum Beispiel die Entsorgung von Fax-Verbrauchsgtern, die
geeignete Aufstellung des Faxgertes und die ggf. notwendigen Absprachen von Absender und
Empfnger.
8.3 Anrufbeantworter
Moderne Anrufbeantworter mit Fernabfragemglichkeiten knnen als IT-Systeme aufgefasst werden,
in denen Sprachinformationen gespeichert werden. Sie sind der Gefhrdung ausgesetzt, dass die
Fernabfrage missbraucht wird. Dargestellt werden IT-Grundschutz-Manahmen fr Anrufbeantworter,
auch speziell zu dieser Gefhrdung.
8.4 LAN-Anbindung eines IT-Systems ber ISDN
Die Anbindung eines IT-Systems ber eine ISDN-Adapterkarte mit S0-Schnittstelle an ein entfernt
stehendes lokales Netz (LAN) wird in diesem Baustein betrachtet. Vorausgesetzt wird, dass innerhalb
dieses LAN ein Router vorhanden ist, der ber eine S2M-Schnittstelle mit dem ffentlichen Netz
verbunden ist.
8.5 Faxserver
In diesem Baustein werden fr die Informationsbertragung per Fax als technische Basis ausschlie-
lich Faxserver betrachtet. Ein Faxserver in diesem Sinne ist eine Applikation, die auf einem IT-System
installiert ist und in einem Netz fr andere IT-Systeme die Dienste Faxversand und/oder Faxempfang
zur Verfgung stellt.
8.6 Mobiltelefon
Um fr digitale Mobilfunksysteme nach dem GSM-Standard (D- und E-Netze) einen sicheren Einsatz
zu gewhrleisten, werden in diesem Kapitel fr die Komponenten Mobiltelefon, Basisstation und
Festnetz und deren Zusammenspiel untereinander geeignete Sicherheitsmanahmen vorgeschlagen.
8.7 PDA
Dieser Baustein beschftigt sich mit PDAs (Personal Digital Assistants), also handtellergroen,
mobilen Endgerten zur Datenerfassung, -bearbeitung und -kommunikation. Es wird beschrieben,
welche Regelungen und Sicherheitsmanahmen fr deren sicheren Einsatz innerhalb von
Organisationen ergriffen werden sollten.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 30
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________

9.1 Standardsoftware
Es wird eine Vorgehensweise beschrieben, wie der Lebenszyklus von Standardsoftware, d. h. Anfor-
derungskatalog, Auswahl, Testen, Freigabe, Installation und Deinstallation, gestaltet werden kann.
Insbesondere werden Aspekte wie Tests der Funktionalitt und Sicherheitseigenschaften, Installati-
onsanweisungen und Freigabeerklrung erlutert.
9.2 Datenbanken
Die fr die Auswahl einer Datenbank, deren Installation und Konfiguration sowie fr den laufenden
Betrieb erforderlichen Manahmen wie z. B. Erstellung eines Datenbankkonzeptes, Regelung zur
Einrichtung von Datenbankbenutzern/-benutzergruppen oder Richtlinien fr Datenbank-Anfragen
werden in diesem Kapitel beschrieben.
9.3 Telearbeit
Die aus organisatorischer und personeller Sicht erforderlichen Regelungen fr die Einrichtung von
Telearbeitspltzen werden in diesem Baustein beschrieben. Weiterhin werden die sicherheitstech-
nischen Anforderungen an die Telearbeit formuliert, die durch den Einsatz geeigneter IT-Kompo-
nenten realisiert werden mssen.
9.4 Novell eDirectory
Novell eDirectory ist ein komplexes und vielseitiges Produkt, das einerseits innerhalb eines Netzes das
Management der eingebundenen Ressourcen und deren Benutzer bernehmen kann und andererseits
auch als Internet-Informationsbasis einsetzbar ist. Der Baustein verweist auf die beim Einsatz von
Novell eDirectory erforderlichen Standard-Sicherheitsmanahmen.
9.5 Archivierung
Die dauerhafte und unvernderbare Speicherung von elektronischen Dokumenten und anderen Daten
wird als Archivierung bezeichnet. Der Baustein beschreibt Sicherheitsempfehlungen unter anderem
zur systematischen Planung, Einfhrung, Betrieb und Migration von Archivsystemen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 31
Hilfsmittel 1.5
_________________________________________________________________________________________

1.5 Hilfsmittel
Mit den Empfehlungen der Standard-Sicherheitsmanahmen bietet das IT-Grundschutzhandbuch
unmittelbare Hilfe zur Umsetzung der IT-Sicherheit. Darber hinaus stehen weitere Hilfsmittel fr die
tgliche Arbeit mit IT-Sicherheit zur Verfgung. Diese Hilfsmittel lassen sich in zwei Bereiche
unterteilen: einerseits Software und Programme und andererseits weiterfhrende Dokumente.
Software-Hilfsmittel
Fr den IT-Grundschutz stehen zur Zeit folgende Software-Hilfsmittel zur Verfgung (weitere
Informationen dazu finden sich auf der BSI Webseite):
- BSI-Tool zum IT-Grundschutz: Mit diesem im Auftrag des BSI entwickelten Tool wird die
gesamte Vorgehensweise bei der Erstellung eines Sicherheitskonzepts nach IT-Grundschutz, der
Soll-Ist-Vergleich, die Umsetzung der Manahmen und die anschlieende Sicherheitsrevision
untersttzt. Darber hinaus kann aus dem Tool elektronisch auf die Texte des Handbuchs zugegrif-
fen werden. Ein individuell anpassbares Berichtswesen untersttzt den IT-Sicherheitsbeauftragten
dabei, IT-Grundschutz umzusetzen.
- Webkurs IT-Grundschutz: Dieser Selbstlern-Kurs erleichtert den Einstieg in das umfassende
Thema IT-Grundschutz. In etwa vier Stunden werden Einsteiger in leicht nachvollziehbarer Form
an das Thema IT-Grundschutz herangefhrt. Der Webkurs zeigt auf, wie fr einen IT-
Sicherheitsprozess die notwendigen Analysen durchzufhren und Dokumente auszuarbeiten sind.
Anhand eines Beispiels wird die Anwendung des IT-Grundschutzhandbuchs fr einen
vollstndigen IT-Verbund demonstriert. Durch zahlreiche Anleitungen, Beispiele, bungen und
Hilfsmittel werden die Lernenden so trainiert, dass sie eigene Sicherheitskonzepte gem IT-
Grundschutzhandbuch erstellen knnen.
- Chiasmus fr Windows: Speziell fr die Belange der deutschen Verwaltung wurde ein
Verschlsselungsprogramm, das unter der Windows-Oberflche eingesetzt werden kann, vom BSI
entwickelt. Darber hinaus knnen mit diesem Tool auch Dateien physikalisch gelscht werden.
Weiterfhrende Dokumente
Zur Ergnzung des IT-Grundschutzhandbuchs stehen eine Reihe von weiteren Dokumenten zur
Verfgung. Diese sind teilweise vom BSI erstellt worden und teilweise auch von Anwendern des
Handbuchs dem BSI zur weiteren Verbreitung kostenlos zur Verfgung gestellt worden. Eine ber-
sicht ber die verfgbaren Hilfsmittel befindet sich im Anhang.
An dieser Stelle seien einige dieser Hilfsmittel genannt:
- Muster einer IT-Sicherheitsleitlinie,
- Musterdienstanweisung fr IT-Sicherheitsbeauftragte,
- Muster einer Benutzerordnung fr elektronische Kommunikationsdienste,
- Mustervertrag zur Entsorgung von Datentrgern,
- Musterbetriebsvereinbarung fr E-Mail und Internet,
- Foliensatz zur Vorstellung von IT-Grundschutz fr Manager, IT-Verantwortliche und Mitarbeiter
und
- Formbltter fr die IT-Grundschutzerhebung.
Alle Hilfsmittel, die von Anwendern des IT-Grundschutzhandbuchs erarbeitet und anderen Anwen-
dern hier zur Verfgung gestellt werden, erspart der "Interessengemeinschaft IT-Sicherheit" erhebliche
Arbeit, indem das Rad nicht immer wieder neu erfunden werden muss. Hilfsmittel knnen dem BSI
ber die IT-Grundschutz-Hotline (01888/9582-369 oder gshb@bsi.bund.de) bermittelt werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 32
Informationsfluss und Kontakte 1.6
_________________________________________________________________________________________

1.6 Informationsfluss und Kontakte


Neben der regelmigen Aktualisierung und Weiterentwicklung des IT-Grundschutzhandbuchs gibt
das BSI weitere aktuelle Informationen rund um das Thema IT-Grundschutz auf verschiedenen
Kommunikationswegen heraus.
BSI-CD-ROM und IT-Grundschutz
Die dem gedruckten Handbuch beiliegende CD-ROM enthlt smtliche Texte und Hilfsmittel des
deutschen IT-Grundschutzhandbuchs im Word- und im PDF-Format.
Das BSI verteilt kostenlos BSI-CD-ROMs, die neben vielen anderen BSI-Informationen das
vollstndige IT-Grundschutzhandbuch enthalten. Hier finden sich neben der aktuellen deutschen
Version des IT-Grundschutzhandbuchs auch die englische bersetzung und die HTML-Version des
Handbuchs.
Diese BSI-CD-ROMs knnen gegen Einsendung eines an sich selbst adressierten Rckumschlags
(Format C5, frankiert mit 1,44 Euro) beim BSI CD-Versand, Postfach 20 10 10, 53140 Bonn bezogen
werden.
IT-Grundschutz im Intranet
Die elektronischen Versionen des IT-Grundschutzhandbuchs knnen auch in Intranets bereitgestellt
werden. Hierzu eignet sich besonders die HTML-Version. Dies bedarf keiner besonderen Genehmi-
gung durch das BSI.
IT-Grundschutz im Internet
Das gesamte Handbuch in Deutsch und in Englisch ist auch im Internet unter
http://www.bsi.bund.de/gshb abrufbar. Darber hinaus finden sich dort auch aktuelle Informationen
ber neue Entwicklungen zum Handbuch und neu verfgbare Hilfsmittel.
IT-Grundschutz-Hotline
Fr aktuelle Fragen rund um das Thema IT-Grundschutz stellt das BSI in den blichen Brozeiten
(werktags 8.00 - 16.00 Uhr) eine Hotline zur Verfgung. Diese Hotline ist erreichbar unter:
Telefon: 01888 9582 - 369
Fax: 01888 9582 - 405
E-Mail: gshb@bsi.bund.de
Verbesserungsvorschlge, Fehlermeldungen und Erweiterungswnsche knnen ebenfalls an die IT-
Grundschutz-Hotline gerichtet werden.
Freiwillige Registrierung
Das BSI bentigt den Erfahrungsaustausch mit den Anwendern des Handbuchs, um es aktuell und
bedarfsgerecht weiterentwickeln zu knnen. Gleichzeitig werden Wege gesucht, die Anwender direkt
ber aktuelle Themen des IT-Grundschutzes (Vorabinformationen zu neuen Bausteinen und
Entwicklungen, Einladungen zum IT-Grundschutz-Forum, Fragebogenaktionen) informieren zu
knnen. Anwender des Handbuchs knnen sich zu diesem Zweck unter
www.bsi.bund.de/gshb/deutsch/etc/registrierung.htm beim BSI freiwillig registrieren lassen. Die
bermittelten Daten werden gespeichert und nur zu dem Zweck des Informationsaustauschs rund um
die Themen IT-Sicherheit und IT-Grundschutz verwendet. Durch die Registrierung entstehen keine
Kosten. Aufgrund der hohen Zahl freiwillig registrierter Anwender kann das BSI

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 33
Informationsfluss und Kontakte 1.6
_________________________________________________________________________________________

den Informationsaustausch nur per E-Mail und per Fax abwickeln, der Postweg wird nur in seltenen
Ausnahmen genutzt.
Um Transparenz zu erzeugen, welche Branchen IT-Grundschutz einsetzen, verffentlicht das BSI im
Internet diejenigen registrierten Institutionen, die dieser Verffentlichung zustimmen. Dazu finden
regelmig Abfragen durch das BSI statt.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 34
Anwendung des IT-Grundschutzhandbuchs 2
_________________________________________________________________________________________

2 Anwendung des IT-Grundschutzhandbuchs

2.1 IT-Strukturanalyse
2.2 Schutzbedarfsfeststellung
2.3 Modellierung nach IT-Grundschutz
2.4 Basis-Sicherheitscheck
2.5 Ergnzende Sicherheitsanalyse
2.6 Realisierung von IT-Sicherheitsmanahmen
2.7 IT-Grundschutz-Zertifikat

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 35
Anwendung des IT-Grundschutzhandbuchs 2
_________________________________________________________________________________________

2 Anwendung des IT-


Grundschutzhandbuchs
Die Durchsetzung und Aufrechterhaltung eines
angemessenen IT-Sicherheitsniveaus kann nur durch ein
geplantes und organisiertes Vorgehen aller Beteiligten
gewhrleistet werden. Voraussetzung fr die sinnvolle
Umsetzung und Erfolgskontrolle von IT-
Sicherheitsmanahmen ist ein durchdachter und
gesteuerter IT-Sicherheitsprozess.
Der IT-Sicherheitsprozess beginnt mit der Definition der
IT-Sicherheitsziele und der Einrichtung eines IT-
Sicherheitsmanagements. Dessen Aufgabe ist es, ein IT-Sicherheitskonzept zu erstellen und zu
realisieren. Mit der Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb kehrt der IT-
Sicherheitsprozess regelmig zur Erstellung des Sicherheitskonzepts zurck, um damit einen
kontinuierlichen Prozess zu ermglichen. Diese Vorgehensweise wird in der nachfolgenden bersicht
schematisch dargestellt.

Abbildung: IT-Sicherheitsprozess
Weiterfhrende Informationen zum Bereich IT-Sicherheitsmanagement sind in Kapitel 3.0 dieses
Handbuchs zu finden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 36
Anwendung des IT-Grundschutzhandbuchs 2
_________________________________________________________________________________________

Die Kernaufgabe des IT-Sicherheitsmanagements bildet die Erstellung des IT-Sicherheitskonzepts, da


dieses eine notwendige Voraussetzung zur Realisierung der erforderlichen IT-Sicherheitsmanahmen
bildet. In den nachfolgenden Abschnitten dieses Kapitels wird daher beschrieben, wie ein IT-Sicher-
heitskonzept unter Verwendung des IT-Grundschutzhandbuchs erstellt werden kann.
In der nachfolgenden Abbildung wird die prinzipielle Vorgehensweise schematisch dargestellt:

Abbildung: Erstellung eines IT-Sicherheitskonzepts

Nach der Erfassung der vorhandenen Informationstechnik wird eine Schutzbedarfsfeststellung durch-
gefhrt. In der anschlieenden IT-Grundschutzanalyse wird zunchst die betrachtete IT-Landschaft
durch Bausteine des Handbuchs nachgebildet. Anschlieend findet ein Soll-Ist-Vergleich zwischen
empfohlenen Standard-Sicherheitsmanahmen und den bereits realisierten Manahmen statt. Sollten
bei der Schutzbedarfsfeststellung Komponenten mit einem hohen oder sehr hohen Schutzbedarf
identifiziert worden sein, so bietet es sich an, nach der IT-Grundschutzanalyse eine ergnzende IT-
Sicherheitsanalyse durchzufhren. Dies kann ebenso fr den Fall erforderlich sein, dass im IT-Grund-
schutzhandbuch keine passenden Bausteine vorhanden sind. Den Abschluss der Erstellung eines IT-
Sicherheitskonzepts unter Verwendung des IT-Grundschutzhandbuchs bildet die Erstellung eines
Realisierungsplans fr die identifizierten und konsolidierten IT-Sicherheitsmanahmen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 37
IT-Strukturanalyse 2.1
_________________________________________________________________________________________

2.1 IT-Strukturanalyse
Die IT-Strukturanalyse dient der Vorerhebung von
Informationen, die fr die weitere Vorgehensweise in der
Erstellung eines IT-Sicherheitskonzepts nach IT-Grund-
schutz bentigt werden. Sie gliedert sich in folgende
Teilaufgaben:
- Netzplanerhebung
- Komplexittsreduktion durch Gruppenbildung
- Erhebung der IT-Systeme
- Erfassung der IT-Anwendungen und der zugehrigen
Informationen
Diese Teilaufgaben werden nachfolgend beschrieben und durch ein begleitendes Beispiel erlutert.
Eine ausfhrliche Version des Beispiels ist den Hilfsmitteln auf der CD-ROM zum IT-Grundschutz-
handbuch beigefgt.
Auswertung eines Netzplans
Einen geeigneten Ausgangspunkt fr die IT-Strukturanalyse stellt ein Netzplan (beispielsweise in
Form eines Netztopologieplans) dar. Ein Netzplan ist eine graphische bersicht ber die im betrach-
teten Bereich der Informations- und Kommunikationstechnik eingesetzten Komponenten und deren
Vernetzung. Im Einzelnen sollte der Plan folgende Objekte darstellen:
- IT-Systeme, d. h. Client- und Server-Computer, aktive Netzkomponenten (wie Hubs, Switches,
Router), Netzdrucker, etc.
- Netzverbindungen zwischen diesen Systemen, d. h. LAN-Verbindungen (wie Ethernet, Token-
Ring), Backbone-Technologien (wie FDDI, ATM), etc.
- Verbindungen des betrachteten Bereichs nach auen, d. h. Einwahl-Zugnge ber ISDN oder
Modem, Internet-Anbindungen ber analoge Techniken oder Router, Funkstrecken oder Miet-
leitungen zu entfernten Gebuden oder Liegenschaften, etc.
Zu jedem der dargestellten Objekte gehrt weiterhin ein Minimalsatz von Informationen, die einem
zugeordneten Katalog zu entnehmen sind. Fr jedes IT-System sollte zumindest
- eine eindeutige Bezeichnung (beispielsweise der vollstndige Hostname oder eine Identifikations-
nummer),
- Typ und Funktion (beispielsweise Datenbankserver fr Anwendung X),
- die zugrunde liegende Plattform (d. h. Hardware-Plattform und Betriebssystem),
- der Standort (beispielsweise Gebude- und Raumnummer),
- der zustndige Administrator sowie
- die Art der Netzanbindung und die Netzadresse
vermerkt sein. Nicht nur fr die IT-Systeme selbst, sondern auch fr die Netzverbindungen zwischen
den Systemen und fr die Verbindungen nach auen sind bestimmte Informationen erforderlich,
nmlich
- die Art der Verkabelung (z. B. Lichtwellenleiter),

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 38
IT-Strukturanalyse 2.1
_________________________________________________________________________________________

- die maximale Datenbertragungsrate (z. B. 10 Mbps),


- die auf den unteren Schichten verwendeten Netzprotokolle (z. B. Ethernet, TCP/IP),
- bei Auenanbindungen: Details zum externen Netz (z. B. Internet, Name des Providers).
Hat die Informationstechnik im Unternehmen bzw. in der Behrde einen gewissen Umfang ber-
schritten, bietet es sich an, bei der Erfassung und Pflege des Netzplans auf geeignete Hilfsprogramme
zurckzugreifen, da die Unterlagen eine erhebliche Komplexitt aufweisen knnen und stndigem
Wandel unterzogen sind.
Aktualisierung des Netzplans
Da die IT-Struktur in der Regel stndig an die Anforderungen der Behrde bzw. des Unternehmens
angepasst wird und die Pflege des Netzplans entsprechende Ressourcen bindet, ist der Netzplan der
Organisation nicht immer auf dem aktuellen Stand. Vielmehr werden in der Praxis oftmals nur grere
nderungen an der IT-Struktur einzelner Bereiche zum Anlass genommen, den Plan zu aktualisieren.
Im Hinblick auf die Verwendung des Netzplans fr die IT-Strukturanalyse besteht demnach der
nchste Schritt darin, den vorliegenden Netzplan (bzw. die Teilplne, wenn der Gesamtplan aus
Grnden der bersichtlichkeit aufgeteilt wurde) mit der tatschlich vorhandenen IT-Struktur abzu-
gleichen und ggf. auf den neuesten Stand zu bringen. Hierzu sind die IT-Verantwortlichen und
Administratoren der einzelnen Anwendungen und Netze zu konsultieren. Falls Programme fr ein
zentralisiertes Netz- und Systemmanagement zum Einsatz kommen, sollte auf jeden Fall geprft
werden, ob diese Programme bei der Erstellung eines Netzplans Untersttzung anbieten. Zu beachten
ist jedoch, dass Funktionen zur automatischen oder halbautomatischen Erkennung von Komponenten
temporr zustzlichen Netzverkehr erzeugen. Es muss sichergestellt sein, dass dieser Netzverkehr
nicht zu Beeintrchtigungen des IT-Betriebs fhrt.
Komplexittsreduktion durch Gruppenbildung
Der nchste Schritt besteht darin, den Netzplan um die Informationen zu bereinigen, die fr die nach-
folgenden Aufgaben nicht erforderlich sind, um dadurch bersichtlichkeit zu gewinnen. Hierzu sollten
jeweils gleichartige Komponenten zu einer Gruppe zusammengefasst werden, die im Netzplan durch
ein einzelnes Objekt dargestellt wird. Komponenten knnen dann ein und derselben Gruppe zuge-
ordnet werden, wenn die Komponenten alle
- vom gleichen Typ sind,
- gleich oder nahezu gleich konfiguriert sind,
- gleich oder nahezu gleich in das Netz eingebunden sind (z. B. am gleichen Switch),
- den gleichen administrativen und infrastrukturellen Rahmenbedingungen unterliegen und
- die gleichen Anwendungen bedienen.
Aufgrund der genannten Voraussetzungen fr die Gruppenbildung kann bezglich IT-Sicherheit davon
ausgegangen werden, dass eine Stichprobe aus einer Gruppe den IT-Sicherheitszustand der Gruppe
reprsentiert.
Wichtigstes Beispiel fr die Gruppierung von Komponenten im Netzplan ist sicherlich die Zusam-
menfassung von Client-Computern. In der Regel gibt es in einem Unternehmen bzw. in einer Behrde
eine groe Anzahl von Clients, die sich jedoch gem obigem Schema in eine berschaubare Anzahl
von Gruppen aufteilen lassen. In groen IT-Verbnden, wo aus Grnden der Redundanz oder des
Durchsatzes viele Server die gleiche Aufgabe wahrnehmen, knnen durchaus auch Server zu Gruppen
zusammengefasst werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 39
IT-Strukturanalyse 2.1
_________________________________________________________________________________________

Nach erfolgreicher Gruppierung werden die zusammengefassten Komponenten im Netzplan durch ein
Objekt dargestellt. Dabei sind Typ und Anzahl der Komponenten zu vermerken, die durch die Gruppe
reprsentiert werden.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 1
Im Folgenden wird anhand einer fiktiven Behrde, dem BOV, beispielhaft dargestellt, wie ein berei-
nigter Netzplan aussehen kann. Zu beachten ist, dass die IT-Struktur des BOV im Hinblick auf IT-
Sicherheit keineswegs optimal ist. Sie dient lediglich dazu, die Vorgehensweise bei der Anwendung
des IT-Grundschutzhandbuchs zu illustrieren. (Das komplette Beispiel ist den Hilfsmitteln auf der CD-
ROM beigefgt.)
Das BOV sei eine fiktive Behrde mit 150 Mitarbeitern, von denen 130 an Bildschirmarbeitspltzen
arbeiten. Rumlich besteht eine Aufteilung des Bundesamts in die Hauptstelle Bonn und eine Auen-
stelle in Berlin, wo unter anderem die Teilaufgaben Grundsatz, Normung und Koordinierung wahrge-
nommen werden. Von den insgesamt 130 Mitarbeitern mit IT-gesttzten Arbeitspltzen sind 90 in
Bonn und 40 in Berlin ttig.
Um die Dienstaufgaben leisten zu knnen, sind alle Arbeitspltze vernetzt worden. Die Auenstelle
Berlin ist ber eine angemietete Standleitung angebunden. Alle zu Grunde liegenden Normen und
Vorschriften sowie Formulare und Textbausteine sind stndig fr jeden Mitarbeiter abrufbar. Alle
relevanten Arbeitsergebnisse werden in eine zentrale Datenbank eingestellt. Entwrfe werden aus-
schlielich elektronisch erstellt, weitergeleitet und unterschrieben. Zur Realisierung und Betreuung
aller bentigten Funktionalitten ist in Bonn ein IT-Referat installiert worden.

Abbildung: Beispiel eines bereinigten Netzplans


In dem dargestellten Netzplan sind die IT-Systeme durch eine Nummer (Server, Clients und aktive
Netzkomponenten in der Form Sn, Cn bzw. Nn), die Funktion und ggf. das Betriebssystem (in Klam-
mern) gekennzeichnet.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 40
IT-Strukturanalyse 2.1
_________________________________________________________________________________________

Sowohl in Berlin als auch in Bonn wurden die Clients in geeignete Gruppen zusammengefasst. Zwar
sind alle 130 Clients nahezu gleich konfiguriert, sie unterscheiden sich jedoch im Hinblick auf die
Anwendungen, die Einbindung in das Netz und die infrastrukturellen Rahmenbedingungen. Die
Gruppe C1 reprsentiert die 5 Clients in der Personalabteilung. Diese haben Zugriff auf den Server S1
der Personalabteilung in Bonn. C2 und C3 fassen die 10 Clients der Verwaltungsabteilung bzw. die 75
Clients der Fachabteilungen in Bonn zusammen. Sie unterscheiden sich lediglich im Hinblick auf die
genutzten Anwendungsprogramme. Schlielich werden durch die Gruppe C4 die Clients der Fachab-
teilungen in der Liegenschaft Berlin dargestellt. Von den Gruppen C1 bis C3 unterscheiden sie sich
durch die umgebende Infrastruktur und die abweichende Einbindung in das Gesamtnetz.
Erhebung der IT-Systeme
Im Hinblick auf die spter durchzufhrende Schutzbedarfsfeststellung und Modellierung des IT-
Verbunds wird als nchster Schritt eine Liste der vorhandenen und geplanten IT-Systeme in tabella-
rischer Form aufgestellt. Der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn,
sondern auch aktive Netzkomponenten, Netzdrucker, TK-Anlagen, etc. Die technische Realisierung
eines IT-Systems steht im Vordergrund, beispielsweise stand-alone PC, Windows NT-Server, PC-
Client unter Windows 95, Unix-Server, TK-Anlage. An dieser Stelle soll nur das System als solches
erfasst werden (z. B. Unix-Server), nicht die einzelnen Bestandteile, aus denen das IT-System zusam-
mengesetzt ist (also nicht: Rechner, Tastatur, Bildschirm, etc.).
Zu erfassen sind sowohl die vernetzten als auch die nicht vernetzten IT-Systeme, insbesondere also
auch solche, die nicht im zuvor betrachteten Netzplan aufgefhrt sind. IT-Systeme, die bei der Berei-
nigung des Netzplans zu einer Gruppe zusammengefasst worden sind, knnen weiterhin als ein Objekt
behandelt werden. Auch bei den IT-Systemen, die nicht im Netzplan aufgefhrt sind, ist zu prfen, ob
sie sinnvoll zusammengefasst werden knnen. Mglich ist dies beispielsweise bei einer greren
Anzahl von stand-alone PCs, die die im Abschnitt "Komplexittsreduktion durch Gruppenbildung"
genannten Bedingungen fr eine Gruppierung erfllen.
Bei dieser Erfassung sollten folgende Informationen vermerkt werden, die fr die nachfolgende Arbeit
ntzlich sind:
- eine eindeutige Bezeichnung des IT-Systems,
- Beschreibung (Typ und Funktion),
- Plattform (z. B. Hardware-Architektur/Betriebssystem),
- bei Gruppen: Anzahl der zusammengefassten IT-Systeme,
- Aufstellungsort des IT-Systems,
- Status des IT-Systems (in Betrieb, im Test, in Planung) und
- Anwender/Administrator des IT-Systems.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 2
Als Beispiel ist in der folgenden Tabelle ein Auszug aus der Liste der IT-Systeme im BOV aufgefhrt.
Die vollstndige Liste ist den Hilfsmitteln auf der CD-ROM beigefgt.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 41
IT-Strukturanalyse 2.1
_________________________________________________________________________________________

Nr. Beschreibung Plattform Anzahl Aufstel- Status Anwender/Admin.


lungsort

S1 Server fr Personalverwaltung Windows NT-Server 1 Bonn, R 1.01 in Betrieb Personalreferat


S2 Primrer Domnen-Controller Windows NT-Server 1 Bonn, R 3.10 in Betrieb alle IT-Anwender
C1 Gruppe von Clients der Perso- Windows NT-Work- 5 Bonn, R 1.02 - in Betrieb Personalreferat
naldatenverarbeitung station R 1.06
C2 Gruppe von Clients in der Windows NT-Work- 10 Bonn, R 1.07 - in Betrieb Verwaltungsabteilung
Verwaltungsabteilung station R 1.16
C6 Gruppe der Laptops fr den Laptop unter Windows 2 Berlin, R 2.01 in Betrieb alle IT-Anwender in
Standort Berlin 95 der Auenstelle Berlin
N1 Router zum Internet-Zugang Router 1 Bonn, R 3.09 in Betrieb alle IT-Anwender
N2 Firewall Application Gateway auf 1 Bonn, R 3.09 in Betrieb alle IT-Anwender
Unix
N3 Switch Switch 1 Bonn, R 3.09 in Betrieb alle IT-Anwender
T1 TK-Anlage fr Bonn ISDN-TK-Anlage 1 Bonn, B.02 in Betrieb alle Mitarbeiter in der
Hauptstelle Bonn

Die IT-Systeme bzw. Gruppen S1, S2, C1, C2, N1, N2 und N3 sind direkt dem Netzplan entnommen.
Demgegenber hinzugekommen sind die nicht vernetzten IT-Systeme C6 (Laptop) und T1 (TK-
Anlage).
Erfassung der IT-Anwendungen und der zugehrigen Informationen
Zur Reduzierung des Aufwands werden die jeweils wichtigsten auf den betrachteten IT-Systemen
laufenden oder geplanten IT-Anwendungen erfasst. Zur effizienten Durchfhrung dieser Aufgabe kann
auf eine vollstndige Erfassung aller Anwendungen verzichtet werden, wenn sichergestellt ist, dass
zumindest diejenigen IT-Anwendungen des jeweiligen IT-Systems benannt werden,
- deren Daten bzw. Informationen und Programme den hchsten Bedarf an Geheimhaltung
(Vertraulichkeit) besitzen,
- deren Daten bzw. Informationen und Programme den hchsten Bedarf an Korrektheit und Unver-
flschtheit (Integritt) besitzen,
- die die krzeste tolerierbare Ausfallzeit (hchster Bedarf an Verfgbarkeit) haben.
Um dies sicherzustellen, sollten bei der Erfassung der IT-Anwendungen die Benutzer bzw. die fr die
IT-Anwendung Verantwortlichen nach ihrer Einschtzung befragt werden.
Es erleichtert die Definition und Erfassung der IT-Anwendungen, wenn die IT-Anwendungen orien-
tiert an den IT-Systemen zusammengetragen werden. Aufgrund ihrer Breitenwirkung sollte dabei mit
den Servern begonnen werden. Um ein mglichst ausgewogenes Bild zu bekommen, kann anschlie-
end diese Erhebung auf Seiten der Clients und Stand-alone-Systeme vervollstndigt werden.
Abschlieend sollte noch festgestellt werden, welche Netzkoppelelemente welche IT-Anwendungen
untersttzen.
Zweckmigerweise sollten die Anwendungen zu Referenzzwecken durchnummeriert werden. Da
viele IT-Sicherheitsbeauftragte gleichzeitig auch als Datenschutzbeauftragte fr den Schutz personen-
bezogener Daten zustndig sind, bietet es sich an, an dieser Stelle schon zu vermerken, ob die
beschriebene IT-Anwendung personenbezogene Daten speichert und/oder verarbeitet.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 42
IT-Strukturanalyse 2.1
_________________________________________________________________________________________

Anschlieend werden die Anwendungen jeweils denjenigen IT-Systeme zugeordnet, die fr deren
Ausfhrung bentigt werden. Dies knnen die IT-Systeme sein, auf denen die IT-Anwendungen
verarbeitet werden, oder auch diejenigen, die Daten dieser Anwendung transferieren.
Das Ergebnis ist eine bersicht, welche wichtigen IT-Anwendungen auf welchen IT-Systemen
bearbeitet oder von welchen IT-Systemen genutzt oder bertragen werden. Zur Dokumentation der
Ergebnisse bietet sich die Darstellung in tabellarischer Form an.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 3
Nachfolgend wird ein Auszug aus der Erfassung der IT-Anwendungen und der Zuordnung zu den
betroffenen IT-Systemen fr das fiktive Beispiel BOV aufgezeigt:
Beschreibung der IT-Anwendungen IT-Systeme
Anw.-Nr. IT-Anwendung/Informationen Pers.-bez. S1 S2 S3 S4 S5 S6 S7
Daten

A1 Personaldatenverarbeitung X X

A2 Beihilfeabwicklung X X

A3 Reisekostenabrechnung X X

A4 Benutzer-Authentisierung X X X

A5 Systemmanagement X

A6 E Xchange (E-Mail, Terminkalender) X X

A7 zentrale Dokumentenverwaltung X

Legende: Ai X Sj = Die Ausfhrung der IT-Anwendung Ai hngt vom IT-System Sj ab.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 43
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

2.2 Schutzbedarfsfeststellung
Die Schutzbedarfsfeststellung der erfassten IT-Struktur
gliedert sich in vier Schritte. Nach der Definition der
Schutzbedarfskategorien wird anhand von typischen
Schadensszenarien zunchst der Schutzbedarf der IT-
Anwendungen bestimmt. Anschlieend wird daraus der
Schutzbedarf der einzelnen IT-Systeme abgeleitet. Aus
diesen Ergebnissen wiederum wird abschlieend der
Schutzbedarf der bertragungsstrecken und der Rume,
die fr die IT zur Verfgung stehen, abgeleitet.

Schutzbedarfsfeststellung fr IT-Anwendungen
Ziel der Schutzbedarfsfeststellung ist es, fr jede erfasste IT-Anwendung einschlielich ihrer Daten zu
entscheiden, welchen Schutzbedarf sie bezglich Vertraulichkeit, Integritt und Verfgbarkeit besitzt.
Dieser Schutzbedarf orientiert sich an den mglichen Schden, die mit einer Beeintrchtigung der
betroffenen IT-Anwendung verbunden sind.
Da der Schutzbedarf meist nicht quantifizierbar ist, beschrnkt sich das IT-Grundschutzhandbuch im
Weiteren auf eine qualitative Aussage, indem der Schutzbedarf in drei Kategorien unterteilt wird:

Schutzbedarfskategorien
"niedrig bis mittel" Die Schadensauswirkungen sind begrenzt und berschaubar.
"hoch" Die Schadensauswirkungen knnen betrchtlich sein.
"sehr hoch" Die Schadensauswirkungen knnen ein existentiell bedrohliches,
katastrophales Ausma erreichen.

Die nachfolgenden Schritte erlutern, wie fr IT-Anwendungen die adquate Schutzbedarfskategorie


ermittelt werden kann.
Schritt 1: Definition der Schutzbedarfskategorien
Die Schden, die bei dem Verlust der Vertraulichkeit, Integritt oder Verfgbarkeit fr eine IT-
Anwendung einschlielich ihrer Daten entstehen knnen, lassen sich typischerweise folgenden
Schadensszenarien zuordnen:
- Versto gegen Gesetze/Vorschriften/Vertrge,
- Beeintrchtigung des informationellen Selbstbestimmungsrechts,
- Beeintrchtigung der persnlichen Unversehrtheit,
- Beeintrchtigung der Aufgabenerfllung,
- negative Auenwirkung und
- finanzielle Auswirkungen.
Hufig treffen dabei fr einen Schaden mehrere Schadenskategorien zu. So kann beispielsweise der
Ausfall einer IT-Anwendung die Aufgabenerfllung beeintrchtigen, was direkte finanzielle Einbuen
nach sich zieht und gleichzeitig auch zu einem Imageverlust fhrt.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 44
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Um die Schutzbedarfskategorien "niedrig bis mittel", "hoch" und "sehr hoch" voneinander abgrenzen
zu knnen, bietet es sich an, die Grenzen fr die einzelnen Schadensszenarien zu bestimmen. Zur
Orientierung, welchen Schutzbedarf ein potentieller Schaden und seine Folgen erzeugen, sollten dabei
folgende Tabellen benutzt werden.

Schutzbedarfskategorie "niedrig bis mittel"


1. Versto gegen - Verste gegen Vorschriften und Gesetze mit geringfgigen
Gesetze/Vorschriften/Vertrge Konsequenzen
- Geringfgige Vertragsverletzungen mit maximal geringen
Konventionalstrafen
2. Beeintrchtigung des informa- - Eine Beeintrchtigung des informationellen
tionellen Selbstbestimmungsrechts Selbstbestimmungsrechts wrde durch den Einzelnen als
tolerabel eingeschtzt werden.
- Ein mglicher Missbrauch personenbezogener Daten hat nur
geringfgige Auswirkungen auf die gesellschaftliche Stellung
oder die wirtschaftlichen Verhltnisse des Betroffenen.
3. Beeintrchtigung der - Eine Beeintrchtigung erscheint nicht mglich.
persnlichen Unversehrtheit
4. Beeintrchtigung der - Die Beeintrchtigung wrde von den Betroffenen als tolerabel
Aufgabenerfllung eingeschtzt werden.
- Die maximal tolerierbare Ausfallzeit ist grer als
24 Stunden.
5. Negative Auenwirkung - Eine geringe bzw. nur interne Ansehens- oder
Vertrauensbeeintrchtigung ist zu erwarten.
6. Finanzielle Auswirkungen - Der finanzielle Schaden bleibt fr die Institution tolerabel.

Schutzbedarfskategorie "hoch"
1. Versto gegen - Verste gegen Vorschriften und Gesetze mit erheblichen
Gesetze/Vorschriften/Vertrge Konsequenzen
- Vertragsverletzungen mit hohen Konventionalstrafen
2. Beeintrchtigung des informa- - Eine erhebliche Beeintrchtigung des informationellen Selbst-
tionellen Selbstbestimmungsrechts bestimmungsrechts des Einzelnen erscheint mglich.
- Ein mglicher Missbrauch personenbezogener Daten hat
erhebliche Auswirkungen auf die gesellschaftliche Stellung
oder die wirtschaftlichen Verhltnisse des Betroffenen.
3. Beeintrchtigung der - Eine Beeintrchtigung der persnlichen Unversehrtheit kann
persnlichen Unversehrtheit nicht absolut ausgeschlossen werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 45
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

4. Beeintrchtigung der - Die Beeintrchtigung wrde von einzelnen Betroffenen als


Aufgabenerfllung nicht tolerabel eingeschtzt.
- Die maximal tolerierbare Ausfallzeit liegt zwischen einer und
24 Stunden.
5. Negative Auenwirkung - Eine breite Ansehens- oder Vertrauensbeeintrchtigung ist zu
erwarten.
6. Finanzielle Auswirkungen - Der Schaden bewirkt beachtliche finanzielle Verluste, ist
jedoch nicht existenzbedrohend.

Schutzbedarfskategorie "sehr hoch"


1. Versto gegen - Fundamentaler Versto gegen Vorschriften und Gesetze
Gesetze/Vorschriften/Vertrge
- Vertragsverletzungen, deren Haftungsschden ruins sind
2. Beeintrchtigung des informa- - Eine besonders bedeutende Beeintrchtigung des
tionellen Selbstbestimmungsrechts informationellen Selbstbestimmungsrechts des Einzelnen
erscheint mglich.
- Ein mglicher Missbrauch personenbezogener Daten wrde
fr den Betroffenen den gesellschaftlichen oder
wirtschaftlichen Ruin bedeuten.
3. Beeintrchtigung der - Gravierende Beeintrchtigungen der persnlichen
persnlichen Unversehrtheit Unversehrtheit sind mglich.
- Gefahr fr Leib und Leben
4. Beeintrchtigung der - Die Beeintrchtigung wrde von allen Betroffenen als nicht
Aufgabenerfllung tolerabel eingeschtzt werden.
- Die maximal tolerierbare Ausfallzeit ist kleiner als eine
Stunde.
5. Negative Auenwirkung - Eine landesweite Ansehens- oder Vertrauensbeeintrchtigung,
evtl. sogar existenzgefhrdender Art, ist denkbar.
6. Finanzielle Auswirkungen - Der finanzielle Schaden ist fr die Institution
existenzbedrohend.

Individualisierung der Zuordnungstabelle


Da nicht ausgeschlossen werden kann, dass bei individuellen Betrachtungen ber diese sechs
Schadensszenarien hinaus weitere in Frage kommen, sollten diese entsprechend ergnzt werden. Fr
alle Schden, die sich nicht in diese Szenarien abbilden lassen, muss ebenfalls eine Aussage getroffen
werden, wo die Grenze zwischen "niedrig bis mittel", "hoch" oder "sehr hoch" zu ziehen ist.
Darber hinaus sollten die individuellen Gegebenheiten der Institution bercksichtigt werden: Bedeu-
tet in einem Grounternehmen ein Schaden in Hhe von 200.000.- Euro gemessen am Umsatz und am
IT-Budget noch einen geringen Schaden, so kann fr ein Kleinunternehmen schon ein Schaden in

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 46
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Hhe von 10.000.- Euro existentiell bedrohlich sein. Daher kann es sinnvoll sein, eine prozentuale
Gre als Grenzwert zu definieren, der sich am Gesamtumsatz, am Gesamtgewinn oder am IT-Budget
orientiert.
hnliche berlegungen knnen bezglich der Verfgbarkeitsanforderungen angestellt werden. So
kann beispielsweise ein Ausfall von 24 Stunden Dauer als noch tolerabel eingeschtzt werden. Tritt
jedoch eine Hufung dieser Ausflle ein, z. B. mehr als einmal wchentlich, so kann dies in der
Summe nicht tolerierbar sein.
Bei der Festlegung der Grenze zwischen "mittel" und "hoch" sollte bercksichtigt werden, dass fr den
mittleren Schutzbedarf die Standard-Sicherheitsmanahmen dieses Handbuchs ausreichen sollten. Die
getroffenen Festlegungen sind in geeigneter Weise im Sicherheitskonzept zu dokumentieren.

Schritt 2: Betrachtung von Schadensszenarien


Ausgehend von der Mglichkeit, dass Vertraulichkeit, Integritt oder Verfgbarkeit einer IT-Anwen-
dung oder der zugehrigen Informationen verloren gehen, werden die maximalen Schden und Folge-
schden betrachtet, die aus einer solchen Situation entstehen knnen. Unter der Fragestellung
"Was wre, wenn ... ?"
werden aus Sicht der Anwender realistische Schadensszenarien entwickelt und die zu erwartenden
materiellen oder ideellen Schden beschrieben. Die Hhe dieser mglichen Schden bestimmt
letztendlich dann den Schutzbedarf der IT-Anwendung. Dabei ist es unbedingt erforderlich, die
Verantwortlichen und die Benutzer der betrachteten IT-Anwendung nach ihrer persnlichen Ein-
schtzung zu befragen. Sie haben im Allgemeinen eine gute Vorstellung darber, welche Schden
entstehen knnen, und knnen fr die Erfassung wertvolle Hinweise geben.
Um die Ermittlung der mglichen Schden zu vereinfachen, werden nachfolgend zu den genannten
Schadensszenarien Fragestellungen vorgestellt, die die mglichen Auswirkungen hinterfragen. Diese
Anregungen erheben nicht den Anspruch auf Vollstndigkeit, sie dienen lediglich zur Orientierung. In
jedem Fall mssen die individuelle Aufgabenstellung und die Situation der Institution bercksichtigt,
und diese Fragen entsprechend ergnzt werden.
In der weiteren Vorgehensweise bietet es sich an, fr die erfassten IT-Anwendungen die folgenden
Schadensszenarien einschlielich der Fragestellungen durchzuarbeiten. Anschlieend sollte anhand
der oben definierten Tabellen die Festlegung des Schutzbedarfs bezglich Vertraulichkeit, Integritt
und Verfgbarkeit durch die Zuordnung zu einer Schutzbedarfskategorie vorgenommen werden.
Schadensszenario "Versto gegen Gesetze/Vorschriften/Vertrge"
Sowohl aus dem Verlust der Vertraulichkeit als auch der Integritt und ebenso der Verfgbarkeit
knnen derlei Verste resultieren. Die Schwere des Schadens ist dabei oftmals abhngig davon,
welche rechtlichen Konsequenzen daraus fr die Institution entstehen knnen.
Beispiele fr relevante Gesetze sind:
Grundgesetz, Brgerliches Gesetzbuch, Strafgesetzbuch, Bundesdatenschutzgesetz und Daten-
schutzgesetze der Lnder, Sozialgesetzbuch, Handelsgesetzbuch, Personalvertretungsgesetz,
Betriebsverfassungsgesetz, Urheberrechtsgesetz, Patentgesetz, Informations- und Kommuni-
kationsdienstegesetz (IuKDG), Gesetz zur Kontrolle und Transparenz im Unternehmen(KonTraG).
Beispiele fr relevante Vorschriften sind:
Verwaltungsvorschriften, Verordnungen und Dienstvorschriften.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 47
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Beispiele fr Vertrge:
Dienstleistungsvertrge im Bereich Datenverarbeitung, Vertrge zur Wahrung von Betriebs-
geheimnissen.
Fragen:
Verlust der Vertraulichkeit
Erfordern gesetzliche Auflagen die Vertraulichkeit der Daten?
Ist im Falle einer Verffentlichung von Informationen mit Strafverfolgung oder Regressforderungen
zu rechnen?
Sind Vertrge einzuhalten, die die Wahrung der Vertraulichkeit bestimmter Informationen beinhalten?
Verlust der Integritt
Erfordern gesetzliche Auflagen die Integritt der Daten?
In welchem Mae wird durch einen Verlust der Integritt gegen Gesetze bzw.Vorschriften verstoen?
Verlust der Verfgbarkeit
Sind bei Ausfall der IT-Anwendung Verste gegen Vorschriften oder sogar Gesetze die Folge? Wenn
ja, in welchem Mae?
Schreiben Gesetze die dauernde Verfgbarkeit bestimmter Informationen vor?
Gibt es Termine, die bei Einsatz der IT-Anwendung zwingend einzuhalten sind?
Gibt es vertragliche Bindungen fr bestimmte einzuhaltende Termine?
Schadensszenario "Beeintrchtigung des informationellen Selbstbestimmungsrechts"
Bei der Implementation und dem Betrieb von IT-Systemen und IT-Anwendungen besteht die Gefahr
einer Verletzung des informationellen Selbstbestimmungsrechts bis hin zu einem Missbrauch perso-
nenbezogener Daten.
Beispiele fr die Beeintrchtigung des informationellen Selbstbestimmungsrechts sind:
- Unzulssige Erhebung personenbezogener Daten ohne Rechtsgrundlage oder Einwilligung,
- unbefugte Kenntnisnahme bei der Datenverarbeitung bzw. der bermittlung von personen-
bezogenen Daten,
- unbefugte Weitergabe personenbezogener Daten,
- Nutzung von personenbezogenen Daten zu einem anderen, als dem bei der Erhebung zulssigen
Zweck und
- Verflschung von personenbezogenen Daten in IT-Systemen oder bei der bertragung.
Die folgenden Fragen knnen zur Abschtzung mglicher Folgen und Schden herangezogen werden:
Fragen:
Verlust der Vertraulichkeit
Welche Schden knnen fr den Betroffenen entstehen, wenn seine personenbezogenen Daten nicht
vertraulich behandelt werden?
Werden personenbezogene Daten fr unzulssige Zwecke verarbeitet?
Ist es im Zuge einer zulssigen Verarbeitung personenbezogener Daten mglich, aus diesen Daten
z. B. auf den Gesundheitszustand oder die wirtschaftliche Situation einer Person zu schlieen?

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 48
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Welche Schden knnen durch den Missbrauch der gespeicherten personenbezogenen Daten
entstehen?
Verlust der Integritt
Welche Schden wrden fr den Betroffenen entstehen, wenn seine personenbezogenen Daten
unabsichtlich verflscht oder absichtlich manipuliert wrden?
Wann wrde der Verlust der Integritt personenbezogener Daten frhestens auffallen?
Verlust der Verfgbarkeit
Knnen bei Ausfall der IT-Anwendung oder bei einer Strung einer Datenbertragung personen-
bezogene Daten verloren gehen oder verflscht werden, so dass der Betroffene in seiner gesellschaft-
lichen Stellung beeintrchtigt wird oder gar persnliche oder wirtschaftliche Nachteile zu befrchten
hat?

Schadensszenario "Beeintrchtigung der persnlichen Unversehrtheit"


Die Fehlfunktion eines IT-Systems oder einer IT-Anwendung kann unmittelbar die Verletzung, die
Invaliditt oder den Tod von Personen nach sich ziehen. Die Hhe des Schadens ist am direkten
persnlichen Schaden zu messen.
Beispiele fr solche IT-Anwendungen und -Systeme sind:
- medizinische berwachungsrechner,
- medizinische Diagnosesysteme,
- Flugkontrollrechner und
- Verkehrsleitsysteme.
Fragen:
Verlust der Vertraulichkeit
Kann durch das Bekanntwerden personenbezogener Daten eine Person physisch oder psychisch
geschdigt werden?
Verlust der Integritt
Knnen durch manipulierte Programmablufe oder Daten Menschen gesundheitlich gefhrdet werden?
Verlust der Verfgbarkeit
Bedroht der Ausfall der IT-Anwendung oder des IT-Systems unmittelbar die persnliche Unversehrt-
heit von Personen?

Schadensszenario "Beeintrchtigung der Aufgabenerfllung"


Gerade der Verlust der Verfgbarkeit einer IT-Anwendung oder der Integritt der Daten kann die Auf-
gabenerfllung in einem Unternehmen oder in einer Behrde erheblich beeintrchtigen. Die Schwere
des Schadens richtet sich hierbei nach der zeitlichen Dauer der Beeintrchtigung und nach dem
Umfang der Einschrnkungen der angebotenen Dienstleistungen.
Beispiele sind:
- Fristversumnisse durch verzgerte Bearbeitung von Verwaltungsvorgngen,
- versptete Lieferung aufgrund verzgerter Bearbeitung von Bestellungen,

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 49
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

- fehlerhafte Produktion aufgrund falscher Steuerungsdaten und


- unzureichende Qualittssicherung durch Ausfall eines Testsystems.
Fragen:
Verlust der Vertraulichkeit
Gibt es Daten, deren Vertraulichkeit die Grundlage fr die Aufgabenerfllung ist (z. B. Strafver-
folgungsinformationen, Ermittlungsergebnisse)?
Verlust der Integritt
Knnen Datenvernderungen die Aufgabenerfllung dergestalt einschrnken, dass die Institution
handlungsunfhig wird?
Entstehen erhebliche Schden, wenn die Aufgaben trotz verflschter Daten wahrgenommen werden?
Wann werden unerlaubte Datenvernderungen frhestens erkannt?
Knnen verflschte Daten in der betrachteten IT-Anwendung zu Fehlern in anderen IT-Anwendungen
fhren?
Welche Folgen entstehen, wenn Daten flschlicherweise einer Person zugeordnet werden, die in
Wirklichkeit diese Daten nicht erzeugt hat?
Verlust der Verfgbarkeit
Kann durch den Ausfall der IT-Anwendung die Aufgabenerfllung der Institution so stark beeintrch-
tigt werden, dass die Wartezeiten fr die Betroffenen nicht mehr tolerabel sind?
Sind von dem Ausfall dieser IT-Anwendung andere IT-Anwendungen betroffen?
Ist es fr die Institution bedeutsam, dass der Zugriff auf IT-Anwendungen nebst Programmen und
Daten stndig gewhrleistet ist?
Schadensszenario "Negative Auenwirkung"
Durch den Verlust einer der Grundwerte Vertraulichkeit, Integritt oder Verfgbarkeit in einer IT-
Anwendung knnen verschiedenartige negative Auenwirkungen entstehen, zum Beispiel:
- Ansehensverlust einer Behrde bzw. eines Unternehmens,
- Vertrauensverlust gegenber einer Behrde bzw. einem Unternehmen,
- Beeintrchtigung der wirtschaftlichen Beziehungen zusammenarbeitender Unternehmen,
- verlorenes Vertrauen in die Arbeitsqualitt einer Behrde bzw. eines Unternehmens und
- Einbue der Konkurrenzfhigkeit.
Die Hhe des Schadens orientiert sich an der Schwere des Vertrauensverlustes oder des Verbrei-
tungsgrades der Auenwirkung.
Ursachen fr diese Schden knnen vielfltiger Natur sein:
- Handlungsunfhigkeit einer Institution durch IT-Ausfall,
- fehlerhafte Verffentlichungen durch manipulierte Daten,
- Fehlbestellungen durch mangelhafte Lagerhaltungsprogramme,
- Nichteinhaltung von Verschwiegenheitserklrungen,
- Weitergabe von Fahndungsdaten an interessierte Dritte und
- Zuspielen vertraulicher Informationen an die Presse.
Fragen
Verlust der Vertraulichkeit

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 50
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Welche Konsequenzen ergeben sich fr die Institution durch die unerlaubte Verffentlichung der fr
die IT-Anwendung gespeicherten schutzbedrftigen Daten?
Kann der Vertraulichkeitsverlust der gespeicherten Daten zu einer Schwchung der Wettbewerbs-
position fhren?
Entstehen bei Verffentlichung von vertraulichen gespeicherten Daten Zweifel an der amtlichen
Verschwiegenheit?
Knnen Verffentlichungen von Daten zur politischen oder gesellschaftlichen Verunsicherung fhren?
Verlust der Integritt
Welche Schden knnen sich durch die Verarbeitung, Verbreitung oder bermittlung falscher oder
unvollstndiger Daten ergeben?
Wird die Verflschung von Daten ffentlich bekannt?
Entstehen bei einer Verffentlichung von verflschten Daten Ansehensverluste?
Knnen Verffentlichungen von verflschten Daten zur politischen oder gesellschaftlichen Verun-
sicherung fhren?
Knnen verflschte Daten zu einer verminderten Produktqualitt und damit zu einem Ansehensverlust
fhren?
Verlust der Verfgbarkeit
Schrnkt der Ausfall der IT-Anwendung die Informationsdienstleistungen fr Externe ein?
Wird der (vorbergehende) Ausfall der IT-Anwendung extern bemerkt?
Schadensszenario "Finanzielle Auswirkungen"
Unmittelbare oder mittelbare finanzielle Schden knnen durch den Verlust der Vertraulichkeit
schutzbedrftiger Daten, die Vernderung von Daten oder den Ausfall einer IT-Anwendung entstehen.
Beispiele dafr sind:
- unerlaubte Weitergabe von Forschungs- und Entwicklungsergebnissen,
- Manipulation von finanzwirksamen Daten in einem Abrechnungssystem,
- Ausfall eines IT-gesteuerten Produktionssystems und dadurch bedingte Umsatzverluste,
- Einsichtnahme in Marketingstrategiepapiere oder Umsatzzahlen,
- Ausfall eines Buchungssystems einer Reisegesellschaft,
- Ausfall eines E-Commerce-Servers,
- Zusammenbruch des Zahlungsverkehrs einer Bank,
- Diebstahl oder Zerstrung von Hardware.
Die Hhe des Gesamtschadens setzt sich zusammen aus den direkt und indirekt entstehenden Kosten,
etwa durch Sachschden, Schadenersatzleistungen und Kosten fr zustzlichen Aufwand (z. B.
Wiederherstellung).
Fragen
Verlust der Vertraulichkeit
Kann die Verffentlichung vertraulicher Informationen Regressforderungen nach sich ziehen?
Gibt es in der IT-Anwendung Daten, aus deren Kenntnis ein Dritter (z. B. Konkurrenzunternehmen)
finanzielle Vorteile ziehen kann?

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 51
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Werden mit der IT-Anwendung Forschungsdaten gespeichert, die einen erheblichen Wert darstellen?
Was passiert, wenn sie unerlaubt kopiert und weitergegeben werden?
Knnen durch vorzeitige Verffentlichung von schutzbedrftigen Daten finanzielle Schden
entstehen?
Verlust der Integritt
Knnen durch Datenmanipulationen finanzwirksame Daten so verndert werden, dass finanzielle
Schden entstehen?
Kann die Verffentlichung falscher Informationen Regressforderungen nach sich ziehen?
Knnen durch verflschte Bestelldaten finanzielle Schden entstehen (z. B. bei Just-in-Time Produk-
tion)?
Knnen verflschte Daten zu falschen Geschftsentscheidungen fhren?
Verlust der Verfgbarkeit
Wird durch den Ausfall der IT-Anwendung die Produktion, die Lagerhaltung oder der Vertrieb
beeintrchtigt?
Ergeben sich durch den Ausfall der IT-Anwendung finanzielle Verluste aufgrund von verzgerten
Zahlungen bzw. Zinsverlusten?
Wie hoch sind die Reparatur- oder Wiederherstellungskosten bei Ausfall, Defekt, Zerstrung oder
Diebstahl des IT-Systems?
Kann es durch Ausfall der IT-Anwendung zu mangelnder Zahlungsfhigkeit oder zu Konventional-
strafen kommen?
Wieviele wichtige Kunden wren durch den Ausfall der IT-Anwendung betroffen?
Schritt 3: Dokumentation der Ergebnisse
Es bietet sich an, den oben ermittelten Schutzbedarf der einzelnen IT-Anwendungen in einer Tabelle
zu dokumentieren. Diese zentrale Dokumentation bietet den Vorteil, dass bei der nachfolgenden
Schutzbedarfsfeststellung fr IT-Systeme darauf referenziert werden kann.
Dabei ist darauf zu achten, dass nicht nur die Festlegung des Schutzbedarfs dokumentiert wird,
sondern auch die entsprechenden Begrndungen. Diese Begrndungen erlauben es spter, die Fest-
legungen nachzuvollziehen und weiterzuverwenden.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 4
In der nachfolgenden Tabelle werden die wesentlichen IT-Anwendungen, deren Schutzbedarf und die
entsprechenden Begrndungen erfasst.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 52
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

IT-Anwendung Schutzbedarfsfeststellung
Nr. Bezeichnung pers. Grund- Schutz- Begrndung
Daten wert bedarf
A1 Personaldatenverarbei X Vertrau- hoch Personaldaten sind besonders
tung lichkeit schutzbedrftige personenbezogene
Daten, deren Bekanntwerden die
Betroffenen erheblich beeintrchtigen
knnen.
Integritt mittel Der Schutzbedarf ist nur mittel, da
Fehler rasch erkannt und die Daten
nachtrglich korrigiert werden knnen.
Verfg- mittel Ausflle bis zu einer Woche knnen
barkeit mittels manueller Verfahren
berbrckt werden.
A2 Beihilfeabwicklung X Vertrau- hoch Beihilfedaten sind besonders
lichkeit schutzbedrftige personenbezogene
Daten, die z. T. auch Hinweise auf
Erkrankungen und rztliche Befunde
enthalten. Ein Bekanntwerden kann die
Betroffenen erheblich beeintrchtigen.
Integritt mittel Der Schutzbedarf ist nur mittel, da
Fehler rasch erkannt und die Daten
nachtrglich korrigiert werden knnen.
Verfg- mittel Ausflle bis zu einer Woche knnen
barkeit mittels manueller Verfahren
berbrckt werden.

An dieser Stelle kann es sinnvoll sein, ber diese Informationen hinaus den Schutzbedarf auch aus
einer gesamtheitlichen Sicht der Geschftsprozesse oder Fachaufgaben zu betrachten. Dazu bietet es
sich an, den Zweck einer IT-Anwendung in einem Geschftsprozess oder in einer Fachaufgabe zu
beschreiben und daraus wiederum deren Bedeutung abzuleiten. Diese Bedeutung kann wie folgt klas-
sifiziert werden:
Die Bedeutung der IT-Anwendung ist fr den Geschftsprozess bzw. die Fachaufgabe:
- niedrig bis mittel: Der Geschftsprozess bzw. die Fachaufgabe kann mit tolerierbarem Mehrauf-
wand mit anderen Mitteln (z. B. manuell) durchgefhrt werden.
- hoch: Der Geschftsprozess bzw. die Fachaufgabe kann nur mit deutlichem Mehraufwand mit
anderen Mitteln durchgefhrt werden.
- sehr hoch: Der Geschftsprozess bzw. die Fachaufgabe kann ohne die IT-Anwendung berhaupt
nicht durchgefhrt werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 53
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Der Vorteil, eine solche ganzheitliche Zuordnung vorzunehmen, liegt insbesondere darin, dass bei der
Schutzbedarfsfeststellung die Leitungsebene als Regulativ fr den Schutzbedarf der einzelnen IT-
Anwendungen agieren kann. So kann es sein, dass ein Verantwortlicher fr eine IT-Anwendung deren
Schutzbedarf aus seiner Sicht als "niedrig" einschtzt, die Leitungsebene aus Sicht des Geschfts-
prozesses bzw. der Fachaufgabe diese Einschtzung jedoch nach oben korrigiert.
Diese optionalen Angaben sollten ebenfalls tabellarisch dokumentiert werden.

Schutzbedarfsfeststellung fr IT-Systeme
Um den Schutzbedarf eines IT-Systems festzustellen, mssen zunchst die IT-Anwendungen betrach-
tet werden, die in direktem Zusammenhang mit dem IT-System stehen. Eine bersicht, welche IT-
Anwendungen relevant sind, wurde im Schritt "Erfassung der IT-Anwendungen und der zugehrigen
Informationen" ermittelt.
Zur Ermittlung des Schutzbedarfs des IT-Systems mssen nun die mglichen Schden der relevanten
IT-Anwendungen in ihrer Gesamtheit betrachtet werden. Im Wesentlichen bestimmt der Schaden bzw.
die Summe der Schden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines IT-
Systems (Maximum-Prinzip).
Bei der Betrachtung der mglichen Schden und ihrer Folgen muss auch beachtet werden, dass IT-
Anwendungen eventuell Arbeitsergebnisse anderer IT-Anwendungen als Input nutzen. Eine - fr sich
betrachtet - weniger bedeutende IT-Anwendung A kann wesentlich an Wert gewinnen, wenn eine
andere, wichtige IT-Anwendung B auf ihre Ergebnisse angewiesen ist. In diesem Fall muss der
ermittelte Schutzbedarf der IT-Anwendung B auch auf die IT-Anwendung A bertragen werden.
Handelt es sich dabei um IT-Anwendungen verschiedener IT-Systeme, dann mssen Schutzbedarfs-
anforderungen des einen IT-Systems auch auf das andere bertragen werden (Beachtung von
Abhngigkeiten).
Werden mehrere IT-Anwendungen bzw. Informationen auf einem IT-System verarbeitet, so ist zu
berlegen, ob durch Kumulation mehrerer (z. B. kleinerer) Schden auf einem IT-System ein insge-
samt hherer Gesamtschaden entstehen kann. Dann erhht sich der Schutzbedarf des IT-Systems
entsprechend (Kumulationseffekt).
Beispiel: Auf einem Netz-Server befinden sich smtliche fr den Schreibdienst bentigten IT-Anwen-
dungen einer Institution. Der Schaden bei Ausfall einer dieser IT-Anwendungen wurde als gering ein-
geschtzt, da gengend Ausweichmglichkeiten vorhanden sind. Fllt jedoch der Server (und damit
alle IT-Anwendungen) aus, so ist der dadurch entstehende Schaden deutlich hher zu bewerten. Die
Aufgabenerfllung innerhalb der notwendigen Zeitspanne kann u. U. nicht mehr gewhrleistet werden.
Daher ist auch der Schutzbedarf dieser "zentralen" Komponenten entsprechend hher zu bewerten.
Auch der umgekehrte Effekt kann eintreten. So ist es mglich, dass eine IT-Anwendung einen hohen
Schutzbedarf besitzt, ihn aber deshalb nicht auf ein betrachtetes IT-System bertrgt, weil auf diesem
IT-System nur unwesentliche Teilbereiche der IT-Anwendung laufen. Hier ist der Schutzbedarf zu
relativieren (Verteilungseffekt).
Beispiele: Der Verteilungseffekt tritt hauptschlich bezglich des Grundwertes Verfgbarkeit auf. So
kann bei redundanter Auslegung von IT-Systemen der Schutzbedarf der Einzelkomponenten niedriger
sein als der Schutzbedarf der Gesamtanwendung. Auch im Bereich der Vertraulichkeit sind Vertei-
lungseffekte vorstellbar: Falls sichergestellt ist, dass ein Client nur unkritische Daten einer hochver-
traulichen Datenbankanwendung abrufen kann, so besitzt der Client im Gegensatz zum Datenbank-
server nur einen geringen Schutzbedarf.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 54
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Darstellung der Ergebnisse


Die Ergebnisse der Schutzbedarfsfeststellung der IT-Systeme sollten wiederum in einer Tabelle fest-
gehalten werden. Darin sollte verzeichnet sein, welchen Schutzbedarf jedes IT-System bezglich
Vertraulichkeit, Integritt und Verfgbarkeit hat. Besonderer Wert ist auf die Begrndung der
Einschtzungen zu legen, damit diese auch fr Auenstehende nachvollziehbar sind. Hier kann auf
die Schutzbedarfsfeststellung der IT-Anwendung zurckverwiesen werden.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 5
Eine solche Tabelle knnte beispielsweise wie folgt aussehen:

IT-System Schutzbedarfsfeststellung
Nr. Beschreibung Grundwert Schutz- Begrndung
bedarf
S1 Server fr Vertraulichk hoch Maximumprinzip.
Personalverwaltung eit
Integritt mittel Maximumprinzip.
Verfgbarkei mittel Maximumprinzip.
t
S2 Primrer Domnen- Vertraulichk mittel Maximumprinzip.
Controller eit
Integritt hoch Maximumprinzip.
Verfgbarkei mittel Gem der Schutzbedarfsfeststellung fr
t Anwendung A4 ist von einem hohen
Schutzbedarf fr diesen Grundwert auszugehen.
Zu bercksichtigen ist aber, dass diese
Anwendung auf zwei Rechnersysteme verteilt
ist. Eine Authentisierung ber den Backup
Domnen-Controller in Berlin ist fr die
Mitarbeiter des Bonner Standortes ebenfalls
mglich. Ein Ausfall des Primren Domnen-
Controllers kann bis zu 72 Stunden
hingenommen werden. Der Schutzbedarf ist
aufgrund dieses Verteilungseffekts daher
"mittel".

Hinweise: Besitzen die meisten IT-Anwendungen auf einem IT-System nur einen mittleren Schutz-
bedarf und sind nur eine oder wenige hochschutzbedrftig, so kann unter Kostengesichtspunkten in
Erwgung gezogen werden, diese wenigen auf ein isoliertes IT-System auszulagern. Eine solche
Alternative kann dem Management zur Entscheidung vorgelegt werden.
Hilfsmittel:
Fr die Durchfhrung der Schutzbedarfsfeststellung wurden als Hilfsmittel Formbltter entwickelt, die
sich auf der CD-ROM zum Handbuch befinden (siehe Anhang: Hilfsmittel).

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 55
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Schutzbedarfsfeststellung fr Kommunikationsverbindungen
Nachdem im vorhergehenden Abschnitt die Schutzbedarfsfeststellung fr die betrachteten IT-Systeme
abgeschlossen wurde, soll nun der Schutzbedarf bezglich der Vernetzungsstruktur erarbeitet werden.
Grundlage fr die weiteren berlegungen ist wiederum der in Kapitel 2.1 erarbeitete Netzplan des zu
untersuchenden IT-Verbunds.
Um die Entscheidungen vorzubereiten, auf welchen Kommunikationsstrecken kryptographische
Sicherheitsmanahmen eingesetzt werden sollten, welche Strecken redundant ausgelegt sein sollten
und ber welche Verbindungen Angriffe durch Innen- und Auentter zu erwarten sind, mssen nach
den IT-Systemen die Kommunikationsverbindungen betrachtet werden. Hierbei werden folgende
Kommunikationsverbindungen als kritisch gewertet:
- Kommunikationsverbindungen, die Auenverbindungen darstellen, d. h. die in oder ber
unkontrollierte Bereiche fhren (z. B. ins Internet oder ber ffentliches Gelnde). Hier besteht die
Gefahr, dass von auen Penetrationsversuche auf das zu schtzende System vorgenommen oder
dass Computer-Viren bzw. trojanische Pferde eingespielt werden. Darber hinaus kann auch ein
Innentter ber eine solche Verbindung vertrauliche Informationen nach auen bertragen.
- Kommunikationsverbindungen, ber die hochschutzbedrftige Informationen bertragen werden,
wobei dies sowohl Informationen mit einem hohen Anspruch an Vertraulichkeit wie auch Integritt
oder Verfgbarkeit sein knnen. Diese Verbindungen knnen das Angriffsziel vorstzlichen
Abhrens oder vorstzlicher Manipulation sein. Darber hinaus kann der Ausfall einer solchen
Verbindung die Funktionsfhigkeit wesentlicher Teile des IT-Verbundes beeintrchtigen.
- Kommunikationsverbindungen, ber die bestimmte hochschutzbedrftige Informationen nicht
bertragen werden drfen. Hierbei kommen insbesondere vertrauliche Informationen in Betracht.
Falls Netzkoppelelemente ungeeignet oder falsch konfiguriert sind, kann der Fall eintreten, dass
ber eine solche Verbindung die Informationen, die gerade nicht bertragen werden sollen, trotz-
dem bertragen und damit angreifbar werden.
Bei der Erfassung der kritischen Kommunikationsverbindungen kann wie folgt vorgegangen werden.
Zunchst werden smtliche "Auenverbindungen" als kritische Verbindungen identifiziert und erfasst.
Anschlieend untersucht man smtliche Verbindungen, die von einem IT-System mit hohem oder sehr
hohem Schutzbedarf ausgehen. Dabei werden diejenigen Verbindungen identifiziert, ber die hoch-
schutzbedrftige Informationen bertragen werden. Danach untersucht man die Verbindungen, ber
die diese hochschutzbedrftigen Daten weiterbertragen werden. Abschlieend sind die Kommuni-
kationsverbindungen zu identifizieren, ber die derlei Informationen nicht bertragen werden drfen.
Zu erfassen sind dabei:
- die Verbindungsstrecke,
- ob es sich um eine Auenverbindung handelt,
- ob hochschutzbedrftige Informationen bertragen werden und ob der Schutzbedarf aus der
Vertraulichkeit, Integritt oder Verfgbarkeit resultiert und
- ob hochschutzbedrftige Informationen nicht bertragen werden drfen.
Sinnvollerweise knnen die dabei erfassten Daten tabellarisch dokumentiert oder graphisch im Netz-
plan hervorgehoben werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 56
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 6


Fr das fiktive Beispiel BOV ergeben sich folgende kritischen Verbindungen:

In der graphischen Darstellung sind die kritischen Verbindungen durch "fette" Linien markiert. Die
Zahlen neben den Linien kennzeichnen den Grund (bzw. die Grnde), warum die jeweilige Verbin-
dung kritisch ist, und sind in den Spaltenkpfen der nachfolgenden Tabelle erlutert.

Kritisch aufgrund
1 2 3 4 5
Verbindung Auen- hohe Ver- hohe hohe Ver- keine
verbindung traulichkeit Integritt fgbarkeit bertragung
N1 - Internet X
N5 - N6 X
S1 - N4 X
S3 - N3 X
S4 - N3 X
S5 - N3 X
C1 - N4 X
N1 - N2 X X
N2 - N3 X
N4 - N3 X

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 57
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Besonderer Wert sollte bei dieser Erhebung darauf gelegt werden, dass die erstellte bersicht voll-
stndig ist. Nur eine bersehene kritische Verbindung kann die Gesamtsicherheit unterlaufen. So
sollten zum Beispiel alle eingesetzten Modems erfasst sein, da von ihnen potentiell kritische Verbin-
dungen nach auen ausgehen knnen. Oftmals jedoch werden diese Modem-Auenverbindungen als
Prestige-Objekte betrachtet, deren Existenz geleugnet wird, um sich einen persnlichen Vorteil zu ver-
schaffen. Oder Modems werden als Verbrauchsmaterial beschafft und eingestuft, ohne dass IT-
Verantwortliche ber deren Einsatzzweck informiert sind. Im Sinne einer vollstndigen IT-Sicherheit
drfen derlei kritische Gerte und Verbindungen jedoch nicht bergangen werden.
Schutzbedarfsfeststellung fr IT-Rume
Fr die weitere Vorgehensweise der Modellierung nach IT-Grundschutz und fr die Planung des Soll-
Ist-Vergleichs ist es hilfreich, eine bersicht ber die Rume zu erstellen, in denen IT-Systeme
aufgestellt oder die fr den IT-Betrieb genutzt werden. Dazu gehren Rume, die ausschlielich dem
IT-Betrieb dienen (wie Serverrume, Datentrgerarchive), oder solche, in denen unter anderem IT-
Systeme betrieben werden (wie Brorume). Wenn IT-System statt in einem speziellen Technikraum
in einem Schutzschrank untergebracht sind, ist der Schutzschrank wie ein Raum zu erfassen.
Hinweis: Bei der Erfassung der IT-Systeme sind schon die Aufstellungsorte miterfasst worden.
Anschlieend sollte aus den Ergebnissen der Schutzbedarfsfeststellung der IT-Systeme abgeleitet
werden, welcher Schutzbedarf fr die jeweiligen Rume resultiert. Dieser Schutzbedarf leitet sich aus
dem Schutzbedarf der im Raum installierten IT-Systeme oder beherbergten Datentrger nach dem
Maximum-Prinzip ab. Dabei sollte zustzlich ein mglicher Kumulationseffekt bercksichtigt werden,
wenn sich in einem Raum eine grere Anzahl von IT-Systemen befindet, wie typischerweise bei
Serverrumen. Zustzlich sollte eine Begrndung der Schutzbedarfseinschtzung dokumentiert
werden.
Hilfreich ist auch hier eine tabellarische Erfassung der notwendigen Informationen.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 7
Ein Auszug aus dem Ergebnis fr das BOV ist folgende Tabelle:
Raum IT Schutzbedarf
Bezeich- Art Lokation IT-Systeme / Datentrger Vertrau- Integrit Verfg-
nung lichkeit t barkeit
R U.02 Datentrger-archiv Gebude Bonn Backup-Datentrger hoch hoch mittel
(Wochen-sicherung der
Server S1 bis S5)
R B.02 Technikraum Gebude Bonn TK-Anlage mittel mittel hoch
R 1.01 Serverraum Gebude Bonn S1, N4 hoch hoch mittel
R 1.02 - R Brorume Gebude Bonn C1 hoch mittel mittel
1.06
R 3.11 Schutzschrank im Gebude Bonn Backup-Datentrger hoch hoch mittel
Raum R 3.11 (Tagessicherung der
Server S1 bis S5)
R E.03 Serverraum Gebude Berlin S6, N6, N7 mittel hoch hoch
R 2.01 - R Brorume Gebude Berlin C4, einige mit Faxgerten mittel mittel mittel
2.40

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 58
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________

Interpretation der Ergebnisse der Schutzbedarfsfeststellung


Die bei der Schutzbedarfsfeststellung erzielten Ergebnisse bieten einen Anhaltspunkt fr die weitere
Vorgehensweise der IT-Sicherheitskonzeption. Fr den Schutz, der von den in diesem Handbuch
empfohlenen Standard-Sicherheitsmanahmen ausgeht, wird bezglich der Schutzbedarfskategorien
folgendes angenommen:

Schutzwirkung von Standard-Sicherheitsmanahmen nach IT-Grundschutz


Schutzbedarfskategorie "niedrig bis mittel" Standard-Sicherheitsmanahmen nach IT-Grundschutz
sind im Allgemeinen ausreichend und angemessen.
Schutzbedarfskategorie "hoch" Standard-Sicherheitsmanahmen nach IT-Grundschutz
bilden einen Basisschutz, sind aber unter Umstnden
alleine nicht ausreichend. Weitergehende Manahmen
knnen auf Basis einer ergnzenden Sicherheitsanalyse
ermittelt werden.
Schutzbedarfskategorie "sehr hoch" Standard-Sicherheitsmanahmen nach IT-Grundschutz
bilden einen Basisschutz, reichen aber alleine i. A.
nicht aus. Die erforderlichen zustzlichen Sicherheits-
manahmen mssen individuell auf der Grundlage
einer ergnzenden Sicherheitsanalyse ermittelt werden.

Wird der Schutzbedarf fr ein IT-System als "mittel" definiert, so reicht es aus, die Standard-
manahmen nach IT-Grundschutz pauschal umzusetzen. Fr IT-Systeme, Netzverbindungen und
Rume mit IT-Nutzung mit "hohem" und besonders mit "sehr hohem" Schutzbedarf sollte eine
ergnzende Sicherheitsanalyse eingeplant werden. Ebenso sollte bei diesen Komponenten im Soll-Ist-
Vergleich der hohe Schutzbedarf bei der Bearbeitung von als "optional" gekennzeichneten Manah-
men bercksichtigt werden. So kann beispielsweise die Manahme M 1.10 Verwendung von Sicher-
heitstren in einem Serverraum mit mittlerem Schutzbedarf nicht notwendig, bei hohem Schutzbedarf
an Vertraulichkeit aber dringend erforderlich sein.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 59
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

2.3 Modellierung nach IT-


Grundschutz
Nachdem die notwendigen Informationen aus der IT-
Strukturanalyse und der Schutzbedarfsfeststellung
vorliegen, besteht die nchste zentrale Aufgabe darin, den
betrachteten IT-Verbund mit Hilfe der vorhandenen
Bausteine des IT-Grundschutzhandbuchs nachzubilden.
Als Ergebnis wird ein IT-Grundschutzmodell des IT-
Verbunds erstellt, das aus verschiedenen, ggf. auch
mehrfach verwendeten Bausteinen des Handbuchs
besteht und eine Abbildung zwischen den Bausteinen und
den sicherheitsrelevanten Aspekten des IT-Verbunds
beinhaltet.
Das erstellte IT-Grundschutzmodell ist unabhngig davon, ob der IT-Verbund aus bereits im Einsatz
befindlichen IT-Systemen besteht oder ob es sich um einen IT-Verbund handelt, der sich erst im Pla-
nungsstadium befindet. Jedoch kann das Modell unterschiedlich verwendet werden:
- Das IT-Grundschutzmodell eines bereits realisierten IT-Verbunds identifiziert ber die verwen-
deten Bausteine die relevanten Standard-Sicherheitsmanahmen. Es kann in Form eines Prfplans
benutzt werden, um einen Soll-Ist-Vergleich durchzufhren.
- Das IT-Grundschutzmodell eines geplanten IT-Verbunds stellt hingegen ein Entwicklungskonzept
dar. Es beschreibt ber die ausgewhlten Bausteine, welche Standard-Sicherheitsmanahmen bei
der Realisierung des IT-Verbunds umgesetzt werden mssen.
Die Einordnung der Modellierung und die mglichen Ergebnisse verdeutlicht das folgende Bild:

Bild: Ergebnis der Modellierung nach IT-Grundschutz


Typischerweise wird ein im Einsatz befindlicher IT-Verbund sowohl realisierte als auch in Planung
befindliche Anteile besitzen. Das resultierende IT-Grundschutzmodell beinhaltet dann sowohl einen
Prfplan wie auch Anteile eines Entwicklungskonzepts. Die IT-Sicherheitsmanahmen, die bei Durch-
fhrung des Soll-Ist-Vergleichs als unzureichend oder fehlend identifiziert werden, und diejenigen, die
sich fr die in Planung befindlichen Anteile des IT-Verbunds ergeben, bilden dann gemeinsam die
Basis fr die Erstellung des IT-Sicherheitskonzepts.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 60
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

Fr die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine des Handbuchs
bietet es sich an, die IT-Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.

Bild: Schichten des IT-Grundschutzmodells


Die IT-Sicherheitsaspekte eines IT-Verbunds werden wie folgt den einzelnen Schichten zugeordnet:
- Schicht 1 umfasst smtliche bergreifenden IT-Sicherheitsaspekte, die fr smtliche oder groe
Teile des IT-Verbunds gleichermaen gelten. Dies betrifft insbesondere bergreifende Konzepte
und die daraus abgeleiteten Regelungen. Typische Bausteine der Schicht 1 sind unter anderem IT-
Sicherheitsmanagement, Organisation, Datensicherungskonzept und Computer-Virenschutzkon-
zept.
- Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten, in der Aspekte der infrastruktu-
rellen Sicherheit zusammengefhrt werden. Dies betrifft insbesondere die Bausteine Gebude,
Rume, Schutzschrnke und huslicher Arbeitsplatz.
- Schicht 3 betrifft die einzelnen IT-Systeme des IT-Verbunds, die ggf. in Gruppen zusammengefasst
wurden. Hier werden die IT-Sicherheitsaspekte sowohl von Clients als auch von Servern, aber auch
von Stand-alone-Systemen behandelt. In die Schicht 3 fallen damit beispielsweise die Bausteine
Unix-System, Tragbarer PC, Windows NT Netz und TK-Anlage.
- Schicht 4 betrachtet die Vernetzungsaspekte der IT-Systeme, die sich nicht auf bestimmte IT-Sys-
teme, sondern auf die Netzverbindungen und die Kommunikation beziehen. Dazu gehren zum
Beispiel die Bausteine Heterogene Netze, Netz- und Systemmanagement und Firewall.
- Schicht 5 schlielich beschftigt sich mit den eigentlichen IT-Anwendungen, die im IT-Verbund
genutzt werden. In dieser Schicht knnen unter anderem die Bausteine E-Mail, WWW-Server,
Faxserver und Datenbanken zur Modellierung verwendet werden.
Die Einteilung in diese Schichten hat folgende Vorteile:
- Die Komplexitt der IT-Sicherheit wird reduziert, indem eine sinnvolle Aufteilung der Einzelas-
pekte vorgenommen wird.
- Da bergeordnete Aspekte und gemeinsame infrastrukturelle Fragestellungen getrennt von den IT-
Systemen betrachtet werden, werden Redundanzen vermieden, weil diese Aspekte nur einmal be-
arbeitet werden mssen und nicht wiederholt fr jedes IT-System.
- Die einzelnen Schichten sind so gewhlt, dass auch die Zustndigkeiten fr die betrachteten As-
pekte gebndelt sind. Schicht 1 betrifft Grundsatzfragen des IT-Einsatzes, Schicht 2 den Bereich
Haustechnik, Schicht 3 die Ebene der Administratoren und IT-Nutzer, Schicht 4 die Netz- und
Systemadministratoren und Schicht 5 schlielich die IT-Anwendungsverantwortlichen und
-betreiber.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 61
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

- Aufgrund der Aufteilung der Sicherheitsaspekte in Schichten knnen Einzelaspekte in resultieren-


den IT-Sicherheitskonzepten leichter aktualisiert und erweitert werden, ohne dass andere Schichten
umfangreich tangiert werden.
Die Modellierung nach IT-Grundschutz besteht nun daraus, fr die Bausteine einer jeden Schicht zu
entscheiden, ob und wie sie zur Abbildung des IT-Verbunds herangezogen werden knnen. Je nach
betrachtetem Baustein knnen die Zielobjekte dieser Abbildung von unterschiedlicher Art sein: ein-
zelne Komponenten, Gruppen von Komponenten, Gebude, Liegenschaften, Organisationseinheiten,
usw.
Das IT-Grundschutzmodell, also die Zuordnung von Bausteinen zu Zielobjekten sollte in Form einer
Tabelle mit folgenden Spalten dokumentiert werden:
- Nummer und Titel des Bausteins
- Zielobjekt oder Zielgruppe: Dies kann z. B. die Identifikationsnummer einer Komponente oder
einer Gruppe bzw. der Name eines Gebudes oder einer Organisationseinheit sein.
- Ansprechpartner: Diese Spalte dient zunchst nur als Platzhalter. Der Ansprechpartner wird nicht
im Rahmen der Modellierung, sondern erst bei der Planung des eigentlichen Soll-Ist-Vergleichs im
Basis-Sicherheitscheck ermittelt.
- Hinweise: In dieser Spalte knnen Randinformationen und Begrndungen fr die Modellierung
dokumentiert werden.
Nachfolgend wird in Kapitel 2.3.1 die Vorgehensweise der Modellierung fr einen IT-Verbund detail-
liert beschrieben. Dabei wird besonderer Wert auf die Randbedingungen gelegt, wann ein einzelner
Baustein sinnvollerweise eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist.
In Kapitel 2.3.2 werden einige Hinweise fr den Fall beschrieben, dass IT-Komponenten vorhanden
sind, zu denen es keine Bausteine oder Manahmen im IT-Grundschutzhandbuch gibt. Dies knnen
z. B. neue Betriebssysteme, Proxy-Server, PKI oder drahtlose Netze sein.

2.3.1 Modellierung eines IT-Verbunds


Bei der Modellierung eines IT-Verbunds ist es zweckmig, die Zuordnung der Bausteine anhand des
Schichtenmodells vorzunehmen. Daran anschlieend folgt schlielich die Vollstndigkeitsprfung.
zu Schicht 1: bergeordnete Aspekte der IT-Sicherheit
In dieser Schicht werden alle Aspekte des IT-Verbunds modelliert, die den technischen Komponenten
bergeordnet sind. Im Vordergrund stehen dabei Konzepte und die von diesen Konzepten abgeleiteten
Regelungen. Diese Aspekte sollten fr den gesamten IT-Verbund einheitlich geregelt sein, so dass die
entsprechenden Bausteine in den meisten Fllen nur einmal fr den gesamten IT-Verbund anzuwenden
sind. Dem IT-Sicherheitsmanagement, der Organisation des IT-Betriebs sowie der Schulung und Sen-
sibilisierung des Personals kommt dabei eine besondere Bedeutung zu. Die Umsetzung der diesbezg-
lichen Manahmen ist von grundlegender Bedeutung fr die sichere Nutzung von Informations- und
Kommunikationstechnik. Unabhngig von den eingesetzten technischen Komponenten sind die ent-
sprechenden Bausteine daher immer anzuwenden.
- Der Baustein 3.0 IT-Sicherheitsmanagement ist fr den gesamten IT-Verbund einmal anzuwen-
den. Ein funktionierendes IT-Sicherheitsmanagement ist die wesentliche Grundlage fr die Errei-
chung eines angemessenen Sicherheitsniveaus. Im Fall von Outsourcing muss der Baustein auch
auf den Outsourcing-Dienstleister angewendet werden, wenn sich wesentliche Teile des IT-Ver-

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 62
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

bunds unter seiner Kontrolle befinden oder der Schutzbedarf der ausgelagerten Komponenten hoch
ist.
- Der Baustein 3.1 Organisation muss fr jeden IT-Verbund mindestens einmal herangezogen wer-
den. Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisationseinheit zugeordnet sind
und daher anderen Rahmenbedingungen unterliegen, sollte er auf jede Organisationseinheit ge-
trennt angewandt werden. Ein wichtiger Spezialfall dessen liegt vor, wenn Teile des IT-Verbunds
im Outsourcing betrieben werden.
- Der Baustein 3.2 Personal muss fr jeden IT-Verbund mindestens einmal herangezogen werden.
Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisation(-seinheit) zugeordnet sind
und daher anderen Rahmenbedingungen unterliegen, sollten er auf jede Organisation(-seinheit) ge-
trennt angewandt werden. Ein wichtiger Spezialfall ist hier, dass Teile des IT-Verbunds im Out-
sourcing betrieben werden.
- Der Baustein 3.3 Notfallvorsorge-Konzept ist zumindest dann anzuwenden, wenn in der Schutz-
bedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbe-
darf in Bezug auf Verfgbarkeit haben oder wenn grere IT-Systeme bzw. umfangreiche Netze
betrieben werden. Bei der Bearbeitung des Bausteins ist besonderes Augenmerk auf diese Kompo-
nenten zu richten.
- Der Baustein 3.4 Datensicherungskonzept ist fr den gesamten IT-Verbund einmal anzuwenden.
- Der Baustein 3.6 Computer-Virenschutzkonzept ist fr den gesamten IT-Verbund einmal anzu-
wenden, soweit im betrachteten IT-Verbund Systeme enthalten sind, die von Computer-Viren be-
fallen werden knnen.
- Der Baustein 3.7 Kryptokonzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfest-
stellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Be-
zug auf Vertraulichkeit oder Integritt haben, oder wenn bereits kryptographische Verfahren im
Einsatz sind.
- Der Baustein 3.8 Behandlung von Sicherheitsvorfllen ist zumindest dann anzuwenden, wenn in
der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen
Schutzbedarf in Bezug auf einen der drei Grundwerte haben, oder wenn der Ausfall des gesamten
IT-Verbunds einen Schaden in den Kategorien hoch oder sehr hoch zur Folge hat.
- Der Baustein 3.9 Hard- und Software-Management muss fr jeden IT-Verbund mindestens ein-
mal herangezogen werden. Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisati-
onseinheit zugeordnet sind und daher anderen Rahmenbedingungen unterliegen, sollte er auf jede
Organisationseinheit getrennt angewandt werden. Ein wichtiger Spezialfall dessen liegt vor, wenn
Teile des IT-Verbunds im Outsourcing betrieben werden.
- Der Baustein 3.10 Outsourcing ist immer dann anzuwenden, wenn IT-Systeme, Anwendungen
oder Geschftsprozesse zu einem externen Dienstleister ausgelagert werden. Gibt es in einem IT-
Verbund verschiedene ausgelagerte Komponenten bei unterschiedlichen Dienstleistern, ist der Bau-
stein fr jeden externen Dienstleister einmal anzuwenden.
- Der Baustein 9.1 Standardsoftware sollte zumindest einmal fr den gesamten IT-Verbund ange-
wandt werden. Gibt es innerhalb des IT-Verbunds Teilbereiche mit unterschiedlichen Anforderun-
gen oder Regelungen fr die Nutzung von Standardsoftware, sollte Baustein 9.1 auf diese Teilbe-
reiche jeweils getrennt angewandt werden.
- Der Baustein 9.5 Archivierung ist auf den IT-Verbund anzuwenden, wenn aufgrund interner oder
externer Vorgaben eine Langzeitarchivierung elektronischer Dokumente erforderlich ist oder be-
reits ein System zur Langzeitarchivierung elektronischer Dokumente betrieben wird.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 63
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

zu Schicht 2: Sicherheit der Infrastruktur


Die fr den vorliegenden IT-Verbund relevanten baulichen Gegebenheiten werden mit Hilfe der Bau-
steine aus Kapitel 4 Infrastruktur modelliert. Jedem Gebude, Raum oder Schutzschrank (bzw. Grup-
pen dieser Komponenten) wird dabei der entsprechende Baustein aus dem IT-Grundschutzhandbuch
zugeordnet.
- Der Baustein 4.1 Gebude ist fr jedes Gebude bzw. jede Gebudegruppe einmal anzuwenden.
- Der Baustein 4.2 Verkabelung ist in der Regel einmal pro Gebude bzw. Gebudegruppe
anzuwenden (zustzlich zum Baustein 4.1). Falls bestimmte Teilbereiche - beispielsweise Server-
raum oder Leitstand - in Bezug auf die Verkabelung Besonderheiten aufweisen, kann es jedoch
zweckmig sein, den Baustein 4.2 an diesen Stellen gesondert anzuwenden.
- Der Baustein 4.3.1 Broraum ist auf jeden Raum bzw. jede Gruppe von Rumen anzuwenden, in
denen Informationstechnik genutzt wird, fr die jedoch keiner der Bausteine 4.3.2, 4.3.3 oder 4.3.4
herangezogen wird.
- Der Baustein 4.3.2 Serverraum ist auf jeden Raum bzw. jede Gruppe von Rumen anzuwenden, in
denen Server oder TK-Anlagen betrieben werden. Server sind IT-Systeme, die Dienste im Netz zur
Verfgung stellen.
- Der Baustein 4.3.3 Datentrgerarchiv ist auf jeden Raum bzw. jede Gruppe von Rumen
anzuwenden, in denen Datentrger gelagert oder archiviert werden.
- Der Baustein 4.3.4 Raum fr technische Infrastruktur ist auf jeden Raum bzw. jede Gruppe von
Rumen anzuwenden, in denen technische Gerte betrieben werden, die keine oder nur wenig Be-
dienung erfordern (z. B. Verteilerschrank, Netzersatzanlage).
- Der Baustein 4.4 ist auf jeden Schutzschrank bzw. jede Gruppe von Schutzschrnken einmal
anzuwenden. Schutzschrnke knnen ggf. als Ersatz fr einen dedizierten Serverraum dienen.
- Der Baustein 4.5 ist auf jeden huslichen Arbeitsplatz bzw. jede Gruppe (falls entsprechende
Gruppen definiert wurden) einmal anzuwenden.
- Der Baustein 4.6 ist auf jedes Rechenzentrum einmal anzuwenden. Als Rechenzentrum werden
die fr den Betrieb einer greren, zentral fr mehrere Stellen eingesetzten Datenverarbeitungsan-
lage erforderlichen Einrichtungen und Rumlichkeiten bezeichnet.
zu Schicht 3: Sicherheit der IT-Systeme
Sicherheitsaspekte, die sich auf IT-Systeme, d. h. auf Server- und Client-Computer, Hosts, Terminals,
etc. beziehen, werden in dieser Schicht abgedeckt. Hierzu werden Bausteine aus den Kapiteln 5 bis 9
des IT-Grundschutzhandbuchs herangezogen.
Analog zum Bereich "Sicherheit der Infrastruktur" knnen die Bausteine des Bereichs "Sicherheit der
IT-Systeme" sowohl auf einzelne IT-Systeme als auch auf Gruppen solcher IT-Systeme angewandt
werden. Dies wird im Folgenden nicht mehr gesondert hervorgehoben.
- Der Baustein 5.1 DOS-PC (ein Benutzer) ist auf jeden Stand-alone-Rechner oder Client anzuwen-
den, auf dem das Betriebssystem DOS installiert ist.
- Der Baustein 5.2 Unix-System ist auf jeden Stand-alone-Rechner oder Client anzuwenden, der mit
diesem Betriebssystem arbeitet.
- Der Baustein 5.3 Tragbarer PC ist auf jeden mobilen Computer (Laptop) anzuwenden.
- Der Baustein 5.4 PCs mit wechselnden Benutzern ist auf jeden Stand-alone-Rechner oder Client
anzuwenden, an dem mehrere Benutzer abwechselnd arbeiten.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 64
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

Hinweis: Die Anwendung von Baustein 5.4 kann bei IT-Systemen, die mit Hilfe von Baustein 5.5,
5.6, 5.7, 5.8 oder 5.99 modelliert werden, entfallen. In diesen Bausteinen werden Sicherheitsas-
pekte bei wechselnden Benutzern explizit behandelt.
- Der Baustein 5.5 PC unter Windows NT ist auf jeden Stand-alone-Rechner oder Client anzuwen-
den, der mit diesem Betriebssystem arbeitet.
- Der Baustein 5.6 PC mit Windows 95 ist auf jeden Stand-alone-Rechner oder Client anzuwenden,
der mit diesem Betriebssystem arbeitet.
- Der Baustein 5.7 Windows 2000 Client ist auf jeden Stand-alone-Rechner oder Client anzuwen-
den, der mit diesem Betriebssystem arbeitet.
- Der Baustein 5.8 Internet-PC ist auf jeden Computer anzuwenden, der ausschlielich fr die Nut-
zung von Internet-Diensten vorgesehen ist und nicht mit dem internen Netz der Institution verbun-
den ist. In diesem speziellen Szenario brauchen keine weiteren Bausteine des IT-Grundschutzhand-
buchs auf diesen Computer (bzw. diese Gruppe) angewandt werden.
- Der Baustein 5.99 Allgemeines nicht vernetztes IT-System ist auf jedes IT-System anzuwenden,
fr das kein Betriebssystem-spezifischer Baustein im IT-Grundschutzhandbuch enthalten ist.
- Der Baustein 6.1 Servergesttztes Netz ist auf jedes IT-System anzuwenden, das Dienste (z. B.
Datei- oder Druckdienste) als Server im Netz anbietet.
- Der Baustein 6.2 Unix-Server ist auf jeden Server anzuwenden, der mit diesem Betriebssystem
arbeitet.
- Der Baustein 6.3 Peer-to-Peer-Netz ist auf jeden Client anzuwenden, der Peer-to-Peer-Dienste
(beispielsweise freigegebene Verzeichnisse) im Netz anbietet.
- Der Baustein 6.4 Windows NT Netz ist auf jeden Server anzuwenden, der mit diesem Betriebs-
system arbeitet.
- Der Baustein 6.5 Novell Netware 3.x ist auf jeden Server anzuwenden, der mit diesem Betriebs-
system arbeitet.
- Der Baustein 6.6 Novell Netware 4.x ist auf jeden Server anzuwenden, der mit diesem Betriebs-
system arbeitet.
- Der Baustein 6.9 Windows 2000 Server ist auf jeden Server anzuwenden, der mit diesem Betriebs-
system arbeitet.
- Der Baustein 6.10 s/390- und zSeries-Mainframe ist auf jedem Server anzuwenden, der mit
diesem Betriebssystem arbeitet
Hinweis: Fr jeden Server muss neben dem Betriebssystem-spezifischen Baustein immer auch
Baustein 6.1 angewandt werden, da in diesem Baustein die plattformunabhngigen Sicherheitsas-
pekte fr Server zusammengefasst sind.
- Der Baustein 8.1 ist auf jede TK-Anlage bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein 8.2 ist auf jedes Faxgert bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein 8.3 ist auf jeden Anrufbeantworter bzw. auf jede entsprechende Gruppe anzuwen-
den.
- Der Baustein 8.6 Mobiltelefon sollte mindestens einmal angewandt werden, wenn die Benutzung
von Mobiltelefonen in der betrachteten Organisation(-seinheit) nicht grundstzlich untersagt ist.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 65
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

Bestehen mehrere unterschiedliche Einsatzbereiche von Mobiltelefonen (beispielsweise mehrere


Mobiltelefon-Pools), so ist der Baustein 7.6 jeweils getrennt darauf anzuwenden.
- Der Baustein 8.7 PDA sollte mindestens einmal angewandt werden, wenn die Benutzung von
PDAs in der betrachteten Organisation(-seinheit) nicht grundstzlich untersagt ist.
- Der Baustein 9.3 Telearbeit ist zustzlich auf jedes IT-System anzuwenden, das fr Telearbeit
verwendet wird.
zu Schicht 4: Sicherheit im Netz
In dieser Schicht werden Sicherheitsaspekte im Netz behandelt, die nicht an bestimmten IT-Systemen
(z. B. Servern) festgemacht werden knnen. Vielmehr geht es um Sicherheitsaspekte, die sich auf die
Netzverbindungen und die Kommunikation zwischen den IT-Systemen beziehen.
Um die Komplexitt zu verringern, ist es sinnvoll, bei der Untersuchung statt des Gesamtnetzes Teil-
bereiche jeweils einzeln zu betrachten. Die hierzu erforderliche Aufteilung des Gesamtnetzes in Teil-
netze sollte anhand der beiden folgenden Kriterien vorgenommen werden:
- Im Rahmen der Schutzbedarfsfeststellung sind Verbindungen identifiziert worden, ber die be-
stimmte Daten auf keinen Fall transportiert werden drfen. Diese Verbindungen bieten sich als
"Schnittstellen" zwischen Teilnetzen an, d. h. die Endpunkte einer solchen Verbindung sollten in
verschiedenen Teilnetzen liegen. Umgekehrt sollten Verbindungen, die Daten mit hohem oder sehr
hohem Schutzbedarf transportieren, mglichst keine Teilnetzgrenzen berschreiten. Dies fhrt zu
einer Definition von Teilnetzen mit mglichst einheitlichem Schutzbedarf.
- Komponenten, die nur ber eine Weitverkehrsverbindung miteinander verbunden sind, sollten nicht
demselben Teilnetz zugeordnet werden, d. h. Teilnetze sollten sich nicht ber mehrere Standorte
oder Liegenschaften erstrecken. Dies ist sowohl aus Grnden der bersichtlichkeit als auch im
Hinblick auf eine effiziente Projektdurchfhrung wnschenswert.
Falls diese beiden Kriterien nicht zu einer geeigneten Aufteilung des Gesamtnetzes fhren (beispiels-
weise weil einige resultierende Teilnetze zu gro oder zu klein sind), kann die Aufteilung in Teilnetze
alternativ auch auf organisatorischer Ebene erfolgen. Dabei werden die Zustndigkeitsbereiche der
einzelnen Administratoren(-Teams) als Teilnetze betrachtet.
Es ist nicht mglich, eine grundstzliche Empfehlung darber zu geben, welche Aufteilung in Teil-
netze zu bevorzugen ist, falls die oben angegebenen Anforderungen mit dem vorliegenden IT-Verbund
grundstzlich nicht vereinbar sind. Stattdessen sollte im Einzelfall entschieden werden, welche Auftei-
lung des Gesamtnetzes im Hinblick auf die anzuwendenden Bausteine des IT-Grundschutzhandbuchs
am praktikabelsten ist.
- Der Baustein 6.7 Heterogene Netze ist in der Regel auf jedes Teilnetz einmal anzuwenden. Falls
die Teilnetze klein sind und mehrere Teilnetze in der Zustndigkeit des gleichen Administratoren-
Teams liegen, kann es jedoch ausreichend sein, den Baustein 6.7 auf diese Teilnetze insgesamt
einmal anzuwenden.
- Der Baustein 6.8 Netz- und Systemmanagement ist auf jedes Netz- bzw. Systemmanagement-
System, das im vorliegenden IT-Verbund eingesetzt wird, anzuwenden.
- Der Baustein 7.2 Modem ist auf jedes mit einem Modem ausgestattete IT-System bzw. jede
Gruppe solcher IT-Systeme anzuwenden.
- Der Baustein 7.3 Sicherheitsgateway (Firewall) ist fr jede Auenverbindung zu IT-Systemen
oder Netzen Dritter anzuwenden, wenn ber diese Auenverbindung hochschutzbedrftige IT-
Systeme im internen Netz erreicht werden knnen. Dies gilt auch, wenn dort noch kein

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 66
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

Sicherheitsgateway-System eingesetzt wird. Beispiele sind Internet-Anbindungen, Remote Access-


Zugnge und Verbindungen zu Netzen von Geschftspartnern.
- Der Baustein 7.6 Remote Access ist pro entfernter Zugriffsmglichkeit auf das interne Netz, die
nicht ber eine dedizierte Standleitung erfolgt, einmal anzuwenden (z. B. Telearbeit, Anbindung
von Auendienstmitarbeitern ber analoge Whlleitungen, ISDN oder Mobiltelefon).
- Der Baustein 7.11 Router und Switches ist in jedem aktiven Netz, das im vorliegenden IT-
Verbund eingesetzt wird, anzuwenden.
- Der Baustein 8.4 LAN-Anbindung eines IT-Systems ber ISDN ist auf alle Auenverbindungen
anzuwenden, die ber ISDN realisiert sind.
zu Schicht 5: Sicherheit in Anwendungen
In der untersten Schicht des zu modellierenden IT-Verbunds erfolgt die Nachbildung der Anwendun-
gen. Moderne Anwendungen beschrnken sich nur selten auf ein einzelnes IT-System. Insbesondere
behrden- bzw. unternehmensweite Kernanwendungen sind in der Regel als Client-Server-Applikatio-
nen realisiert. In vielen Fllen greifen Server selbst wieder auf andere, nachgeschaltete Server, z. B.
Datenbank-Systeme, zu. Die Sicherheit der Anwendungen muss daher unabhngig von den IT-Syste-
men und Netzen betrachtet werden.
- Der Baustein 7.1 Datentrgeraustausch sollte fr jede Anwendung einmal herangezogen werden,
die als Datenquelle fr einen Datentrgeraustausch dient oder auf diesem Wege eingegangene Da-
ten weiterverarbeitet.
- Der Baustein 7.4 E-Mail ist auf jedes E-Mail-System (intern oder extern) des betrachteten IT-Ver-
bunds anzuwenden.
- Der Baustein 7.5 WWW-Server ist auf jeden WWW-Dienst (z. B. Intranet oder Internet) des be-
trachteten IT-Verbunds anzuwenden.
- Der Baustein 7.7 ist auf jedes Workgroup-System, das auf dem Produkt Lotus Notes basiert, bzw.
auf jede entsprechende Gruppe im IT-Verbund einmal anzuwenden.
- Der Baustein 8.5 ist auf jeden Faxserver bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein 9.2 Datenbanken sollte pro Datenbanksystem bzw. pro Gruppe von Datenbanksyste-
men einmal angewandt werden.
- Der Baustein 9.4 Novell eDirectory sollte auf jeden Verzeichnisdienst, der mit Hilfe von Novell
eDirectory realisiert ist, einmal angewandt werden.
- Der Baustein 7.8 Internet Information Server ist - zustzlich zu Baustein 7.5 - auf jeden WWW-
Dienst anzuwenden, der mit diesem Produkt betrieben wird.
- Der Baustein 7.9 Apache Webserver ist - zustzlich zu Baustein 7.5 - auf jeden WWW-Dienst
anzuwenden, der mit diesem Produkt betrieben wird.
- Der Baustein 7.10 ist - zustzlich zu Baustein 7.4 - auf jedes Workgroup- oder E-Mail-System
anzuwenden, das auf Microsoft Exchange bzw. Outlook basiert.
Prfung auf Vollstndigkeit
Abschlieend sollte berprft werden, ob die Modellierung des Gesamtsystems vollstndig ist und
keine Lcken aufweist. Es wird empfohlen, hierzu erneut den Netzplan oder eine vergleichbare ber-
sicht ber den IT-Verbund heranzuziehen und die einzelnen Komponenten systematisch durchzuge-
hen. Jede Komponente sollte entweder einer Gruppe zugeordnet oder einzeln modelliert worden sein.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 67
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

Falls das Gesamtnetz in der Schicht 4 in Teilnetze aufgeteilt wurde, sollte geprft werden, ob
- jedes Teilnetz vollstndig nachgebildet wurde und
- durch die Summe aller Teilnetze das Gesamtnetz vollstndig dargestellt wird.
Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet
sind, sondern dass auch die zugehrigen organisatorischen, personellen und infrastrukturellen Aspekte
vollstndig abgedeckt sind. Dies kann anhand der Tabellen in Abschnitt 2.3.2 geprft werden, in de-
nen fr einige typische Komponenten die Bausteine des IT-Grundschutzhandbuchs genannt sind, die
in der Modellierung auf jeden Fall enthalten sein sollten.
Falls sich bei der berprfung Lcken in der Modellierung zeigen, sind die entsprechenden fehlenden
Bausteine hinzuzufgen. Andernfalls besteht die Gefahr, dass wichtige Bestandteile des Gesamtsys-
tems oder wichtige Sicherheitsaspekte bei der Anwendung des IT-Grundschutzhandbuchs nicht be-
rcksichtigt werden.
Fr den Fall, dass die Modellierung nicht vollstndig durchfhrbar ist, weil entsprechende Bausteine
im IT-Grundschutzhandbuch fehlen, wird darum gebeten, den Bedarf an die IT-Grundschutz-Hotline
des BSI weiterzuleiten.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 8
Die folgende Tabelle ist ein Auszug aus der Modellierung fr das fiktive Bundesamt BOV:
Nr. Titel des Bausteins Zielobjekt/ Ansprech- Hinweise
Zielgruppe partner
3.1 Organisation Standort Bonn Der Baustein Organisation muss fr die Standorte Bonn und
Berlin separat bearbeitet werde, da in Berlin eigene organi-
satorische Regelungen gelten.
3.1 Organisation Standort Berlin

3.2 Personal gesamtes BOV Die Personalverwaltung des BOV erfolgt zentral in Bonn.
4.3.3 Datentrgerarchiv R U.02 (Bonn) In diesem Raum werden die Backup-Datentrger aufbewahrt
5.3 Tragbarer PC C5 Die Laptops in Bonn bzw. Berlin werden jeweils in eine
Gruppe zusammengefasst.
5.3 Tragbarer PC C6

7.5 WWW-Server S5 S5 dient als Server fr das Intranet.


9.2 Datenbanken S5 Auf dem Server S5 kommt eine Datenbank zum Einsatz

2.3.2 Modellierung neuer IT-Komponenten


Bei der Modellierung eines IT-Verbunds nach IT-Grundschutz kann das Problem auftreten, dass IT-
Komponenten vorhanden sind, zu denen es keine Bausteine oder Manahmen im IT-Grundschutz-
handbuch gibt. Dies knnen z. B. neue Betriebssysteme, Proxy-Server, PKI oder drahtlose Netze sein.
Falls die Modellierung nicht vollstndig durchfhrbar ist, weil zu bestimmten IT-Systemen, Aspekten
oder Vorgehensweisen im IT-Verbund Bausteine fehlen, dann sollten ersatzweise folgende Schritte
durchgefhrt werden.
- Es sollte zunchst geklrt werden, zu welcher der Schichten 1 bis 5 diese Komponente gehrt.
- Es empfiehlt sich dann, sich an hnlichen Bausteinen orientieren. Solche finden sich fast immer,
z. B. ein hnliches Betriebssystem oder eine vergleichbare Vorgehensweise. Es sollten ein oder
zwei Baustein ausgewhlt werden, die der betrachteten Komponente nahe kommen. Diese sollten
dann sinngem angewendet werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 68
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

- Es sollte die Skizze eines neuen Bausteins erstellt werden, in der aufgezeigt wird, in welchen
Schritten weiter vorgegangen wurde. Der Umfang dieses Ersatz-Bausteins sollte in der Beschrei-
bung kurz abgegrenzt werden.
- Es ist zu erarbeiten, welche Gefhrdungen und Manahmen neu hinzukommen oder zu ndern
sind.
- Die wesentlichen Stichworte zu diesen Gefhrdungen und Manahmen sollten kurz im Zusammen-
hang dargestellt werden.
Fr eine IT-Sicherheitsberprfung auf der Basis des IT-Grundschutzhandbuchs (Basis-Sicherheits-
check) gibt es fr jeden Baustein des IT-Grundschutzhandbuchs ein entsprechendes Formblatt. Fr
die fehlende Komponente sollte ein eigenes Erhebungsformular erstellt bzw. in ein IT-
Grundschutz-Tool eingepflegt werden. Hierbei geht es nur um die bertragung der identifizierten
Manahmen in ein Formular bzw. Tool, um einen schnellen Soll-Ist-Vergleich durchfhren zu
knnen.
- Damit sind die wichtigsten Bereiche fr einen fehlenden Baustein erzeugt worden. Dieser muss
dann noch in die Modellierung des betrachteten IT-Verbunds eingebracht werden. Dabei ist es
zweckmig, die Zuordnung des Bausteins anhand des Schichtenmodells vorzunehmen.
- Auerdem ist der ergnzte Baustein bei der Konzeption bzw. Revision eines IT-Sicherheitskon-
zepts entsprechend zu bercksichtigen.
Wenn die in dem neu erstellten Baustein betrachtete Komponente oder Vorgehensweise nicht zu spe-
ziell ist, bietet es sich an, die erarbeiteten Dokumente dem IT-Grundschutz-Team des BSI zur weiteren
Verwendung zur Verfgung zu stellen. Das BSI wird prfen, ob auch andere Anwender von den In-
halten profitieren knnen und den neuen Baustein ggf. ber die blichen Vertriebswege des IT-Grund-
schutzhandbuchs allen Anwendern zur Verfgung stellen.
Beispiele:
1. Grorechner
Ein Grorechner ist sicherlich eine Obermenge eines Servers und ist Schicht 3 des IT-Grundschutz-
Schichtenmodells zuzuordnen. Daher sollte Baustein 6.1 Servergesttztes Netz betrachtet werden.
Darber hinaus mssen eventuell zustzliche Manahmen umgesetzt sein, die nicht im IT-Grund-
schutzhandbuch beschrieben sind. Es gibt sehr viele Quellen zu spezifischen Sicherheitsmanahmen,
die hierzu herangezogen werden knnen und sollten. Es ist sinnvoll, sich zunchst beim Hersteller
bzw. Vertreiber des Betriebssystems zu informieren, welche Dokumente dort zur Sicherheit des IT-
Systems vorhanden sind bzw. welche Literatur diese empfehlen knnen.
2. PDA
hnliche Themenbereiche wie der Einsatz von PDAs oder Organizern in Behrden oder Unternehmen
finden sich in den Bausteinen 5.3 Tragbarer PC und 8.6 Mobiltelefon. Diese sollten daher als Grund-
lage fr die Erarbeitung eines Bausteins zum Thema PDA verwendet und ergnzt werden. Der neue
Baustein ist Schicht 3 des IT-Grundschutz-Schichtenmodells zuzuordnen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 69
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________

3. Raumstation (als Infrastruktur)


Als Grundlage fr die Erarbeitung eines neuen Bausteins zur Infrastruktur "Raumstation" eignet sich
der existierende Baustein 4.1 Gebude. Die Raumstation befindet sich im All und verfgt somit ber
eine sehr gute Zutrittskontrolle. Sie umgibt die aufgestellte Informationstechnik und gewhrleistet
somit einen ueren Schutz. Weiterhin ermglichen die Infrastruktureinrichtungen der Raumstation
erst den IT-Betrieb. Daher ist einerseits die strukturelle Integritt zu betrachten und andererseits die
Versorgungseinrichtungen. Letztere sind bei bemannten Raumstationen besonders wichtig. Die
Sprach- und Datenkommunikation wird gesondert betrachtet.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 70
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________

2.4 Basis-Sicherheitscheck
Fr die nachfolgenden Betrachtungen wird vorausgesetzt,
dass fr einen ausgewhlten IT-Verbund folgende Teile
des IT-Sicherheitskonzepts nach IT-Grundschutz erstellt
wurden: Anhand der IT-Strukturanalyse des IT-
Verbundes wurde eine bersicht ber die vorhandene IT,
deren Einsatzorte und die untersttzten IT-Anwendungen
erstellt. Darauf aufbauend wurde anschlieend die
Schutzbedarfsfeststellung durchgefhrt, deren Ergebnis
eine bersicht ber den Schutzbedarf der IT-Anwen-
dungen, der IT-Systeme, der IT-genutzten Rume und der
Kommunikationsverbindungen ist. Mit Hilfe dieser
Informationen wurde die Modellierung des IT-Verbundes nach IT-Grundschutz durchgefhrt. Das
Ergebnis war eine Abbildung des betrachteten IT-Verbundes auf Bausteine des Handbuchs.
Diese Modellierung nach IT-Grundschutz wird nun als Prfplan benutzt, um anhand eines Soll-Ist-
Vergleichs herauszufinden, welche Standardsicherheitsmanahmen ausreichend oder nur unzu-
reichend umgesetzt sind.
Dieses Kapitel beschreibt, wie bei der zentralen Aufgabe zur Erstellung eines IT-Sicherheitskonzepts
nach IT-Grundschutz, der Durchfhrung des Basis-Sicherheitschecks, vorgegangen werden sollte.
Dieser Basis-Sicherheitscheck besteht aus drei unterschiedlichen Schritten. Im ersten Schritt werden
die organisatorischen Vorbereitungen getroffen, insbesondere die relevanten Ansprechpartner fr den
Soll-Ist-Vergleich ausgewhlt. Im zweiten Schritt wird der eigentliche Soll-Ist-Vergleich mittels
Interviews und stichprobenartiger Kontrolle durchgefhrt. Im letzten Schritt werden die erzielten
Ergebnisse des Soll-Ist-Vergleichs einschlielich der erhobenen Begrndungen dokumentiert.
Nachfolgend werden diese Schritte des Basis-Sicherheitschecks detailliert beschrieben.
2.4.1 Organisatorische Vorarbeiten
Fr die reibungslose Durchfhrung des Soll-Ist-Vergleichs sind einige Vorarbeiten erforderlich.
Zunchst sollten alle hausinternen Papiere, z. B. Organisationsverfgungen, Arbeitshinweise, Sicher-
heitsanweisungen, Manuals und "informelle" Vorgehensweisen, die die IT-sicherheitsrelevanten
Ablufe regeln, gesichtet werden. Diese Dokumente knnen bei der Ermittlung des Umsetzungsgrades
hilfreich sein, insbesondere bei Fragen nach bestehenden organisatorischen Regelungen. Weiterhin ist
zu klren, wer gegenwrtig fr deren Inhalt zustndig ist, um ggf. spter die richtigen Ansprechpartner
bestimmen zu knnen.
Als Nchstes sollte festgestellt werden, ob und in welchem Umfang externe Stellen bei der Ermittlung
des Umsetzungsstatus beteiligt werden mssen. Dies kann beispielsweise bei externen Rechenzentren,
vorgesetzten Behrden, Firmen, die Teile des IT-Betriebes in Outsourcing bernehmen, oder Bau-
behrden, die fr infrastrukturelle Manahmen zustndig sind, erforderlich sein.
Ein wichtiger Schritt vor der Durchfhrung des eigentlichen Soll-Ist-Vergleichs ist die Ermittlung
geeigneter Interviewpartner. Hierzu sollte zunchst fr jeden einzelnen Baustein, der fr die Modellie-
rung des vorliegenden IT-Verbunds herangezogen wurde, ein Hauptansprechpartner festgelegt werden.
- Bei den Bausteinen der Schicht 1 "bergeordnete Aspekte" ergibt sich ein geeigneter Ansprech-
partner in der Regel direkt aus der im Baustein behandelten Thematik. Beispielsweise sollte fr den
Baustein 3.2 Personal ein Mitarbeiter der zustndigen Personalabteilung als Ansprechpartner aus-
gewhlt werden. Bei den konzeptionellen Bausteinen, z. B. Baustein 3.4 Datensicherungskonzept,

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 71
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________

steht im Idealfall der Mitarbeiter zur Verfgung, der fr die Fortschreibung des entsprechenden
Dokuments zustndig ist. Anderenfalls sollte derjenige Mitarbeiter befragt werden, zu dessen Auf-
gabengebiet die Fortschreibung von Regelungen in dem betrachteten Bereich gehren.
- Im Bereich der Schicht 2 "Infrastruktur" sollte die Auswahl geeigneter Ansprechpartner in
Abstimmung mit der Abteilung Innerer Dienst/Haustechnik vorgenommen werden. Je nach Gre
der betrachteten Institution knnen beispielsweise unterschiedliche Ansprechpartner fr die Infra-
strukturbereiche Verkabelung und Schutzschrnke zustndig sein. In kleinen Institutionen kann in
vielen Fllen der Hausmeister Auskunft geben. Zu beachten ist im Bereich Infrastruktur, dass hier
u. U. externe Stellen zu beteiligen sind. Dies betrifft insbesondere grere Unternehmen und
Behrden.
- In Bausteinen der Schicht 3 "IT-Systeme" und Schicht 4 "Netze" werden in den zu prfenden
Sicherheitsmanahmen verstrkt technische Aspekte behandelt. In der Regel kommt daher der
Administrator derjenigen Komponente bzw. Gruppe von Komponenten, der der jeweilige Baustein
bei der Modellierung zugeordnet wurde, als Hauptansprechpartner in Frage.
- Fr die Bausteine der Schicht 5 "IT-Anwendungen" sollten die Betreuer bzw. die Verantwortlichen
der einzelnen IT-Anwendungen als Hauptansprechpartner ausgewhlt werden.
In vielen Fllen kann der Hauptansprechpartner nicht zu allen Fragen des jeweiligen Bausteins umfas-
send Auskunft geben. Dann ist es vorteilhaft, eine oder auch mehrere zustzliche Personen in das
Interview einzubeziehen. Hinweise dazu, welche Mitarbeiter u. U. hinzugezogen werden sollten,
lassen sich den Eintrgen "Verantwortlich fr Initiierung" und "Verantwortlich fr Umsetzung", die
sich am Anfang jeder Manahmenbeschreibung befinden, entnehmen.
Fr die anstehenden Interviews mit den Systemverantwortlichen, Administratoren und sonstigen
Ansprechpartnern sollte ein Terminplan - ggf. mit Ausweichterminen - erstellt werden. Besonderes
Augenmerk gilt hier der Terminkoordination mit Personen aus anderen Organisationseinheiten oder
anderen Institutionen.
Je nach Gre der Projektgruppe sollten fr die Durchfhrung der Interviews Teams mit verteilten
Aufgaben gebildet werden. Es hat sich bewhrt, in Gruppen mit je zwei Personen zu arbeiten. Dabei
notiert eine Person die Ergebnisse und Anmerkungen zu den Antworten, die andere stellt die notwen-
digen Fragen.

2.4.2 Durchfhrung des Soll-Ist-Vergleichs


Sind alle erforderlichen Vorarbeiten erledigt, kann die eigentliche Erhebung an den zuvor festge-
setzten Terminen beginnen. Hierzu werden die Manahmen des jeweiligen Bausteins, fr den die
Interviewpartner zustndig sind, der Reihe nach durchgearbeitet.
Als Antworten bezglich des Umsetzungsstatus der einzelnen Manahmen kommen folgende Aus-
sagen in Betracht:

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 72
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________

"entbehrlich" - Die Umsetzung der Manahmenempfehlungen ist in der vorgeschlagenen Art


nicht notwendig, da den entsprechenden Gefhrdungen mit anderen adquaten
Manahmen entgegengewirkt wird (z. B. durch Manahmen, die nicht im
IT-Grundschutzhandbuch aufgefhrt sind, aber dieselbe Wirkung erzielen),
oder die Manahmenempfehlungen nicht relevant sind (z. B. weil Dienste
nicht aktiviert wurden).
"ja" - Alle Empfehlungen in der Manahme sind vollstndig und wirksam umge-
setzt.
"teilweise" - Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur teil-
weise.
"nein" - Die Empfehlungen der Manahme sind grtenteils noch nicht umgesetzt.

Es ist nicht zu empfehlen, bei den Interviews den Text der Manahmenempfehlung vorzulesen, da er
nicht fr ein Zwiegesprch konzipiert wurde. Deshalb ist die inhaltliche Kenntnis des Bausteins fr
den Interviewer notwendig, ergnzend sollten vorher griffige Checklisten mit Stichworten erstellt
werden. Um im Zweifelsfall Unstimmigkeiten klren zu knnen, ist es jedoch sinnvoll, den Volltext
der Manahmen griffbereit zu haben. Es wird ebenfalls nicht empfohlen, whrend des Interviews die
Antworten direkt in einen PC einzugeben, da es alle Beteiligten ablenkt und fr ungewollte Unter-
brechungen der Kommunikation sorgt.
Es schafft eine entspannte, aufgelockerte und produktive Arbeitsatmosphre, das Interview mit einlei-
tenden Worten zu beginnen und den Zweck des Basis-Sicherheitschecks kurz vorzustellen. Es bietet
sich an, mit der Manahmenberschrift fortzufahren und die Manahme kurz zu erlutern. Besser als
einen Monolog zu fhren ist es, dem Gegenber die Mglichkeit zu geben, auf die bereits umgesetzten
Manahmenteile einzugehen, und danach noch offene Punkte zu besprechen.
Die Befragungstiefe richtet sich zunchst auf das Niveau von Standard-Sicherheitsmanahmen,
darber hinausgehende Aspekte hochschutzbedrftiger Anwendungen sollten erst nach Abschluss des
Basis-Sicherheitschecks betrachtet werden. Falls der Bedarf besteht, die in den Interviews gemachten
Aussagen zu verifizieren, bietet es sich an, stichprobenartig die entsprechenden Regelungen und
Konzepte zu sichten, im Bereich Infrastruktur gemeinsam mit dem Ansprechpartner die zu unter-
suchenden Objekte vor Ort zu besichtigen sowie Client- bzw. Servereinstellungen an ausgewhlten IT-
Systemen zu berprfen.
Zum Abschluss jeder Manahme sollte den Befragten mitgeteilt werden, wie das Ergebnis ausgefallen
ist (Umsetzungsstatus der Manahme: entbehrlich/ja/teilweise/nein), und diese Entscheidung erlutert
werden.

2.4.3 Dokumentation der Ergebnisse


Fr die Dokumentation der Ergebnisse des Basis-Sicherheitschecks stehen auf der CD-ROM zum IT-
Grundschutzhandbuch Formulare zur Verfgung (siehe Anhang: Hilfsmittel). Das Verzeichnis enthlt
fr jeden Baustein des IT-Grundschutzhandbuchs eine Datei im Word-Format, in der tabellarisch fr
jede Manahme des Bausteins die Ergebnisse des Soll-Ist-Vergleichs erfasst werden knnen.
Zunchst sollten in die dafr vorgesehenen Felder am Anfang des Formulars
- die Nummer und die Bezeichnung der Komponente oder Gruppe von Komponenten, der der Bau-
stein bei der Modellierung zugeordnet wurde,

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 73
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________

- der Standort der zugeordneten Komponente bzw. Gruppe von Komponenten,


- das Erfassungsdatum und der Name des Erfassers und
- die befragten Ansprechpartner
eingetragen werden. Die eigentlichen Ergebnisse des Soll-Ist-Vergleichs werden in der auf dem
Formular vorbereiteten Tabelle erfasst. Dabei sollten zu jeder Manahme des jeweiligen Bausteins die
Felder wie folgt ausgefllt werden:
- Umsetzungsgrad (entbehrlich/ja/teilweise/nein)
Hier wird der im Interview ermittelte Umsetzungsstatus der jeweiligen Manahme erfasst.
- Umsetzung bis
Dieses Feld wird whrend des Basis-Sicherheitschecks im Allgemeinen nicht ausgefllt. Es dient
als Platzhalter, um in der Realisierungsplanung an dieser Stelle zu dokumentieren, bis zu welchem
Termin die Manahme vollstndig umgesetzt sein soll.
- verantwortlich
Falls es bei der Durchfhrung des Soll-Ist-Vergleichs eindeutig ist, welcher Mitarbeiter fr die
vollstndige Umsetzung einer defizitren Manahme verantwortlich sein wird, so kann dies in
diesem Feld dokumentiert werden. Falls die Verantwortlichkeit nicht eindeutig ist, sollte das Feld
freigelassen werden. Es wird spter in der Realisierungsplanung mit dem Namen des dann als
verantwortlich Bestimmten gefllt.
- Bemerkungen / Begrndung fr Nicht-Umsetzung
Bei Manahmen, deren Umsetzung entbehrlich erscheint, ist hier die Begrndung bzw. die Ersatz-
manahme zu nennen. Bei Manahmen, die noch nicht oder nur teilweise umgesetzt sind, sollte in
diesem Feld dokumentiert werden, welche Empfehlungen der Manahme noch umgesetzt werden
mssen. In dieses Feld sollten auch alle anderen Bemerkungen eingetragen werden, die bei der
Beseitigung von Defiziten hilfreich sind oder im Zusammenhang mit der Manahme zu berck-
sichtigen sind.
- Kostenschtzung
Bei Manahmen, die noch nicht oder nur teilweise umgesetzt sind, kann in dieses Feld eine
Schtzung eingetragen werden, welchen finanziellen und personellen Aufwand die Beseitigung der
Defizite erfordert.
Ein Beispiel fr ein ausgeflltes Erhebungsformular befindet sich am Ende dieses Abschnitts.
Die Dokumentation der Ergebnisse kann auch mit Hilfe eines Tools erfolgen, beispielsweise mit dem
im Auftrag des BSI entwickelten IT-Grundschutz-Tool. Hierdurch ergeben sich komfortable Mglich-
keiten zur Auswertung und Revision der Ergebnisse, z. B. die Suche nach bestimmten Eintrgen,
Generierung benutzerdefinierter Reports, Statistikfunktionen usw.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 74
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 75
Ergnzende Sicherheitsanalyse 2.5
_________________________________________________________________________________________

2.5 Ergnzende Sicherheitsanalyse


Wie im Kapitel 2.2 Schutzbedarfsfeststellung dargestellt,
bieten die Standardsicherheitsmanahmen nach IT-
Grundschutz im Normalfall einen angemessenen und
ausreichenden Schutz. Hat sich bei der Schutzbedarfs-
feststellung jedoch herausgestellt, dass eine IT-Anwen-
dung einschlielich ihrer Daten einen hohen oder sehr
hohen Schutzbedarf besitzt, kann es sinnvoll sein zu
prfen, ob die Standardsicherheitsmanahmen durch
hherwertige - meist jedoch auch kostspieligere - IT-
Sicherheitsmanahmen ergnzt oder ersetzt werden
mssen. Welche zustzlichen Manahmen geeignet sind,
kann nach der Durchfhrung des Basis-Sicherheitschecks nach IT-Grundschutz mittels einer
ergnzenden Sicherheitsanalyse festgestellt werden.
Um den Aufwand einer ergnzenden Sicherheitsanalyse auf das Notwendige zu beschrnken, ist es
sinnvoll, nicht den gesamten IT-Verbund zu analysieren, sondern sich auf die sicherheitskritischen
Bereiche zu konzentrieren. Zu diesem Zweck sollten aus den Ergebnissen der Schutzbedarfsfeststel-
lung diejenigen Bereiche extrahiert werden, die einen hohen oder sehr hohen Schutzbedarf besitzen
oder als sicherheitskritisch eingestuft wurden. Dies knnen sein:
- IT-Systeme mit hherem Schutzbedarf,
- Kommunikationsverbindungen nach auen,
- Kommunikationsverbindungen mit hochschutzbedrftigen Daten,
- Kommunikationsverbindungen, die bestimmte Daten nicht transportieren drfen, und
- IT-Rume mit hohem Schutzbedarf.
Diese auf den sicherheitskritischen Bereich eingeschrnkten Teile des IT-Verbunds werden
anschlieend einer ergnzenden Sicherheitsanalyse unterzogen. Hierzu knnen unterschiedliche
Methoden angewandt werden wie beispielsweise
- Risikoanalyse,
- Penetrationstest und
- Differenz-Sicherheitsanalyse.
Es sei vorab erwhnt, dass die erfolgreiche Durchfhrung einer ergnzenden Sicherheitsanalyse
entscheidend von den Fachkenntnissen des Projektteams abhngt. Unverzichtbar ist eine fundierte
Fachkunde in den Bereichen Informationstechnik und IT-Sicherheit, die idealerweise durch einen
breiten Erfahrungshintergrund ergnzt wird. Anderenfalls besteht die Gefahr, dass wesentliche
Schwachstellen oder Manahmen bersehen werden und dass das Ergebnis oft nur eine trgerische
Scheinsicherheit erzeugt. Daher kann es fr ergnzende Sicherheitsanalysen sinnvoll sein, fachkun-
diges externes Personal hinzuzuziehen.
Risikoanalyse
In einer Risikoanalyse wird versucht, die relevanten Bedrohungen herauszuarbeiten, die sich aufgrund
vorhandener Schwachstellen auf ein IT-System auswirken knnen. Anschlieend wird die Eintritts-
wahrscheinlichkeit der Bedrohungen geschtzt und mit dem Schutzbedarf kombiniert, um die beste-
henden Risiken zu ermitteln. Fr untragbare Risiken werden anschlieend adquate IT-Sicherheits-

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 76
Ergnzende Sicherheitsanalyse 2.5
_________________________________________________________________________________________

manahmen ausgewhlt, um die Eintrittswahrscheinlichkeit zu senken bzw. die Schadenshhe zu


reduzieren.
Schwierig und zugleich fehlerempfindlich ist dabei insbesondere die Schtzung der Eintrittswahr-
scheinlichkeiten. Meist liegen dazu keine statistischen Informationen vor. Insbesondere ist diese
Schtzung schwierig bei Bedrohungen, die auf vorstzlich handelnde Tter zurckzufhren sind. Liegt
die Schtzung nur geringfgig zu niedrig, kann daraus ein scheinbar tragbares Risiko resultieren, so
dass keine zustzlichen Manahmen ergriffen werden, obwohl diese eigentlich notwendig wren.
Eine Beschreibung, wie eine Risikoanalyse durchgefhrt werden kann, findet sich beispielsweise im
IT-Sicherheitshandbuch (siehe Literaturverzeichnis).
Penetrationstest
Penetrationstests dienen dazu, die Erfolgsaussichten eines vorstzlichen Angriffs auf einen IT-
Verbund vorab einzuschtzen und daraus notwendige ergnzende Manahmen abzuleiten. Dazu wird
versucht, das Angriffsverhalten eines vorstzlichen Innen- oder Auentters zu simulieren und zu
ermitteln, welche vorhandenen Schwachstellen ausgenutzt bzw. welche potentiellen Schden verur-
sacht werden knnen. Oftmals werden folgende Anstze verfolgt:
- Angriffe durch Erraten von Passwrtern oder Wrterbuchattacken,
- Angriffe durch Aufzeichnen und Manipulieren des Netzverkehrs,
- Angriffe durch Einspielen geflschter Datenpakete oder
- Angriffe durch Ausnutzen bekannter Software-Schwachstellen (Makro-Sprachen, Betriebssystem-
fehler, Remote-Dienste, etc.).
Dabei ist zwischen zwei Arten von Penetrationstests zu unterscheiden:
- Blackbox-Ansatz: Der Angreifer besitzt keinerlei Informationen ber den IT-Verbund. Damit wird
ein Auentter simuliert.
- Whitebox-Ansatz: Der Angreifer besitzt Kenntnisse ber den internen Aufbau, Applikationen und
Dienste im IT-Verbund, ber die typischerweise ein Innentter verfgt.
Weiterhin wre zu unterscheiden, ob die Durchfhrung eines Penetrationstests nur mit dem Manage-
ment abgestimmt oder ob sie den betroffenen Mitarbeitern vorher angekndigt wird. Die
Durchfhrung von Penetrationstests setzt in besonderem Mae fundierte Kenntnisse und Erfahrungen
voraus, da sonst nicht ausgeschlossen werden kann, dass durch die aktiven Angriffe unbeabsichtigt
Schden entstehen.
Differenz-Sicherheitsanalyse
Ein erster Ansatz, notwendige hherwertige IT-Sicherheitsmanahmen fr hochschutzbedrftige
Bereiche eines IT-Verbundes zu identifizieren, besteht in der Durchfhrung einer Differenz-Sicher-
heitsanalyse. Dazu wird in einem ersten Schritt untersucht, welche IT-Sicherheitsmanahmen ber die
IT-Grundschutzmanahmen hinausgehen oder welche als optional gekennzeichneten IT-Grundschutz-
manahmen realisiert sind. Anschlieend wird ein Vergleich durchgefhrt, ob die ergriffenen hher-
wertigen Manahmen den Musterlsungen entsprechen, die sich in der Praxis fr hochschutzbedrf-
tige IT-Bereiche etabliert haben. Hierbei ist zu beachten, dass die relevanten Grundwerte
(Vertraulichkeit, Integritt und Verfgbarkeit) fr die Eignung der hherwertigen Manahmen
entscheidend sind. So helfen kryptographische Manahmen zwar zur Erhhung der Sicherheit der
Grundwerte Vertraulichkeit und Integritt, jedoch ist ihr Wirkungsgrad in Bezug auf Verfgbarkeit in
den meisten Fllen gering oder sie stellen sogar eine potentielle Gefhrdung fr dieses Schutzziel dar.
Ebenso wichtig ist darauf zu achten, dass erforderliche Produkte geeignet und die hherwertigen
Manahmen korrekt implementiert sind, damit sie ihre Schutzwirkung erbringen knnen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 77
Ergnzende Sicherheitsanalyse 2.5
_________________________________________________________________________________________

Typische hherwertige Manahmen im Bereich der IT-Systeme sind der Einsatz von zertifizierten
Betriebssystemen oder von speziellen Sicherheitsversionen der Betriebssysteme, der Einsatz von
Authentisierungstoken oder sogar die Isolation der IT-Systeme. Im Bereich der Kommunikationsver-
bindungen kommen beispielsweise folgende hherwertige Manahmen zum Einsatz: Kappung von
Auenverbindungen, Leitungs- oder Ende-zu-Ende-Verschlsselung, gepanzerte Kabeltrassen oder
druckberwachte Kabel, redundante Kommunikationsstrecken oder redundante Kabelfhrung sowie
Einsatz von mehrstufigen Firewalls kombiniert mit Intrusion Detection Tools. Im Bereich der
infrastrukturellen Sicherheit knnen beispielsweise Vereinzelungsschleusen, Brandlschtechnik,
Videoberwachung, Zutrittskontrollsysteme und Einbruchmeldeanlagen bis hin zu Backup-Rechen-
zentren eingesetzt werden.
Das BSI verffentlicht so genannte Schutzklassenmodelle, in dem fr thematisch eingegrenzte
Bereiche (z. B. TK-Anlagen) adquate hherwertige Manahmen fr den hohen und sehr hohen
Schutzbedarf zusammengestellt werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 78
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________

2.6 Realisierung von IT-Sicherheits-


manahmen
In diesem Kapitel werden verschiedene Aspekte vorge-
stellt, die bei der Realisierung von IT-Sicherheits-
manahmen beachtet werden mssen. Dabei wird
beschrieben, wie die Umsetzung als fehlend erkannter IT-
Sicherheitsmanahmen geplant, durchgefhrt, begleitet
und berwacht werden kann.
Bevor mit der Realisierung von IT-Sicherheitsmanah-
men begonnen werden kann, muss fr das untersuchte IT-
System oder den untersuchten IT-Verbund die IT-
Strukturanalyse, die Schutzbedarfsfeststellung und die Modellierung nach den Kapiteln 2.1-2.3 erfolgt
sein. Ebenso mssen die Ergebnisse des Basis-Sicherheitschecks, also des daran anschlieenden Soll-
Ist-Vergleichs, vorliegen. Sollte fr ausgewhlte Bereiche aufgrund eines hheren Schutzbedarfs eine
ergnzende Sicherheitsanalyse durchgefhrt worden sein, so sollten die dabei erarbeiteten
Manahmenvorschlge ebenfalls vorliegen und nachfolgend bercksichtigt werden.
Ist eine Vielzahl von Manahmen zu realisieren und stehen ggf. fr die Realisierung nur beschrnkte
Ressourcen an Geld und Personal zur Verfgung, so kann die Realisierung der IT-Sicherheitsma-
nahmen wie in den nachfolgenden Schritten beschrieben vollzogen werden. Ein Beispiel zur Erlu-
terung der Vorgehensweise findet sich am Ende dieses Kapitels.
Sind nur wenige fehlende Manahmen identifiziert worden, deren Umsetzung wenig finanzielle oder
personelle Ressourcen bindet, kann oft ad hoc entschieden werden, wer diese Manahmen bis wann
umzusetzen hat. Dies kann einfach und unkompliziert in den Erfassungstabellen des Soll-Ist-Ver-
gleichs dokumentiert werden. In diesem Fall knnen die nachfolgenden Schritte 1, 3 und 4 entfallen.
Schritt 1: Sichtung der Untersuchungsergebnisse
In einer Gesamtsicht sollten zuerst die fehlenden oder nur teilweise umgesetzten IT-Grundschutz-
manahmen ausgewertet werden. Dazu bietet es sich an, aus den Ergebnissen des Basis-Sicherheits-
checks alle nicht umgesetzten bzw. nur teilweise umgesetzten Manahmen einschlielich ihrer Priori-
tten zu extrahieren und in einer Tabelle zusammenzufassen.
Durch ergnzende Sicherheitsanalysen knnen eventuell weitere zu realisierende Manahmen identi-
fiziert worden sein. Diese sollten ebenfalls tabellarisch erfasst werden. Diese zustzlichen Manahmen
sollten den vorher betrachteten Zielobjekten der Modellierung und den entsprechenden IT-Grund-
schutz-Bausteinen thematisch zugeordnet werden.
Schritt 2: Konsolidierung der Manahmen
In diesem Schritt werden zunchst die noch umzusetzenden IT-Sicherheitsmanahmen konsolidiert.
Falls zustzliche Sicherheitsanalysen durchgefhrt wurden, knnen hierdurch IT-Sicherheitsma-
nahmen hinzugekommen sein, die Manahmen aus dem IT-Grundschutzhandbuch ergnzen oder auch
ersetzen. Hierbei wird geprft, fr welche IT-Grundschutzmanahmen die Realisierung entfallen kann,
da zu realisierende hherwertige IT-Sicherheitsmanahmen sie ersetzen.
Da im IT-Grundschutzhandbuch fr eine Vielzahl von verschiedenen Organisationsformen und tech-
nischen Ausgestaltungen Empfehlungen gegeben werden, mssen die ausgewhlten Manahmen
eventuell noch konkretisiert bzw. an die organisatorischen und technischen Gegebenheiten der Insti-
tution angepasst werden. Auerdem sollten alle IT-Sicherheitsmanahmen noch einmal daraufhin
berprft werden, ob sie auch geeignet sind: Sie mssen vor den mglichen Gefhrdungen wirksam

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 79
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________

schtzen, aber auch in der Praxis tatschlich umsetzbar sein, drfen also z. B. nicht die Organisations-
ablufe behindern oder andere Sicherheitsmanahmen aushebeln. In solchen Fllen kann es notwendig
werden, bestimmte IT-Grundschutzmanahmen durch adquate andere IT-Sicherheitsmanahmen zu
ersetzen.
Um auch spter noch nachvollziehen zu knnen, wie die konkrete Manahmenliste erstellt und verfei-
nert wurde, sollte dies geeignet dokumentiert werden.
Beispiele:
- In einer ergnzenden Sicherheitsanalyse wurde festgestellt, dass zustzlich zu den IT-Grund-
schutzmanahmen auch eine chipkartengesttzte Authentisierung und lokale Verschlsselung der
Festplatten an NT-Clients der Personaldatenverarbeitung notwendig sind. Diese zustzliche
Manahme wrde die Manahme M 4.48 Passwortschutz unter Windows NT ersetzen.
- Im Basis-Sicherheitscheck wurde festgestellt, dass die Manahme M 1.24 Vermeidung von wasser-
fhrenden Leitungen nicht realisiert und aufgrund der baulichen Gegebenheiten nicht wirtschaftlich
umsetzbar ist. Stattdessen sollten als Ersatzmanahme unter den wasserfhrenden Leitungen
Wasser ableitende Bleche installiert werden, die gleichzeitig von einem Wassermelder berwacht
werden. Die Meldung wird beim Pfrtner aufgeschaltet, so dass im Schadensfall der entstehende
Wasserschaden zgig entdeckt und eingegrenzt werden kann.
Schritt 3: Kosten- und Aufwandsschtzung
Da das Budget zur Umsetzung von IT-Sicherheitsmanahmen praktisch immer begrenzt ist, sollte fr
jede zu realisierende Manahme festgehalten werden, welche Investitionskosten und welcher Perso-
nalaufwand dafr bentigt werden. Hierbei sollte zwischen einmaligen und wiederkehrenden Investi-
tionskosten bzw. Personalaufwnden unterschieden werden. An dieser Stelle zeigt sich hufig, dass
Einsparungen bei der Technik einen hohen fortlaufenden Personaleinsatz verursachen.
In diesem Zusammenhang ist zu ermitteln, ob alle identifizierten Manahmen wirtschaftlich umsetzbar
sind. Falls es Manahmen gibt, die nicht finanzierbar sind, sollten berlegungen angestellt werden,
durch welche Ersatzmanahmen sie ersetzt werden knnen oder ob das Restrisiko, dass durch die
fehlende Manahme entsteht, tragbar ist. Diese Entscheidung ist ebenfalls zu dokumentieren.
Stehen die geschtzten Ressourcen fr Kosten und Personaleinsatz zur Verfgung, so kann zum
nchsten Schritt bergegangen werden. In vielen Fllen muss jedoch noch eine Entscheidung herbei-
gefhrt werden, wieviel Ressourcen fr die Umsetzung der IT-Sicherheitsmanahmen eingesetzt
werden sollen. Hierfr bietet es sich an, fr die Entscheidungsebene (Management, IT-Leiter, IT-
Sicherheitsbeauftragter,...) eine Prsentation vorzubereiten, in der die Ergebnisse der Sicherheits-
untersuchung dargestellt werden. Geordnet nach Schutzbedarf sollten die festgestellten Schwach-
stellen (fehlende oder unzureichend umgesetzte IT-Sicherheitsmanahmen) zur Sensibilisierung
vorgestellt werden. Darber hinaus bietet es sich an, die fr die Realisierung der fehlenden Manah-
men der Prioritt 1, 2 und 3 entstehenden Kosten und Aufwnde aufzubereiten. Im Anschluss an diese
Prsentation sollte eine Entscheidung ber das Budget erfolgen.
Kann kein ausreichendes Budget fr die Realisierung aller fehlenden Manahmen bereitgestellt
werden, so sollte aufgezeigt werden, welches Restrisiko dadurch entsteht, dass einige Manahmen
nicht oder verzgert umgesetzt werden. Zu diesem Zweck knnen die Manahmen-Gefhrdungs-
Tabellen (s. CD-ROM: word20\tabellen) hinzugezogen werden, um zu ermitteln, welche Gefhrdun-
gen nicht mehr ausreichend abgedeckt werden. Das entstehende Restrisiko sollte fr zufllig eintre-
tende oder absichtlich herbeigefhrte Gefhrdungen transparent beschrieben und der Leitungsebene
zur Entscheidung vorgelegt werden. Die weiteren Schritte knnen erst nach der Entscheidung der
Leitungsebene, dass das Restrisiko tragbar ist, erfolgen, da die Leitungsebene die Verantwortung fr
die Konsequenzen tragen muss.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 80
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________

Schritt 4: Festlegung der Umsetzungsreihenfolge der Manahmen


Wenn das vorhandene Budget oder die personellen Ressourcen nicht ausreichen, um smtliche
fehlenden Manahmen sofort umsetzen zu knnen, muss eine Umsetzungsreihenfolge festgelegt
werden. Bei der Festlegung der Reihenfolge sollten folgende Aspekte bercksichtigt werden:
- Die Prioritt einer Manahme spiegelt wider, in welcher zeitlichen Reihenfolge die Manahme
umzusetzen ist. Vorrangig ist mit Manahmen der Prioritt 1 zu beginnen.
- Bei einigen Manahmen ergibt sich durch logische Zusammenhnge eine zwingende zeitliche
Reihenfolge. So sind zwar die Manahmen M 2.25 Dokumentation der Systemkonfiguration und
M 2.26 Ernennung eines Administrators und eines Vertreters beide sehr wichtig, aber ohne
Administrator kann M 2.25 kaum umgesetzt werden.
- Manche Manahmen erzielen eine groe Breitenwirkung, manche jedoch nur eine eingeschrnkte
lokale Wirkung. Oft ist es sinnvoll, zuerst auf die Breitenwirkung zu achten.
- Es gibt Bausteine, die auf das angestrebte Sicherheitsniveau eine greren Einfluss haben als
andere. Manahmen eines solchen Bausteins sollten bevorzugt behandelt werden, insbesondere
wenn hierdurch Schwachstellen in hochschutzbedrftigen Bereichen beseitigt werden. So sollten
immer zunchst die Server abgesichert werden (z. B. durch Umsetzung des Bausteins 6.2 Unix-
Server) und dann erst die angeschlossenen Clients.
- Bausteine mit auffallend vielen fehlenden Manahmen reprsentieren Bereiche mit vielen
Schwachstellen. Sie sollten ebenfalls bevorzugt behandelt werden.
Schritt 5: Festlegung der Verantwortlichkeit
Nach der Bestimmung der Reihenfolge fr die Umsetzung der Manahmen muss anschlieend fest-
gelegt werden, wer bis wann welche Manahmen realisieren muss. Ohne eine solche Festlegung
verzgert sich die Realisierung erfahrungsgem erheblich bzw. unterbleibt ganz. Dabei ist darauf zu
achten, dass der als verantwortlich Benannte ausreichende Fhigkeiten und Kompetenzen zur
Umsetzung der Manahmen besitzt und dass ihm die erforderlichen Ressourcen zur Verfgung gestellt
werden.
Ebenso ist festzulegen, wer fr die berwachung der Realisierung verantwortlich ist bzw. an wen der
Abschluss der Realisierung der einzelnen Manahmen zu melden ist. Typischerweise wird die
Meldung an den IT-Sicherheitsbeauftragten erfolgen. Der Fortschritt der Realisierung sollte regel-
mig nachgeprft werden, damit die Realisierungsauftrge nicht verschleppt werden.
Der nun fertig gestellte Realisierungsplan sollte mindestens folgende Informationen umfassen:
- Beschreibung des Zielobjektes als Einsatzumfeld,
- Nummer des betrachteten Bausteins,
- Manahmentitel bzw. Manahmenbeschreibung,
- Terminplanung fr die Umsetzung,
- Budgetrahmen,
- Verantwortliche fr die Umsetzung und
- Verantwortliche fr die berwachung der Realisierung.
Schritt 6: Realisierungsbegleitende Manahmen
beraus wichtig ist es, notwendige realisierungsbegleitende Manahmen rechtzeitig zu konzipieren
und fr die Realisierung mit einzuplanen. Zu diesen Manahmen gehren insbesondere Sensibilisie-
rungsmanahmen, die darauf zielen, die von neuen IT-Sicherheitsmanahmen betroffenen Mitarbeiter
ber die Notwendigkeit und die Konsequenzen der Manahmen zu unterrichten und sie fr die
Belange der IT-Sicherheit zu sensibilisieren.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 81
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________

Darber hinaus mssen die betroffenen Mitarbeiter geschult werden, die neuen IT-Sicherheits-
manahmen korrekt um- und einzusetzen. Wird diese Schulung unterlassen, knnen die Manahmen
nicht umgesetzt werden und verlieren ihre Wirkung. Darber hinaus wrden sich die Mitarbeiter
unzureichend informiert fhlen, was oft zu einer ablehnenden Haltung gegenber IT-Sicherheit fhrt.
Nach der Realisierung und Einfhrung der neuen IT-Sicherheitsmanahmen sollte durch den IT-
Sicherheitsbeauftragten geprft werden, ob die notwendige Akzeptanz der Mitarbeiter vorhanden ist.
Stellt sich heraus, dass die neuen Manahmen nicht akzeptiert werden, ist ein Misserfolg vorpro-
grammiert. Die Ursachen sind herauszuarbeiten und ggf. ist eine zustzliche Aufklrung der Betroffe-
nen einzuleiten.
Beispiel:
Um die obigen Schritte nher zu beschreiben, wird nachfolgend ein fiktives Beispiel auszugsweise
beschrieben. Zunchst soll die Tabelle der konsolidierten, zu realisierenden Manahmen einschlielich
der Kostenschtzungen, die als Ergebnis der Schritte 1 - 3 entsteht, dargestellt werden:
Zielobjekt Bau- Manahme Prio- Kosten Bemerkung
stein ritt
1 2 3

Gesamte Organisation 3.1 M 2.11 Regelung des Passwort- T a) 0,- Euro


gebrauchs b) 2 AT
c) 0.-Euro/Jahr
d) 0 AT/Jahr
Serverraum R 3.10 4.3.2 M 1.24 Vermeidung von wasser- F a) 20000.- Euro Diese Manahme ist nicht
fhrenden Leitungen b) 12 AT wirtschaftlich umsetzbar.
c) 0.- Euro/Jahr Ersatzweise wird Manahme Z
d) 0 AT/Jahr 1 umgesetzt.
Serverraum R 3.10 4.3.2 Z 1 Installation von Wasser a) 4000.- Euro Ersetzt Manahme M 1.24
ableitenden Blechen mit ber- b) 3 AT
wachung mittels eines Wasser- c) 0.- Euro/Jahr
melders und Aufschaltung auf d) 0 AT/Jahr
den Pfrtner
Server S4 6.5 M 1.28 Lokale unterbrechungs- F a) 1000.- Euro
freie Stromversorgung b) 1 AT
c) 0.-Euro/Jahr
d) 0 AT/Jahr
Gruppe Clients C1 5.5 Z 2 chipkartengesttzte Authen- a) 1400.- Euro Diese zustzliche Manahme
tisierung und lokale Verschls- b) 2 AT ersetzt die Manahme M 4.1
selung der Festplatten c) 0.- Euro/Jahr
d) 2 AT/Jahr
...

Legende:
- Manahme
Z 1 = Zusatzmanahme 1 (zustzlich zu IT-Grundschutzmanahmen)
- Prioritten
T = teilweise erfllt, F = fehlt, ist nicht realisiert
- Kosten:
a) = einmalige Investitionskosten
b) = einmaliger Personalaufwand (AT = Arbeitstage)
c) = wiederkehrende Investitionskosten
d) = wiederkehrender Personalaufwand (AT = Arbeitstage)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 82
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________

Als nchstes wird der tabellarische Realisierungsplan dargestellt, der sich nach der Management-
entscheidung aus obiger Tabelle ergeben wrde.

Realisierungsplan (Stand 01.09.2000)


Zielobjekt Bau- Manahme Umset- Verant- Budgetrahmen Bemer-
stein zung bis wortlich kung
Gesamte 3.1 M 2.11 Regelung des 31.12.20 a) Herr a) 0,- Euro
Organisation Passwortgebrauchs 00 Mller b) 2 AT
b) Frau c) 0.-Euro/Jahr
Meier d) 0 AT/Jahr
Serverraum 4.3.2 Z 1 Installation von 30.04.20 a) Herr a) 1000.- Euro Installation
R 3.10 Wasser ableitenden 01 Schmitz b) 1 AT der Bleche
Blechen mit b) Herr c) 0.- Euro/Jahr ledig-lich
berwachung mittels Hofmann d) 0 AT/Jahr unter
eines Wassermelders frisch- und
und Aufschaltung auf abwasser-
den Pfrtner fhrenden
Leitungen
Server S4 6.5 M 1.28 Lokale unter- 31.10.20 a) Herr a) 500.- Euro
brechungs-freie 00 Schulz b) 1 AT
Stromversorgung b) Frau c) 0.-Euro/Jahr
Meier d) 0 AT/Jahr
Gruppe 5.5 Z 2 chipkartengesttzte 31.12.20 a) Herr a) 1400.- Euro
Clients C1 Authentisierung und 00 Schulz
b) 2 AT
lokale Verschlsselung b) Frau
der Festplatten Meier c) 0.- Euro/Jahr
d) 2 AT/Jahr
...

Legende:
- Verantwortlich:
a) = Verantwortlich fr die Umsetzung der Manahme
b) = Verantwortlich fr die Kontrolle der Umsetzung
- Budgetrahmen: Fr die Realisierung der Manahme stehen zur Verfgung
a) = einmalige Investitionskosten
b) = einmaliger Personalaufwand (AT = Arbeitstage)
c) = wiederkehrende Investitionskosten
d) = wiederkehrender Personalaufwand (AT = Arbeitstage)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 83
IT-Grundschutz-Zertifikat 2.7
_________________________________________________________________________________________

2.7 IT-Grundschutz-Zertifikat
Aufgrund hufiger Anfragen, ob fr einen IT-Verbund, in
dem die Standardsicherheitsmanahmen nach IT-
Grundschutz umgesetzt sind, ein Zertifikat erlangt
werden kann, wird dieses Thema im BSI aufgegriffen.
Dabei sind die Interessen an einem IT-Grundschutz-
Zertifikat vielfltig:
- IT-Dienstleister mchten mit Hilfe dieses Zertifikats
einen vertrauenswrdigen Nachweis fhren, dass sie
die Manahmen nach dem IT-Grundschutzhandbuch
realisiert haben.
- Kooperierende Unternehmen mchten sich darber
informieren, welchen Grad von IT-Sicherheit ihre Geschftspartner zusichern knnen.
- Von Institutionen, die an ein Netz neu angeschlossen werden, wird der Nachweis darber verlangt,
dass sie eine ausreichende IT-Sicherheit besitzen, damit durch den Anschluss ans Netz keine
untragbaren Risiken entstehen.
- Unternehmen und Behrden mchten dem Kunden bzw. Brger gegenber ihre Bemhungen um
eine ausreichende IT-Sicherheit deutlich machen.
Da das IT-Grundschutzhandbuch mit seinen Empfehlungen von Standardsicherheitsmanahmen
inzwischen einen Quasi-Standard fr IT-Sicherheit darstellt, bietet es sich an, dies als allgemein aner-
kanntes Kriterienwerk fr IT-Sicherheit zu verwenden.
Das IT-Grundschutz-Zertifikat wird eine Institution fr einen ausgewhlten IT-Verbund erlangen
knnen, wenn eine unabhngige akkreditierte Stelle mittels eines Basis-Sicherheitschecks nachweisen
kann, dass die erforderlichen Standardsicherheitsmanahmen nach IT-Grundschutz realisiert sind. Die
Vorgehensweise entspricht dabei der in den Kapitel 2.1 bis 2.4 dargestellten Weise. Da bei der Durch-
fhrung des Basis-Sicherheitschecks zustzlich ein Sicherheitskonzept nach IT-Grundschutz als
Zwischenergebnis erstellt wird, ist die Weiterverwendbarkeit der im Zertifizierungsprozess generierten
Unterlagen sichergestellt.
Natrlich kann nicht ausgeschlossen werden, dass das Ergebnis des Basis-Sicherheitschecks die
Erteilung eines Zertifikats nicht zulsst. Fr diesen Fall wird berlegt, der Institution die Mglichkeit
einzurumen, ihre Bemhungen im IT-Sicherheitsprozess nach IT-Grundschutz zur Erlangung eines
IT-Grundschutz-Zertifikats ffentlich kund zu tun. Es ist vorgesehen, dass eine Institution im Rahmen
einer Selbsterklrung verffentlichen kann, dass sie eine noch zu definierende Einstiegsstufe
(Mindestniveau) oder darauf aufsetzende Aufbaustufe (unterhalb des IT-Grundschutzniveaus) erreicht
hat und das IT-Grundschutz-Zertifikat nach Umsetzung der fehlenden Manahmen anstrebt.
Nhere Informationen zum Diskussionsstand "IT-Grundschutz-Zertifikat" befinden sich auf dem BSI-
Server unter http://www.bsi.bund.de/gshb.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 84
IT-Grundschutz bergeordneter Komponenten 3
_________________________________________________________________________________________

3 IT-Grundschutz bergeordneter Komponenten


In diesem Kapitel werden bergeordnete oder grundlegende IT-Grundschutzmanahmen zu folgenden
Themen vorgestellt.

3.0 IT-Sicherheitsmanagement
3.1 Organisation
3.2 Personal
3.3 Notfallvorsorge-Konzept
3.4 Datensicherungskonzept
3.5 Datenschutz
3.6 Computer-Virenschutzkonzept
3.7 Kryptokonzept
3.8 Behandlung von Sicherheitsvorfllen
3.9 Hard- und Software-Management
3.10 Outsourcing

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 85
IT-Sicherheitsmanagement 3.0
_________________________________________________________________________________________

3.0 IT-Sicherheitsmanagement
Beschreibung
Im Gleichklang mit den wachsenden Anforderungen an
die Informationstechnik ist auch deren Komplexitt
stndig gewachsen. Ein angemessenes IT-Sicherheits-
niveau kann daher in zunehmendem Mae nur durch
geplantes und organisiertes Vorgehen aller Beteiligten
durchgesetzt und aufrechterhalten werden. Voraussetzung
fr die sinnvolle Umsetzung und Erfolgskontrolle von IT-
Sicherheitsmanahmen ist somit ein durchdachter und
gesteuerter IT-Sicherheitsprozess. Diese Planungs- und
Lenkungsaufgabe wird als IT-Sicherheitsmanagement
bezeichnet. Die Etablierung eines funktionierenden IT-Sicherheitsmanagements steht notwendiger-
weise am Anfang des IT-Sicherheitsprozesses.
Ein funktionierendes IT-Sicherheitsmanagement muss in die existierenden Managementstrukturen
einer jeden Organisation eingebettet werden. Daher ist es praktisch nicht mglich, eine fr jede
Organisation unmittelbar anwendbare IT-Sicherheitsmanagement-Struktur anzugeben, vielmehr
werden hufig Anpassungen an organisationspezifische Gegebenheiten erforderlich sein.
In diesem Kapitel soll ein systematischer Weg aufgezeigt werden, wie ein funktionierendes IT-Sicher-
heitsmanagement eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Die darge-
stellte Vorgehensweise soll dabei insofern Mustercharakter haben, als sich spezifische Ausprgungen
an ihr orientieren knnen.
Anmerkung: In einigen anderen Kapiteln dieses Handbuchs wird der Begriff IT-Sicherheitsmanage-
ment auch als Bezeichnung fr das IT-Sicherheitsmanagement-Team verwendet, also fr diejenige
Personengruppe, die fr den IT-Sicherheitsprozess innerhalb einer Organisation verantwortlich ist.
Gefhrdungslage
Gefhrdungen im Umfeld des IT-Sicherheitsmanagements knnen vielfltiger Natur sein. Stellver-
tretend fr diese Vielzahl der Gefhrdungen wird in diesem Kapitel die folgende typische Gefhrdung
betrachtet:
Organisatorischer Mngel:
- G 2.66 Unzureichendes IT-Sicherheitsmanagement

Manahmenempfehlungen
Zuerst ist in jedem Fall Manahme M 2.191 Etablierung des IT-Sicherheitsprozesses bearbeiten. Diese
Manahme beschreibt eine Vorgehensweise, wie ein vollstndiger IT-Sicherheitsprozess initiiert und
realisiert wird. Es werden dazu notwendige Schritte und Aktivitten beschrieben, die wiederum in den
nachfolgenden Manahmen ausfhrlich behandelt werden.
Nachfolgend wird das Manahmenbndel fr den Bereich "IT-Sicherheitsmanagement" vorgestellt.
Organisation:
- M 2.191 (1) Etablierung des IT-Sicherheitsprozesses
- M 2.192 (1) Erstellung einer IT-Sicherheitsleitlinie
- M 2.193 (1) Aufbau einer geeigneten Organisationsstruktur fr IT-Sicherheit
- M 2.194 (1) Erstellung einer bersicht ber vorhandene IT-Systeme
- M 2.195 (1) Erstellung eines IT-Sicherheitskonzepts

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 86
IT-Sicherheitsmanagement 3.0
_________________________________________________________________________________________

- M 2.196 (1) Umsetzung des IT-Sicherheitskonzepts nach einem Realisierungsplan


- M 2.197 (2) Erstellung eines Schulungskonzepts fr IT-Sicherheit
- M 2.198 (2) Sensibilisierung der Mitarbeiter fr IT-Sicherheit
- M 2.199 (1) Aufrechterhaltung der IT-Sicherheit
- M 2.200 (1) Erstellung von Managementreports zur IT-Sicherheit
- M 2.201 (2) Dokumentation des IT-Sicherheitsprozesses
- M 2.202 (2) Erstellung eines Handbuchs zur IT-Sicherheit (optional)
- M 2.203 (3) Aufbau einer Informationsbrse zur IT-Sicherheit (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 87
Organisation 3.1
_________________________________________________________________________________________

3.1 Organisation
Beschreibung
In diesem Kapitel werden allgemeine und bergreifende
Manahmen im Organisationsbereich aufgefhrt, die als
organisatorische Standardmanahmen zur Erreichung
eines Mindestschutzniveaus erforderlich sind. Spezielle
Manahmen organisatorischer Art, die in unmittelbarem
Zusammenhang mit anderen Manahmen stehen (z. B.
LAN-Administration), werden in den entsprechenden
Kapiteln aufgefhrt. Auf das ordnungsgeme
Management informationstechnischer Komponenten
(Hardware oder Software) ausgerichtete Standard-
Sicherheits-Manahmen befinden sich im Kapitel 3.9.
Gefhrdungslage
In diesem Kapitel werden fr den IT-Grundschutz die folgenden typischen Gefhrdungen betrachtet:
Organisatorischer Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.5 Fehlende oder unzureichende Wartung
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Organisation" vorgestellt:
Organisation:
- M 2.1 (2) Festlegung von Verantwortlichkeiten und Regelungen fr den IT-Einsatz
- M 2.2 (2) Betriebsmittelverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.5 (1) Aufgabenverteilung und Funktionstrennung
- M 2.6 (1) Vergabe von Zutrittsberechtigungen
- M 2.7 (1) Vergabe von Zugangsberechtigungen
- M 2.8 (1) Vergabe von Zugriffsrechten
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.14 (2) Schlsselverwaltung
- M 2.37 (2) "Der aufgerumte Arbeitsplatz"
- M 2.39 (2) Reaktion auf Verletzungen der Sicherheitspolitik
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.177 (2) Sicherheit bei Umzgen
- M 2.225 (2) Zuweisung der Verantwortung fr Informationen, Anwendungen und IT-
Komponenten

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 88
Personal 3.2
_________________________________________________________________________________________

3.2 Personal
Beschreibung
In diesem Kapitel werden die bergeordneten IT-Grund-
schutzmanahmen erlutert, die im Bereich Personal-
wesen standardmig durchgefhrt werden sollten.
Beginnend mit der Einstellung von Mitarbeitern bis hin
zu deren Ausscheiden ist eine Vielzahl von Manahmen
erforderlich. Personelle Manahmen, die an eine
bestimmte Funktion gebunden sind wie z. B. die
Ernennung des Systemadministrators eines LAN, werden
in den IT-spezifischen Kapiteln angefhrt.

Gefhrdungslage
In diesem Kapitel werden fr den IT-Grundschutz die folgenden typischen Gefhrdungen betrachtet:
Hhere Gewalt:
- G 1.1 Personalausfall
Organisatorische Mngel
- G 2.2 Unzureichende Kenntnis ber Regelungen
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.8 Fehlerhafte Nutzung des IT-Systems
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.42 Social Engineering
- G 5.104 Aussphen von Informationen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Personal" vorgestellt:
Personal:

- M 3.1 (1) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter


- M 3.2 (2) Verpflichtung der Mitarbeiter auf Einhaltung einschlgiger Gesetze, Vorschriften
und Regelungen
- M 3.3 (1) Vertretungsregelungen
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.6 (2) Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern
- M 3.7 (3) Anlaufstelle bei persnlichen Problemen (optional)
- M 3.8 (3) Vermeidung von Strungen des Betriebsklimas (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 89
Notfallvorsorge-Konzept 3.3
_________________________________________________________________________________________

3.3 Notfallvorsorge-Konzept
Beschreibung
Die Notfallvorsorge umfasst Manahmen, die auf die
Wiederherstellung der Betriebsfhigkeit nach (technisch
bedingtem bzw. durch fahrlssige oder vorstzliche
Handlungen herbeigefhrten) Ausfall eines IT-Systems
ausgerichtet sind. Abhngig vom Zeitpunkt der
Realisierung dieser Manahmen lassen sich vier Phasen
der Notfallvorsorge unterscheiden:

Phase 1: Planung der Notfallvorsorge


In dieser Phase werden die individuell fr ein IT-System geeigneten und wirtschaftlich
angemessenen Manahmen identifiziert. Es wird festgelegt, welche Manahmen whrend des
Betriebes eines IT-Systems (z. B. Rauchverbot, unterbrechungsfreie Stromversorgung, Wartung,
Datensicherung) durchzufhren sind, damit ein Notfall verhindert bzw. der Schaden aufgrund eines
Notfalls vermindert wird. Darber hinaus wird in Notfallplnen, die Bestandteile eines
Notfallhandbuchs sind, festgeschrieben, welche Manahmen bei Eintreten eines Notfalls
durchgefhrt werden mssen.
Phase 2: Umsetzung der den IT-Betrieb begleitenden Notfallvorsorgemanahmen
In Phase 2 werden die Notfallvorsorgemanahmen realisiert und aufrechterhalten, die schon vor
Eintritt eines Notfalls durchgefhrt sein mssen, um die Eintrittswahrscheinlichkeit eines Notfalls
zu verringern oder um eine zgige und wirtschaftliche Wiederherstellung der Betriebsfhigkeit zu
ermglichen.
Phase 3: Durchfhrung von Notfallbungen
Von besonderer Bedeutung ist die Durchfhrung von Notfallbungen zeitgleich zu Phase 2, um die
Umsetzung der im Notfall-Handbuch aufgefhrten Manahmen einzuben und deren Effizienz zu
steigern.
Phase 4: Umsetzung geplanter Manahmen nach Eintreten eines Notfalls
Ist autorisiert entschieden worden, dass ein Notfall vorliegt, so sind die fr diesen Fall geplanten
und im Notfall-Handbuch niedergelegten Manahmen unverzglich umzusetzen.
Um eine unter Wirtschaftlichkeitsgesichtspunkten angemessene Notfallvorsorge betreiben zu knnen,
mssen die entstehenden Kosten dem potentiellen Schaden (Kosten aufgrund mangelnder
Verfgbarkeit im Notfall) gegenbergestellt und bewertet werden. Als Kosten sind zu betrachten:
- Kosten fr die Erstellung eines Notfallvorsorgekonzeptes,
- Kosten fr die Realisierung und Aufrechterhaltung der den IT-Betrieb begleitenden
Notfallvorsorgemanahmen,
- Kosten fr Notfallbungen und
- Kosten fr die Wiederherstellung der Betriebsfhigkeit.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 90
Notfallvorsorge-Konzept 3.3
_________________________________________________________________________________________

In diesem Kapitel soll ein systematischer Weg aufgezeigt werden, wie ein Notfall-Handbuch erstellt
und dessen Anwendung gebt werden kann. Damit sind Teile der Phase 1 und die Phasen 3 und 4
betroffen. Die in Phase 2 umzusetzenden Manahmen setzen eine individuelle Betrachtung des IT-
Systems und der Einsatzumgebung voraus. Diese Manahmen werden in den jeweiligen umfeld- und
systemspezifischen Bausteinen dieses Handbuchs behandelt.
Der Aufwand zur Erstellung eines Notfallhandbuchs einschlielich der notwendigen begleitenden
Manahmen ist betrchtlich. Daher kann dieses Kapitel insbesondere fr
- IT-Systeme mit hohen Verfgbarkeitsanforderungen,
- grere IT-Systeme (Grorechner, groe Unix-Systeme, umfangreiche Netze) oder
- eine grere Anzahl rumlich konzentrierter IT-Systeme
sinnvoll eingesetzt werden.

Gefhrdungslage
In diesem Kapitel wird fr den IT-Grundschutz die Gefhrdung

- G 1.2 Ausfall des IT-Systems

stellvertretend fr alle Gefhrdungen betrachtet, durch die ein Ausfall herbeigefhrt werden kann.

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Die Bearbeitung der Manahmen sollte in der angegebenen Reihenfolge geschehen, um systematisch
ein Notfall-Handbuch zu erarbeiten.
Notfallvorsorge:
- M 6.1 (2) Erstellung einer bersicht ber Verfgbarkeitsanforderungen
- M 6.2 (2) Notfall-Definition, Notfall-Verantwortlicher
- M 6.3 (2) Erstellung eines Notfall-Handbuches
- M 6.4 (2) Dokumentation der Kapazittsanforderungen der IT-Anwendungen
- M 6.5 (2) Definition des eingeschrnkten IT-Betriebs
- M 6.6 (2) Untersuchung interner und externer Ausweichmglichkeiten
- M 6.7 (2) Regelung der Verantwortung im Notfall
- M 6.8 (1) Alarmierungsplan
- M 6.9 (1) Notfall-Plne fr ausgewhlte Schadensereignisse
- M 6.10 (2) Notfall-Plan fr DF-Ausfall
- M 6.11 (2) Erstellung eines Wiederanlaufplans
- M 6.12 (1) Durchfhrung von Notfallbungen
- M 6.13 (2) Erstellung eines Datensicherungsplans
- M 6.14 (3) Ersatzbeschaffungsplan
- M 6.15 (3) Lieferantenvereinbarungen (optional)
- M 6.16 (2) Abschlieen von Versicherungen (optional)
- M 6.75 (2) Redundante Kommunikationsverbindungen (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 91
Datensicherungskonzept 3.4
_________________________________________________________________________________________

3.4 Datensicherungskonzept
Beschreibung
Durch technisches Versagen, versehentliches Lschen
oder durch Manipulation knnen gespeicherte Daten
unbrauchbar werden bzw. verloren gehen. Eine
Datensicherung soll gewhrleisten, dass durch einen
redundanten Datenbestand der IT-Betrieb kurzfristig
wiederaufgenommen werden kann, wenn Teile des
operativen Datenbestandes verloren gehen.
Die Konzeption einer angemessenen und
funktionstchtigen Datensicherung bedarf allerdings
aufgrund der Komplexitt einer geordneten Vorgehensweise. In diesem Kapitel wird ein Weg
beschrieben, wie fr ein IT-System ein Datensicherungskonzept erstellt werden kann.

Gefhrdungslage
Fr die mittels eines Datensicherungskonzepts zu schtzenden Daten wird fr den IT-Grundschutz
folgende typische Gefhrdung angenommen:
Technisches Versagen:
- G 4.13 Verlust gespeicherter Daten

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Datensicherungskonzept" vorgestellt, das
vor allem fr grere IT-Systeme oder IT-Systeme mit groem Datenvolumen sinnvoll ist. Die
Bearbeitung der Manahmen sollte in der angegebenen Reihenfolge geschehen, um systematisch ein
Datensicherungskonzept zu erarbeiten.

Notfallvorsorge:
- M 6.33 (2) Entwicklung eines Datensicherungskonzepts (optional)
- M 6.34 (2) Erhebung der Einflussfaktoren der Datensicherung (optional)
- M 6.35 (2) Festlegung der Verfahrensweise fr die Datensicherung (optional)
- M 6.36 (1) Festlegung des Minimaldatensicherungskonzeptes
- M 6.37 (2) Dokumentation der Datensicherung
- M 6.41 (1) bungen zur Datenrekonstruktion

Organisation:
- M 2.41 (2) Verpflichtung der Mitarbeiter zur Datensicherung
- M 2.137 (2) Beschaffung eines geeigneten Datensicherungssystems

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 93
Datenschutz 3.5
_________________________________________________________________________________________

3.5 Datenschutz
Beschreibung
Aufgabe des Datenschutzes ist es, den einzelnen davor zu
schtzen, dass er durch den Umgang mit seinen
personenbezogenen Daten in seinem Recht beeintrchtigt
wird, selbst ber die Preisgabe und Verwendung seiner
Daten zu bestimmen ("informationelles Selbstbestim-
mungsrecht").
Aufgrund der engen Verflechtung von Datenschutz und
IT-Sicherheit sollte es Ziel eines IT-Grundschutzkapitels
zum Thema "Datenschutz" sein, einerseits die Rahmen-
bedingungen fr den Datenschutz praxisgerecht aufzubereiten und andererseits die Verbindung zur IT-
Sicherheit ber den IT-Grundschutz aufzubauen.
Ein Vorschlag fr ein solches IT-Grundschutzkapitel "Datenschutz" wurde federfhrend vom
Bundesbeauftragten fr den Datenschutz gemeinsam mit dem Arbeitskreis Technik der
Datenschutzbeauftragten des Bundes und der Lnder erstellt. Es richtet sich an die ffentlichen Stellen
des Bundes und der Lnder, die privaten Anbieter von Telekokmmunikationsdiensten und
Postdienstleistungen.
Dieser Vorschlag kann beim Bundesbeauftragten fr den Datenschutz per E-Mail angefordert werden
unter der Adresse:

poststelle@bfd.bund.de

Darber hinaus kann dieser Vorschlag auch auf dem Internet-Server des Bundesbeauftragten fr den
Datenschutz unter der Adresse www.bfd.bund.de nachgelesen werden. In Vorbereitung befindet sich
darber hinaus eine Download-Mglichkeit dieses Vorschlagkapitels, das fr die Lose-Blattsammlung
des IT-Grundschutzhandbuchs vorformatiert ist.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 94
Computer-Virenschutzkonzept 3.6
_________________________________________________________________________________________

3.6 Computer-Virenschutzkonzept
Beschreibung
Ziel eines Computer-Virenschutzkonzeptes ist es, ein
geeignetes Manahmenbndel zusammenzustellen, bei
dessen Einsatz das Auftreten von Computer-Viren auf
den in einer Organisation eingesetzten IT-Systemen ver-
hindert bzw. mglichst frh erkannt wird, um Gegen-
manahmen vornehmen zu knnen und evtl. mgliche
Schden zu minimieren. Wesentlicher Aspekt des
Schutzes vor Computer-Viren ist die konsequente
Aufrechterhaltung der Manahmen und die stndige
Aktualisierung technischer Gegenmanahmen. Diese
Forderung begrndet sich durch die permanent neu auftauchenden Computer-Viren oder deren
Varianten. Auch durch die Weiterentwicklung von Betriebssystemen, Programmiersprachen und
Anwendungssoftware mssen die sich hieraus ergebenden mglichen Angriffspotentiale fr
Computer-Viren beachtet werden und rechtzeitig geeignete Gegenmanahmen eingeleitet werden.
Da in Behrden oder Unternehmen Rechner in zunehmendem Mae in lokale Netze integriert werden
oder ein Anschluss an ffentliche Kommunikationsnetze erfolgt, werden ber die Weitergabe ber
Disketten hinaus zustzliche Schnittstellen geschaffen, ber die eine Infektion mit Computer-Viren
erfolgen kann. Dies erfordert es oftmals, dass eine permanente Kontrolle der eingesetzten Rechner auf
Computer-Viren vorgenommen wird.
Um fr eine Gesamtorganisation einen effektiven Computer-Virenschutz zu erreichen, wird in diesem
Kapitel die Vorgehensweise zur Erstellung und Realisierung eines Viren-Schutzkonzeptes in einzelnen
Schritten erlutert. Manahmenempfehlungen zum Computer-Virenschutz fr einzelne IT-Systeme
finden sich in den entsprechenden Kapiteln 5 und 6.
Gefhrdungslage
Fr den IT-Grundschutz werden bezglich Computer-Viren die folgenden typischen Gefhrdungen
betrachtet:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren

Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.80 Hoax

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 95
Computer-Virenschutzkonzept 3.6
_________________________________________________________________________________________

Manahmenempfehlungen
Bei der Erstellung eines Computer-Viren-Schutzkonzepts (vgl.M 2.154 Erstellung eines Computer-
Virenschutzkonzept,) muss zunchst ermittelt werden, welche der vorhandenen oder geplanten IT-
Systeme in das Computer-Viren-Schutzkonzept einzubeziehen sind (siehe M 2.155 Identifikation
potentiell von Computer-Viren betroffener IT-Systeme). Fr diese IT-Systeme mssen die fr die
Umsetzung von Sicherheitsmanahmen relevanten Einflussfaktoren betrachtet werden. Darauf aufbau-
end knnen dann die technischen und organisatorischen Manahmen ausgewhlt werden. Hierzu ist
insbesondere die Auswahl geeigneter technischer Gegenmanahmen wie Computer-Viren-Suchpro-
gramme zu beachten (siehe M 2.156 Auswahl einer geeigneten Computer-Virenschutz-Strategie und
,M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms). Neben der Einrichtung eines
Meldewesens (vgl. M 2.158 Meldung von Computer-Virusinfektionen) und der Koordinierung der
Aktualisierung eingesetzter Schutzprodukte (vgl. M 2.159 Aktualisierung der eingesetzten Computer-
Viren-Suchprogramme) sind fr die Umsetzung des Konzeptes eine Reihe von Regelungen zu verein-
baren (vgl. M 2.11 Regelung des Passwortgebrauchs), in denen zustzlich notwendige Manahmen
zum Virenschutz festgelegt werden.
Eine der wichtigsten Vorbeugemanahmen gegen Schden durch Computer-Viren ist die regelmige
Datensicherung (siehe M 6.32 Regelmige Datensicherung).
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmebndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen. Als zustzliche Literatur ist Band 2 der
Schriftenreihe zur IT-Sicherheit des Bundesamtes fr Sicherheit in der Informationstechnik "
Informationen zu Computer-Viren" zu empfehlen.
Organisation:
- M 2.9 (3) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.34 (2) Dokumentation der Vernderungen an einem bestehenden System
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.154 (1) Erstellung eines Computer-Virenschutzkonzepts
- M 2.155 (2) Identifikation potentiell von Computer-Viren betroffener IT-Systeme
- M 2.156 (2) Auswahl einer geeigneten Computer-Virenschutz-Strategie
- M 2.157 (2) Auswahl eines geeigneten Computer-Viren-Suchprogramms
- M 2.158 (2) Meldung von Computer-Virusinfektionen
- M 2.159 (2) Aktualisierung der eingesetzten Computer-Viren-Suchprogramme
- M 2.160 (2) Regelungen zum Computer-Virenschutz
Personal:
- M 3.4 (2) Schulung vor Programmnutzung
- M 3.5 (2) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.33 (2) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.84 (2) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (2) Erstellen einer PC-Notfalldiskette
- M 6.32 (1) Regelmige Datensicherung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 96
Kryptokonzept 3.7
_________________________________________________________________________________________

3.7 Kryptokonzept
Beschreibung
Dieser Baustein beschreibt eine Vorgehensweise, wie in
einer heterogenen Umgebung sowohl die lokal gespei-
cherten Daten als auch die zu bertragenen Daten
wirkungsvoll durch kryptographische Verfahren und
Techniken geschtzt werden knnen. Dazu wird
beschrieben, wie und wo in einer heterogenen Umgebung
kryptographische Verfahren und die entsprechenden
Komponenten eingesetzt werden knnen. Da beim Ein-
satz kryptographischer Verfahren sehr viele komplexe
Einflussfaktoren zu betrachten sind, sollte hierfr ein
Kryptokonzept erstellt werden.
In diesem Baustein wird daher beschrieben, wie ein Kryptokonzept erstellt werden kann. Beginnend
mit der Bedarfsermittlung und der Erhebung der Einflussfaktoren geht es ber die Auswahl geeigneter
kryptographischer Lsungen und Produkte bis hin zur Sensibilisierung und Schulung der Anwender
und zur Krypto-Notfallvorsorge.
Dieser Baustein kann auch herangezogen werden, wenn nur ein kryptographisches Produkt fr eines
der mglichen Einsatzfelder ausgewhlt werden soll. Dann knnen einige der im folgenden beschrie-
benen Schritte ausgelassen werden und nur die fr das jeweilige Einsatzfeld relevanten Teile bearbei-
tet werden.
Fr die Umsetzung dieses Bausteins sollte ein elementares Verstndnis der grundlegenden krypto-
graphischen Mechanismen vorhanden sein. Ein berblick ber kryptographische Grundbegriffe findet
sich in M 3.23 Einfhrung in kryptographische Grundbegriffe.
Gefhrdungslage
Kryptographische Verfahren werden eingesetzt zur Gewhrleistung von
- Vertraulichkeit,
- Integritt,
- Authentizitt und
- Nichtabstreitbarkeit.
Daher werden fr den IT-Grundschutz primr die folgenden Gefhrdungen fr kryptographische
Verfahren betrachtet:
- G 4.33 Schlechte oder fehlende Authentikation
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.27 Nichtanerkennung einer Nachricht
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
Werden kryptographische Verfahren eingesetzt, sollten fr den IT-Grundschutz zustzlich folgende
Gefhrdungen betrachtet werden:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 97
Kryptokonzept 3.7
_________________________________________________________________________________________

Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.32 Versto gegen rechtliche Rahmenbedingungen beim Einsatz von
kryptographischen Verfahren
- G 3.33 Fehlbedienung von Kryptomodulen
Technisches Versagen:
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.34 Ausfall eines Kryptomoduls
- G 4.35 Unsichere kryptographische Algorithmen
- G 4.36 Fehler in verschlsselten Daten
Vorstzliche Handlungen:
- G 5.81 Unautorisierte Benutzung eines Kryptomoduls
- G 5.82 Manipulation eines Kryptomoduls
- G 5.83 Kompromittierung kryptographischer Schlssel
- G 5.84 Geflschte Zertifikate

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Darber hinaus sind im Bereich kryptographische Verfahren im wesentlichen die folgenden Schritte
durchzufhren:
1. Entwicklung eines Kryptokonzepts (siehe M 2.161 Entwicklung eines Kryptokonzepts)
Der Einsatz kryptographischer Verfahren wird von einer groen Zahl von Einflussfaktoren
bestimmt. Das IT-System, das Datenvolumen, das angestrebte Sicherheitsniveau und die Verfg-
barkeitsanforderungen sind einige dieser Faktoren. Daher sollte zunchst ein Konzept entwickelt
werden, in dem alle Einflussgren und Entscheidungskriterien fr die Wahl eines konkreten
kryptographischen Verfahrens und der entsprechenden Produkte bercksichtigt werden und das
gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.
2. Ermittlung der Anforderungen an die kryptographischen Verfahren
Es muss ein Anforderungskatalog erstellt werden, in dem die Einflussgren und die Entschei-
dungskriterien beschrieben werden, die einem Einsatz von kryptographischen Verfahren zugrunde
liegen (siehe M 2.162 Bedarfserhebung fr den Einsatz kryptographischer Verfahren und Produkte
und M 2.163 Erhebung der Einflussfaktoren fr kryptographische Verfahren und Produkte).
Kryptographische Verfahren knnen auf den verschiedenen Schichten des ISO/OSI-Schichten-
modells eingesetzt werden. Je nach den festgestellten Anforderungen oder Gefhrdungen ist der
Einsatz auf bestimmten Schichten zu empfehlen (siehe auch M 4.90 Einsatz von kryptographischen
Verfahren auf den verschiedenen Schichten des ISO/OSI-Referenzmodells).
3. Auswahl geeigneter kryptographischer Verfahren (siehe M 2.164 Auswahl eines geeigneten
kryptographischen Verfahrens)
Bei der Auswahl von kryptographischen Verfahren steht zunchst die Frage, ob symmetrische,
asymmetrische oder hybride Algorithmen geeignet sind, im Vordergrund und dann die Mechanis-
menstrke. Anschlieend sind geeignete Produkte zu bestimmen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 98
Kryptokonzept 3.7
_________________________________________________________________________________________

4. Auswahl eines geeigneten kryptographischen Produktes (siehe M 2.165 Auswahl eines geeigneten
kryptographischen Produktes )
Nachdem alle Rahmenbedingungen bestimmt worden sind, muss ein Produkt ausgewhlt werden,
das die im Kryptokonzept dargelegte Sicherheitsfunktionalitt bietet. Ein solches Produkt, im fol-
genden kurz Kryptomodul genannt, kann dabei aus Hardware, Software, Firmware oder aus einer
diesbezglichen Kombination sowie der zur Durchfhrung der Kryptoprozesse notwendigen Bau-
teilen wie Speicher, Prozessoren, Busse, Stromversorgung etc. bestehen. Ein Kryptomodul kann
zum Schutz von sensiblen Daten bzw. Informationen in unterschiedlichsten Rechner- oder Tele-
kommunikationssystemen Verwendung finden.
5. Geeigneter Einsatz der Kryptomodule (siehe M 2.166 Regelung des Einsatzes von Kryptomodulen)
Auch im laufenden Betrieb mssen eine Reihe von Sicherheitsanforderungen an ein Kryptomodul
gestellt werden. Neben der Sicherheit der durch das Kryptomodul zu schtzenden Daten geht es
schwerpunktmig auch darum, das Kryptomodul selbst gegen unmittelbare Angriffe und Fremd-
einwirkung zu schtzen.
6. Die sicherheitstechnischen Anforderungen an die IT-Systeme, auf denen die kryptographischen
Verfahren eingesetzt werden, sind den jeweiligen systemspezifischen Bausteinen zu entnehmen. So
finden sich die Bausteine fr Clients (inkl. Laptops) in Kapitel 5, die fr Server in Kapitel 6.
7. Notfallvorsorge, hierzu gehren
- die Datensicherung bei Einsatz kryptographischer Verfahren (siehe M 6.56 Datensicherung
bei Einsatz kryptographischer Verfahren), also die Sicherung der Schlssel, der
Konfigurationsdaten der eingesetzten Produkte, der verschlsselten Daten,
- die Informationsbeschaffung ber sowie die Reaktion auf Sicherheitslcken.
Nachfolgend wird das Manahmenbndel fr den Bereich "Kryptokonzept" vorgestellt. Auf eine
Wiederholung von Manahmen anderer Kapitel wird hier verzichtet.

Organisation:
- M 2.35 (1) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.39 (2) Reaktion auf Verletzungen der Sicherheitspolitik
- M 2.46 (2) Geeignetes Schlsselmanagement
- M 2.161 (1) Entwicklung eines Kryptokonzepts
- M 2.162 (1) Bedarfserhebung fr den Einsatz kryptographischer Verfahren und Produkte
- M 2.163 (1) Erhebung der Einflussfaktoren fr kryptographische Verfahren und Produkte
- M 2.164 (1) Auswahl eines geeigneten kryptographischen Verfahrens
- M 2.165 (1) Auswahl eines geeigneten kryptographischen Produktes
- M 2.166 (1) Regelung des Einsatzes von Kryptomodulen
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.23 (1) Einfhrung in kryptographische Grundbegriffe
Hardware/Software:
- M 4.85 (3) Geeignetes Schnittstellendesign bei Kryptomodulen (optional)
- M 4.86 (2) Sichere Rollenteilung und Konfiguration der Kryptomodule
- M 4.87 (2) Physikalische Sicherheit von Kryptomodulen (optional)
- M 4.88 (2) Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 99
Kryptokonzept 3.7
_________________________________________________________________________________________

- M 4.89 (3) Abstrahlsicherheit (optional)


- M 4.90 (3) Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des
Notfallvorsorge:
- M 6.56 (2) Datensicherung bei Einsatz kryptographischer Verfahren

Viele andere Bausteine enthalten Manahmen, die das Thema kryptographische Verfahren berhren
und die als Realisierungsbeispiele betrachtet werden knnen. Dazu gehren z. B.:
- M 4.29 Einsatz eines Verschlsselungsproduktes fr tragbare PCs
- M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
- M 4.34 Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen
- M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes
- M 4.72 Datenbank-Verschlsselung
- M 5.33 Absicherung der per Modem durchgefhrten Fernwartung
- M 5.34 Einsatz von Einmalpasswrtern
- M 5.36 Verschlsselung unter Unix und Windows NT
- M 5.50 Authentisierung mittels PAP/CHAP
- M 5.52 Sicherheitstechnische Anforderungen an den Kommunikationsrechner
- M 5.63 Einsatz von GnuPG oder PGP
- M 5.64 Secure Shell
- M 5.65 Einsatz von S-HTTP
- M 5.66 Verwendung von SSL

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 100
Behandlung von Sicherheitsvorfllen 3.8
_________________________________________________________________________________________

3.8 Behandlung von


Sicherheitsvorfllen
Beschreibung
Um die IT-Sicherheit im laufenden Betrieb aufrecht zu
erhalten, ist es notwendig, die Behandlung von
Sicherheitsvorfllen (Incident Handling) konzipiert und
eingebt zu haben. Als Sicherheitsvorfall wird dabei ein
Ereignis bezeichnet, das Auswirkungen nach sich ziehen
kann, die einen groen Schaden anrichten knnen. Um
Schden zu verhten bzw. zu begrenzen, sollte die
Behandlung der Sicherheitsvorflle zgig und effizient
ablaufen. Wenn hierbei auf ein vorgegebenes Verfahren aufgesetzt werden kann, knnen
Reaktionszeiten minimiert werden. Die mglichen Schden bei einem Sicherheitsvorfall knnen dabei
sowohl die Vertraulichkeit oder Integritt von Daten als auch die Verfgbarkeit betreffen.
Ein besonderer Bereich der Behandlung von Sicherheitsvorfllen ist dabei das Notfallvorsorgekonzept
(vgl. Kapitel 3.3). In einem Notfallvorsorgekonzept wird konkret fr bestimmte IT-Systeme der
Ausfall kritischer Komponenten vorab analysiert und eine Vorgehensweise zur Aufrechterhaltung oder
Wiederherstellung der Verfgbarkeit festgelegt.
Sicherheitsvorflle knnen zum Beispiel ausgelst werden durch
- Benutzerfehlverhalten, das zu Datenverlust oder sicherheitskritischer nderung von
Systemparametern fhrt,
- Auftreten von Sicherheitslcken in Hard- oder Softwarekomponenten,
- massenhaftes Auftreten von Computer-Viren,
- Hacking von Internet-Servern,
- Offenlegung vertraulicher Daten,
- Personalausfall oder
- kriminelle Handlungen (etwa Einbruch, Diebstahl oder Erpressung mit IT-Bezug).
Alle Arten von Sicherheitsvorfllen mssen angemessen angegangen werden. Dies gilt sowohl fr
solche Sicherheitsvorflle, gegen die man sich konkret rsten kann, wie z. B. Computer-Viren, als
auch solche, die die Organisation unerwartet treffen.
In diesem Kapitel soll ein systematischer Weg aufgezeigt werden, wie ein Konzept zur Behandlung
von Sicherheitsvorfllen erstellt und wie dessen Umsetzung und Einbettung innerhalb eines
Unternehmens bzw. einer Behrde sichergestellt werden kann. Der Aufwand zur Erstellung und
Umsetzung eines solchen Konzepts ist nicht gering. Daher sollte dieses Kapitel vor allem bei greren
IT-Systemen und/oder solchen mit hoher Relevanz fr die Behrde bzw. das Unternehmen beachtet
werden.

Gefhrdungslage
Sicherheitsvorflle knnen durch eine Vielzahl von Gefhrdungen ausgelst werden. Eine groe
Sammlung von Gefhrdungen, die kleinere oder grere Sicherheitsvorflle verursachen knnen,
findet sich in den Gefhrdungskatalogen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 101
Behandlung von Sicherheitsvorfllen 3.8
_________________________________________________________________________________________

Ein groer Schaden kann durch diese Gefhrdungen dann ausgelst werden, wenn dafr keine
angemessene Herangehensweise vorgesehen ist. In diesem Kapitel wird daher stellvertretend fr alle
Gefhrdungen, die sich im Umfeld von Sicherheitsvorfllen ereignen knnen, folgende Gefhrdung
betrachtet:
- G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfllen

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Um ein effektives System zur Behandlung von Sicherheitsvorfllen einzurichten, sind eine Reihe von
Schritten zu durchlaufen. Diese sind in der Manahme M 6.58 Etablierung eines Managementsystems
zur Behandlung von Sicherheitsvorfllen beschrieben und werden durch die daran anschlieenden
Manahmen erlutert. Daher sollte mit der Umsetzung der Manahme M 6.58 Etablierung eines
Managementsystems zur Behandlung von Sicherheitsvorfllen begonnen werden.
Nachfolgend wird das Manahmenbndel fr den Bereich "Behandlung von Sicherheitsvorfllen"
vorgestellt.
Notfallvorsorge:
- M 6.58 (1) Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfllen
- M 6.59 (1) Festlegung von Verantwortlichkeiten bei Sicherheitsvorfllen
- M 6.60 (1) Verhaltensregeln und Meldewege bei Sicherheitsvorfllen
- M 6.61 (1) Eskalationsstrategie fr Sicherheitsvorflle
- M 6.62 (1) Festlegung von Prioritten fr die Behandlung von Sicherheitsvorfllen
- M 6.63 (1) Untersuchung und Bewertung eines Sicherheitsvorfalls
- M 6.64 (1) Behebung von Sicherheitsvorfllen
- M 6.65 (1) Benachrichtigung betroffener Stellen
- M 6.66 (2) Nachbereitung von Sicherheitsvorfllen
- M 6.67 (2) Einsatz von Detektionsmanahmen fr Sicherheitsvorflle (optional)
- M 6.68 (2) Effizienzprfung des Managementsystems zur Behandlung von
Sicherheitsvorfllen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 102
Hard- und Software-Management 3.9
_________________________________________________________________________________________

3.9 Hard- und Software-Management


Beschreibung
Um den notwendigen und erwnschten Sicherheitsgrad
fr die gesamte IT-Organisation zu erreichen, gengt es
nicht, nur die einzelnen IT-Komponenten zu sichern. Es
ist vielmehr erforderlich, auch alle Ablufe und Vor-
gnge, die diese IT-Systeme berhren, so zu gestalten,
dass das angestrebte IT-Sicherheitsniveau erreicht und
beibehalten wird. Es sind daher fr alle diese Vorgnge
Regelungen einzufhren und zu pflegen, die die Wirk-
samkeit der Sicherheitsmanahmen gewhrleisten.
Den Schwerpunkt dieses Bausteins bilden dabei
Regelungen, die sich spezifisch auf informationstechnische Hardware- oder Software-Komponenten
beziehen, mit dem Ziel, einen ordnungsgemen IT-Betrieb in Bezug auf Management bzw.
Organisation sicherzustellen. Sicherheit sollte integrierter Bestandteil des gesamten Lebenszyklus
eines IT-Systems bzw. eines Produktes sein.
Gefhrdungslage
In diesem Kapitel werden fr den IT-Grundschutz die folgenden typischen Gefhrdungen betrachtet:
Organisatorischer Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.10 Nicht fristgerecht verfgbare Datentrger
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.44 Sorglosigkeit im Umgang mit Informationen
Technisches Versagen:
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.43 Undokumentierte Funktionen
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.21 Trojanische Pferde

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 103
Hard- und Software-Management 3.9
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Ein IT-Verbund besteht aus einer Vielzahl von IT-Komponenten, die zunchst als Einzelkomponenten
gem der Manahmenvorschlge aus den entsprechenden Bausteinen abgesichert werden sollten.
Damit fr alle eingesetzten IT-Komponenten das gleiche Sicherheitsniveau erreicht wird, sollten durch
das Hard- und Software-Management einheitliche Regelungen vorgegeben werden.
Im Rahmen des Hard- und Software-Managements sind unabhngig von der Art der eingesetzten IT-
Komponenten eine Reihe von Manahmen umzusetzen, beginnend mit der Konzeption ber die
Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Manahmen, die
in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgefhrt.
1. Es sollte immer mit ein Konzept erstellt werden, das auf den Sicherheitsanforderungen fr die
bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien
beruht (siehe M 2.214 Konzeption des IT-Betriebs).
2. Fr die Beschaffung von IT-Systemen mssen die aus dem Konzept resultierenden Anforderungen
an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte
getroffen werden.
3. Die fr den sicheren Betrieb aller IT-Komponenten notwendigen Manahmen mssen in einer
Sicherheitsrichtlinie festgelegt werden. Diese sollte u. a. folgende Bereiche umfassen:
- Berechtigungskonzepte fr die IT-Nutzung
- Administration und Rollenverteilung (insbesondere bei vernetzten IT-Systemen muss die
Aufteilung der Administration klar geregelt sein)
- Identifikation und Authentikation der Benutzer
- Datenhaltung und allgemeiner Umgang mit der IT
- Festlegung von Hausstandards fr IT-Komponenten
- Gesicherte Anbindung an Fremdnetze
- Sensibilisierung und Schulung der Administratoren und Benutzer
4. Aufbauend auf der Sicherheitsrichtlinie mssen Sicherheitsmanahmen fr die Installation und
erste Konfiguration sowie fr den laufenden Betrieb der IT-Systeme festgelegt werden.
Nachfolgend wird das Manahmenbndel fr den Bereich "Hard- und Software-Management"
vorgestellt:
Infrastruktur:
- M 1.46 (3) Einsatz von Diebstahl-Sicherungen (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.11 (1) Regelung des Passwortgebrauchs
- M 2.12 (3) Betreuung und Beratung von IT-Benutzern (optional)
- M 2.30 (1) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.62 (2) Software-Abnahme- und Freigabe-Verfahren

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 104
Hard- und Software-Management 3.9
_________________________________________________________________________________________

- M 2.64 (2) Kontrolle der Protokolldateien


- M 2.69 (2) Einrichtung von Standardarbeitspltzen
- M 2.110 (2) Datenschutzaspekte bei der Protokollierung
- M 2.111 (2) Bereithalten von Handbchern
- M 2.138 (2) Strukturierte Datenhaltung
- M 2.167 (2) Sicheres Lschen von Datentrgern
- M 2.182 (2) Regelmige Kontrollen der IT-Sicherheitsmanahmen
- M 2.204 (1) Verhinderung ungesicherter Netzzugnge
- M 2.214 (1) Konzeption des IT-Betriebs
- M 2.215 (2) Fehlerbehandlung
- M 2.216 (2) Genehmigungsverfahren fr IT-Komponenten
- M 2.217 (1) Sorgfltige Einstufung und Umgang mit Informationen, Anwendungen und
Systemen
- M 2.218 (3) Regelung der Mitnahme von Datentrgern und IT-Komponenten
- M 2.219 (1) Kontinuierliche Dokumentation der Informationsverarbeitung
- M 2.220 (1) Richtlinien fr die Zugriffs- bzw. Zugangskontrolle
- M 2.221 (2) nderungsmanagement
- M 2.222 (2) Regelmige Kontrollen der technischen IT-Sicherheitsmanahmen
- M 2.223 (2) Sicherheitsvorgaben fr die Nutzung von Standardsoftware
- M 2.224 (2) Vorbeugung gegen Trojanische Pferde
- M 2.226 (1) Regelungen fr den Einsatz von Fremdpersonal
Personal:
- M 3.26 (1) Einweisung des Personals in den sicheren Umgang mit IT
Hardware/Software:
- M 4.42 (2) Implementierung von Sicherheitsfunktionalitten in der IT-Anwendung (optional)
- M 4.65 (2) Test neuer Hard- und Software
- M 4.78 (2) Sorgfltige Durchfhrung von Konfigurationsnderungen
- M 4.109 (2) Software-Reinstallation bei Arbeitsplatzrechnern
- M 4.133 (2) Geeignete Auswahl von Authentikations-Mechanismen (optional)
- M 4.134 (3) Wahl geeigneter Datenformate
- M 4.135 (1) Restriktive Vergabe von Zugriffsrechten auf Systemdateien
Kommunikation:
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation (optional)
- M 5.77 (1) Bildung von Teilnetzen (optional)
- M 5.87 (2) Vereinbarung ber die Anbindung an Netze Dritter
- M 5.88 (2) Vereinbarung ber Datenaustausch mit Dritten
Notfallvorsorge:
- M 6.75 (3) Redundante Kommunikationsverbindungen (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 105
Outsourcing 3.10
_________________________________________________________________________________________

3.10 Outsourcing
Beschreibung
Beim Outsourcing werden Arbeits- oder Geschftspro-
zesse einer Organisation ganz oder teilweise zu externen
Dienstleistern ausgelagert. Outsourcing kann sowohl
Nutzung und Betrieb von Hardware und Software, aber
auch Dienstleistungen betreffen. Dabei ist es unerheblich,
ob die Leistung in den Rumlichkeiten des Auftraggebers
oder in einer externen Betriebssttte des Outsourcing-
Dienstleisters erbracht wird. Typische Beispiele sind der
Betrieb eines Rechenzentrums, einer Applikation, einer
Webseite oder des Wachdienstes. Outsourcing ist ein
Oberbegriff, der oftmals durch weitere Begriffe ergnzt wird: Tasksourcing bezeichnet das Auslagern
von Teilbereichen. Werden Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert, wird von
Security Outsourcing oder Managed Security Services gesprochen. Beispiele sind die Auslagerung des
Firewall-Betriebs, die berwachung des Netzes, Virenschutz oder der Betrieb eines Virtual Private
Networks (VPN). Unter Application Service Provider (ASP) versteht man einen Dienstleister, der auf
seinen eigenen Systemen einzelne Anwendungen oder Software fr seine Kunden betreibt (E-Mail,
SAP-Anwendungen, Archivierung, Web-Shops, Beschaffung). Auftraggeber und Dienstleister sind
dabei ber das Internet oder ein VPN miteinander verbunden. Beim Application Hosting ist ebenfalls
der Betrieb von Anwendungen an einen Dienstleister ausgelagert, jedoch gehren im Gegensatz zum
ASP-Modell die Anwendungen noch dem jeweiligen Kunden. Da die Grenzen zwischen klassischem
Outsourcing und reinem ASP in der Praxis zunehmend verschwimmen, wird im Folgenden nur noch
der Oberbegriff Outsourcing verwendet.
Das Auslagern von Geschfts- und Produktionsprozessen ist ein etablierter Bestandteil heutiger Orga-
nisationsstrategien. Speziell in den letzten beiden Jahrzehnten hat sich der Trend zum Outsourcing
enorm verstrkt, und dieser scheint auch fr die nchste Zukunft ungebrochen. Es gibt aber inzwischen
auch publizierte Beispiele fr gescheiterte Outsourcing-Projekte, wo der Auftraggeber den Outsour-
cing-Vertrag gekndigt hat und die ausgelagerten Geschftsprozesse wieder in Eigenregie betreibt
(Insourcing).
Die Grnde fr Outsourcing sind vielfltig: die Konzentration einer Organisation auf ihre Kernkom-
petenzen, die Mglichkeit einer Kostenersparnis (z. B. keine Anschaffungs- oder Betriebskosten fr
IT-Systeme), der Zugriff auf spezialisierte Kenntnisse und Ressourcen, die Freisetzung interner Res-
sourcen fr andere Aufgaben, die Straffung der internen Verwaltung, die verbesserte Skalierbarkeit
der Geschfts- und Produktionsprozesse, die Erhhung der Flexibilitt sowie der Wettbewerbsfhig-
keit einer Organisation sind nur einige Beispiele.
Beim Auslagern von IT-gesttzten Organisationsprozessen werden die IT-Systeme und Netze der
auslagernden Organisation und ihres Outsourcing-Dienstleisters in der Regel eng miteinander verbun-
den, so dass Teile von internen Geschftsprozessen unter Leitung und Kontrolle eines externen
Dienstleisters ablaufen. Ebenso findet auf personeller Ebene ein intensiver Kontakt statt.
Durch die enge Verbindung zum Dienstleister und die entstehende Abhngigkeit von der Dienstleis-
tungsqualitt ergeben sich Risiken fr den Auftraggeber, durch die im schlimmsten Fall sogar die Ge-
schftsgrundlage des Unternehmens oder der Behrde vital gefhrdet werden knnen. (Beispielsweise
knnten sensitive Organisationsinformationen gewollt oder ungewollt nach auen preisgegeben wer-
den.) Der Betrachtung von Sicherheitsaspekten und der Gestaltung vertraglicher Regelungen zwischen
Auftraggeber und Outsourcing-Dienstleister kommt im Rahmen eines Outsourcing-Vorhabens somit
eine zentrale Rolle zu.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 107
Outsourcing 3.10
_________________________________________________________________________________________

Den Schwerpunkt dieses Bausteins bilden daher Manahmen, die sich mit IT-Sicherheitsaspekten des
Outsourcing beschftigen. Dazu zhlen ebenfalls geeignete Manahmen zur Kontrolle der vertraglich
vereinbarten Ziele und Leistungen sowie der IT-Sicherheitsmanahmen.
Gefhrdungslage
Die Gefhrdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. Die Entscheidung
ber das Auslagern einer speziellen Aktivitt beeinflusst nachhaltig die strategische Ausrichtung der
Organisation, die Definition ihrer Kernkompetenzen, die Ausgestaltung der Wertschpfungskette und
betrifft viele weitere wesentliche Belange eines Organisationsmanagements. Es sollten daher alle An-
strengungen unternommen werden, um Fehlentwicklungen des Unternehmens oder der Behrde frh-
zeitig zu erkennen und zu verhindern.
Die Gefhrdungen knnen parallel auf physikalischer, technischer und auch menschlicher Ebene exis-
tieren und sind nachfolgend in den einzelnen Gefhrdungskatalogen aufgefhrt. Um die jeweils exis-
tierenden Risiken quantitativ bewerten zu knnen, mssen zuvor die organisationseigenen Werte und
Informationen entsprechend ihrer strategischen Bedeutung fr die Organisation beurteilt und klassifi-
ziert werden.
Hhere Gewalt:
- G 1.10 Ausfall eines Weitverkehrsnetzes
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
- G 2.47 Ungesicherter Akten- und Datentrgertransport
- G 2.66 Unzureichendes IT-Sicherheitsmanagement
- G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten
- G 2.83 Fehlerhafte Outsourcing-Strategie
- G 2.84 Unzulngliche vertragliche Regelungen mit einem externen Dienstleister
- G 2.85 Unzureichende Regelungen fr das Ende des Outsourcing-Vorhabens
- G 2.86 Abhngigkeit von einem Outsourcing-Dienstleister
- G 2.88 Strung des Betriebsklimas durch ein Outsourcing-Vorhaben
- G 2.89 Mangelhafte IT-Sicherheit in der Outsourcing-Einfhrungsphase
- G 2.90 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister
- G 2.93 Unzureichendes Notfallvorsorgekonzept beim Outsourcing
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
Technisches Versagen:
- G 4.33 Schlechte oder fehlende Authentikation
- G 4.34 Ausfall eines Kryptomoduls
- G 4.48 Ausfall der Systeme eines Outsourcing-Dienstleisters
Vorstzliche Handlungen:
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.20 Missbrauch von Administratorrechten
- G 5.42 Social Engineering
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.107 Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 108
Outsourcing 3.10
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen. Ein ausgelagerter IT-Verbund kann so-
wohl aus Komponenten bestehen, die sich ausschlielich im Einflussbereich des Outsourcing-
Dienstleisters befinden, als auch aus Komponenten beim Auftraggeber. In der Regel gibt es in diesem
Fall Schnittstellen zur Verbindung der Systeme. Fr jedes Teilsystem und fr die Schnittstellenfunkti-
onen muss IT-Grundschutz gewhrleistet sein.
Ein Outsourcing-Vorhaben besteht aus mehreren Phasen, die im Folgenden kurz dargestellt sind.
Phase 1: Strategische Planung des Outsourcing-Vorhabens
Schon im Rahmen der strategischen Entscheidung, ob und in welcher Form ein Outsourcing-Vorhaben
umgesetzt wird, mssen die sicherheitsrelevanten Gesichtspunkte herausgearbeitet werden. In der
Manahme M 2.250 Festlegung einer Outsourcing-Strategie werden die wesentlichen Punkte vorge-
stellt, die zu beachten sind.
Phase 2: Definition der wesentlichen Sicherheitsanforderungen
Wenn die Entscheidung zum Outsourcing gefallen ist, mssen die wesentlichen bergeordneten Si-
cherheitsanforderungen fr das Outsourcing-Vorhaben festgelegt werden. Diese Sicherheitsanforde-
rungen sind die Basis fr das Ausschreibungsverfahren (siehe M 2.251 Festlegung der
Sicherheitsanforderungen fr Outsourcing-Vorhaben).
Phase 3: Auswahl des Outsourcing-Dienstleisters
Der Wahl des Outsourcing-Dienstleisters kommt eine besondere Bedeutung zu (siehe M 2.252 Wahl
eines geeigneten Outsourcing-Dienstleisters).
Phase 4: Vertragsgestaltung
Auf Basis des Pflichtenheftes muss nun ein Vertrag mit dem Partner ausgehandelt werden, der die
gewnschten Leistungen inklusive Qualittsstandards und Fristen im Einklang mit der vorhandenen
Gesetzgebung festschreibt. Diese Vertrge werden hufig als Service Level Agreements (SLA) be-
zeichnet. In diesem Vertrag mssen auch die genauen Modalitten der Zusammenarbeit geklrt sein:
Ansprechpartner, Reaktionszeiten, IT-Anbindung, Kontrolle der Leistungen, Ausgestaltung der IT-
Sicherheitsvorkehrungen, Umgang mit vertraulichen Informationen, Verwertungsrechte, Weitergabe
von Information an Dritte etc. (siehe hierzu M 2.253 Vertragsgestaltung mit dem Outsourcing-
Dienstleister).
Phase 5: Erstellung eines IT-Sicherheitskonzepts fr den ausgelagerten IT-Verbund
In enger Zusammenarbeit mssen Auftraggeber und Outsourcing-Dienstleister ein detailliertes Sicher-
heitskonzept (M 2.254 Erstellung eines IT-Sicherheitskonzepts fr das Outsourcing-Vorhaben), das
ein Notfallvorsorgekonzept (M 6.83 Notfallvorsorge beim Outsourcing) enthlt, erstellen.
Phase 5 wird in der Regel erst nach Beendigung der Migrationsphase abgeschlossen werden knnen,
weil sich whrend der Migration der IT-Systeme und Anwendungen immer wieder neue Erkenntnisse
ergeben, die in das IT-Sicherheitskonzept eingearbeitet werden mssen.
Phase 6: Migrationsphase
Besonders sicherheitskritisch ist die Migrations- oder bergangsphase, die deshalb einer sorgfltigen
Planung bedarf (siehe M 2.255 Sichere Migration bei Outsourcing-Vorhaben).

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 109
Outsourcing 3.10
_________________________________________________________________________________________

Phase 7: Planung und Sicherstellen des laufenden Betriebs


Wenn der Outsourcing-Dienstleister die Systeme bzw. Geschftsprozesse bernommen hat, sind ver-
schiedene Manahmen, wie regelmige Kontrollen und Durchfhrung von Systemwartungen, zur
Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb notwendig (siehe M 2.256 Planung und
Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-Betrieb). Diese mssen im Vorfeld
entsprechend geplant werden. Notfall- und Eskalationsszenarien mssen unbedingt in der Planung mit
bercksichtigt werden.
Nachfolgend wird das Manahmenbndel fr den Bereich "Outsourcing" vorgestellt.
Organisation
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.42 (2) Festlegung der mglichen Kommunikationspartner
- M 2.221 (1) nderungsmanagement
- M 2.226 (1) Regelungen fr den Einsatz von Fremdpersonal
- M 2.250 (1) Festlegung einer Outsourcing-Strategie
- M 2.251 (1) Festlegung der Sicherheitsanforderungen fr Outsourcing-Vorhaben
- M 2.252 (1) Wahl eines geeigneten Outsourcing-Dienstleisters
- M 2.253 (1) Vertragsgestaltung mit dem Outsourcing-Dienstleister
- M 2.254 (1) Erstellung eines IT-Sicherheitskonzepts fr das Outsourcing-Vorhaben
- M 2.255 (1) Sichere Migration bei Outsourcing-Vorhaben
- M 2.256 (1) Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-
Betrieb
Personal
- M 3.8 (2) Vermeidung von Strungen des Betriebsklimas
- M 3.33 (2) Sicherheitsberprfung von Mitarbeitern
Kommunikation
- M 5.87 (1) Vereinbarung ber die Anbindung an Netze Dritter
- M 5.88 (1) Vereinbarung ber Datenaustausch mit Dritten
Notfallvorsorge
- M 6.70 (1) Erstellen eines Notfallplans fr den Ausfall des RAS-Systems
- M 6.83 (1) Notfallvorsorge beim Outsourcing

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 110
Infrastruktur 4
_________________________________________________________________________________________

4 IT-Grundschutz im Bereich Infrastruktur


In diesem Kapitel werden IT-Grundschutzmanahmen in den nachfolgend aufgezhlten Bausteinen
vorgestellt.

4.1 Gebude
4.2 Verkabelung
4.3 Rume
4.3.1 Broraum
4.3.2 Serverraum
4.3.3 Datentrgerarchiv
4.3.4 Raum fr technische Infrastruktur
4.4 Schutzschrnke
4.5 Huslicher Arbeitsplatz
4.6 Rechenzentrum

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 111
Gebude 4.1
_________________________________________________________________________________________

4.1 Gebude
Beschreibung
Das Gebude umgibt die aufgestellte Informationstechnik
und gewhrleistet somit einen ueren Schutz. Weiterhin
ermglichen die Infrastruktureinrichtungen des Gebudes
erst den IT-Betrieb. Daher ist einerseits das Bauwerk,
also Wnde, Decken, Bden, Dach, Fenster und Tren zu
betrachten und andererseits alle gebudeweiten
Versorgungseinrichtungen wie Strom, Wasser, Gas,
Heizung, Rohrpost etc. Die Verkabelung in einem
Gebude wird in Kapitel 4.2 gesondert betrachtet, die
TK-Anlage in Kapitel 8.1.

Gefhrdungslage
Fr den IT-Grundschutz eines Gebudes werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.3 Blitz
- G 1.4 Feuer
- G 1.5 Wasser
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.2 Ausfall interner Versorgungsnetze
- G 4.3 Ausfall vorhandener Sicherungseinrichtungen

Vorstzliche Handlungen:
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus
- G 5.6 Anschlag

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 112
Gebude 4.1
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Gebude" vorgestellt:
Infrastruktur:
Stromversorgung
- M 1.1 (2) Einhaltung einschlgiger DIN-Normen/VDE-Vorschriften
- M 1.2 (2) Regelungen fr Zutritt zu Verteilern
- M 1.3 (1) Angepasste Aufteilung der Stromkreise
- M 1.4 (3) Blitzschutzeinrichtungen (optional)
- M 1.5 (3) Galvanische Trennung von Auenleitungen (optional)
Brandschutz
- M 1.6 (2) Einhaltung von Brandschutzvorschriften
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.9 (1) Brandabschottung von Trassen
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern (optional)
Gebudeschutz
- M 1.11 (2) Lageplne der Versorgungsleitungen
- M 1.12 (2) Vermeidung von Lagehinweisen auf schtzenswerte Gebudeteile
- M 1.13 (3) Anordnung schtzenswerter Gebudeteile (optional)
- M 1.14 (2) Selbstttige Entwsserung (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.16 (3) Geeignete Standortauswahl (optional)
- M 1.17 (3) Pfrtnerdienst (optional)
- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.19 (2) Einbruchsschutz (optional)
Organisation:
- M 2.14 (2) Schlsselverwaltung
- M 2.15 (2) Brandschutzbegehungen
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen (optional)
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
Notfallvorsorge:
- M 6.17 (1) Alarmierungsplan und Brandschutzbungen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 113
Verkabelung 4.2
_________________________________________________________________________________________

4.2 Verkabelung
Beschreibung
Die Verkabelung von IT-Systemen umfasst alle Kabel
und passiven Komponenten (Rangier-/Spleiverteiler) der
Netze vom evtl. vorhandenen bergabepunkt aus einem
Fremdnetz (Telefon, ISDN) bis zu den Anschlusspunkten
der Netzteilnehmer. Aktive Netzkomponenten (Repeater,
Sternkoppler, Bridges etc.) sind nicht Bestandteil dieses
Kapitels.

Gefhrdungslage
Fr den IT-Grundschutz der Verkabelung werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.6 Kabelbrand
Organisatorische Mngel:
- G 2.11 Unzureichende Trassendimensionierung
- G 2.12 Unzureichende Dokumentation der Verkabelung
- G 2.13 Unzureichend geschtzte Verteiler
- G 2.32 Unzureichende Leitungskapazitten
Menschliche Fehlhandlungen:
- G 3.4 Unzulssige Kabelverbindungen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
Technisches Versagen:
- G 4.4 Leitungsbeeintrchtigung durch Umfeldfaktoren
- G 4.5 bersprechen
- G 4.21 Ausgleichsstrme auf Schirmungen
Vorstzliche Handlungen:
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Verkabelung" vorgestellt:
Infrastruktur:
- M 1.9 (1) Brandabschottung von Trassen
- M 1.20 (3) Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht
- M 1.21 (2) Ausreichende Trassendimensionierung
- M 1.22 (3) Materielle Sicherung von Leitungen und Verteilern (optional)
- M 1.39 (3) Verhinderung von Ausgleichsstrmen auf Schirmungen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 114
Verkabelung 4.2
_________________________________________________________________________________________

Organisation:
- M 2.19 (2) Neutrale Dokumentation in den Verteilern
- M 2.20 (3) Kontrolle bestehender Verbindungen (optional)
Kommunikation:
- M 5.1 (3) Entfernen oder Kurzschlieen und Erden nicht bentigter Leitungen
- M 5.2 (2) Auswahl einer geeigneten Netz-Topographie
- M 5.3 (2) Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht
- M 5.4 (2) Dokumentation und Kennzeichnung der Verkabelung
- M 5.5 (2) Schadensmindernde Kabelfhrung
Notfallvorsorge:
- M 6.18 (3) Redundante Leitungsfhrung (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 115
Broraum 4.3.1
_________________________________________________________________________________________

4.3 Rume
4.3.1 Broraum
Beschreibung
Der Broraum ist ein Raum, in dem sich ein oder
mehrere Mitarbeiter aufhalten, um dort der Erledigung
ihrer Aufgaben evtl. auch IT-untersttzt nachzugehen.
Diese Aufgaben knnen aus den verschiedensten Ttig-
keiten bestehen: Erstellung von Schriftstcken, Bearbei-
tung von Karteien und Listen, Durchfhrung von
Besprechungen und Telefonaten, Lesen von Akten und
sonstigen Unterlagen.
Wird jedoch ein Broraum berwiegend zur Archivierung von Datentrgern genutzt, ist zustzlich
Kapitel 4.3.3 Datentrgerarchiv zu beachten. Ist in einem Broraum ein Server (LAN, TK-Anlage,
o. .) aufgestellt, sind zustzlich die Manahmen aus Kapitel 4.3.2 (Serverraum) zu beachten.
Gefhrdungslage
Fr den IT-Grundschutz eines Broraums werden folgende typische Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
- G 2.14 Beeintrchtigung der IT-Nutzung durch ungnstige Arbeitsbedingungen
Menschliche Fehlhandlungen:
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.5 Vandalismus
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Broraum" vorgestellt:
Infrastruktur:
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.23 (1) Abgeschlossene Tren
- M 1.46 (3) Einsatz von Diebstahl-Sicherungen (optional)
Organisation:
- M 2.14 (2) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
Personal:
- M 3.9 (3) Ergonomischer Arbeitsplatz (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 116
Serverraum 4.3.2
_________________________________________________________________________________________

4.3.2 Serverraum
Beschreibung
Der Serverraum dient in erster Linie zur Unterbringung
eines Servers, z. B. eines LAN-Servers, eines Unix-
Zentralrechners oder eines Servers fr eine TK-Anlage.
Darber hinaus knnen dort serverspezifische Unter-
lagen, Datentrger in kleinem Umfang, weitere Hardware
(Sternkoppler, Protokolldrucker, Klimatechnik) vor-
handen sein.
Im Serverraum ist kein stndig besetzter Arbeitsplatz
eingerichtet; er wird nur sporadisch und zu kurzfristigen
Arbeiten betreten. Zu beachten ist jedoch, dass im Serverraum aufgrund der Konzentration von IT-
Gerten und Daten ein deutlich hherer Schaden eintreten kann als zum Beispiel in einem Broraum.

Gefhrdungslage
Fr den IT-Grundschutz eines Serverraumes werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.2 Ausfall interner Versorgungsnetze
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Bei der Auswahl und Gestaltung eines Serverraums sind eine Reihe infrastruktureller und
organisatorischer Manahmen umzusetzen, die in M 1.58 Technische und organisatorische Vorgaben
fr Serverrume beschrieben sind.
Nachfolgend wird das Manahmenbndel fr den Bereich "Serverraum" vorgestellt:

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 117
Serverraum 4.3.2
_________________________________________________________________________________________

Infrastruktur:
- M 1.3 (1) Angepasste Aufteilung der Stromkreise
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.24 (3) Vermeidung von wasserfhrenden Leitungen (optional)
- M 1.25 (2) berspannungsschutz (optional)
- M 1.26 (2) Not-Aus-Schalter (optional)
- M 1.27 (2) Klimatisierung (optional)
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung (optional)
- M 1.31 (3) Fernanzeige von Strungen (optional)
- M 1.52 (3) Redundanzen in der technischen Infrastruktur (optional)
- M 1.58 (1) Technische und organisatorische Vorgaben fr Serverrume
Organisation:
- M 2.14 (1) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (2) Rauchverbot

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 118
Datentrgerarchiv 4.3.3
_________________________________________________________________________________________

4.3.3 Datentrgerarchiv
Beschreibung
Das Datentrgerarchiv dient der Lagerung von Daten-
trgern jeder Art. Im Rahmen des IT-Grundschutzes
werden an den Archivraum hinsichtlich des Brand-
schutzes keine erhhten Anforderungen gestellt. Der
Brandschutz kann entsprechend den Bedrfnissen des IT-
Betreibers durch die Behltnisse, in denen die Daten-
trger aufbewahrt werden, realisiert werden.
Bei zentralen Datentrgerarchiven und Datensicherungs-
archiven ist die Nutzung von Datensicherungsschrnken
(vgl. Kapitel 4.4) empfehlenswert, um den Brandschutz, den Schutz gegen unbefugten Zugriff und die
Durchsetzung von Zugangsberechtigungen zu untersttzen.

Gefhrdungslage
Fr den IT-Grundschutz eines Datentrgerarchivs werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Vorstzliche Handlungen:
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Datentrgerarchiv" vorgestellt:
Infrastruktur:
- M 1.6 (2) Einhaltung von Brandschutzvorschriften
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.24 (3) Vermeidung von wasserfhrenden Leitungen (optional)
- M 1.27 (2) Klimatisierung (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 119
Datentrgerarchiv 4.3.3
_________________________________________________________________________________________

Organisation:
- M 2.14 (2) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (2) Rauchverbot

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 120
Raum fr technische Infrastruktur 4.3.4
_________________________________________________________________________________________

4.3.4 Raum fr technische Infrastruktur

Beschreibung
In Rumen fr technische Infrastruktur sind in der Regel
solche Gerte und Einrichtungen untergebracht, die keine
oder nur eine seltene Bedienung durch einen Menschen
bentigen. In der Regel wird es sich um Verteiler interner
Versorgungsnetze handeln (z. B. Postkabeleingangsraum,
Hochspannungsbergaberaum,
Mittelspannungsbergaberaum, Niederspannungshaupt-
verteiler). Eventuell werden in diesen Rumen auch die
Sicherungen der Elektroversorgung untergebracht. Auch die Aufstellung sonstiger Gerte (USV,
Sternkoppler, etc.) ist vorstellbar. Selbst ein Netzserver kann, wenn er keinen eigenen Raum hat
(Kapitel 4.3.2 Serverraum), hier untergebracht sein.
Gefhrdungslage
Fr den IT-Grundschutz eines Raums fr technische Infrastruktur werden folgende typische
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.2 Ausfall interner Versorgungsnetze
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Raum fr technische Infrastruktur"
vorgestellt:
Infrastruktur:
- M 1.3 (1) Angepasste Aufteilung der Stromkreise
- M 1.6 (2) Einhaltung von Brandschutzvorschriften
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 121
Raum fr technische Infrastruktur 4.3.4
_________________________________________________________________________________________

- M 1.15 (1) Geschlossene Fenster und Tren


- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.24 (2) Vermeidung von wasserfhrenden Leitungen (optional)
- M 1.25 (2) berspannungsschutz (optional)
- M 1.26 (2) Not-Aus-Schalter (optional)
- M 1.27 (2) Klimatisierung (optional)
- M 1.31 (3) Fernanzeige von Strungen (optional)
Organisation:
- M 2.14 (2) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (2) Rauchverbot

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 122
Schutzschrnke 4.4.1
_________________________________________________________________________________________

4.4.1 Schutzschrnke
Beschreibung
Schutzschrnke dienen zur Aufbewahrung von
Datentrgern jeder Art oder zur Unterbringung von
informationstechnischen Gerten ("Serverschrank").
Diese Schutzschrnke sollen den Inhalt gegen unbefugten
Zugriff und/oder gegen die Einwirkung von Feuer oder
schdigenden Stoffen (z. B. Staub) schtzen. Sie knnen
als Ersatz fr einen Serverraum oder ein Datentrger-
archiv (vgl. Kapitel 4.3.2 und 4.3.3) eingesetzt werden,
wenn die vorhandenen rumlichen oder organisatorischen
Gegebenheiten eigene Rume nicht zulassen.
Darber hinaus knnen Schutzschrnke auch in Serverrumen oder Datentrgerarchiven eingesetzt
werden, um die Schutzwirkung der Rume zu erhhen. Sie sind auch zu empfehlen, wenn in einem
Serverraum Server aus unterschiedlichen Organisationsbereichen aufgestellt sind, die dem jeweils
anderen Administrator nicht zugnglich sein sollen.
Da die Kosten fr Schutzschrnke nicht unerheblich sind, ist ein Kostenvergleich dringend
empfehlenswert. Zu vergleichen sind die Kosten, die die Beschaffung und der Unterhalt eines
Schutzschrankes verursachen, mit den Kosten, die fr die Errichtung eines Serverraums bzw.
Datentrgerarchivs und den Unterhalt der Rume anfallen wrden.
Um mit einem Schutzschrank einen mit den dedizierten Rumen vergleichbaren Schutz zu erreichen,
sind eine Reihe von Manahmen, beginnend mit der geeigneten Auswahl bis zur Aufstellung und
Nutzungsregelung, notwendig. Diese werden im vorliegenden Kapitel vorgestellt.

Gefhrdungslage
Fr den IT-Grundschutz eines Schutzschrankes werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
Menschliche Fehlhandlungen:

- G 3.21 Fehlbedienung von Codeschlssern


Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.2 Ausfall interner Versorgungsnetze
- G 4.3 Ausfall vorhandener Sicherungseinrichtungen
- G 4.4 Leitungsbeeintrchtigung durch Umfeldfaktoren
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 123
Schutzschrnke 4.4.1
_________________________________________________________________________________________

- G 5.4 Diebstahl
- G 5.5 Vandalismus
- G 5.16 Gefhrdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefhrdung bei Wartungsarbeiten durch externes Personal
- G 5.53 Bewusste Fehlbedienung von Schutzschrnken aus Bequemlichkeit

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Schutzschrnke" vorgestellt. Es ist
gruppiert nach den Manahmen, die im Aufstellungsraum des Schutzschrankes, fr den Schutzschrank
allgemein und fr Serverschrnke speziell realisiert werden mssen.

Fr den Raum, in dem der Schutzschrank aufgestellt werden soll, sind folgende Manahmen zu
beachten:
Infrastruktur:
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.15 (2) Geschlossene Fenster und Tren
- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.24 (3) Vermeidung von wasserfhrenden Leitungen (optional)

Organisation:
- M 2.6 (1) Vergabe von Zutrittsberechtigungen
- M 2.14 (2) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (2) Rauchverbot (optional)
Fr die Beschaffung und den Einsatz eines Schutzschrankes sind folgende Manahmen umzusetzen:
Infrastruktur:
- M 1.1 (2) Einhaltung einschlgiger DIN-Normen/VDE-Vorschriften
- M 1.18 (2) Gefahrenmeldeanlage (fr den Schutzschrank) (optional)
- M 1.40 (1) Geeignete Aufstellung von Schutzschrnken
Organisation:
- M 2.6 (1) Vergabe von Zutrittsberechtigungen
- M 2.14 (2) Schlsselverwaltung
- M 2.95 (1) Beschaffung geeigneter Schutzschrnke
- M 2.96 (1) Verschluss von Schutzschrnken
- M 2.97 (1) Korrekter Umgang mit Codeschlsser (falls vorhanden)
Personal:
- M 3.3 (1) Vertretungsregelungen
- M 3.5 (2) Schulung zu IT-Sicherheitsmanahmen
- M 3.20 (1) Einweisung in die Bedienung von Schutzschrnken

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 124
Schutzschrnke 4.4.1
_________________________________________________________________________________________

Soll der Schutzschrank als Serverschrank eingesetzt werden, sind zustzlich zu den oben genannten
noch folgende Manahmen im bzw. fr den Serverschrank zu realisieren:
Infrastruktur:
- M 1.25 (2) berspannungsschutz (optional)
- M 1.26 (2) Not-Aus-Schalter
- M 1.27 (2) Klimatisierung (optional)
- M 1.28 (2) Lokale unterbrechungsfreie Stromversorgung (optional)
- M 1.31 (2) Fernanzeige von Strungen (optional)
- M 1.41 (2) Schutz gegen elektromagnetische Einstrahlung (optional)
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 125
Huslicher Arbeitsplatz 4.5
_________________________________________________________________________________________

4.5 Huslicher Arbeitsplatz


Beschreibung
Werden dienstliche Aufgaben in der huslichen
Umgebung und nicht in Rumen des Unternehmens bzw.
der Behrde wahrgenommen, sind
Sicherheitsmanahmen zu ergreifen, die eine mit einem
Broraum vergleichbare Sicherheitssituation erreichen
lassen. Bei einem huslichen Arbeitsplatz kann nicht die
infrastrukturelle Sicherheit, wie sie in einer gewerblichen
oder behrdlichen Broumgebung anzutreffen ist,
vorausgesetzt werden. Besucher oder Familienangehrige
haben oftmals Zutritt zu diesem Arbeitsplatz. In diesem
Kapitel werden die typischen Gefhrdungen und Manahmen fr einen huslichen Arbeitsplatz
beschrieben. Dieser husliche Arbeitsplatz kann zum Beispiel im Rahmen der Telearbeit, bei freien
Mitarbeitern und fr Selbstndige eingesetzt werden.

Gefhrdungslage
Fr den IT-Grundschutz des huslichen Arbeitsplatzes werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser

Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
- G 2.14 Beeintrchtigung der IT-Nutzung durch ungnstige Arbeitsbedingungen
- G 2.47 Ungesicherter Akten- und Datentrgertransport
- G 2.48 Ungeeignete Entsorgung der Datentrger und Dokumente am huslichen
Arbeitsplatz
Menschliche Fehlhandlungen:
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.69 Erhhte Diebstahlgefahr am huslichen Arbeitsplatz
- G 5.70 Manipulation durch Familienangehrige und Besucher
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 126
Huslicher Arbeitsplatz 4.5
_________________________________________________________________________________________

Manahmenempfehlungen:
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Huslicher Arbeitsplatz" vorgestellt.
Infrastruktur:
- M 1.1 (2) Einhaltung einschlgiger DIN-Normen/VDE-Vorschriften
- M 1.7 (3) Handfeuerlscher (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.19 (2) Einbruchsschutz (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.44 (2) Geeignete Einrichtung eines huslichen Arbeitsplatzes
- M 1.45 (1) Geeignete Aufbewahrung dienstlicher Unterlagen und Datentrger
Organisation:
- M 2.13 (1) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.37 (2) "Der aufgerumte Arbeitsplatz"
- M 2.112 (2) Regelung des Akten- und Datentrgertransports zwischen huslichem Arbeitsplatz
und Institution
- M 2.136 (2) Einhaltung von Regelungen bzgl. Arbeitsplatz und Arbeitsumgebung
Personal:
- M 3.9 (3) Ergonomischer Arbeitsplatz (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 127
Rechenzentrum 4.6
_________________________________________________________________________________________

4.6 Rechenzentrum
Beschreibung
Bedingt durch erhhte Verfgbarkeitsanforderungen, aber
auch durch Forderungen nach einheitlichen
Administrationskonzepten, meist unter dem Druck
zustzlicher Personaleinsparungen, ist eine Tendenz zur
Zentralisierung der geschftskritischen Produktiv-
Hardware einer Behrde bzw. eines Unternehmens zu
verzeichnen. Die Anforderungen an die Leistungs-
fhigkeit dieser Systeme und der Netzumgebung sind
insbesondere dort gestiegen, wo zeitkritische Zugriffe auf
zentrale Datenbanken realisiert werden mssen. Um
diesem gestiegenen Leistungsbedarf gerecht zu werden und zustzlich mittelfristig entsprechende
Reserven vorzuhalten, haben auch Unternehmen mittlerer Gre, die bislang ausschlielich auf ein
verteiltes Client-Server-Konzept vertrauten, ihre IT-Landschaft durch Rechenzentren ergnzt oder
teilweise ersetzt.
Als Rechenzentrum werden die fr den Betrieb einer greren, zentral fr mehrere Stellen
eingesetzten Datenverarbeitungsanlage erforderlichen Einrichtungen (Rechner-, Speicher-, Druck-,
Robotersysteme usw.) und Rumlichkeiten (Rechnersaal, Archiv, Lager, Aufenthaltsraum usw.)
bezeichnet. Ein Rechenzentrum ist entweder stndig personell besetzt (Schichtdienst) oder es existiert
in bedienerlosen Zeiten eine Rufbereitschaft (mit oder ohne Fernadministrationsmglichkeit). In der
Regel sttzt sich die Datenverarbeitung eines Unternehmens nicht ausschliesslich auf die zentralen IT-
Gerte in einem Rechenzentrum, sondern auf eine Vielzahl damit verbundener dezentraler IT-
Systeme. In einem Rechenzentrum kann aufgrund der Konzentration von IT-Gerten und Daten jedoch
ein deutlich hherer Schaden eintreten als bei dezentraler Datenverarbeitung. In jedem Fall ist beim
Einsatz einer Grorechenanlage der Baustein Rechenzentrum anzuwenden.
Gegenstand dieses Bausteins ist ein Rechenzentrum mittlerer Art und Gte. Die
Sicherheitsanforderungen liegen zwischen denen eines Serverraums oder "Serverparks" und denen von
Hochsicherheitsrechenzentren, wie sie beispielsweise im Bankenbereich eingesetzt werden. Neben den
hier aufgefhrten Standard-Sicherheitsmanahmen, die sich in der Praxis bewhrt haben, sind in den
meisten Fllen jedoch weitere, individuelle IT-Sicherheitsmanahmen erforderlich, die die konkreten
Anforderungen und das jeweilige Umfeld bercksichtigen. Gefhrdungen aus den Bereichen
Terrorismus oder hhere Gewalt wird durch die hier beschriebenen Standard-Sicherheitsmanahmen
nur begrenzt Rechnung getragen.
Der Baustein richtet sich einerseits an Leser, die ein Rechenzentrum betreiben und im Rahmen einer
Revision prfen mchten, ob sie geeignete Standard-Sicherheitsmanahmen umgesetzt haben. Auf der
anderen Seite kann der Baustein Rechenzentrum auch dazu verwendet werden, berblicksartig die IT-
Sicherheitsmanahmen abzuschtzen, die bei einer Zentralisierung der IT in einem mittleren
Rechenzentrum fr einen sicheren Betrieb umgesetzt werden mssen. Um den Baustein berschaubar
zu halten, wurde bewusst auf technische Details und planerische Gren verzichtet. Der Neubau eines
Rechenzentrums sollte auch von groen IT-Abteilungen nicht ohne Hilfe eines erfahrenen
Planungsstabes bzw. einer versierten Planungs- und Beratungsfirma in Betracht gezogen werden.
Beim Outsourcing von Rechenzentrumsleistungen kann dieser Baustein dazu benutzt werden, die
angebotenen Leistungen im Hinblick auf deren Sicherheitsniveau zu prfen.
Im Gegensatz zum Schutzbedarf eines Serverraums (siehe dort) werden viele IT-Sicherheits-
manahmen fr ein Rechenzentrum nicht als optional, sondern obligatorisch empfohlen. Dazu gehren
beispielsweise eine angemessene Gefahrenmeldeanlage und eine alternative

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 128
Rechenzentrum 4.6
_________________________________________________________________________________________

Stromversorgung. Fr einen sicheren IT-Betrieb ist eine Brandfrhesterkennung durch


Objektberwachung der eingesetzten Hardware und des Doppelbodens effektiv und kostengnstig.
Eine Raumlschung richtet sich in erster Linie auf den Erhalt des Gebudes.
Gefhrdungslage
Fr den IT-Grundschutz eines Rechenzentrums werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
- G 1.3 Blitz
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.6 Kabelbrand
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung
- G 1.11 Technische Katastrophen im Umfeld
- G 1.12 Beeintrchtigung durch Groveranstaltungen
- G 1.13 Sturm
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
- G 2.11 Unzureichende Trassendimensionierung
- G 2.12 Unzureichende Dokumentation der Verkabelung
- G 2.20 Unzureichende oder falsche Versorgung mit Verbrauchsgtern
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.2 Ausfall interner Versorgungsnetze
- G 4.3 Ausfall vorhandener Sicherungseinrichtungen
Vorstzliche Handlungen:
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus
- G 5.6 Anschlag
- G 5.16 Gefhrdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefhrdung bei Wartungsarbeiten durch externes Personal
- G 5.68 Unberechtigter Zugang zu den aktiven Netzkomponenten
- G 5.102 Sabotage

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 129
Rechenzentrum 4.6
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Rechenzentrum" vorgestellt:
Infrastruktur:
Planung
- M 1.16 (3) Geeignete Standortauswahl (optional)
- M 1.49 (2) Technische und organisatorische Vorgaben fr das Rechenzentrum
Stromversorgung
- M 1.1 (2) Einhaltung einschlgiger DIN-Normen/VDE-Vorschriften
- M 1.2 (1) Regelungen fr Zutritt zu Verteilern
- M 1.3 (1) Angepasste Aufteilung der Stromkreise
- M 1.4 (1) Blitzschutzeinrichtungen
- M 1.5 (1) Galvanische Trennung von Auenleitungen
- M 1.25 (1) berspannungsschutz
- M 1.56 (2) Sekundr-Energieversorgung
Brandschutz
- M 1.6 (2) Einhaltung von Brandschutzvorschriften
- M 1.7 (1) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.9 (1) Brandabschottung von Trassen
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern
- M 1.26 (1) Not-Aus-Schalter
- M 1.47 (1) Eigener Brandabschnitt
- M 1.48 (1) Brandmeldeanlage
- M 1.50 (1) Rauchschutz
- M 1.51 (2) Brandlastreduzierung
- M 1.54 (2) Brandfrhesterkennung / Lschtechnik (optional)
Gebudeschutz
- M 1.11 (2) Lageplne der Versorgungsleitungen
- M 1.12 (2) Vermeidung von Lagehinweisen auf schtzenswerte Gebudeteile
- M 1.13 (3) Anordnung schtzenswerter Gebudeteile
- M 1.14 (2) Selbstttige Entwsserung (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.17 (3) Pfrtnerdienst (optional)
- M 1.18 (1) Gefahrenmeldeanlage
- M 1.19 (1) Einbruchsschutz
- M 1.23 (1) Abgeschlossene Tren
- M 1.24 (2) Vermeidung von wasserfhrenden Leitungen
- M 1.27 (1) Klimatisierung
- M 1.52 (2) Redundanzen in der technischen Infrastruktur
- M 1.53 (2) Videoberwachung (optional)
- M 1.55 (2) Perimeterschutz (optional)
- M 1.57 (2) Aktuelle Infrastruktur- und Bauplne

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 130
Rechenzentrum 4.6
_________________________________________________________________________________________

Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.14 (1) Schlsselverwaltung
- M 2.15 (2) Brandschutzbegehungen
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (1) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (1) Rauchverbot
- M 2.52 (3) Versorgung und Kontrolle der Verbrauchsgter
- M 2.212 (2) Organisatorische Vorgaben fr die Gebudereinigung
- M 2.213 (2) Wartung der technischen Infrastruktur
Notfallvorsorge:
- M 6.16 (3) Abschlieen von Versicherungen (optional)
- M 6.17 (1) Alarmierungsplan und Brandschutzbungen
- M 6.74 (2) Notfallarchiv (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 131
Nicht vernetzte Systeme 5
_________________________________________________________________________________________

5 Nicht vernetzte Systeme und Clients


In diesem Kapitel wird der IT-Grundschutz fr nicht vernetzte Systeme oder Systeme, die als Client in
einem Netz eingesetzt werden knnen, definiert. Fr die noch nicht im IT-Grundschutzhandbuch
betrachteten IT-Systeme wie z. B. OS/2 kann der generische Baustein 5.99 angewendet werden.

5.1 DOS-PC (ein Benutzer)


5.2 Unix-System
5.3 Tragbarer PC
5.4 PCs mit wechselnden Benutzern
5.5 PC unter Windows NT
5.6 PC mit Windows 95
5.7 Windows 2000 Client
5.8 Internet-PC
5.99 Allgemeines nicht vernetztes IT-System

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 133
DOS-PC (ein Benutzer) 5.1
_________________________________________________________________________________________

5.1 DOS-PC (ein Benutzer)


Beschreibung
Betrachtet wird ein handelsblicher IBM-kompatibler
PC, der mit dem Betriebssystem DOS oder einem
vergleichbaren betrieben wird. Dieser PC soll nicht an ein
lokales Netz angeschlossen sein. Der PC verfgt ber ein
Diskettenlaufwerk, eine Festplatte und evtl. eine Maus.
Ein eventuell vorhandener Drucker wird direkt am PC
angeschlossen. Weiterhin kann eine graphische
Benutzeroberflche eingesetzt sein. Fr die weiteren
Betrachtungen wird vorausgesetzt, dass dieser PC nur
von einem Benutzer betrieben wird.

Gefhrdungslage
Fr den IT-Grundschutz eines DOS-PC (ein Benutzer) werden folgende Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 134
DOS-PC (ein Benutzer) 5.1
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "DOS-PC (ein Benutzer)" vorgestellt:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (3) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (3) Erstellen einer PC-Notfalldiskette
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 135
Unix-System 5.2
_________________________________________________________________________________________

5.2 Unix-System
Beschreibung
Betrachtet wird ein Unix-System, das entweder im Stand-
alone-Betrieb oder als Client in einem Netz genutzt wird.
Es knnen Terminals, Laufwerke, Drucker und andere
Gerte angeschlossen sein. Weiterhin kann eine
graphische Benutzeroberflche wie X-Windows einge-
setzt sein. Entsprechend knnen dann auch X-Terminals
und graphische Eingabegerte angeschlossen sein. Bei
den weiteren Betrachtungen wird davon ausgegangen,
dass ein Unix-System blicherweise von mehreren
Personen benutzt wird.

Gefhrdungslage
Fr den IT-Grundschutz eines Unix-Systems werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.15 Vertraulichkeitsverlust schutzbedrftiger Daten im Unix-System
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
- G 4.7 Defekte Datentrger
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.11 Fehlende Authentisierungsmglichkeit zwischen NIS-Server und NIS-Client
- G 4.12 Fehlende Authentisierungsmglichkeit zwischen X-Server und X-Client
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 136
Unix-System 5.2
_________________________________________________________________________________________

- G 5.9 Unberechtigte IT-Nutzung


- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.40 Abhren von Rumen mittels Rechner mit Mikrofon
- G 5.41 Mibruchliche Nutzung eines Unix-Systems mit Hilfe von uucp
- G 5.43 Makro-Viren
- G 5.89 Hijacking von Netz-Verbindungen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Unix-System" vorgestellt.
Fr eventuell angeschlossene Rechner (DOS-PC, PC unter Windows NT oder Windows 95) sind die
in Kapitel 5 beschriebenen Manahmen zu realisieren.
Darber hinaus sind folgende weitere Manahmen umzusetzen:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.30 (1) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.31 (1) Dokumentation der zugelassenen Benutzer und Rechteprofile
- M 2.32 (2) Einrichtung einer eingeschrnkten Benutzerumgebung
- M 2.33 (2) Aufteilung der Administrationsttigkeiten unter Unix
- M 2.34 (1) Dokumentation der Vernderungen an einem bestehenden System
- M 2.35 (1) Informationsbeschaffung ber Sicherheitslcken des Systems
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware/Software:
Zugang zum Unix-System
- M 4.2 (2) Bildschirmsperre
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.13 (1) Sorgfltige Vergabe von IDs
- M 4.14 (1) Obligatorischer Passwortschutz unter Unix

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 137
Unix-System 5.2
_________________________________________________________________________________________

- M 4.15 (2) Gesichertes Login


- M 4.16 (3) Zugangsbeschrnkungen fr Accounts und / oder Terminals
- M 4.17 (2) Sperren und Lschen nicht bentigter Accounts und Terminals
- M 4.18 (1) Administrative und technische Absicherung des Zugangs zum Monitor- und
Single-User-Modus
- M 4.105 (1) Erste Manahmen nach einer Unix-Standardinstallation
Attributvergabe/Arbeiten mit dem Unix-System
- M 4.9 (1) Einsatz der Sicherheitsmechanismen von X-Windows
- M 4.19 (1) Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen
- M 4.20 (2) Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen
- M 4.21 (1) Verhinderung des unautorisierten Erlangens von Administratorrechten
- M 4.22 (3) Verhinderung des Vertraulichkeitsverlusts schutzbedrftiger Daten im Unix-
System
- M 4.23 (3) Sicherer Aufruf ausfhrbarer Dateien
Protokollierung/Sicherheitscheck
- M 4.25 (1) Einsatz der Protokollierung im Unix-System
- M 4.26 (2) Regelmiger Sicherheitscheck des Unix-Systems
- M 4.40 (2) Verhinderung der unautorisierten Nutzung des Rechnermikrofons
- M 4.93 (1) Regelmige Integrittsprfung
- M 4.106 (2) Aktivieren der Systemprotokollierung
Kommunikation:
- M 5.17 (1) Einsatz der Sicherheitsmechanismen von NFS
- M 5.18 (1) Einsatz der Sicherheitsmechanismen von NIS
- M 5.19 (1) Einsatz der Sicherheitsmechanismen von sendmail
- M 5.20 (1) Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp
- M 5.21 (1) Sicherer Einsatz von telnet, ftp, tftp und rexec
- M 5.34 (2) Einsatz von Einmalpasswrtern (optional)
- M 5.35 (1) Einsatz der Sicherheitsmechanismen von UUCP
- M 5.36 (2) Verschlsselung unter Unix und Windows NT (optional)
- M 5.64 (2) Secure Shell
- M 5.72 (1) Deaktivieren nicht bentigter Netzdienste
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (2) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.31 (2) Verhaltensregeln nach Verlust der Systemintegritt
- M 6.32 (1) Regelmige Datensicherung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 138
Tragbarer PC 5.3
_________________________________________________________________________________________

5.3 Tragbarer PC
Beschreibung
Unter einem tragbaren PC (Laptop, Notebook) wird ein
handelsblicher IBM-kompatibler PC verstanden, der mit
dem Betriebssystem DOS oder einem vergleichbaren
betrieben wird. Er verfgt ber ein Diskettenlaufwerk
und eine Festplatte. Einrichtungen zur
Datenfernbertragung (Modem) werden hier nicht
behandelt (vgl. Kap. 7.2). Von besonderer Bedeutung ist,
dass dieser PC aufgrund seiner Bauart, insbesondere mit
interner Stromversorgung, mobil genutzt werden kann.
Fr den tragbaren PC wird vorausgesetzt, dass er
innerhalb eines bestimmten Zeitraums nur von einem Benutzer gebraucht wird. Ein anschlieender
Benutzerwechsel wird bercksichtigt.

Gefhrdungslage
Fr den IT-Grundschutz eines tragbaren PC werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
- G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
Technisches Versagen:
- G 4.7 Defekte Datentrger
- G 4.9 Ausfall der internen Stromversorgung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.21 Trojanische Pferde
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 139
Tragbarer PC 5.3
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Tragbarer PC" vorgestellt:
Infrastruktur:
- M 1.33 (1) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
- M 1.34 (2) Geeignete Aufbewahrung tragbarer PCs im stationren Einsatz
- M 1.35 (3) Sammelaufbewahrung mehrerer tragbarer PCs (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (3) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
- M 2.36 (2) Geregelte bergabe und Rcknahme eines tragbaren PC
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.27 (1) Passwortschutz am tragbaren PC
- M 4.28 (3) Software-Reinstallation bei Benutzerwechsel eines tragbaren PC (optional)
- M 4.29 (1) Einsatz eines Verschlsselungsproduktes fr tragbare PCs (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.31 (2) Sicherstellung der Energieversorgung im mobilen Einsatz
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (3) Erstellen einer PC-Notfalldiskette
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung
- M 6.71 (2) Datensicherung bei mobiler Nutzung des IT-Systems

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 140
PCs mit wechselnden Benutzern 5.4
_________________________________________________________________________________________

5.4 PCs mit wechselnden Benutzern


Beschreibung
Dieser Baustein sollte beim Einsatz von PCs mit
wechselnden Benutzern beachtet werden. Betrachtet wird
ein handelsblicher IBM-kompatibler PC, der mit dem
Betriebssystem DOS oder einem vergleichbaren
betrieben wird. Fr PCs, die mit anderen
Betriebssystemen betrieben werden, sind die Manahmen
analog anzupassen.
Wenn der PC an ein lokales Netz angeschlossen ist, sind
die entsprechenden Bausteine aus Kapitel 6 umzusetzen.
Der PC kann ber Disketten- und CD-Laufwerke, eine Festplatte, eine Maus und andere
Peripheriegerte verfgen. Ein eventuell vorhandener Drucker wird direkt am PC angeschlossen.
Weiterhin kann eine graphische Benutzeroberflche eingesetzt sein. Fr die weiteren Betrachtungen
wird vorausgesetzt, dass mehrere Personen, die unterschiedliche Zugriffsrechte auf die gespeicherten
Daten besitzen, diesen PC nutzen.
PCs mit wechselnden Benutzern knnen z. B. in PC-Pools, fr Schulungszwecke oder aufgrund
organisationsinterner Gegebenheiten eingesetzt werden.

Gefhrdungslage
Fr den IT-Grundschutz eines PCs mit wechselnden Benutzern werden folgende typischen
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern
- G 2.22 Fehlende Auswertung von Protokolldaten
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.17 Kein ordnungsgemer PC-Benutzerwechsel
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 141
PCs mit wechselnden Benutzern 5.4
_________________________________________________________________________________________

Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Fr die Durchfhrung von Datensicherungen seiner persnlichen Daten ist jeder Benutzer selbst
verantwortlich. Der Virenproblematik ist bei Rechnern mit wechselnden Benutzern ganz besondere
Aufmerksamkeit zu schenken. Es sollte daher ein residentes Viren-Suchprogramm eingesetzt werden.
Ansonsten ist sicherzustellen, dass eine berprfung auf Computer-Viren vor und nach jedem
Benutzerwechsel vorgenommen wird.
Nachfolgend wird das Manahmenbndel fr den Bereich "PCs mit wechselnden Benutzern"
vorgestellt:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.5 (2) Aufgabenverteilung und Funktionstrennung
- M 2.7 (2) Vergabe von Zugangsberechtigungen
- M 2.8 (2) Vergabe von Zugriffsrechten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (3) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.37 (2) "Der aufgerumte Arbeitsplatz"
- M 2.63 (1) Einrichten der Zugriffsrechte
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.65 (1) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
- M 2.66 (2) Beachtung des Beitrags der Zertifizierung fr die Beschaffung
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.18 (1) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfllung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 142
PCs mit wechselnden Benutzern 5.4
_________________________________________________________________________________________

Hardware/Software:
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes
- M 4.42 (2) Implementierung von Sicherheitsfunktionalitten in der IT-Anwendung (optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.109 (2) Software-Reinstallation bei Arbeitsplatzrechnern
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (3) Erstellen einer PC-Notfalldiskette
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (2) Regelmige Datensicherung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 143
PC unter Windows NT 5.5
_________________________________________________________________________________________

5.5 PC unter Windows NT


Beschreibung
Betrachtet werden einzelne, nicht vernetzte PCs mit Fest-
platte (wie in Kapitel 5.1 beschrieben), die unter dem
Betriebssystem Windows NT (Version 3.51 oder 4.0)
betrieben werden. Die PCs knnen mit einem Disketten-
laufwerk ausgestattet sein. Auf sicherheitsspezifische
Aspekte von einzelnen Windows NT-Anwendungen wird
nur am Rande eingegangen.
Gefhrdungslage
Fr den IT-Grundschutz einzelner PCs unter dem
Betriebssystem Windows NT werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.31 Unzureichender Schutz des Windows NT Systems
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.23 Automatische CD-ROM-Erkennung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 System
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000
Systemen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 144
PC unter Windows NT 5.5
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Die in den folgenden Listen mit dem Zusatz "optional" gekennzeichneten Manahmen gehen
zumindest teilweise ber den Grundschutz hinaus, oder sie beziehen sich auf spezielle Einsatz-
umgebungen. Sie sind dann zu realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind,
insbesondere dann, wenn mehrere Benutzer mit demselben System arbeiten und gegeneinander
geschtzt werden sollen bzw. wenn die Kontrolle sicherheitskritischer Funktionen nicht beim Benutzer
selbst liegt, sondern zentral verwaltet werden soll.
Nachfolgend wird das Manahmenbndel fr den Bereich "Nicht vernetzter Windows NT Rechner"
vorgestellt.
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters (optional)
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen (optional)
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile (optional)
- M 2.32 (2) Einrichtung einer eingeschrnkten Benutzerumgebung (optional)
- M 2.34 (2) Dokumentation der Vernderungen an einem bestehenden System (optional)
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters (optional)
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals (optional)
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.15 (2) Gesichertes Login
- M 4.17 (2) Sperren und Lschen nicht bentigter Accounts und Terminals
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.48 (1) Passwortschutz unter Windows NT/2000
- M 4.49 (1) Absicherung des Boot-Vorgangs fr ein Windows NT/2000 System

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 145
PC unter Windows NT 5.5
_________________________________________________________________________________________

- M 4.50 (2) Strukturierte Systemverwaltung unter Windows NT (optional)


- M 4.51 (3) Benutzerprofile zur Einschrnkung der Nutzungsmglichkeiten von Windows NT
(optional)
- M 4.52 (2) Gerteschutz unter Windows NT/2000
- M 4.53 (2) Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter
Windows NT
- M 4.54 (2) Protokollierung unter Windows NT (optional)
- M 4.55 (2) Sichere Installation von Windows NT
- M 4.56 (3) Sicheres Lschen unter Windows-Betriebssystemen
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (1) Schutz der Registrierung unter Windows NT/2000
- M 4.76 (3) Sichere Systemversion von Windows NT
- M 4.77 (1) Schutz der Administratorkonten unter Windows NT
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
- M 4.93 (1) Regelmige Integrittsprfung
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung
- M 6.42 (1) Erstellung von Rettungsdisketten fr Windows NT
- M 6.44 (1) Datensicherung unter Windows NT

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 146
PC mit Windows 95 5.6.1
_________________________________________________________________________________________

5.6 PC mit Windows 95


Beschreibung
Betrachtet wird ein handelsblicher PC, der mit dem
Betriebssystem Windows 95 betrieben wird. Der PC
verfgt ber ein Diskettenlaufwerk, eine Fest- oder
Wechselplatte, ein CD-ROM Laufwerk und eine Maus.
Ein eventuell vorhandener Drucker wird direkt am PC
angeschlossen. Fr die weiteren Betrachtungen wird
zugrunde gelegt, dass dieser PC auch von mehreren
Benutzern betrieben werden kann.
Dabei gelten jedoch folgende grundlegende
berlegungen:
Wesentliche Sicherheitseigenschaften von Windows 95 lassen sich erst in einem servergesttztem
Netz realisieren. Wird ein Windows 95-Rechner als Einzelplatzrechner betrieben, so sollte von einem
Mehr-Benutzer-Betrieb abgesehen werden, solange nicht unter Zuhilfenahme eines PC-Sicherheits-
produktes wichtige Funktionen wie z. B. Rechtekontrolle und Protokollierung realisiert werden
knnen. Selbst bei Nutzung des Rechners durch nur einen Benutzer gelten dieselben berlegungen,
wenn die Benutzerumgebung durch einen Administrator mittels Systemrichtlinien eingeschrnkt
werden soll, da faktisch damit wieder ein Mehr-Benutzer-Betrieb entsteht.
Fazit: Ein nicht vernetzter Windows 95-Rechner sollte nur von einem Benutzer und uneingeschrnkt
genutzt werden knnen. Eine Einschrnkung des Benutzers ist nur dann sinnvoll, wenn damit das
Navigieren im System erleichtert wird oder wenn Fehlbedienungen damit ausgeschlossen werden
sollen. Wird dennoch ein Mehr-Benutzer-Betrieb realisiert, so ist dieser unter Sicherheitsgesichts-
punkten nur in Kombination mit einem PC-Sicherheitsprodukt sinnvoll.
Gefhrdungslage
Fr den IT-Grundschutz eines PC mit Windows 95 werden folgende Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.36 Ungeeignete Einschrnkung der Benutzerumgebung
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 147
PC mit Windows 95 5.6.1
_________________________________________________________________________________________

- G 3.17 Kein ordnungsgemer PC-Benutzerwechsel


- G 3.22 Fehlerhafte nderung der Registrierung
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
- G 4.23 Automatische CD-ROM-Erkennung
- G 4.24 Dateinamenkonvertierung bei Datensicherungen unter Windows 95
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.60 Umgehen der Systemrichtlinien

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "PC mit Windows 95" vorgestellt. Die
grundlegenden berlegungen zu Anfang des Kapitels (s. o.) sollten dabei bercksichtigt werden. Die
Manahmen unterteilen sich in die folgenden Kategorien:
- Basis-Manahmen (diese sind im wesentlichen analog zu Kapitel 5.1 DOS-PC (ein Benutzer)),
- Manahmen fr den Mehrbenutzerbetrieb und
- Einschrnkungen und
- Einsatz im Netz.
Als Basis-Manahmen sind folgende Manahmen umzusetzen:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 148
PC mit Windows 95 5.6.1
_________________________________________________________________________________________

Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.56 (1) Sicheres Lschen unter Windows-Betriebssystemen
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung
- M 6.45 (1) Datensicherung unter Windows 95
- M 6.46 (1) Erstellung von Rettungsdisketten fr Windows 95
Sollen an dem Windows 95-Rechner mehrere Benutzer arbeiten, so ist eine Administration des
Rechners und eine Benutzertrennung unumgnglich. In diesem Fall sind die folgenden Manahmen
fr den Mehrbenutzerbetrieb zustzlich umzusetzen:
Organisation:
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.63 (2) Einrichten der Zugriffsrechte
- M 2.103 (1) Einrichten von Benutzerprofilen unter Windows 95
Personal:
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.18 (1) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfllung
Soll die Benutzerumgebung benutzerspezifisch mit bestimmten Einschrnkungen versehen werden, so
sind weiterhin die folgenden Manahmen zu ergreifen (die Manahmen M 2.64 Kontrolle der
Protokolldateien und M 2.65 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System wirken
nur in Verbindung mit M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes oder M 4.42
Implementierung von Sicherheitsfunktionalitten in der IT-Anwendung):
Organisation:
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.65 (1) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
- M 2.66 (2) Beachtung des Beitrags der Zertifizierung fr die Beschaffung
- M 2.104 (1) Systemrichtlinien zur Einschrnkung der Nutzungsmglichkeiten von Windows 95
Hardware/Software:
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes
- M 4.42 (2) Implementierung von Sicherheitsfunktionalitten in der IT-Anwendung (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 149
PC mit Windows 95 5.6.1
_________________________________________________________________________________________

Ist der PC mit Windows 95 in einem Netz eingebunden, so ist zustzlich folgende Manahme
umzusetzen:
Hardware/Software:
- M 4.74 (1) Vernetzte Windows 95 Rechner

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 150
Windows 2000 Client 5.7
_________________________________________________________________________________________

5.7 Windows 2000 Client


Beschreibung
Betrachtet werden einzelne, als Client betriebene PCs mit
Festplatte, die unter dem Betriebssystem Windows 2000
Professional ablaufen. Die PCs knnen miteinander,
innerhalb eines LANs oder gar nicht vernetzt sein. Auf
sicherheitsspezifische Aspekte von einzelnen
Windows 2000-Anwendungen wird nur am Rande einge-
gangen. Die Server-spezifischen Sicherheitsmanahmen
sind dem Kapitel 6 (siehe Baustein 6.9 Windows 2000
Server) zu entnehmen.

Gefhrdungslage
Fr den IT-Grundschutz einzelner PCs unter dem Betriebssystem Windows 2000 werden folgende
typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.23 Automatische CD-ROM-Erkennung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 151
Windows 2000 Client 5.7
_________________________________________________________________________________________

- G 5.43 Makro-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 System
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000
Systemen

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Die in den folgenden Listen mit dem Zusatz "optional" gekennzeichneten Manahmen gehen
zumindest teilweise ber den IT-Grundschutz hinaus, oder sie beziehen sich auf spezielle Einsatz-
umgebungen. Sie sind dann zu realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind,
insbesondere dann, wenn mehrere Benutzer mit demselben System arbeiten und gegeneinander
geschtzt werden sollen bzw. wenn die Kontrolle sicherheitskritischer Funktionen nicht beim Benutzer
selbst liegt, sondern zentral verwaltet werden soll.
Nach der Entscheidung, Windows 2000 als Client-Betriebssystem einzusetzen, sollte zunchst der
Einsatz von Windows 2000 geplant werden (siehe Manahme M 2.227 Planung des Windows 2000
Einsatzes). Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Manahme M 2.228
Festlegen einer Windows 2000 Sicherheitsrichtlinie ).
Nachfolgend wird das Manahmenbndel fr den Baustein "Windows 2000 Client" vorgestellt.
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters (optional)
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen (optional)
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile (optional)
- M 2.32 (2) Einrichtung einer eingeschrnkten Benutzerumgebung (optional)
- M 2.34 (2) Dokumentation der Vernderungen an einem bestehenden System (optional)
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.227 (1) Planung des Windows 2000 Einsatzes
- M 2.228 (1) Festlegen einer Windows 2000 Sicherheitsrichtlinie
- M 2.231 (1) Planung der Gruppenrichtlinien unter Windows 2000
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters (optional)
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals (optional)
- M 3.28 (1) Schulung zu Windows 2000 Sicherheitsmechanismen fr Benutzer

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 152
Windows 2000 Client 5.7
_________________________________________________________________________________________

Hardware/Software:
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern
- M 4.15 (2) Gesichertes Login
- M 4.17 (2) Sperren und Lschen nicht bentigter Accounts und Terminals
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.48 (1) Passwortschutz unter Windows NT/2000
- M 4.49 (1) Absicherung des Boot-Vorgangs fr ein Windows NT/2000 System
- M 4.52 (2) Gerteschutz unter Windows NT/2000
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (1) Schutz der Registrierung unter Windows NT/2000
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
- M 4.93 (1) Regelmige Integrittsprfung
- M 4.136 (1) Sichere Installation von Windows 2000
- M 4.148 (1) berwachung eines Windows 2000 Systems
- M 4.149 (1) Datei- und Freigabeberechtigungen unter Windows 2000
- M 4.150 (1) Konfiguration von Windows 2000 als Workstation
- M 4.200 (2) Umgang mit USB-Speichermedien (optional)
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung
- M 6.77 (1) Erstellung von Rettungsdisketten fr Windows 2000
- M 6.78 (1) Datensicherung unter Windows 2000

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 153
Internet-PC 5.8
_________________________________________________________________________________________

5.8 Internet-PC
Beschreibung
Die Nutzung des Internets zur Informationsbeschaffung
und Kommunikation ist in weiten Bereichen der ffent-
lichen Verwaltung und Privatwirtschaft zur Selbstver-
stndlichkeit geworden. Auch E-Commerce- und
E-Government-Anwendungen gewinnen immer mehr an
Bedeutung. Grtmglichen Komfort bietet es dabei, den
Mitarbeitern einer Institution einen Internet-Zugang
direkt ber den Arbeitsplatz-PC zur Verfgung zu stellen.
Dieser ist jedoch meist in ein lokales Netz (LAN) einge-
bunden, so dass dadurch unter Umstnden zustzliche Bedrohungen fr die Institution entstehen.
Um diese Probleme zu umgehen oder aus anderen anwendungsspezifischen Grnden stellen viele
Behrden und Unternehmen eigenstndige "Internet-PCs" zur Verfgung. Ein Internet-PC ist ein
Computer, der ber eine Internet-Anbindung verfgt, jedoch nicht mit dem internen Netz der Insti-
tution verbunden ist. Falls es sich um mehrere Internet-PCs handelt, knnen diese Computer auch
untereinander vernetzt sein, beispielsweise um eine gemeinsame Internet-Anbindung zu nutzen. Inter-
net-PCs dienen meist dazu, Mitarbeitern die Nutzung von Internet-Diensten zu ermglichen und dabei
zustzliche Bedrohungen fr das lokale Netz zu vermeiden.
Betrachtet wird ein Internet-PC auf der Basis eines Windows-Betriebssystems oder Linux. Fr die
Nutzung der Internet-Dienste kommen gngige Browser, wie z. B. Internet Explorer, Netscape
Navigator oder Opera, sowie E-Mail-Clients, wie z. B. Microsoft Outlook, Outlook Express, Netscape
Messenger oder KMail, zum Einsatz. Je nach Einsatzszenario knnen weitere Programme fr die
Nutzung anderer Internet-Dienste, beispielsweise News, Instant Messaging oder Internet-Banking,
installiert sein.
Gefhrdungslage
Fr den IT-Grundschutz eines Internet-PCs werden die folgenden typischen Gefhrdungen ange-
nommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.37 Unproduktive Suchzeiten
- G 3.38 Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.22 Software-Schwachstellen oder -Fehler
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.21 Trojanische Pferde

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 154
Internet-PC 5.8
_________________________________________________________________________________________

- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.48 IP-Spoofing
- G 5.78 DNS-Spoofing
- G 5.87 Web-Spoofing
- G 5.88 Missbrauch aktiver Inhalte
- G 5.91 Abschalten von Sicherheitsmechanismen fr den RAS-Zugang
- G 5.103 Missbrauch von Webmail
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Ist geplant, in einem Unternehmen bzw. in einer Behrde einen oder mehrere Internet-PCs zur Verf-
gung zu stellen, sollten im Hinblick auf die IT-Sicherheit folgende Schritte durchlaufen werden:
1. Konzeption von Internet-PCs (siehe M 2.234 Konzeption von Internet-PCs)
Zu Anfang mssen grundstzliche Fragen des Einsatzes festgelegt werden, beispielsweise welche
Internet-Dienste genutzt werden sollen und wer fr die Administration des Internet-PCs zustndig
ist.
2. Richtlinien fr die Nutzung von Internet-PCs (siehe M 2.235 Richtlinien fr die Nutzung von
Internet-PCs)
Fr die sichere Nutzung eines Internet-PCs mssen verbindliche Richtlinien festgelegt werden.
Dies umfasst beispielsweise, wer den Internet-PC wann und wofr nutzen darf und ggf. wie Daten
zwischen dem Internet-PC und dem Hausnetz transportiert werden.
3. Sichere Installation von Internet-PCs (siehe M 4.151 Sichere Installation von Internet-PCs)
Durch die Verbindung zum Internet ergeben sich fr die auf dem Internet-PC installierten
Anwendungen und fr die gespeicherten Daten zustzliche Gefhrdungen. Eine sorgfltige
Auswahl der Betriebssystem- und Software-Komponenten sowie deren sichere Installation ist daher
besonders wichtig.
4. Sichere Konfiguration der installierten Komponenten
Je nach Sicherheitsanforderungen mssen die beteiligten Software-Komponenten unterschiedlich
konfiguriert werden. Dies betrifft insbesondere den verwendeten Browser (siehe M 5.93 Sicherheit
von WWW-Browsern bei der Nutzung von Internet-PCs) den E-Mail-Client (siehe M 5.94
Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs ) und ggf. spezielle E-Business-
Software.
5. Sicherer Betrieb von Internet-PCs (siehe M 4.152 Sicherer Betrieb von Internet-PCs)
Eine der wichtigsten IT-Sicherheitsmanahmen beim Betrieb eines Internet-PCs ist das
systematische und schnellstmgliche Einspielen sicherheitsrelevanter Patches und Updates. Um
Angriffsversuche und missbruchliche Nutzung erkennen zu knnen, sollte das System auerdem
berwacht werden.
6. Datensicherung beim Einsatz von Internet-PCs (siehe M 6.79 Datensicherung beim Einsatz von
Internet-PCs)
Die Vorgehensweise und der erforderliche Umfang der Datensicherung richtet sich nach dem
Einsatzszenario des Internet-PCs.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 155
Internet-PC 5.8
_________________________________________________________________________________________

Der vorliegende Baustein gibt Empfehlungen zur Konzeption, Konfiguration und Betrieb eines
solchen Internet-PCs. Wichtig ist dabei, dass die hier aufgefhrten Manahmen nicht ausreichend sind
fr einen Standard-Arbeitsplatz-PC, auf dem in der Regel mehrere unterschiedliche Anwendungen
betrieben und mit dem schtzenswerte Daten verarbeitet werden. Dieses Manahmenbndel richtet
sich ausschlielich an das spezielle Einsatzszenario "Internet-PC". Geeignete IT-Sicherheitsempfeh-
lungen fr Standard-Arbeitsplatz-PCs sind in anderen Bausteinen des Kapitels 5 beschrieben.
Nachfolgend wird das Manahmenbndel fr den Baustein "Internet-PC" vorgestellt.
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.234 (1) Konzeption von Internet-PCs
- M 2.235 (2) Richtlinien fr die Nutzung von Internet-PCs
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.3 (1) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes (optional)
- M 4.44 (1) Prfung eingehender Dateien auf Makro-Viren
- M 4.151 (1) Sichere Installation von Internet-PCs
- M 4.152 (2) Sicherer Betrieb von Internet-PCs
Kommunikation:
- M 5.59 (1) Schutz vor DNS-Spoofing
- M 5.66 (2) Verwendung von SSL
- M 5.91 (3) Einsatz von Personal Firewalls fr Internet-PCs (optional)
- M 5.92 (1) Sichere Internet-Anbindung von Internet-PCs
- M 5.93 (1) Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs
- M 5.94 (2) Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs
- M 5.95 (2) Sicherer E-Commerce bei der Nutzung von Internet-PCs
- M 5.96 (1) Sichere Nutzung von Webmail
- M 5.98 (2) Schutz vor Missbrauch kostenpflichtiger Einwahlnummern
Notfallvorsorge:
- M 6.79 (1) Datensicherung beim Einsatz von Internet-PCs

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 156
Allgemeines nicht vernetztes IT-System 5.99.1
_________________________________________________________________________________________

5.99 Allgemeines nicht vernetztes IT-


System
Beschreibung
Betrachtet wird ein IT-System, das mit keinem anderen
IT-System vernetzt ist. Es kann mit einem beliebigen
Betriebssystem ausgestattet sein. Das IT-System kann auf
einer beliebigen Plattform betrieben werden, es kann sich
dabei um einen PC mit oder ohne Festplatte, aber auch
um eine Unix-Workstation oder einen Apple Macintosh
handeln. Das IT-System kann ber Disketten- und CD-
Laufwerke, eine Festplatte, eine Maus und andere
Peripheriegerte verfgen. Ein eventuell vorhandener Drucker wird direkt am IT-System
angeschlossen. Weiterhin kann eine graphische Benutzeroberflche eingesetzt sein.
Dieses Kapitel bietet einen berblick ber Gefhrdungen und IT-Sicherheitsmanahmen, die fr nicht
vernetzte IT-Systeme typisch sind. Dieser berblick ist unabhngig vom eingesetzten Betriebssystem.
Dafr sind die weiterfhrenden Kapitel des IT-Grundschutzhandbuchs (zum Beispiel Kapitel 5.2 Nicht
vernetztes Unix-System) zu beachten.

Gefhrdungslage
Fr den IT-Grundschutz eines allgemeinen nicht vernetzten IT-Systems werden folgende
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 157
Allgemeines nicht vernetztes IT-System 5.99.1
_________________________________________________________________________________________

- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Allgemeines nicht vernetztes IT-System"
vorgestellt. Die Manahmen unterteilen sich in
- Basis-Manahmen und
- Manahmen fr den Mehrbenutzerbetrieb.
Abhngig vom eingesetzten Betriebssystem sind bei der Anwendung dieses Bausteins ggf. weitere
Manahmen erforderlich.
Als Basis-Manahmen sind folgende Manahmen umzusetzen:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (3) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (3) Erstellen einer PC-Notfalldiskette

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 158
Allgemeines nicht vernetztes IT-System 5.99.1
_________________________________________________________________________________________

- M 6.27 (3) Sicheres Update des BIOS


- M 6.32 (1) Regelmige Datensicherung
Sollen an dem IT-System mehrere Benutzer arbeiten, so ist eine Administration des Rechners und eine
Benutzertrennung unumgnglich. In diesem Fall sind die folgenden Manahmen und Gefhrdungen
fr den Mehrbenutzerbetrieb zustzlich zu betrachten:
Gefhrdungslage
Organisatorische Mngel:
- G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern
- G 2.22 Fehlende Auswertung von Protokolldaten
Menschliche Fehlhandlungen:
- G 3.17 Kein ordnungsgemer PC-Benutzerwechsel
Vorstzliche Handlungen:
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
Manahmenempfehlungen
Organisation:
- M 2.5 (2) Aufgabenverteilung und Funktionstrennung
- M 2.7 (2) Vergabe von Zugangsberechtigungen
- M 2.8 (2) Vergabe von Zugriffsrechten
- M 2.63 (1) Einrichten der Zugriffsrechte
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.65 (1) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
Personal:
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.18 (1) Verpflichtung der PC-Benutzer zum Abmelden nach Aufgabenerfllung
Hardware/Software:
- M 4.7 (1) nderung voreingestellter Passwrter
Wird durch das auf dem IT-System eingesetzte Betriebssystem keine Benutzertrennung ermglicht, ist
zustzlich die folgende Manahme zu beachten:
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 159
Vernetzte Systeme 6
_________________________________________________________________________________________

6 Vernetzte Systeme
In diesem Kapitel wird der IT-Grundschutz fr vernetzte Systeme definiert. Als Grundlage dient
Kapitel 6.1, das betriebssystemunabhngig notwendige Manahmen aufzeigt. Es wird ergnzt um die
betriebssystem-spezifischen Manahmen der Kapitel 6.2, 6.4, 6.5, 6.6 und 6.9. Wird zustzlich eine
Peer-to-Peer-Funktionalitt benutzt, ist zustzlich Kapitel 6.3 zu beachten.
Werden heterogene Netze miteinander gekoppelt, ist das Kapitel 6.7 zustzlich zu beachten.
Die Manahmen zu den angeschlossenen Clients sind Kapitel 5 zu entnehmen.
Folgende Kapitel sind vorhanden:
6.1 Servergesttztes Netz
6.2 Unix-Server
6.3 Peer-to-Peer-Dienste
6.4 Windows NT Netz
6.5 Novell Netware 3.x
6.6 Novell Netware Version 4.x
6.7 Heterogene Netze
6.8 Netz- und Systemmanagement
6.9 Windows 2000 Server
6.10 S/390- und zSeries-Mainframe

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 160
Servergesttztes Netz 6.1
_________________________________________________________________________________________

6.1 Servergesttztes Netz


Beschreibung
Betrachtet wird ein lokales Netz mit mindestens einem
Server. Die Clients knnen PCs mit oder ohne Festplatte
(wie in Kapitel 5.1 beschrieben) sein, aber auch Unix-
Workstations oder Terminals. Dieses Kapitel bietet einen
berblick ber Gefhrdungen und IT-
Sicherheitsmanahmen, die fr lokale Netze typisch sind.
Dieser berblick ist jedoch unabhngig vom
Netzbetriebssystem bzw. den Betriebssystemen der
Clients. Dafr sind die weiterfhrenden Kapitel des IT-
Grundschutzhandbuchs (zum Beispiel Kapitel 6.2 Unix-
Server) zu beachten.

Gefhrdungslage
Fr den IT-Grundschutz eines servergesttzten Netzes werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.32 Unzureichende Leitungskapazitten
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.31 Unstrukturierte Datenhaltung
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
- G 4.7 Defekte Datentrger
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 161
Servergesttztes Netz 6.1
_________________________________________________________________________________________

- G 5.4 Diebstahl
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.26 Analyse des Nachrichtenflusses
- G 5.27 Nichtanerkennung einer Nachricht
- G 5.28 Verhinderung von Diensten
- G 5.43 Makro-Viren

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Servergesttztes Netz" vorgestellt.
Es wird vorausgesetzt, dass der Server in einem Serverraum (vgl. Kapitel 4.3.2) bzw. in einem
Serverschrank (vgl. Kapitel 4.4) untergebracht ist. Die fr die Netzbetriebssysteme umzusetzenden
Manahmen sind den ergnzenden Kapitel des Handbuchs zu entnehmen. Dies gilt analog auch fr die
angeschlossenen Clients.
Darber hinaus sind folgende weitere Manahmen umzusetzen:
Infrastruktur:
- M 1.28 (2) Lokale unterbrechungsfreie Stromversorgung
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
- M 1.32 (1) Geeignete Aufstellung von Konsole, Gerten mit austauschbaren Datentrgern und
Druckern
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile
- M 2.32 (3) Einrichtung einer eingeschrnkten Benutzerumgebung (optional)
- M 2.34 (2) Dokumentation der Vernderungen an einem bestehenden System
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.38 (2) Aufteilung der Administrationsttigkeiten
- M 2.138 (2) Strukturierte Datenhaltung
- M 2.204 (1) Verhinderung ungesicherter Netzzugnge

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 162
Servergesttztes Netz 6.1
_________________________________________________________________________________________

Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.15 (2) Gesichertes Login
- M 4.16 (2) Zugangsbeschrnkungen fr Accounts und / oder Terminals
- M 4.17 (2) Sperren und Lschen nicht bentigter Accounts und Terminals
- M 4.24 (2) Sicherstellung einer konsistenten Systemverwaltung
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.65 (2) Test neuer Hard- und Software
- M 4.93 (1) Regelmige Integrittsprfung

Kommunikation:
- M 5.6 (1) Obligatorischer Einsatz eines Netzpasswortes
- M 5.7 (1) Netzverwaltung
- M 5.8 (1) Monatlicher Sicherheitscheck des Netzes
- M 5.9 (2) Protokollierung am Server
- M 5.10 (1) Restriktive Rechtevergabe
- M 5.13 (1) Geeigneter Einsatz von Elementen zur Netzkopplung
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.25 (1) Regelmige Datensicherung der Server-Festplatte
- M 6.31 (2) Verhaltensregeln nach Verlust der Systemintegritt
- M 6.32 (1) Regelmige Datensicherung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 163
Unix-Server 6.2
_________________________________________________________________________________________

6.2 Unix-Server
Beschreibung
Unix-Server sind Rechner mit dem Betriebssystem Unix,
die in einem Netz Dienste anbieten, die von anderen IT-
Systemen in Anspruch genommen werden knnen.
In diesem Kapitel werden ausschlielich die fr einen
Unix-Server spezifischen Gefhrdungen und Manahmen
beschrieben, daher sind zustzlich noch diejenigen fr
servergesttzte Netze aus Kapitel 6.1 zu betrachten.
Gefhrdungslage
Fr den IT-Grundschutz eines Unix-Servers werden
folgende typische Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.15 Vertraulichkeitsverlust schutzbedrftiger Daten im Unix-System
- G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in ein servergesttztes Netz
- G 2.65 Komplexitt der SAMBA-Konfiguration
Menschliche Fehlhandlungen:
- G 3.10 Falsches Exportieren von Dateisystemen unter Unix
- G 3.11 Fehlerhafte Konfiguration von sendmail
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.11 Fehlende Authentisierungsmglichkeit zwischen NIS-Server und NIS-Client
- G 4.12 Fehlende Authentisierungsmglichkeit zwischen X-Server und X-Client
Vorstzliche Handlungen:
- G 5.40 Abhren von Rumen mittels Rechner mit Mikrofon
- G 5.41 Mibruchliche Nutzung eines Unix-Systems mit Hilfe von uucp
- G 5.89 Hijacking von Netz-Verbindungen

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich Unix-Server vorgestellt.
Einige Manahmen beziehen sich auf die Konfiguration der einzelnen Server, andere Manahmen
mssen auf Servern und Clients eingesetzt werden, um wirksam zu werden. Fr eventuell ange-
schlossene Clients sind die in Kapitel 5 beschriebenen Manahmen zu realisieren.
Es ist sinnvoll, den Server in einem separaten Serverraum aufzustellen. Zu realisierende Manahmen
sind in Kapitel 4.3.2 beschrieben. Steht kein Serverraum zur Verfgung, sollte ein Serverschrank
verwendet werden, vgl. Kapitel 4.4.
Darber hinaus sind folgende weitere Manahmen umzusetzen:
Infrastruktur:
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 164
Unix-Server 6.2
_________________________________________________________________________________________

Organisation:
- M 2.33 (2) Aufteilung der Administrationsttigkeiten unter Unix
Hardware/Software:
Zugang zum Unix-System
- M 4.13 (1) Sorgfltige Vergabe von IDs
- M 4.14 (1) Obligatorischer Passwortschutz unter Unix
- M 4.18 (1) Administrative und technische Absicherung des Zugangs zum Monitor- und
Single-User-Modus
- M 4.105 (1) Erste Manahmen nach einer Unix-Standardinstallation

Attributvergabe/Arbeiten mit dem Unix-System


- M 4.9 (1) Einsatz der Sicherheitsmechanismen von X-Windows
- M 4.19 (1) Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen
- M 4.20 (2) Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen
- M 4.21 (1) Verhinderung des unautorisierten Erlangens von Administratorrechten
- M 4.22 (3) Verhinderung des Vertraulichkeitsverlusts schutzbedrftiger Daten im Unix-
System
- M 4.23 (3) Sicherer Aufruf ausfhrbarer Dateien
Protokollierung/Sicherheitscheck
- M 4.25 (1) Einsatz der Protokollierung im Unix-System
- M 4.26 (2) Regelmiger Sicherheitscheck des Unix-Systems
- M 4.40 (2) Verhinderung der unautorisierten Nutzung des Rechnermikrofons
- M 4.106 (1) Aktivieren der Systemprotokollierung
- M 4.107 (2) Nutzung von Hersteller-Ressourcen
Kommunikation:
- M 5.16 (2) bersicht ber Netzdienste
- M 5.17 (1) Einsatz der Sicherheitsmechanismen von NFS
- M 5.18 (1) Einsatz der Sicherheitsmechanismen von NIS
- M 5.19 (1) Einsatz der Sicherheitsmechanismen von sendmail
- M 5.20 (1) Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp
- M 5.21 (1) Sicherer Einsatz von telnet, ftp, tftp und rexec
- M 5.34 (2) Einsatz von Einmalpasswrtern (optional)
- M 5.35 (1) Einsatz der Sicherheitsmechanismen von UUCP
- M 5.36 (2) Verschlsselung unter Unix und Windows NT (optional)
- M 5.38 (2) Sichere Einbindung von DOS-PCs in ein Unix-Netz
- M 5.64 (2) Secure Shell
- M 5.72 (1) Deaktivieren nicht bentigter Netzdienste
- M 5.82 (1) Sicherer Einsatz von SAMBA
- M 5.83 (2) Sichere Anbindung eines externen Netzes mit Linux FreeS/WAN (optional)
Notfallvorsorge:
- M 6.31 (2) Verhaltensregeln nach Verlust der Systemintegritt

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 165
Peer-to-Peer-Dienste 6.3
_________________________________________________________________________________________

6.3 Peer-to-Peer-Dienste
Beschreibung
Peer-to-Peer-Dienste sind Funktionen auf Arbeitsplatz-
Computern, die anderen IT-Systemen im lokalen Netz
Ressourcen zur Verfgung stellen, beispielsweise
gemeinsamen Zugriff auf die Festplatte oder auf Drucker.
Solche Dienste werden von den gngigen Betriebssyste-
men untersttzt. In diesem Baustein werden die Betriebs-
systeme Windows fr Workgroups (WfW),
Windows 95/NT/2000 und Unix betrachtet, bercksich-
tigt wird hier aber nur die reine Peer-to-Peer-Funktiona-
litt dieser Betriebssysteme. Auf sicherheitsspezifische
Aspekte einzelner Anwendungen bei der Benutzung von Peer-to-Peer-Funktionalitten, zum Beispiel
bezglich Mail, Exchange, Schedule+, Direct-Data-Exchange (DDE) oder Remote Access Service
(RAS), wird nur am Rande eingegangen. Weiterhin werden in diesem Kapitel ausschlielich die fr
Peer-to-Peer-Dienste spezifischen Gefhrdungen und Manahmen beschrieben, daher sind zustzlich
noch die betriebssystemspezifischen Bausteine aus Kapitel 5 zu betrachten. Peer-to-Peer-Kommuni-
kation ber das Internet ist nicht Gegenstand dieses Bausteins.
Da Peer-to-Peer-Dienste wesentlich geringere Sicherheitsfunktionalitten bieten als durch dedizierte
Server bereitgestellte Dienste, sollten Peer-to-Peer-Dienste innerhalb servergesttzter Netze nicht
verwendet werden.

Gefhrdungslage
Fr den IT-Grundschutz von Peer-to-Peer-Diensten werden folgende typische Gefhrdungen
angenommen:
Organisatorische Mngel:
- G 2.25 Einschrnkung der bertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-
to-Peer-Funktionalitten
- G 2.65 Komplexitt der SAMBA-Konfiguration

Menschliche Fehlhandlungen:
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.18 Freigabe von Verzeichnissen, Druckern oder der Ablagemappe
- G 3.19 Speichern von Passwrtern unter WfW und Windows 95
- G 3.20 Ungewollte Freigabe des Leserechtes bei Schedule+
Vorstzliche Handlungen:
- G 5.45 Ausprobieren von Passwrtern unter WfW und Windows 95
- G 5.46 Maskerade unter WfW
- G 5.47 Lschen des Post-Office unter WfW

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 167
Peer-to-Peer-Dienste 6.3
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Bei der Bearbeitung der originren Peer-to-Peer-Manahmen sollte zuerst anhand von Manahme
M 2.67 Festlegung einer Sicherheitsstrategie fr Peer-to-Peer-Dienste eine Sicherheitsstrategie
ausgearbeitet werden, da diese die Grundlage fr die weiteren Manahmen ist.

Nachfolgend wird das Manahmenbndel fr den Bereich "Peer-to-Peer-Dienste" vorgestellt:


Organisation:
- M 2.67 (1) Festlegung einer Sicherheitsstrategie fr Peer-to-Peer-Dienste
- M 2.68 (2) Sicherheitskontrollen durch die Benutzer beim Einsatz von Peer-to-Peer-Diensten
- M 2.94 (2) Freigabe von Verzeichnissen unter Windows NT
Personal:
- M 3.19 (1) Einweisung in den richtigen Einsatz der Sicherheitsfunktionen von Peer-to-Peer-
Diensten
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (2) Bildschirmsperre
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.45 (1) Einrichtung einer sicheren Peer-to-Peer-Umgebung unter WfW
- M 4.46 (1) Nutzung des Anmeldepasswortes unter WfW und Windows 95
- M 4.58 (2) Freigabe von Verzeichnissen unter Windows 95
- M 4.149 (2) Datei- und Freigabeberechtigungen unter Windows 2000
Kommunikation:
- M 5.37 (2) Einschrnken der Peer-to-Peer-Funktionalitten in einem servergesttzten Netz
(optional)
- M 5.82 (2) Sicherer Einsatz von SAMBA
Notfallvorsorge:
- M 6.32 (2) Regelmige Datensicherung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 168
Windows NT Netz 6.4
_________________________________________________________________________________________

6.4 Windows NT Netz


Beschreibung
Betrachtet wird ein Windows NT Netz, das als Client-
Server-System unter dem Betriebssystem Windows NT
Version 3.51 oder 4.0 betrieben wird. Dieses Kapitel
behandelt die Sicherheitsaspekte eines Windows NT
Servers, die Client-spezifischen Manahmen sind
Kapitel 5 zu entnehmen.
Auf sicherheitsspezifische Aspekte von Windows NT-
Anwendungen, zum Beispiel bezglich Mail, Schedule+,
Direct-Data-Exchange (DDE) oder Remote Access
Service (RAS), wird nur am Rande eingegangen. Zustzlich zu den hier angegebenen Gefhrdungen
und Schutzmanahmen gelten noch die im Kapitel 6.1 fr ein allgemeines servergesttztes Netz
genannten Manahmen. Falls im Windows NT Netz die Peer-to-Peer Funktionalitt von Windows NT
genutzt wird, ist auerdem der Inhalt des Kapitels 6.3 zu bercksichtigen.

Gefhrdungslage
Fr den IT-Grundschutz eines servergesttzten Netzes unter dem Betriebssystem Windows NT
werden folgende typische Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in ein servergesttztes Netz
- G 2.25 Einschrnkung der bertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-
to-Peer-Funktionalitten
- G 2.30 Unzureichende Domnenplanung
- G 2.31 Unzureichender Schutz des Windows NT Systems
Technisches Versagen:
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.23 Automatische CD-ROM-Erkennung
Vorstzliche Handlungen:
- G 5.23 Computer-Viren
- G 5.40 Abhren von Rumen mittels Rechner mit Mikrofon
- G 5.43 Makro-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 System
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000
Systemen

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Bei der Bearbeitung der originren Windows NT Manahmen sollte zuerst anhand der Manahme
M 2.91 Festlegung einer Sicherheitsstrategie fr das Windows NT Client-Server-Net und zustzlich,
soweit Peer-to-Peer Funktionalitt genutzt wird, auch der Manahme M 2.67 Festlegung einer
Sicherheitsstrategie fr Peer-to-Peer-Dienste eine Sicherheitsstrategie ausgearbeitet werden, da diese
die Grundlage fr die weiteren Manahmen ist.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 169
Windows NT Netz 6.4
_________________________________________________________________________________________

Die eigentliche Planung des Windows NT Netzes sollte dann, wie in der Manahme M 2.93 Planung
des Windows NT Netzes , durchgefhrt werden. Entsprechend den dabei erarbeiteten Vorgaben sollte
zunchst ein Server installiert und mit einer kleinen Anzahl von Clients ausgetestet werden, um die
festgelegten Strukturen optimieren und anpassen zu knnen, ehe sie in der Breite eingesetzt werden.
Fr die unter Windows NT vernetzten Systeme sind, neben den hier genannten Manahmen, die in
Kapitel 6.1 beschriebenen Manahmen zu realisieren. Sinnvoll erscheint es, den Fileserver in einem
separaten Serverraum aufzustellen. Zu realisierende Manahmen sind in Kapitel 4.3.2 beschrieben.
Alternativ ist die Verwendung eines Serverschrankes, vgl. Kapitel 4.4.
Fr angeschlossene Clients sind die in Kapitel 5 beschriebenen Manahmen zu realisieren. Soweit
auch die Peer-to-Peer Funktionalitt von Windows NT genutzt wird, sind auerdem die in Kapitel 6.3
genannten Manahmen zu realisieren.
Die mit dem Zusatz "optional" gekennzeichneten Manahmen gehen zumindest teilweise ber den IT-
Grundschutz hinaus, oder sie beziehen sich auf spezielle Einsatzumgebungen. Sie sind dann zu
realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind und/oder spezifische, durch diese
Manahmen abgewehrte Bedrohungen zu erwarten sind.
Nachfolgend wird das Manahmenbndel fr den Bereich "Windows NT Netz" vorgestellt:
Organisation:
- M 2.91 (1) Festlegung einer Sicherheitsstrategie fr das Windows NT Client-Server-Netz
- M 2.92 (2) Durchfhrung von Sicherheitskontrollen im Windows NT Client-Server-Netz
- M 2.93 (1) Planung des Windows NT Netzes
- M 2.94 (3) Freigabe von Verzeichnissen unter Windows NT
Hardware/Software:
- M 4.40 (3) Verhinderung der unautorisierten Nutzung des Rechnermikrofons
- M 4.48 (1) Passwortschutz unter Windows NT/2000
- M 4.49 (1) Absicherung des Boot-Vorgangs fr ein Windows NT/2000 System
- M 4.50 (2) Strukturierte Systemverwaltung unter Windows NT (optional)
- M 4.51 (3) Benutzerprofile zur Einschrnkung der Nutzungsmglichkeiten von Windows NT
(optional)
- M 4.52 (2) Gerteschutz unter Windows NT/2000
- M 4.53 (2) Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter
Windows NT
- M 4.54 (2) Protokollierung unter Windows NT
- M 4.55 (2) Sichere Installation von Windows NT
- M 4.56 (3) Sicheres Lschen unter Windows-Betriebssystemen
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (1) Schutz der Registrierung unter Windows NT/2000
- M 4.76 (2) Sichere Systemversion von Windows NT
- M 4.77 (1) Schutz der Administratorkonten unter Windows NT

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 170
Windows NT Netz 6.4
_________________________________________________________________________________________

Kommunikation:
- M 5.36 (3) Verschlsselung unter Unix und Windows NT (optional)
- M 5.37 (3) Einschrnken der Peer-to-Peer-Funktionalitten in einem servergesttzten Netz
- M 5.40 (1) Sichere Einbindung von DOS-PCs in ein Windows NT Netz
- M 5.41 (2) Sichere Konfiguration des Fernzugriffs unter Windows NT
- M 5.42 (2) Sichere Konfiguration der TCP/IP-Netzverwaltung unter Windows NT
- M 5.43 (2) Sichere Konfiguration der TCP/IP-Netzdienste unter Windows NT
Notfallvorsorge:
- M 6.32 (1) Regelmige Datensicherung
- M 6.42 (2) Erstellung von Rettungsdisketten fr Windows NT
- M 6.43 (3) Einsatz redundanter Windows NT/2000 Server (optional)
- M 6.44 (1) Datensicherung unter Windows NT

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 171
Novell Netware 3.x 6.5
_________________________________________________________________________________________

6.5 Novell Netware 3.x


Beschreibung
Betrachtet wird ein LAN mit PCs, die unter dem
Netzbetriebssystem Novell Netware 3.x vernetzt sind.
Die PCs knnen mit Festplatte, CD-ROM Laufwerk
sowie Diskettenlaufwerken ausgestattet sein. An das Netz
sind ggf. ein oder mehrere Netzdrucker als
Warteschleifendrucker angeschlossen. Gegenstand dieses
Kapitels ist das Novell 3.x Netz in einer Client-Server-
Funktionalitt. Damit ist dieses Kapitel die
betriebssystemspezifische Ergnzung des Kapitels 6.1
"Servergesttztes Netz".
Die Funktionalitten des sog. Accounting werden nicht betrachtet.
Bemerkung: Namen von Dateien und Programmen werden immer durch Grobuchstaben mit kursiver
Schreibweise (z. B. SYS:PUBLIC\SYSCON.EXE) dargestellt.
Gefhrdungen und die hieraus abgeleiteten Manahmen wurden anhand der Versionen Novell 3.11
und 3.12 erarbeitet. Aufgrund verschiedener Patchlevel im Netzbetriebssystem ist es mglich, dass
nicht alle Gefhrdungen auf jede Variante von Novell Netware 3.x zutreffen.

Gefhrdungslage
Fr den IT-Grundschutz werden die folgenden typischen Gefhrdungen betrachtet:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.33 Nicht gesicherter Aufstellungsort von Novell Netware Servern
- G 2.34 Fehlende oder unzureichende Aktivierung von Novell Netware
Sicherheitsmechanismen
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
Vorstzliche Handlungen:
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.54 Vorstzliches Herbeifhren eines Abnormal End
- G 5.55 Login Bypass
- G 5.56 Temporr frei zugngliche Accounts
- G 5.57 Netzanalyse-Tools
- G 5.58 "Hacking Novell Netware"
- G 5.59 Missbrauch von Administratorrechten unter Novell Netware 3.x

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 172
Novell Netware 3.x 6.5
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Fr die vernetzten PCs sind die in Kapitel 5 beschriebenen Manahmen zu realisieren. Zu beachten ist,
dass das hier vorgestellte Manahmenbndel, das nur die Besonderheiten des Netzbetriebssystems
Novell Netware 3.x bercksichtigt, um die allgemeinen Netzsicherheitsmanahmen des Kapitels 6.1
"Servergesttztes Netz" ergnzt werden muss.
Nachfolgend wird das Manahmenbndel fr den Bereich "Novell Netware 3.x" vorgestellt.
Infrastruktur:
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung
- M 1.42 (1) Gesicherte Aufstellung von Novell Netware Servern
Organisation:
- M 2.98 (2) Sichere Installation von Novell Netware Servern
- M 2.99 (1) Sichere Einrichtung von Novell Netware Servern
- M 2.100 (1) Sicherer Betrieb von Novell Netware Servern
- M 2.101 (2) Revision von Novell Netware Servern
- M 2.102 (3) Verzicht auf die Aktivierung der Remote Console (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 173
Novell Netware Version 4.x 6.6
_________________________________________________________________________________________

6.6 Novell Netware Version 4.x


Beschreibung
Betrachtet wird das Netzbetriebssystem Novell
Netware 4.x (mit dem Schwerpunkt auf Netware 4.11).
Novell Netware wird auf PC-Servern betrieben und stellt
im wesentlichen die Infrastrukturdienste Authentisierung,
Verzeichnisdienst, Dateidienst, Druckdienst und
Protokolldienst in einem Netz zur Verfgung.
Gegenstand dieses Kapitels ist das Novell 4.x Netz in
einer Client-Server-Funktionalitt. Damit ist dieses
Kapitel eine betriebssystemspezifische Ergnzung des
Kapitels 6.1 "Servergesttztes Netz".
Zentraler Aspekt des Novell Netware 4.x-Betriebssystems ist die Verteilung der zentralen Datenbank
des Verzeichnisdienstes NDS (Novell Directory Services) unabhngig von spezifischen Server-
systemen ber das LAN und der objektorientierte Ansatz zur Verwaltung aller Elemente im Betriebs-
systemumfeld in einer einheitlichen Umgebung.
Die Funktionalitten der Zusatzprodukte von Novell Netware wie z. B. DHCP, WEB Server und
WAN Connectivity sind ebenfalls Bestandteil dieser Betrachtung.
Bemerkungen:
- Namen von Dateien und Programmen werden immer durch Grobuchstaben mit kursiver Schreib-
weise (z. B. SYS:PUBLIC\NWADMIN.EXE) dargestellt.
- Gefhrdungen und die hieraus abgeleiteten Manahmen wurden anhand der Version Novell 4.11
erarbeitet. Aufgrund verschiedener Patchlevel bzw. Entwicklungsunterschiede zwischen
Netware 4.10 und Netware 4.11 im Netzbetriebssystem ist es mglich, dass nicht alle Gefhr-
dungen auf jede Variante von Novell Netware 4.x zutreffen. Bei Bedarf wird darauf explizit hin-
gewiesen bzw. im Text entsprechend unterschieden.
Gefhrdungslage
Fr den IT-Grundschutz von Novell Netware Version 4.x werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.33 Nicht gesicherter Aufstellungsort von Novell Netware Servern
- G 2.34 Fehlende oder unzureichende Aktivierung von Novell Netware
Sicherheitsmechanismen
- G 2.42 Komplexitt der NDS
- G 2.43 Migration von Novell Netware 3.x nach Novell Netware Version 4
Menschliche Fehlhandlungen:
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.25 Fahrlssiges Lschen von Objekten
- G 3.26 Ungewollte Freigabe des Dateisystems
- G 3.27 Fehlerhafte Zeitsynchronisation
- G 3.38 Konfigurations- und Bedienungsfehler

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 174
Novell Netware Version 4.x 6.6
_________________________________________________________________________________________

Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
Vorstzliche Handlungen:
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.55 Login Bypass
- G 5.56 Temporr frei zugngliche Accounts
- G 5.57 Netzanalyse-Tools
- G 5.58 "Hacking Novell Netware"
- G 5.59 Missbrauch von Administratorrechten unter Novell Netware 3.x

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Fr die vernetzten PCs sind die im Kapitel 5 beschriebenen Manahmen zu realisieren. Zu beachten
ist, dass das hier vorgestellte Manahmenbndel, das nur die Besonderheiten des Netzbetriebssystems
Novell Netware 4.x bercksichtigt, um die allgemeinen Netzsicherheitsmanahmen des Kapitels 6.1
ergnzt werden muss.
Darber hinaus werden folgende weitere Manahmen vorgeschlagen:
Infrastruktur:
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung
- M 1.42 (1) Gesicherte Aufstellung von Novell Netware Servern
Organisation:
- M 2.102 (2) Verzicht auf die Aktivierung der Remote Console (optional)
- M 2.147 (1) Sichere Migration von Novell Netware 3.x Servern in Novell Netware 4.x Netze
- M 2.148 (1) Sichere Einrichtung von Novell Netware 4.x Netzen
- M 2.149 (2) Sicherer Betrieb von Novell Netware 4.x Netzen
- M 2.150 (1) Revision von Novell Netware 4.x Netzen
- M 2.151 (1) Entwurf eines NDS-Konzeptes
- M 2.152 (2) Entwurf eines Zeitsynchronisations-Konzeptes
- M 2.153 (1) Dokumentation von Novell Netware 4.x Netzen
Hardware/Software:
- M 4.102 (2) C2-Sicherheit unter Novell 4.11 (optional)
- M 4.103 (1) DHCP-Server unter Novell Netware 4.x (optional)
- M 4.104 (2) LDAP Services for NDS (optional)
- M 4.108 (2) Vereinfachtes und sicheres Netzmanagement mit DNS Services unter Novell
NetWare 4.11 (optional)
Notfallvorsorge:
- M 6.55 (2) Reduzierung der Wiederanlaufzeit fr Novell Netware Server

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 175
Heterogene Netze 6.7
_________________________________________________________________________________________

6.7 Heterogene Netze


Beschreibung
Ein lokales Netz setzt sich aus der Verkabelung (d. h. den
passiven Netzkomponenten Kabel und den Verbindungs-
elementen) sowie den aktiven Netzkomponenten zur
Netzkopplung zusammen. Generell knnen dabei unter-
schiedliche Verkabelungstypen wie auch unterschiedliche
aktive Netzkomponenten in ein LAN integriert werden.
Als aktive Netzkomponenten werden alle Netz-
komponenten bezeichnet, die eine eigene
(Netz-)Stromversorgung bentigen. Dazu gehren u. a.
Repeater, Brcken, Switches, Router, Gateways. Als
passive Netzkomponenten werden alle Netzkomponenten betrachtet, die keine eigene Netzstrom-
Versorgung bentigen. Dazu gehren z. B. Kabel, Verteilerschrnke, Patchfelder, Steckverbinder.
Die Verkabelung wird bereits detailliert in Kapitel 4.2, die anwendungsbezogene Peripherie in den
Kapiteln 5 und 6 behandelt, so dass im vorliegenden Baustein primr die aktiven Netzkomponenten,
die ihnen zugrunde liegende Topologie, ihre Konfiguration, Kriterien zur Auswahl geeigneter
Komponenten, die Auswahl von bertragungsprotokollen sowie das zugehrige Netzmanagement
betrachtet werden.
Es werden nur LAN-Technologien betrachtet, z. B. die Netzprotokolle Ethernet, Token Ring oder
FDDI bzw. die zugehrigen Netzkomponenten wie Bridges, Switches oder Router. Diese
Technologien knnen u. U. auch in einem MAN zum Einsatz kommen. Fragestellungen im
Zusammenhang mit einer WAN-Anbindung werden dagegen nicht behandelt. Hier sei u. a. auf das
Kapitel 7.3 Firewall verwiesen.
Soll ein LAN hinreichend im Sinne des IT-Grundschutzes geschtzt werden, so gengt es nicht, nur
das vorliegende Kapitel alleine zu bearbeiten. Neben den aktiven Netzkomponenten und der
eingesetzten Software zum Netzmanagement mssen auch die physikalische Verkabelung und die im
Netz zur Verfgung stehenden Serversysteme beachtet werden. Deshalb ist es unumgnglich, auch die
oben genannten Kapitel durchzuarbeiten.
Dieses Kapitel beschreibt einen Leitfaden, wie ein heterogenes Netz analysiert und darauf aufbauend
unter Sicherheitsaspekten konzipiert und betrieben werden kann. Damit richtet sich dieses Kapitel an
die Stelle einer Organisation, die fr den Netzbetrieb verantwortlich ist und das entsprechende
fachliche Wissen besitzt.
Gefhrdungslage
Fr den IT-Grundschutz eines heterogenen Netzes werden pauschal die folgenden Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.3 Blitz
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 176
Heterogene Netze 6.7
_________________________________________________________________________________________

Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.27 Fehlende oder unzureichende Dokumentation
- G 2.32 Unzureichende Leitungskapazitten
- G 2.44 Inkompatible aktive und passive Netzkomponenten
- G 2.45 Konzeptionelle Schwchen des Netzes
- G 2.46 berschreiten der zulssigen Kabel- bzw. Buslnge oder der Ringgre
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.28 Ungeeignete Konfiguration der aktiven Netzkomponenten
- G 3.29 Fehlende oder ungeeignete Segmentierung
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.31 Ausfall oder Strung von Netzkomponenten
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.5 Vandalismus
- G 5.6 Anschlag
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.28 Verhinderung von Diensten
- G 5.66 Unberechtigter Anschluss von IT-Systemen an ein Netz
- G 5.67 Unberechtigte Ausfhrung von Netzmanagement-Funktionen
- G 5.68 Unberechtigter Zugang zu den aktiven Netzkomponenten

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
An dieser Stelle sei nochmals darauf hingewiesen, dass ein ausreichender Schutz fr ein LAN im
Sinne des IT-Grundschutzhandbuchs nur dann gewhrleistet werden kann, wenn zustzlich die
Manahmenbndel aus Kapitel 4.2 Verkabelung, Kapitel 6.1 Servergesttztes Netz und ggf. die
betriebssystem-spezifischen Ergnzungen und Kapitel 6.8 Netz- und Systemmanagement umgesetzt
werden.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 177
Heterogene Netze 6.7
_________________________________________________________________________________________

Weiterhin sollten die aktiven Netzkomponenten in Rumen fr technische Infrastruktur (z. B.


Verteilerrume) untergebracht werden, so dass auch die Manahmen aus Kapitel 4.3.4 Raum fr
technische Infrastruktur realisiert werden mssen.
Der Arbeitsplatz des Netzadministrators sollte ebenfalls besonders geschtzt werden. Neben den
Manahmen aus Kapitel 4.3.1 Broraum sind hier die Regelungen fr das eingesetzte Betriebssystem
zu nennen (siehe Kapitel 6).
Fr den sicheren Einsatz eines heterogenen Netzes sind eine Reihe von Manahmen umzusetzen,
beginnend mit der Analyse der aktuellen Netzsituation ber die Entwicklung eines Netzmanagement-
Konzeptes bis zum Betrieb eines heterogenen Netzes. Die Schritte, die dabei durchlaufen werden
sollten, sowie die Manahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im
folgenden aufgefhrt.
1. Analyse der aktuellen Netzsituation (siehe M 2.139 Ist-Aufnahme der aktuellen Netzsituation und
M 2.140 Analyse der aktuellen Netzsituation)
- Erhebung von Lastfaktoren und Verkehrsflussanalyse
- Feststellung von Netzengpssen
- Identifikation kritischer Bereiche
2. Konzeption
- Konzeption eines Netzes (siehe M 2.141 Entwicklung eines Netzkonzeptes und M 2.142
Entwicklung eines Netz-Realisierungsplans und M 5.60 Auswahl einer geeigneten
Backbone-Technologie )
- Konzeption Netzmanagement (siehe M 2.143 Entwicklung eines Netzmanagementkonzeptes
und M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls)
3. Sicherer Betrieb des Netzes
- Segmentierung des Netzes (siehe M 5.61 Geeignete physikalische Segmentierung und
M 5.62 Geeignete logische Segmentierung)
- Einsatz einer Netzmanagement-Software (siehe M 2.145 Anforderungen an ein
Netzmanagement-Tool und M 2.146 Sicherer Betrieb eines Netzmanagementsystems)
- Audit und Revision des Netzes (siehe M 4.81 Audit und Protokollierung der Aktivitten im
Netz und M 2.64 Kontrolle der Protokolldateien)
4. Notfallvorsorge
- Redundante Auslegung der Netzkomponenten (siehe M 6.53 Redundante Auslegung der
Netzkomponenten)
- Sicherung der Konfigurationsdaten (siehe M 6.52 Regelmige Sicherung der
Konfigurationsdaten aktiver Netzkomponenten und M 6.22 Sporadische berprfung auf
Wiederherstellbarkeit von Datensicherungen)
Nachfolgend wird das komplette Manahmenbndel fr den Bereich Heterogene Netze vorgestellt, in
dem auch Manahmen von eher grundstzlicher Art enthalten sind, die zustzlich zu den oben
aufgefhrten Schritten beachtet werden mssen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 178
Heterogene Netze 6.7
_________________________________________________________________________________________

Infrastruktur:
- M 1.25 (1) berspannungsschutz
- M 1.27 (2) Klimatisierung
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
- M 1.32 (1) Geeignete Aufstellung von Konsole, Gerten mit austauschbaren Datentrgern und
Druckern
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.34 (1) Dokumentation der Vernderungen an einem bestehenden System
- M 2.35 (1) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.38 (2) Aufteilung der Administrationsttigkeiten
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.139 (1) Ist-Aufnahme der aktuellen Netzsituation
- M 2.140 (1) Analyse der aktuellen Netzsituation (optional)
- M 2.141 (1) Entwicklung eines Netzkonzeptes
- M 2.142 (1) Entwicklung eines Netz-Realisierungsplans
- M 2.143 (1) Entwicklung eines Netzmanagementkonzeptes
- M 2.144 (1) Geeignete Auswahl eines Netzmanagement-Protokolls
- M 2.145 (2) Anforderungen an ein Netzmanagement-Tool
- M 2.146 (1) Sicherer Betrieb eines Netzmanagementsystems
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware/Software:
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.15 (2) Gesichertes Login
- M 4.24 (1) Sicherstellung einer konsistenten Systemverwaltung
- M 4.79 (1) Sichere Zugriffsmechanismen bei lokaler Administration
- M 4.80 (1) Sichere Zugriffsmechanismen bei Fernadministration
- M 4.81 (2) Audit und Protokollierung der Aktivitten im Netz
- M 4.82 (1) Sichere Konfiguration der aktiven Netzkomponenten
- M 4.83 (3) Update/Upgrade von Soft- und Hardware im Netzbereich
Kommunikation:
- M 5.2 (1) Auswahl einer geeigneten Netz-Topographie
- M 5.7 (1) Netzverwaltung
- M 5.12 (2) Einrichtung eines zustzlichen Netzadministrators
- M 5.13 (1) Geeigneter Einsatz von Elementen zur Netzkopplung
- M 5.60 (1) Auswahl einer geeigneten Backbone-Technologie
- M 5.61 (1) Geeignete physikalische Segmentierung
- M 5.62 (1) Geeignete logische Segmentierung (optional)
- M 5.77 (1) Bildung von Teilnetzen (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 179
Heterogene Netze 6.7
_________________________________________________________________________________________

Notfallvorsorge:
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.52 (1) Regelmige Sicherung der Konfigurationsdaten aktiver Netzkomponenten
- M 6.53 (1) Redundante Auslegung der Netzkomponenten
- M 6.54 (3) Verhaltensregeln nach Verlust der Netzintegritt

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 180
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________

6.8 Netz- und Systemmanagement


Beschreibung
Ein Managementsystem fr ein i. allg. lokales Rechner-
netz (LAN, VLAN) dient dazu, mglichst alle im lokale
Netz angesiedelten Hard- und Software-Komponenten
i. d. R. zentral zu verwalten. Ein solches System soll den
Systemverwalter maximal in seiner tglichen Arbeit
untersttzen. Grundstzlich kann zwischen Netz-
management und Systemmanagement unterschieden
werden. Die Unterschiede ergeben sich durch die jeweils
verwalteten Komponenten.
Netzmanagement umfasst die Gesamtheit der
Vorkehrungen und Aktivitten zur Sicherstellung des effektiven Einsatzes eines Netzes. Hierzu gehrt
beispielsweise die berwachung der Netzkomponenten auf ihre korrekte Funktion, das Monitoring der
Netzperformance und die zentrale Konfiguration der Netzkomponenten. Netzmanagement ist in erster
Linie eine organisatorische Problemstellung, deren Lsung lediglich mit technischen Mitteln, einem
Netzmanagementsystem, untersttzt werden kann.
Systemmanagement befasst sich in erster Linie mit dem Management verteilter IT-Systeme. Hierzu
gehren beispielsweise eine zentrale Verwaltung der Benutzer, Softwareverteilung, Management der
Anwendungen usw. In einigen Bereichen, wie z. B. dem Konfigurationsmanagement (dem ber-
wachen und Konsolidieren von Konfigurationen eines Systems oder einer Netzkomponente), sind
Netz- und Systemmanagement nicht klar zu trennen.
Im folgenden wird das (Software-) System, das zum Verwalten eines Netzes und dessen Komponenten
dient, immer als "Managementsystem" bezeichnet, die damit verwalteten Komponenten werden als
"verwaltetes System" bezeichnet. Im Englischen werden hier die Begriffe "management system" und
"managed system" verwendet, dies gilt insbesondere fr den Bereich Netzmanagement.
In der ISO/IEC-Norm 7498-4 bzw. als X.700 der ITU-T ist ein Netz- und Systemmanagement-
Framework definiert. Zu den Aufgaben eines Managementsystems gehren demnach:
1. Konfigurationsmanagement,
2. Performancemanagement,
3. Fehlermanagement,
4. Abrechnungsmanagement,
5. Sicherheitsmanagement.
Dabei muss ein konkretes Systemmanagement-Produkt nicht fr jeden der Bereiche Untersttzung
anbieten. Die Hersteller bieten i.d.R Produktpaletten an, die so konzipiert sind, dass spezielle Funktio-
nalitten als Modul oder als kooperierendes Einzelprodukt erhltlich sind.
Netzmanagement ist die ltere und ausgereiftere Managementdisziplin. Systemmanagement ist im
Gegensatz dazu eine noch junge Disziplin, wird aber durch die stark gewachsene Vernetzung in
Unternehmen bzw. Behrden und die damit zunehmende Heterogenitt und Komplexitt immer mehr
gefordert. Ziel muss es hier sein, beide Disziplinen zu integrieren. Die zurzeit erhltlichen Manage-
mentprodukte sind so angelegt, dass sie primr entweder zum Netzmanagement oder zum System-
management konzipiert sind. Produkte, die beide Funktionalitten vereinen, sind in der Entwicklung.
In der Regel erlauben Produkte, die fr das Systemmanagement ausgelegt sind, auch den Zugriff auf
Informationen des Netzmanagements.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 181
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________

Aufgrund der Heterogenitt von Hard- und Software heutiger Netze ist Systemmanagement eine sehr
komplexe Aufgabe. Erschwert wird Systemmanagement zustzlich dadurch, dass die Management-
software und die Software, die verwaltet werden soll, sehr eng zusammenarbeiten mssen. In der
Regel ist heute erhltliche Software jedoch nicht darauf eingerichtet, mit einem Managementsystem
zusammenzuarbeiten. Dies liegt zum einen an fehlenden Standards, die z. B. ausreichende Sicherheit
garantieren, zum anderen daran, dass grere Softwarepakete mit eigenem, proprietrem Management
ausgestattet sind, da Interna ber die Software, die zum Verwalten dieser ntig sind, nicht offengelegt
werden sollen. Beispielsweise existiert fr den Microsoft Internet Explorer eine Managementsoftware,
das "Internet Explorer Administration Kit (IEAK)", welches z. B. die Vorgabe von Sicher-
heitseinstellungen durch den Administrator erlaubt, die vom Benutzer nachtrglich nicht mehr oder
nur im Rahmen vorgegebener Werte verndert werden knnen. Die Funktionsweise dieses Tools ist
proprietr und unterliegt keinem Standard.
Prinzipiell ist die Architektur von Managementsoftware zentralistisch aufgebaut: es gibt eine zentrale
Managementstation oder -konsole, von der aus der Systemadministrator das ihm anvertraute Netz mit
den darin befindlichen Hard- und Software-Komponenten verwalten kann. Insbesondere die Systeme
zum Netzmanagement bauen darauf auf. Durch die fehlenden Standards im Bereich Systemmanage-
ment findet man hier in den erhltlichen Produkten in vielen Fllen zwar die zentralistische Architek-
tur, die jedoch im Detail proprietr realisiert ist, so dass hier keine weitere generelle Architektur-
aussage gemacht werden kann.
Einem Netzmanagementsystem liegt i. d. R. ein Modell zugrunde, das zwischen "Manager", "Agent"
(auch "Managementagent") und "verwalteten Objekten" (auch "managed objects") unterscheidet. Die
weiteren Bestandteile sind das zur Kommunikation verwendete Protokoll zwischen Manager und den
Agenten, sowie eine Informationsdatenbank, die so genannte "MIB" (Management Information Base).
Die MIB muss sowohl dem Manager als auch jedem Managementagenten zur Verfgung stehen.
Konzeptionell werden Managementagenten und deren MIB als Teil des verwalteten Systems ange-
sehen.

Ein Agent ist fr ein oder mehrere zu verwaltende Objekte zustndig. Es ist mglich, die Agenten
hierarchisch zu organisieren: Ein Agent ist dann fr die ihm zugeordneten Unteragenten zustndig.
Am Ende einer jeden auf diese Art entstehenden Befehlskette steht immer ein zu verwaltendes Objekt.
Ein zu verwaltendes Objekt ist entweder ein physikalisch vorhandenes Objekt (Gert), wie ein
Rechner, ein Drucker oder ein Router, oder ein Softwareobjekt, wie z. B. ein Hintergrundproze zur

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 182
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________

Verwaltung von Druckauftrgen. Bei Gerten, die ber ein Managementsystem verwaltet werden
knnen, ist der Managementagent i. d. R. schon vom Hersteller in das Gert "fest" eingebaut. Versteht
dieser das vom Manager verwendete Kommunikationsprotokoll nicht, ist z. B. ein Software-
Managementagent ntig, der die Protokollumsetzung beherrscht. In hnlicher Weise knnen Software-
Komponenten den Managementagenten schon enthalten, oder es wird ein spezieller Managementagent
bentigt, der fr die Verwaltung dieser Software-Komponente konzipiert ist.
Um die einzelnen Komponenten des zu verwaltenden Systems anzusprechen, tauschen der Manager
und die jeweiligen Agenten Informationen aus. Die Art des zur Kommunikation verwendeten Proto-
kolls bestimmt mageblich die Mchtigkeit und insbesondere die Sicherheit des Managementsystems.
Prinzipiell knnen Managementsysteme bezglich des verwendeten Kommunikationsprotokolls in drei
Kategorien unterteilt werden (siehe auch M 2.144 Geeignete Auswahl eines Netzmanagement-
Protokolls):
1. Es wird SNMP (Simple Network Management Protocol) benutzt, das weit verbreitete Standard-
protokoll des TCP/IP-basierten Systemmanagements.
2. Es wird CMIP (Common Management Information Protocol) benutzt, das seltener benutzte
Standardprotokoll des ISO/OSI-basierten Systemmanagements.
3. Es wird ein herstellerspezifisches Protokoll benutzt. Es existiert meist die Mglichkeit, so genannte
Adapter zum Einbinden der Standardprotokolle zu verwenden, wobei in der Regel lediglich eine
SNMP-Anbindung existiert.
Das am hufigsten benutzte Protokoll ist SNMP. SNMP ist ein sehr einfaches Protokoll, das nur fnf
Nachrichtentypen kennt und daher auch einfach zu implementieren ist. CMIP wird hauptschlich zum
Management von Telekommunikationsnetzen verwandt, und hat im Inter- und Intranet-basierten
Management keine Bedeutung, da es den OSI-Protokollstack verwendet und nicht den TCP/IP-Stack.
Systemmanagementsysteme sind zwar in der Regel auch zentralistisch ausgelegt, um das Verwalten
des Systems von einer Managementstation aus zu erlauben, die konkrete Architektur hngt jedoch
davon ab, wie gro die Systeme, die verwaltet werden knnen, sein drfen und welcher Funktions-
umfang angeboten wird. Hier reicht die Palette von einfachen Sammlungen von Management-Tools,
die ohne Integration nebeneinander in kleinen Netzen eingesetzt werden, bis hin zu Managementplatt-
formen, die ein weltumspannendes Firmennetz mit mehreren Tausend Rechnern verwalten knnen.
Bestimmte Managementplattformen benutzen proprietre Protokolle zur Kommunikation zwischen
den Komponenten. Diese Systeme weisen in der Regel ein wesentlich hheres Leistungsspektrum auf
und dienen nicht nur dem Netz- und Systemmanagement, sondern bieten unternehmens- bzw. behr-
denweites Ressourcenmanagement an. Durch die unzureichend spezifizierten Sicherheitsmechanismen
in den wenigen existierenden Standards, erlauben proprietre Lsungen zudem die (zwar nicht
standardisierte) Verfgbarkeit sicherheitsrelevanter Mechanismen, wie z. B. Verschlsselungs-
verfahren.
Gefhrdungslage
Fr den IT-Grundschutz eines Managementsystems werden die folgenden typischen Gefhrdungen
angenommen:
Hhere Gewalt
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.59 Betreiben von nicht angemeldeten Komponenten

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 183
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________

- G 2.60 Fehlende oder unzureichende Strategie fr das Netz- und Systemmanagement


- G 2.61 Unberechtigte Sammlung personenbezogener Daten
Menschliche Fehlhandlungen:
- G 3.34 Ungeeignete Konfiguration des Managementsystems
- G 3.35 Server im laufenden Betrieb ausschalten
- G 3.36 Fehlinterpretation von Ereignissen
Technisches Versagen:
- G 4.38 Ausfall von Komponenten eines Netz- und Systemmanagementsystems
Vorstzliche Handlungen:
- G 5.86 Manipulation von Managementparametern
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Das zu verwaltende System besteht aus einzelnen Rechnern, Netzkoppelelementen und dem physika-
lischen Netz. Jede dieser Komponenten ist ein potentielles Sicherheitsrisiko fr das Gesamtsystem.
Diese Risiken knnen im allgemeinen alleine durch die Einfhrung von Managementsoftware nicht
vollstndig beseitigt werden. Dies gilt schon deshalb, weil in der Regel nicht alle Systeme in gleichem
Mae durch ein Managementsystem erfasst werden. Grundvoraussetzung fr die Systemsicherheit ist
hier einerseits die Definition und andererseits die Realisierung einer unternehmensweiten
Sicherheitspolitik, die sich im betrachteten Fall insbesondere in der Konfiguration von Hard- und
Software niederschlagen muss. Aus diesem Grund sollten insbesondere die Manahmen der im
Kapitel 6 aufgefhrten Bausteine betrachtet werden. Als Ausgangsbaustein kann der Baustein 6.7
Heterogene Netze dienen.
Da Managementsysteme von einem zentralistischen Ansatz ausgehen, kommt der zentralen Manage-
mentstation eine besondere Bedeutung unter Sicherheitsgesichtspunkten zu und ist daher besonders zu
schtzen. Zentrale Komponenten eines Managementsystems sollten daher in Rumen aufgestellt
werden, die den Anforderungen an einen Serverraum (vgl. Kapitel 4.3.2) entsprechen. Wenn kein
Serverraum zur Verfgung steht, knnen sie alternativ in einem Serverschrank aufgestellt werden (vgl.
Kapitel 4.4 Schutzschrnke).
Fr den erfolgreichen Aufbau eines Netz- und Systemmanagementsystems sind eine Reihe von
Manahmen umzusetzen, beginnend mit der Konzeption ber die Beschaffung bis zum Betrieb. Die
Schritte, die dabei durchlaufen werden sollten, sowie die Manahmen, die in den jeweiligen Schritten
beachtet werden sollten, sind im folgenden aufgefhrt.
1. Erstellen eines Managementkonzeptes, das auf den Anforderungen beruht, die sich aus den
Gegebenheiten des in der Regel bereits vorhandenen IT-Systems ergeben
1.1 Anforderungsanalyse (siehe M 2.168 IT-System-Analyse vor Einfhrung eines
Systemmanagementsystems)
1.2 Definition des Konzeptes (siehe M 2.169 Entwickeln einer Systemmanagementstrategie)
2. Die Beschaffung des Managementsystems erfordert zunchst, die aus dem Managementkonzept
resultierenden
2.1 Anforderungen an das Managementprodukt zu formulieren (siehe M 2.170 Anforderungen
an ein Systemmanagementsystem) und basierend darauf
2.2 die Auswahl eines geeigneten Managementproduktes zu treffen (siehe M 2.170
Anforderungen an ein Systemmanagementsystem).

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 184
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________

3. Die sicherheitsrelevanten Manahmen fr den Betrieb des Managementsystems untergliedern sich


in die Bereiche:
3.1 Installation, mit der Umsetzung des Managementkonzeptes (siehe M 4.91 Sichere
Installation eines Systemmanagementsystems) und
3.2 den laufenden Betrieb des Managementsystems (siehe M 4.92 Sicherer Betrieb eines
Systemmanagementsystems). Daneben sind natrlich die bisherigen Manahmen fr
3.3 den laufenden Betrieb des verwalteten Systems zu beachten (siehe Kapitel 4 bis 9)
Nachfolgend wird das Manahmenbndel fr den Baustein Netz- und Systemmanagement vorgestellt.
Infrastruktur:
- M 1.29 (1) Geeignete Aufstellung eines IT-Systems
Organisation:
- M 2.2 (2) Betriebsmittelverwaltung
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.143 (1) Entwicklung eines Netzmanagementkonzeptes
- M 2.144 (1) Geeignete Auswahl eines Netzmanagement-Protokolls
- M 2.168 (1) IT-System-Analyse vor Einfhrung eines Systemmanagementsystems
- M 2.169 (1) Entwickeln einer Systemmanagementstrategie
- M 2.170 (1) Anforderungen an ein Systemmanagementsystem
- M 2.171 (1) Geeignete Auswahl eines Systemmanagement-Produktes
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware / Software:
- M 4.91 (1) Sichere Installation eines Systemmanagementsystems
- M 4.92 (1) Sicherer Betrieb eines Systemmanagementsystems
Kommunikation:
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation
Notfallvorsorge:
- M 6.57 (2) Erstellen eines Notfallplans fr den Ausfall des Managementsystems

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 185
Windows 2000 Server 6.9
_________________________________________________________________________________________

6.9 Windows 2000 Server


Beschreibung
Windows 2000 ist das Nachfolgeprodukt zum
Betriebssystem Windows NT, das hufig eingesetzt wird,
um kleine, mittlere und auch groe Rechnernetze
aufzubauen. Es ist zu erwarten, dass Windows 2000 in
Zukunft die Rolle von Windows NT bernimmt, so dass
mit einer entsprechend groen Verbreitung zu rechnen
ist. Die Sicherheit eines solchen Betriebssystems spielt
eine wichtige Rolle, da Schwachstellen auf der
Betriebssystemebene die Sicherheit aller Anwendungen
beeintrchtigen knnen. Der vorliegende Baustein
beschreibt die aus Sicherheitssicht relevanten Gefhrdungen und insbesondere auch Manahmen, die
fr einen Server mit Windows 2000 zutreffen.
Windows 2000 Produkte im berblick
Die Windows 2000 Produktfamilie umfasst die Arbeitsplatz-Variante "Microsoft Windows 2000
Professional", die vergleichbar mit der Workstation Version von Microsoft Windows NT ist (siehe
dazu Baustein 5.7 Windows 2000 Client) und drei verschiedene Server-Versionen:
- Microsoft Windows 2000 Server,
- Microsoft Windows 2000 Advanced Server und
- Microsoft Windows 2000 Datacenter Server.
Die einzelnen Versionen des Microsoft Windows 2000 Server Betriebssystems unterscheiden sich
dabei hauptschlich in der Skalierbarkeit. Die untersttzte Hardware-Ausstattung liegt z. B.
- mit Microsoft Windows 2000 Server bei maximal 4 Prozessoren und 4 Gigabyte Hauptspeicher,
- mit Microsoft Windows 2000 Advanced Server bei maximal 8 Prozessoren und 8 Gigabyte
Hauptspeicher sowie
- bei maximal 32 Prozessoren und 64 Gigabyte Hauptspeicher mit Microsoft Windows 2000
Datacenter Server.
Die zugrunde liegende Architektur der Software und die verfgbaren Dienste unterscheiden sich nur in
wenigen Punkten. So untersttzen z. B. der Advanced Server und der Datacenter Server im Gegensatz
zur Windows 2000 Server Software auch Clustering-Mechanismen, mit denen mehrere physikalische
Rechner zu einem virtuellen Rechner mit erhhter Ausfallsicherheit zusammengeschaltet werden
knnen.
Hauptunterschiede zu Windows NT
Windows 2000 bietet im Vergleich zu Windows NT einige neue Sicherheitsmechanismen.
Hauptschlich ist hier das Kerberos-Protokoll zu nennen, das von Windows 2000 standardmig als
Authentisierungsverfahren benutzt wird. Das NTLM-Verfahren von Windows NT kann ebenfalls zur
Authentisierung benutzt werden, so dass ein gemeinsamer Betrieb von Windows NT und Windows
2000 Rechnern innerhalb einer Windows 2000 Domne mglich ist.
Durch die Verwendung des Kerberos-Verfahrens wird es einfacher, die Authentisierung von
Benutzern zu delegieren. Dies ist eine der Voraussetzungen fr den Betrieb groer Windows 2000
Netze, in denen sich Benutzer auch ber Domnengrenzen hinweg authentisieren knnen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 186
Windows 2000 Server 6.9
_________________________________________________________________________________________

Eine der wichtigsten neuen Komponenten unter Windows 2000 ist das Active Directory. Dabei
handelt es sich um eine verteilte Datenbank, die die Benutzer- und Konfigurationsdaten einer Domne
auf mehrere Domnen-Controller verteilt. nderungen knnen an jedem Domnen-Controller
vorgenommen werden. Die Domnen-Controller replizieren diese nderungen untereinander. Durch
die Verwendung des Active Directory werden grere Domnen mglich als bei Windows NT. Zum
einen kann die Active Directory Datenbank wesentlich mehr Eintrge fassen, als die SAM-
Benutzerdatenbank eines Windows NT Domnen-Controllers. Zum anderen lsst sich aufgrund der
verteilten Struktur des Active Directories die Last besser auf mehrere Domnen-Controller verteilen,
als dies bei Windows NT der Fall ist.
Unter Sicherheitsaspekten spielt das Active Directory eine wichtige Rolle, da es
- viele sicherheitsrelevante Daten enthlt,
- ber eigene, dem Dateisystem sehr hnliche Zugriffskontrollmechanismen verfgt, sowie
- die Basis fr das wichtigste Konfigurationswerkzeug fr Zugriffsrechte und Privilegien in
Windows 2000 bildet: die Gruppenrichtlinien.
Weitere sicherheitsspezifische Neuerungen von Windows 2000 sind
- die Dateiverschlsselung durch EFS (Encrypting File System),
- die Untersttzung von Chipkarten zur Anmeldung an Windows 2000 Benutzerkonten,
- die in Windows 2000 integrierte PKI-Funktionalitt, die eine eigene Zertifikatsausgabestelle
beinhaltet, sowie
- die Untersttzung von IPSec zur Netzverschlsselung.
Ein weiterer Punkt, in dem sich Windows NT und Windows 2000 unterscheiden, ist die
Voreinstellung der Zugriffsrechte auf das Dateisystem: Unter Windows 2000 lassen sich diese
Zugriffsrechte restriktiver konfigurieren als unter Windows NT. Eine solche restriktive Konfiguration
ist nicht zwingend erforderlich, unter Sicherheitsgesichtspunkten jedoch wnschenswert. Ihre
Verwendung kann jedoch zu Problemen mit Windows NT Applikationen fhren, die fr eine solche
Rechtekonfiguration nicht ausgelegt sind.
Gefhrdungslage
Wie jedes IT-System ist auch ein Netz von Microsoft Windows 2000 Rechnern vielfltigen Gefahren
ausgesetzt. Dabei sind neben Angriffen von auen auch Angriffe von innen mglich. Oft nutzen
erfolgreiche Angriffe Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten. Daher
kommt der korrekten Konfiguration des Systems und seiner Komponenten eine wichtige Rolle zu.
Generell gilt, dass die Gefhrdungslage einzelner Rechner immer auch vom Einsatzszenario abhngt
und diese Einzelgefhrdungen auch in die Gefhrdung des Gesamtsystems eingehen.
Fr den IT-Grundschutz eines servergesttzten Netzes unter dem Betriebssystem Microsoft Windows
2000 werden die folgenden typischen Gefhrdungen angenommen:
Hhere Gewalt
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 187
Windows 2000 Server 6.9
_________________________________________________________________________________________

- G 2.18 Ungeordnete Zustellung der Datentrger


- G 2.68 Fehlende oder unzureichende Planung des Active Directory
Menschliche Fehlhandlungen:
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.48 Fehlkonfiguration von Windows 2000 Rechnern
- G 3.49 Fehlkonfiguration des Active Directory
Technisches Versagen:
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.23 Automatische CD-ROM-Erkennung
- G 4.35 Unsichere kryptographische Algorithmen
Vorstzliche Handlungen:
- G 5.7 Abhren von Leitungen
- G 5.23 Computer-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 System
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
- G 5.83 Kompromittierung kryptographischer Schlssel
- G 5.84 Geflschte Zertifikate
- G 5.85 Integrittsverlust schtzenswerter Informationen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine" - wie in Kapitel 2.3 und 2.4 beschrieben) auszuwhlen.
Fr den erfolgreichen Aufbau eines Windows 2000 Systems sind eine Reihe von Manahmen
umzusetzen, beginnend mit der Konzeption ber die Installation bis zum Betrieb. Die Schritte, die
dabei zu durchlaufen sind, sowie die Manahmen, die in den jeweiligen Schritten beachtet werden
sollten, sind im Folgenden aufgefhrt.
1. Nach der Entscheidung, Windows 2000 als internes Betriebssystem einzusetzen, muss die
Beschaffung der Software und eventuell zustzlich bentigter Hardware erfolgen. Folgende
Manahmen sind durchzufhren:
- Zunchst muss der Aufbau bzw. die Migration eines Windows 2000 System geplant werden
(siehe Manahme M 2.227 Planung des Windows 2000 Einsatzes).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Manahme , M 2.228
Festlegen einer Windows 2000 Sicherheitsrichtlinie ), die einerseits die bereits bestehenden
Sicherheitsrichtlinien im Windows 2000-Kontext umsetzt und andererseits die fr Windows
2000 spezifischen Erweiterungen definiert.
- Die Benutzer bzw. die Administratoren haben einen wesentlichen Einfluss auf die Windows
2000 Sicherheit. Vor der tatschlichen Einfhrung von Windows 2000 mssen die Benutzer
und Administratoren daher fr den Umgang mit Windows 2000 und dessen Komponenten
geschult werden. Insbesondere fr Administratoren empfiehlt sich aufgrund der Komplexitt
in der Planung und in der Verwaltung eines Windows 2000-Systems eine intensive
Schulung. Die Administratoren sollen dabei detaillierte Systemkenntnisse erwerben (siehe
M 3.27 Schulung zur Active Directory-Verwaltung so dass eine konsistente und korrekte
Systemverwaltung gewhrleistet ist. Benutzern sollte insbesondere die Nutzung der
Windows 2000 Sicherheitsmechanismen vermittelt werden (siehe M 3.28 Schulung zu
Windows 2000 Sicherheitsmechanismen fr Benutzer). Hier spielt als neuer
Dateisystemmechanismus EFS - das verschlsselnde Dateisystem - eine Rolle, da die

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 188
Windows 2000 Server 6.9
_________________________________________________________________________________________

Sicherheit von EFS von der korrekten Konfiguration und Nutzung abhngt. Hinweise dazu
finden sich unter M 4.147 Sichere Nutzung von EFS unter Windows 2000.
2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgefhrt wurden, kann die
Installation des Windows 2000-Systems erfolgen. Dabei sind die folgenden Manahmen zu
beachten:
- Schon die Installation muss mit besonderer Sorgfalt durchgefhrt werden, da insbesondere
die Sicherheitskonfiguration whrend der Installation noch nicht erfolgt ist. In M 4.136
Sichere Installation von Windows 2000 sind die relevanten Empfehlungen zusammengefasst.
- Nach der reinen Installation muss ein Windows 2000 System konfiguriert werden. Die dabei
zu beachtenden Aspekte finden sich in M 4.137 Sichere Konfiguration von Windows 2000.
Dabei kommt u. a. auch zum tragen, fr welchen Einsatzzweck ein Windows 2000 Rechner
geplant ist, auf die jeweils relevanten Manahmen wird dort entsprechend verwiesen.
- Die sichere Konfiguration eines Windows 2000 Systems hngt nicht nur von der sicheren
Konfiguration des Betriebssystems ab, die Windows 2000 Sicherheit hngt auch wesentlich
von systemnahen Diensten ab. Die relevanten Dienste sowie Verweise auf dienstespezifische
Manahmen finden sich in M 4.140 Sichere Konfiguration wichtiger Windows 2000
Dienste.
3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter
Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
- Ein Windows 2000 System ndert sich in der Regel tglich. Dabei muss bei jeder nderung
sichergestellt werden, dass die Sicherheit auch nach der nderung nicht beeintrchtigt wird.
Die dabei zu beachtenden Aspekte sind in M 4.146 Sicherer Betrieb von Windows 2000
zusammengefasst.
- Ein Mittel im Rahmen der Aufrechterhaltung der Sicherheit eines Windows 2000 Netzes ist
die berwachung des Systems bzw. seiner Einzelkomponenten. Die hier relevanten
Manahmen finden sich in M 4.148 berwachung eines Windows 2000 Systems. Dabei
spielen auch insbesondere Datenschutzaspekte eine Rolle.
- Neben der Absicherung im laufenden Betrieb spielt jedoch auch die Notfallvorsorge eine
wichtige Rolle, da nur so der Schaden im Notfall verringert werden kann. Hinweise zur
Notfallvorsorge finden sich in M 6.76 Erstellen eines Notfallplans fr den Ausfall eines
Windows 2000 Netzes.
Nachfolgend wird nun das Manahmenbndel fr den Baustein "Windows 2000" vorgestellt.

Organisation:
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.227 (1) Planung des Windows 2000 Einsatzes
- M 2.228 (1) Festlegen einer Windows 2000 Sicherheitsrichtlinie
- M 2.229 (1) Planung des Active Directory
- M 2.230 (1) Planung der Active Directory-Administration
- M 2.231 (1) Planung der Gruppenrichtlinien unter Windows 2000
- M 2.232 (2) Planung der Windows 2000 CA-Struktur
- M 2.233 (1) Planung der Migration von Windows NT auf Windows 2000

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 189
Windows 2000 Server 6.9
_________________________________________________________________________________________

Personal:
- M 3.27 (1) Schulung zur Active Directory-Verwaltung
Hardware / Software:
- M 4.56 (3) Sicheres Lschen unter Windows-Betriebssystemen
- M 4.136 (1) Sichere Installation von Windows 2000
- M 4.137 (1) Sichere Konfiguration von Windows 2000
- M 4.138 (1) Konfiguration von Windows 2000 als Domnen-Controller
- M 4.139 (1) Konfiguration von Windows 2000 als Server
- M 4.140 (1) Sichere Konfiguration wichtiger Windows 2000 Dienste
- M 4.141 (1) Sichere Konfiguration des DDNS unter Windows 2000
- M 4.142 (2) Sichere Konfiguration des WINS unter Windows 2000
- M 4.143 (2) Sichere Konfiguration des DHCP unter Windows 2000
- M 4.144 (2) Nutzung der Windows 2000 CA
- M 4.145 (2) Sichere Konfiguration von RRAS unter Windows 2000
- M 4.146 (1) Sicherer Betrieb von Windows 2000
- M 4.147 (2) Sichere Nutzung von EFS unter Windows 2000
- M 4.148 (1) berwachung eines Windows 2000 Systems
- M 4.149 (1) Datei- und Freigabeberechtigungen unter Windows 2000
Kommunikation:
- M 5.37 (3) Einschrnken der Peer-to-Peer-Funktionalitten in einem servergesttzten Netz
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation
- M 5.89 (1) Konfiguration des sicheren Kanals unter Windows 2000
- M 5.90 (2) Einsatz von IPSec unter Windows 2000
Notfallvorsorge:
- M 6.32 (1) Regelmige Datensicherung
- M 6.43 (1) Einsatz redundanter Windows NT/2000 Server
- M 6.76 (1) Erstellen eines Notfallplans fr den Ausfall eines Windows 2000 Netzes
- M 6.77 (2) Erstellung von Rettungsdisketten fr Windows 2000
- M 6.78 (1) Datensicherung unter Windows 2000

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 190
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________

6.10 S/390- und zSeries-Mainframe


Einfhrung
Die IBM S/390- und zSeries-Systeme gehren zu den
Server-Systemen, die allgemein als Mainframes
("Grorechner") bezeichnet werden. Mainframes haben
sich von klassischen Einzelsystemen mit
Stapelverarbeitung hin zu modernen Client-/Server-
Systemen entwickelt. Sie bilden heute das obere Ende der
Palette der angebotenen Server-Systeme.
In diesem Baustein werden nur Mainframes des Typs
IBM zSeries bzw. IBM S/390 betrachtet. zSeries-
Systeme, mit dem Betriebssystem z/OS, stellen eine logische Weiterentwicklung der OS/390-
Architektur dar. Mit zSeries kommt z. B. die zustzliche 64 Bit-Untersttzung hinzu. Beide
Systemtypen existieren nebeneinander, wobei OS/390 als ein "auslaufendes" Betriebssystem
betrachtet werden kann, da IBM den Service im Herbst 2004 eingestellt hat. Aus Grnden der
bersichtlichkeit wird in diesem Zusammenhang nur der Begriff "zSeries" fr die Hardware und
"z/OS" fr das Betriebssystem verwendet.
Historie
Die im Jahr 1964 eingefhrte S/360-Architektur stellt die Basis fr alle folgenden Weiter-
entwicklungen dar und findet sich noch heute in ihren wesentlichen Teilen auf den aktuellen zSeries-
Systemen wieder. Der Namenswechsel, von "S/360" ber "S/370" und "S/390" bis zur heutigen
"zSeries", reflektiert die fortwhrende Entwicklung der zugrundeliegenden Architektur. Aufgrund
ihrer Abwrtskompatibilitt untersttzt die Architektur neben neueren 64-Bit-Applikationen auch
Programme im lteren 24- oder 31-Bit-Modus.
Trotz steigender Leistungsfhigkeit haben sich die physischen Abmessungen von Mainframe-
Systemen stark verringert. Mainframe-Systeme haben heute hnliche Abmessungen wie andere
Systeme, die typischerweise in Rechenzentren betrieben werden.
berblick
Fr zSeries-Systeme stehen Mechanismen zur Verfgung, mit denen eine hohe Verfgbarkeit und
Skalierbarkeit erreicht werden kann. Die hohe Verfgbarkeit wird dabei durch redundante Auslegung
der Komponenten erzielt. Zur Steigerung der Leistung und Verfgbarkeit knnen derzeit in einem
zSeries-System bis zu 16 Prozessoren parallel betrieben und bis zu 32 zSeries-Systeme zu einem
Cluster zusammengestellt werden. Dies wird als Parallel-Sysplex-Cluster bezeichnet.
Fr die zSeries-Hardware sind verschiedene Betriebssysteme verfgbar (z. B. z/OS, VSE, z/VM oder
TPF). Die Auswahl erfolgt in der Regel anhand der Parameter Rechnergre und Einsatzzweck. Am
hufigsten kommt jedoch das z/OS-Betriebssystem zum Einsatz. Um den Rahmen dieses Bausteins
nicht zu sprengen, beschrnken sich die Empfehlungen in diesem Baustein im Wesentlichen auf das
Betriebssystem z/OS.
Durch die Erweiterung des frher auch als "MVS" bezeichneten z/OS-Betriebssystems um das
Subsystem Unix System Services ist es mglich, parallel zu den klassischen Mainframe-Anwendungen
auch Unix-basierte Anwendungen zu betreiben. Daneben ist fr die zSeries-Hardware auch ein Linux-
Betriebssystem verfgbar.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 191
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________

Einsatzbereiche fr heutige z/OS-Systeme sind:


- klassische Stapelverarbeitung fr groe "Batch-Ketten",
- Stapelverarbeitung einschlielich der transaktionsorientierten Verarbeitung (z. B. IMS oder CICS),
- Datenbank-Server (z. B. DB2, IMS DB oder Oracle) oder
- Webserver und deren Anwendungen
Die in diesem Baustein beschriebenen Software-Komponenten beziehen sich hauptschlich auf
Produkte des Herstellers IBM. Es gibt darber hinaus viele Produkte von Drittherstellern, die hufig in
Grorechner-Umgebungen zum Einsatz kommen. Auf diese Produkte kann leider nur in
Ausnahmefllen eingegangen werden, da sonst der Rahmen des Bausteins gesprengt wrde.
Das z/OS-Betriebssystem besteht aus dem eigentlichen Betriebssystem (Kernel) mit Schnittstellen zu
den Benutzerprozessen. Verschiedene Subsysteme steuern und untersttzen die Kommunikation. Die
wichtigsten Subsysteme sind
- das Job Entry Subsystem (JES) fr den Hintergrundbetrieb (Stapelverarbeitung oder Batch
genannt),
- die Time Sharing Option (TSO) fr den Vordergrundbetrieb (interaktiv) und
- die Unix System Services (Posix-kompatibles Unix-Subsystem).
Weitere Subsysteme sind z. B.
- der Transaktionsmanager IMS und die zugehrige Datenbank fr die transaktionsorientierte
Datenverarbeitung,
- der Transaktionsmanager CICS fr die transaktionsorientierte Datenverarbeitung,
- die Datenbank DB2 fr relationale Datenbanken und
- der Communications Server (SNA, TCP/IP) fr Netzanbindungen.
Die Sicherheitsschnittstelle System Authorization Facility (SAF) ermglicht es, das System und die
Dateien vor unbefugten Zugriffen zu schtzen. Die eigentlichen Sicherheitsfunktionen werden dabei
von der Sicherheitssoftware RACF bereitgestellt. Als alternative Produkte sind an dieser Stelle auch
Top Secret und ACF2 zu nennen.
Die folgende Abbildung stellt die Zusammenhnge des Betriebssystemaufbaus stark vereinfacht dar:

Abbildung: Prinzipieller Aufbau des z/OS-Betriebssystems

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 192
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________

Eine bersicht ber die zSeries- und z/OS-Architektur und Erklrungen zu der Terminologie finden
sich in den folgenden Manahmen:
- M 3.39 Einfhrung in die zSeries-Plattform
- M 3.40 Einfhrung in das z/OS-Betriebssystem
- M 3.41 Einfhrung in Linux und z/VM fr zSeries-Systeme
Gefhrdungslage
Generell hngt die Gefhrdungslage vom Einsatzszenario ab. Ein z/OS-System mit SNA-Anschluss an
einem isolierten behrden- oder firmeninternen Netz ist z. B. in der Regel weniger gefhrdet als ein
z/OS-System, das an das Internet angeschlossen ist und dort Web-Services anbietet. Darber hinaus
spielt es eine Rolle, ob auf Daten nur lesend zugegriffen werden soll (z. B. bei einem
Auskunftssystem) oder ob die Daten bearbeitet werden knnen. Gerade durch den Einsatz von Web-
Servern oder Web-Applikationen mit Internet-Anbindung hat sich die Gefhrdungslage der frher als
"sehr sicher" geltenden Mainframe-Systeme stark erhht.
Aufgrund der ffentlichen Netzanbindung von Mainframe-Systemen ergeben sich wesentlich strkere
Gefhrdungen durch unsachgeme oder fehlerhafte Konfiguration der Systeme oder durch fehlende
oder unvollstndig etablierte Prozesse, als es frher der Fall war.
Dies gilt sowohl fr externe Anbindungen und darber mgliche Angriffe, als auch fr den internen
Bereich. Mainframe-Systeme sind heute hnlichen Gefhrdungen ausgesetzt wie Unix- oder
Windows-Systeme.
Organisatorische Mngel:
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.27 Fehlende oder unzureichende Dokumentation
- G 2.54 Vertraulichkeitsverlust durch Restinformationen
- G 2.99 Unzureichende oder fehlerhafte Konfiguration der zSeries-Systemumgebung
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.66 Fehlerhafte Zeichensatzkonvertierung beim Einsatz von z/OS
- G 3.67 Unzureichende oder fehlerhafte Konfiguration des z/OS-Betriebssystems
- G 3.68 Unzureichende oder fehlerhafte Konfiguration des z/OS-Webservers
- G 3.69 Fehlerhafte Konfiguration der Unix System Services unter z/OS
- G 3.70 Unzureichender Dateischutz des z/OS-Systems
- G 3.71 Fehlerhafte Systemzeit bei z/OS-Systemen
- G 3.72 Fehlerhafte Konfiguration des z/OS-Sicherheitssystems RACF
- G 3.73 Fehlbedienung der z/OS-Systemfunktionen
- G 3.74 Unzureichender Schutz der z/OS-Systemeinstellungen vor dynamischen
nderungen
- G 3.75 Mangelhafte Kontrolle der Batch-Jobs bei z/OS

Technisches Versagen:
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.50 berlastung des z/OS-Betriebssystems

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 193
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________

Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.21 Trojanische Pferde
- G 5.28 Verhinderung von Diensten
- G 5.57 Netzanalyse-Tools
- G 5.116 Manipulation der z/OS-Systemsteuerung
- G 5.117 Verschleiern von Manipulationen unter z/OS
- G 5.118 Unbefugtes Erlangen hherer Rechte im RACF
- G 5.119 Benutzung fremder Kennungen unter z/OS-Systemen
- G 5.120 Manipulation der Linux/zSeries Systemsteuerung
- G 5.121 Angriffe ber TCP/IP auf z/OS-Systeme
- G 5.122 Missbrauch von RACF-Attributen unter z/OS
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") gem den Ergebnissen der im Kapitel 2.3 beschriebenen Modellierung auszuwhlen.
Fr den erfolgreichen Aufbau eines z/OS-Mainframe-Systems sind eine Reihe von Manahmen
umzusetzen, beginnend mit der strategischen Entscheidung, ber Konzeption und Installation bis zum
Betrieb. Nicht vergessen werden darf dabei die ordnungsgeme Aussonderung eines Systems, wenn
das Ende der Betriebsphase erreicht wird.
Parallel zur Betriebsphase muss die Notfallvorsorge sicherstellen, dass der Betrieb auch im Notfall
aufrecht erhalten werden kann. IT-Sicherheitsmanagement und Revision stellen sicher, dass das
Regelwerk auch eingehalten wird.
Die Schritte, die dabei zu durchlaufen sind, sowie die Manahmen, die in den jeweiligen Phasen
beachtet werden sollten, sind im Folgenden aufgefhrt:
Strategie
Vor Beginn einer jeden Planung findet eine Phase der strategischen Orientierung statt, die weitgehend
auf den Anforderungen der Anwendungseigner basiert. Hier ist zu prfen, ob die z/OS-Plattform fr
die Lsung der jeweiligen Aufgabenstellung geeignet ist.
Darber hinaus kommt es auf die generelle Ausrichtung der IT-Landschaft des Rechenzentrums an.
Gibt es noch keine z/OS-Plattform im Betrieb, muss der Aufbau des notwendigen Wissens des
Betriebspersonals entsprechend vorbereitet werden. Als Hilfestellung fr die strategische Planung
dienen die Manahmen
- M 3.39 Einfhrung in die zSeries-Plattform,
- M 3.40 Einfhrung in das z/OS-Betriebssystem und
- M 3.41 Einfhrung in Linux und z/VM fr zSeries-Systeme.
Sie geben einen berblick ber die einzelnen Funktionen von Hard- und Software und untersttzen
damit das Verstndnis fr die z/OS-Plattform.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 194
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________

Konzeption
Sollte die strategische Entscheidung fr den Einsatz eines z/OS-Mainframe-Systems gefallen sein,
muss sich eine detaillierte Planung fr den Einsatz dieses Systems anschlieen. Die folgenden
Manahmen sind dabei zu bercksichtigen:
- Vor der Anschaffung und Inbetriebnahme von zSeries-Systemen mssen verschiedene planerische
Ttigkeiten durchgefhrt werden (siehe M 2.286 Planung und Einsatz von zSeries-Systeme).
- Bei hheren Ansprchen an die Verfgbarkeit oder die Skalierbarkeit empfiehlt sich der Einsatz
eines Parallel-Sysplex-Clusters (siehe M 4.221 Parallel-Sysplex unter z/OS).
- Es mssen Sicherheitsrichtlinien fr das z/OS-System und besonders auch fr das
Sicherheitssystem RACF (Resource Access Control Facility) geplant und festgelegt werden (siehe
M 2.288 Erstellung von Sicherheitsrichtlinien fr z/OS-Systeme).
- Es mssen Standards fr die z/OS-Systemdefinitionen festgelegt werden (siehe M 2.285
Festlegung von Standards fr z/OS-Systemdefinitionen).
- Es sollte ein Rollenkonzept fr die Systemverwaltung von z/OS-Systemen eingefhrt werden
(siehe M 2.295 Systemverwaltung von z/OS-Systemen).
Umsetzung
Nachdem die organisatorischen und planerischen Vorarbeiten durchgefhrt worden sind, kann die
Installation der zSeries-Hardware und des z/OS-Betriebssystems erfolgen. Dabei sind die folgenden
Manahmen zu beachten:
- Es ist eine sichere Grundkonfiguration der Autorisierungsmechanismen des z/OS-Betriebssystems
erforderlich (siehe M 4.209 Sichere Grundkonfiguration von z/OS-Systemen).
- Wesentlich fr die Absicherung der z/OS-Umgebung ist die entsprechende Konfiguration des
Sicherheitssystems (siehe M 4.211 Einsatz des z/OS-Sicherheitssystems RACF).
- Fr die Umsetzung der z/OS-Steuerung einschlielich der Fernsteuerungskonsole RSF (Remote
Support Facility) sind die Empfehlungen in Manahme M 4.207 Einsatz und Sicherung
systemnaher z/OS-Terminals zu beachten.
Betrieb
Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter
Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
- Die Bereitstellung der Funktionalitten des z/OS-Betriebssystems setzt einen sicheren Betrieb des
z/OS-Betriebssystems voraus (siehe M 4.210 Sicherer Betrieb des z/OS-Betriebssystems).
- Es mssen die Dienstprogramme abgesichert werden, die zur Untersttzung von betrieblichen
Funktionen des z/OS-Betriebssystems dienen und eine hohe Autorisierung bentigen (siehe
M 4.215 Absicherung sicherheitskritischer z/OS-Dienstprogramme).
- Die erforderlichen Wartungsaktivitten eines z/OS-Systems sind in der Manahme M 2.293
Wartung von zSeries-Systemen beschrieben.
- z/OS-Systeme oder Parallel-Sysplex-Cluster mssen im laufenden Betrieb berwacht werden
(siehe M 2.292 berwachung von z/OS-Systemen).
Aussonderung
Empfehlungen zur Deinstallation von z/OS-Systemen, etwa nach Abschluss des Regelbetriebs, finden
sich in der Manahme M 2.297 Deinstallation von z/OS-Systemen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 195
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________

Notfallvorsorge
Empfehlungen zur Notfallvorsorge finden sich in der Manahme M 6.93 Notfallvorsorge fr z/OS-
Systeme.
IT-Sicherheitsmanagement und Revision
Das IT-Sicherheitsmanagement sollte den kompletten Lebenszyklus eines z/OS-Systems begleiten.
Die folgenden Punkte sollten besonders beachtet werden:
- Bei der Vergabe und der Revision von Autorisierungen ist zu prfen, ob die entsprechenden
Mitarbeiter diese fr ihre Ttigkeit bentigen. Dies gilt besonders fr hohe Autorisierungen (siehe
Manahme M 2.289 Einsatz restriktiver z/OS-Kennungen).
- Beim Betrieb eines z/OS-Systems ist regelmig zu kontrollieren, ob die Sicherheitsvorgaben
eingehalten werden (siehe Manahme M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS).
Nachfolgend wird das Manahmenbndel fr den Baustein "S/390- und zSeries-Mainframe"
vorgestellt.
Organisation:
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.30 (1) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile
- M 2.285 (1) Festlegung von Standards fr z/OS-Systemdefinitionen (optional)
- M 2.286 (1) Planung und Einsatz von zSeries-Systemen (optional)
- M 2.287 (3) Batch-Job-Planung fr z/OS-Systeme (optional)
- M 2.288 (1) Erstellung von Sicherheitsrichtlinien fr z/OS-Systeme
- M 2.289 (1) Einsatz restriktiver z/OS-Kennungen
- M 2.290 (2) Einsatz von RACF-Exits (optional)
- M 2.291 (2) Sicherheits-Berichtswesen und -Audits unter z/OS
- M 2.292 (1) berwachung von z/OS-Systemen
- M 2.293 (1) Wartung von zSeries-Systemen
- M 2.294 (1) Synchronisierung von z/OS-Passwrtern und RACF-Kommandos (optional)
- M 2.295 (1) Systemverwaltung von z/OS-Systemen
- M 2.296 (3) Grundstzliche berlegungen zu z/OS-Transaktionsmonitoren (optional)
- M 2.297 (2) Deinstallation von z/OS-Systemen
Personal:
- M 3.39 (1) Einfhrung in die zSeries-Plattform
- M 3.40 (1) Einfhrung in das z/OS-Betriebssystem
- M 3.41 (1) Einfhrung in Linux und z/VM fr zSeries-Systeme
- M 3.42 (1) Schulung des z/OS-Bedienungspersonals
Hardware/Software:
- M 4.15 (2) Gesichertes Login
- M 4.207 (1) Einsatz und Sicherung systemnaher z/OS-Terminals
- M 4.208 (2) Absichern des Start-Vorgangs von z/OS-Systemen
- M 4.209 (1) Sichere Grundkonfiguration von z/OS-Systemen
- M 4.210 (2) Sicherer Betrieb des z/OS-Betriebssystems
- M 4.211 (1) Einsatz des z/OS-Sicherheitssystems RACF
- M 4.212 (3) Absicherung von Linux fr zSeries (optional)
- M 4.213 (1) Absichern des Login-Vorgangs unter z/OS
- M 4.214 (1) Datentrgerverwaltung unter z/OS-Systemen
- M 4.215 (1) Absicherung sicherheitskritischer z/OS-Dienstprogramme

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 196
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________

- M 4.216 (2) Festlegung der Systemgrenzen von z/OS


- M 4.217 (2) Workload Management fr z/OS-Systeme
- M 4.218 (3) Hinweise zur Zeichensatzkonvertierung bei z/OS-Systemen (optional)
- M 4.219 (1) Lizenzschlssel-Management fr z/OS-Software
- M 4.220 (2) Absicherung von Unix System Services bei z/OS-Systemen
- M 4.221 (2) Parallel-Sysplex unter z/OS
Kommunikation:
- M 5.113 (3) Einsatz des VTAM Session Management Exit unter z/OS (optional)
- M 5.114 (1) Absicherung der z/OS-Tracefunktionen
Notfallvorsorge:
- M 6.67 (2) Einsatz von Detektionsmanahmen fr Sicherheitsvorflle
- M 6.93 (1) Notfallvorsorge fr z/OS-Systeme

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 197
Datenbertragungseinrichtungen 7
_________________________________________________________________________________________

7 Datenbertragungseinrichtungen
In diesem Kapitel wird der IT-Grundschutz fr Einrichtungen zur Datenbertragung dargestellt:

7.1 Datentrgeraustausch
7.2 Modem
7.3 Sicherheitsgateway (Firewall)
7.4 E-Mail
7.5 Webserver
7.6 Remote Access
7.7 Lotus Notes
7.8 Internet Information Server
7.9 Apache Webserver
7.10 Exchange 2000 / Outlook 2000
7.11 Router und Switches

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 198
Datentrgeraustausch 7.1
_________________________________________________________________________________________

7.1 Datentrgeraustausch
Beschreibung
Betrachtet wird der Austausch von Datentrgern zur
Datenbertragung zwischen nicht vernetzten IT-
Systemen. Bercksichtigte Datentrger sind Disketten,
Wechselplatten (magnetisch, magneto-optisch), CD-
ROMs, Magnetbnder und Kassetten. Daneben wird auch
die Speicherung der Daten auf dem Sender- und
Empfnger-System, soweit es in direktem Zusammen-
hang mit dem Datentrgeraustausch steht, sowie der
Umgang mit den Datentrgern vor bzw. nach dem
Versand bercksichtigt.

Gefhrdungslage
Fr den IT-Grundschutz im Rahmen des Austausches von Datentrgern werden folgende typische
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung
- G 1.9 Datenverlust durch starke Magnetfelder
Organisatorische Mngel:
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.10 Nicht fristgerecht verfgbare Datentrger
- G 2.17 Mangelhafte Kennzeichnung der Datentrger
- G 2.18 Ungeordnete Zustellung der Datentrger
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.12 Verlust der Datentrger beim Versand
- G 3.13 bertragung falscher oder nicht gewnschter Datenstze
Technisches Versagen:
- G 4.7 Defekte Datentrger
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.23 Computer-Viren
- G 5.29 Unberechtigtes Kopieren der Datentrger
- G 5.43 Makro-Viren

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 199
Datentrgeraustausch 7.1
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Datentrgeraustausch" vorgestellt.
Infrastruktur:
- M 1.36 (2) Sichere Aufbewahrung der Datentrger vor und nach Versand (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.42 (2) Festlegung der mglichen Kommunikationspartner
- M 2.43 (1) Ausreichende Kennzeichnung der Datentrger beim Versand
- M 2.44 (1) Sichere Verpackung der Datentrger
- M 2.45 (1) Regelung des Datentrgeraustausches
- M 2.46 (2) Geeignetes Schlsselmanagement (optional)
Personal:
- M 3.14 (2) Einweisung des Personals in den geregelten Ablauf eines Datentrgeraustausches
(optional)
(optional)
Hardware/Software:
- M 4.32 (2) Physikalisches Lschen der Datentrger vor und nach Verwendung
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.34 (1) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.35 (3) Verifizieren der zu bertragenden Daten vor Versand (optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
Kommunikation:
- M 5.22 (2) Kompatibilittsprfung des Sender- und Empfngersystems (optional)
- M 5.23 (2) Auswahl einer geeigneten Versandart fr den Datentrger
Notfallvorsorge:
- M 6.38 (2) Sicherungskopie der bermittelten Daten (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 200
Modem 7.2
_________________________________________________________________________________________

7.2 Modem
Beschreibung
ber ein Modem wird eine Datenendeinrichtung, z. B.
ein PC, ber das ffentliche Telefonnetz mit anderen
Datenendeinrichtungen verbunden, um Informationen
austauschen zu knnen. Ein Modem wandelt die digitalen
Signale aus der Datenendeinrichtung in analoge
elektrische Signale um, die ber das Telefonnetz
bertragen werden knnen. Damit zwei IT-Systeme ber
Modem kommunizieren knnen, muss auf den IT-
Systemen die entsprechende Kommunikationssoftware
installiert sein.
Unterschieden werden externe, interne und PCMCIA-Modems. Ein externes Modem ist ein
eigenstndiges Gert mit eigener Stromversorgung, das blicherweise ber eine serielle Schnittstelle
mit dem IT-System verbunden wird. Als internes Modem werden Steckkarten mit Modem-
Funktionalitt, die ber keine eigene Stromversorgung verfgen, bezeichnet. Ein PCMCIA-Modem ist
eine scheckkartengroe Einsteckkarte, die ber eine PCMCIA-Schnittstelle blicherweise in Laptops
eingesetzt wird.
In diesem Kapitel wird Datenbertragung ber ISDN nicht betrachtet, dazu siehe Kapitel 8.1 TK-
Anlage.

Gefhrdungslage
In diesem Kapitel werden fr den IT-Grundschutz beim Einsatz eines Modems folgende
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
Technisches Versagen:
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.12 Abhren von Telefongesprchen und Datenbertragungen
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.23 Computer-Viren
- G 5.25 Maskerade
- G 5.39 Eindringen in Rechnersysteme ber Kommunikationskarten
- G 5.43 Makro-Viren

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 201
Modem 7.2
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Modem" vorgestellt.
Infrastruktur:
- M 1.25 (3) berspannungsschutz (optional)
- M 1.38 (1) Geeignete Aufstellung eines Modems
Organisation:
- M 2.25 (2) Dokumentation der Systemkonfiguration
- M 2.42 (2) Festlegung der mglichen Kommunikationspartner
- M 2.46 (2) Geeignetes Schlsselmanagement (optional)
- M 2.59 (1) Auswahl eines geeigneten Modems in der Beschaffung
- M 2.60 (1) Sichere Administration eines Modems
- M 2.61 (2) Regelung des Modem-Einsatzes
- M 2.204 (1) Verhinderung ungesicherter Netzzugnge
Personal:
- M 3.17 (1) Einweisung des Personals in die Modem-Benutzung
Hardware/Software:
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.34 (2) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
Kommunikation:
- M 5.30 (1) Aktivierung einer vorhandenen Callback-Option
- M 5.31 (1) Geeignete Modem-Konfiguration
- M 5.32 (1) Sicherer Einsatz von Kommunikationssoftware
- M 5.33 (1) Absicherung der per Modem durchgefhrten Fernwartung
- M 5.44 (2) Einseitiger Verbindungsaufbau (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 202
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________

7.3 Sicherheitsgateway (Firewall)


Beschreibung
Ein Sicherheitsgateway (oft auch Firewall genannt) ist
ein System aus soft- und hardwaretechnischen Kompo-
nenten um IP-Netze sicher zu koppeln. Dazu wird die
technisch mgliche auf die in einer IT-Sicherheitsleitlinie
ordnungsgem definierte Kommunikation einge-
schrnkt. Sicherheit bei der Netzkopplung bedeutet hier-
bei die ausschlieliche Zulassung erwnschter Zugriffe
oder Datenstrme zwischen verschiedenen Netzen.
Sicherheitsgateways werden am zentralen bergang
zwischen zwei unterschiedlich vertrauenswrdigen Netzen eingesetzt. Unterschiedlich
vertrauenswrdige Netze stellen dabei nicht unbedingt nur die Kombination Internet-Intranet dar.
Vielmehr knnen auch zwei organisationsinterne Netze unterschiedlich hohen Schutzbedarf besitzen,
z. B. bei der Trennung des Brokommunikationsnetzes vom Netz der Personalabteilung, in dem
besonders schutzwrdige, personenbezogene Daten bertragen werden.
Die Verwendung des Begriffs Sicherheitsgateway anstatt des blicherweise verwendeten Begriffs
"Firewall" soll verdeutlichen, dass zur Absicherung von Netzbergngen heute oft nicht mehr ein
einzelnes Gert verwendet wird, sondern eine ganze Reihe von IT-Systemen, die unterschiedliche
Aufgaben bernehmen, z. B. Paketfilterung, Schutz vor Viren oder die berwachung des Netzver-
kehrs ("Intrusion Detection").
In diesem Kapitel werden ausschlielich die fr ein Sicherheitsgateway spezifischen Gefhrdungen
und Manahmen beschrieben. Zustzlich sind noch die Gefhrdungen und Manahmen zu betrachten,
die fr das IT-System, mit dem das Sicherheitsgateway realisiert wird, spezifisch sind. Oftmals
werden Komponenten von Sicherheitsgateways auf einem Unix-System implementiert - in diesem Fall
sind zustzlich zu den im Folgenden beschriebenen Gefhrdungen und Manahmen die in Kapitel 6.2
Unix-Server beschriebenen zu beachten.
Gefhrdungslage
Fr den IT-Grundschutz eines Sicherheitsgateways werden die folgenden typischen Gefhrdungen
angenommen:
Organisatorische Mngel:
- G 2.24 Vertraulichkeitsverlust schutzbedrftiger Daten des zu schtzenden Netzes
- G 2.101 Unzureichende Notfallvorsorge bei einem Sicherheitsgateway

Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.38 Konfigurations- und Bedienungsfehler

Technisches Versagen:
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.11 Fehlende Authentisierungsmglichkeit zwischen NIS-Server und NIS-Client

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 203
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________

- G 4.12 Fehlende Authentisierungsmglichkeit zwischen X-Server und X-Client


- G 4.20 Datenverlust bei erschpftem Speichermedium
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.39 Software-Konzeptionsfehler
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.28 Verhinderung von Diensten
- G 5.39 Eindringen in Rechnersysteme ber Kommunikationskarten
- G 5.48 IP-Spoofing
- G 5.49 Missbrauch des Source-Routing
- G 5.50 Missbrauch des ICMP-Protokolls
- G 5.51 Missbrauch der Routing-Protokolle
- G 5.78 DNS-Spoofing
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Ein Sicherheitsgateway schtzt nicht vor Angriffen, die innerhalb des internen Netzes erfolgen. Um
das interne Netz gegen Angriffe von Innenttern zu schtzen, mssen auch beim Einsatz eines
Sicherheitsgateways alle erforderlichen Sicherheitsmanahmen umgesetzt sein. Wenn es sich bei dem
internen Netz beispielsweise um ein Unix- bzw. PC-Netz handelt, sind die in Kapitel 6.2 Unix-Server
bzw. Kapitel 6.1 Servergesttztes Netz beschriebenen Sicherheitsmanahmen umzusetzen.
Das Sicherheitsgateway sollte in einem separaten Serverraum aufgestellt werden. Hierbei zu
realisierende Manahmen sind in Kapitel 4.3.2 Serverraum beschrieben. Wenn kein Serverraum zur
Verfgung steht, kann das Sicherheitsgateway alternativ in einem Serverschrank aufgestellt werden
(siehe Kapitel 4.4 Schutzschrnke). Soll das Sicherheitsgateway nicht in Eigenregie, sondern von
einem Dienstleister betrieben werden, so ist der Baustein 3.10 Outsourcing anzuwenden. Insbesondere
sollten die Empfehlungen in M 5.116 Integration eines E-Mailservers in ein Sicherheitsgateway
beachtet werden.
Fr den erfolgreichen Aufbau eines Sicherheitsgateway sind eine Reihe von Manahmen umzusetzen,
beginnend mit der Konzeption ber die Beschaffung bis zum Betrieb der Komponenten. Die Schritte,
die dabei durchlaufen werden sollten, sowie die Manahmen, die in den jeweiligen Schritten beachtet
werden sollten, sind im folgenden aufgefhrt.
1. Konzept der Netzkopplung mit Hilfe eines Sicherheitsgateway (siehe M 2.70 Entwicklung eines
Konzepts fr Sicherheitsgateways):
- Festlegung der Sicherheitsziele
- Anpassung der Netzstruktur
- grundlegende Voraussetzungen
2. Policy des Sicherheitsgateways (siehe M 2.71 Festlegung einer Policy fr ein Sicherheitsgateway):
- Auswahl der Kommunikationsanforderungen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 204
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________

- Auswahl der Dienste (Vor der Diensteauswahl sollten die Erluterungen und
Randbedingungen aus M 5.39 Sicherer Einsatz der Protokolle und Dienste gelesen werden.)
- Organisatorische Regelungen
3. Beschaffung der Komponenten des Sicherheitsgateways:
- Auswahl des Grundaufbaus des Sicherheitsgateways (siehe M 2.73 Auswahl geeigneter
Grundstrukturen fr Sicherheitsgateways)
- Beschaffungskriterien (siehe M 2.74 Geeignete Auswahl eines Paketfilters und M 2.75
Geeignete Auswahl eines Application-Level-Gateways)
4. Sicherheitsrichtlinie fr das Sicherheitsgateway (siehe M 2.299 Erstellung einer Sicherheitsleitlinie
fr ein Sicherheitsgateway)
- Regelungen und Hinweise zum sicheren Betrieb und zur sicheren Administration des
Sicherheitsgateways bzw. seiner einzelnen Komponenten
5. Aufbau des Sicherheitsgateways:
- Filterregeln aufstellen und implementieren (siehe M 2.76 Auswahl und Einrichtung
geeigneter Filterregeln)
- Umsetzung der IT-Grundschutz-Manahmen fr die Komponenten des Sicherheitsgateways
(siehe Kapitel 6.2 Unix-Server)
- Umsetzung der IT-Grundschutz-Manahmen, die IT-Systeme des internen Netzes
berprfen (siehe z. B. siehe Kapitel 6.1 Servergesttztes Netz, 6.2 Unix-Server und 6.3
Peer-to-Peer-Dienste)
- Randbedingungen fr sicheren Einsatz der einzelnen Protokolle und Dienste beachten (siehe
M 5.39 Sicherer Einsatz der Protokolle und Dienste)
- Einbindung weiterer Komponenten (siehe M 2.77 Integration von Servern in das
Sicherheitsgateway)
6. Betrieb des Sicherheitsgateways: (siehe M 2.78 Sicherer Betrieb eines Sicherheitsgateways)
- Regelmige Kontrolle
- Anpassung an nderungen und Tests
- Protokollierung der Sicherheitsgateway-Aktivitten (siehe M 4.47 Protokollierung der
Sicherheitsgateway-Aktivitten)
- Notfallvorsorge fr das Sicherheitsgateway (ergnzend siehe Kapitel 3.3 Notfallvorsorge-
Konzept)
- Datensicherung (siehe Kapitel 3.4 Datensicherungskonzept)
7. Betrieb der an das Sicherheitsgateway angeschlossenen Clients
Auf Seite der Clients ist - neben den in Kapitel 5 beschriebenen Manahmen - zustzlich die
Manahme M 5.45 Sicherheit von WWW-Browsern zu beachten.
Es kann verschiedene Grnde geben, sich gegen den Einsatz eines Sicherheitsgateways zu
entscheiden. Dies knnen die Anschaffungskosten oder der Administrationsaufwand sein, aber auch
die Tatsache, dass die bestehenden Restrisiken nicht in Kauf genommen werden knnen. Falls
trotzdem ein Anschluss an das Internet gewnscht ist, kann alternativ ein Stand-alone-System
eingesetzt werden (siehe M 5.46 Einsatz von Stand-alone-Systemen zur Nutzung des Internets).

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 205
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________

Nachfolgend wird das Manahmenbndel fr den Bereich " Sicherheitsgateway" vorgestellt.


Organisation:
- M 2.70 (1) Entwicklung eines Konzepts fr Sicherheitsgateways
- M 2.71 (1) Festlegung einer Policy fr ein Sicherheitsgateway
- M 2.72 (1) Anforderungen an eine Firewall
- M 2.73 (1) Auswahl geeigneter Grundstrukturen fr Sicherheitsgateways
- M 2.74 (1) Geeignete Auswahl eines Paketfilters
- M 2.75 (1) Geeignete Auswahl eines Application-Level-Gateways
- M 2.76 (1) Auswahl und Einrichtung geeigneter Filterregeln
- M 2.77 (1) Integration von Servern in das Sicherheitsgateway
- M 2.78 (1) Sicherer Betrieb eines Sicherheitsgateways
- M 2.299 (1) Erstellung einer Sicherheitsrichtlinie fr ein Sicherheitsgateway
- M 2.300 (3) Sichere Auerbetriebnahme oder Ersatz von Komponenten eines
Sicherheitsgateways
- M 2.301 (3) Outsourcing des Sicherheitsgateway (optional)
- M 2.302 (3) Sicherheitsgateways und Hochverfgbarkeit (optional)
Personal
- M 3.43 (3) Schulung der Administratoren des Sicherheitsgateways
Hardware / Software:
- M 4.47 (1) Protokollierung der Sicherheitsgateway-Aktivitten
- M 4.93 (1) Regelmige Integrittsprfung
- M 4.100 (1) Sicherheitsgateways und aktive Inhalte
- M 4.101 (1) Sicherheitsgateways und Verschlsselung
- M 4.222 (2) Festlegung geeigneter Einstellungen von Sicherheitsproxies
- M 4.223 (2) Integration von Proxy-Servern in das Sicherheitsgateway
- M 4.224 (1) Integration von Virtual Private Networks in ein Sicherheitsgateway (optional)
- M 4.225 (3) Einsatz eines Protokollierungsservers in einem Sicherheitsgateway (optional)
- M 4.226 (3) Integration von Virenscannern in ein Sicherheitsgateway (optional)
- M 4.227 (3) Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation
Kommunikation:
- M 5.39 (1) Sicherer Einsatz der Protokolle und Dienste
- M 5.45 (2) Sicherheit von WWW-Browsern
- M 5.46 (1) Einsatz von Stand-alone-Systemen zur Nutzung des Internets
- M 5.59 (1) Schutz vor DNS-Spoofing
- M 5.70 (1) Adreumsetzung - NAT (Network Address Translation)
- M 5.71 (1) Intrusion Detection und Intrusion Response Systeme
- M 5.115 (3) Integration eines Webservers in ein Sicherheitsgateway (optional)
- M 5.116 (3) Integration eines E-Mailservers in ein Sicherheitsgateway (optional)
- M 5.117 (3) Integration eines Datenbank-Servers in ein Sicherheitsgateway (optional)
- M 5.118 (3) Integration eines DNS-Servers in ein Sicherheitsgateway (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 206
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________

- M 5.119 (1) Integration einer Web-Anwendung mit Web-, Applikations- und Datenbank-Server
in ein Sicherheitsgateway (optional)
- M 5.120 (1) Behandlung von ICMP am Sicherheitsgateway
Notfallvorsorge:
- M 6.94 (3) Notfallvorsorge bei Sicherheitsgateways

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 207
E-Mail 7.4
_________________________________________________________________________________________

7.4 E-Mail
Beschreibung
Der Dienst "Electronic Mail", kurz E-Mail, erlaubt es,
elektronische Nachrichten innerhalb krzester Zeit welt-
weit zu versenden und zu empfangen. Eine E-Mail hat im
Allgemeinen neben den Adressangaben (From/To) eine
Titel- oder Betreffzeile (Subject), einen Textkrper und
eventuell ein oder mehrere Anhnge (Attachments).
Mittels E-Mail knnen nicht nur kurze Informationen
schnell, bequem und informell weitergegeben werden,
sondern es knnen auch Geschftsvorflle zur Weiterbe-
arbeitung an andere Bearbeiter weitergeleitet werden. Ab-
hngig davon, fr welchen Einsatzzweck E-Mail eingesetzt wird, unterscheiden sich auch die Anspr-
che an Vertraulichkeit, Verfgbarkeit, Integritt und Verbindlichkeit der zu bertragenden Daten so-
wie des eingesetzten E-Mail-Programms.
Gefhrdungslage
Fr den IT-Grundschutz im Rahmen des elektronischen Dateiaustausches ber E-Mail werden
folgende typische Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
- G 2.54 Vertraulichkeitsverlust durch Restinformationen
- G 2.55 Ungeordnete E-Mail-Nutzung
- G 2.56 Mangelhafte Beschreibung von Dateien
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.13 bertragung falscher oder nicht gewnschter Datenstze
Technisches Versagen:
- G 4.13 Verlust gespeicherter Daten
- G 4.20 Datenverlust bei erschpftem Speichermedium
- G 4.32 Nichtzustellung einer Nachricht
- G 4.37 Mangelnde Authentizitt und Vertraulichkeit von E-Mail
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.26 Analyse des Nachrichtenflusses

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 208
E-Mail 7.4
_________________________________________________________________________________________

- G 5.27 Nichtanerkennung einer Nachricht


- G 5.28 Verhinderung von Diensten
- G 5.43 Makro-Viren
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
- G 5.72 Mibruchliche E-Mail-Nutzung
- G 5.73 Vortuschen eines falschen Absenders
- G 5.74 Manipulation von Alias-Dateien oder Verteilerlisten
- G 5.75 berlastung durch eingehende E-Mails
- G 5.76 Mailbomben
- G 5.77 Mitlesen von E-Mails
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.110 Web-Bugs
- G 5.111 Missbrauch aktiver Inhalte in E-Mails
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Bei der Betrachtung von E-Mailsystemen sind im Wesentlichen die folgenden Komponenten zu
untersuchen:
- Die Benutzer setzen fr den Versand, den Empfang und die Bearbeitung von E-Mails
Mailprogramme ein.
- Die Benutzer-Mailprogramme bergeben und erhalten die E-Mail an bzw. von einem Mailserver.
Zu diesem Zweck fhrt der Mailserver fr jeden Benutzer eine Mailbox. Fr den weiteren
Nachrichtentransport kommuniziert der Mailserver mit Gateways, die die Nachrichten an andere
Mailsysteme senden.
Dies erfordert bei der Umsetzung von Sicherheitsmanahmen fr den Informationsaustausch per
E-Mail, dass zunchst eine bergreifende Sicherheitsrichtlinie erarbeitet wird (siehe M 2.118 Konzep-
tion der sicheren E-Mail-Nutzung).
Der Betrieb von E-Mailsystemen erfordert neben der Umsetzung von Sicherheitsmanahmen am
Mailserver auch Sicherheitsmanahmen an den eingesetzten Clients. Von besonderer Bedeutung sind
jedoch die von den Benutzern einzuhaltenden Sicherheitsvorkehrungen und Anweisungen.
Werden als E-Mail-Programme Lotus Notes oder Microsoft Exchange eingesetzt, so sind zustzlich zu
den hier beschriebenen Manahmen die in den Kapiteln 7.7 Lotus Notes und 7.10 Exchange 2000 /
Outlook 2000 vorgestellten systemspezifischen Manahmen umzusetzen. Fr andere E-Mail-
Programme sind analoge Sicherheitsmanahmen zu ergreifen.
Nachfolgend wird das Manahmenbndel fr den Bereich "E-Mail" vorgestellt.
Organisation:
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.42 (2) Festlegung der mglichen Kommunikationspartner
- M 2.46 (2) Geeignetes Schlsselmanagement (optional)
- M 2.118 (1) Konzeption der sicheren E-Mail-Nutzung
- M 2.119 (1) Regelung fr den Einsatz von E-Mail
- M 2.120 (1) Einrichtung einer Poststelle
- M 2.121 (2) Regelmiges Lschen von E-Mails
- M 2.122 (2) Einheitliche E-Mail-Adressen
- M 2.123 (2) Auswahl eines Mailproviders
- M 2.274 (1) Vertretungsregelungen bei E-Mail-Nutzung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 209
E-Mail 7.4
_________________________________________________________________________________________

- M 2.275 (3) Einrichtung funktionsbezogener E-Mailadressen (optional)


Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware/Software:
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.34 (2) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.64 (1) Verifizieren der zu bertragenden Daten vor Weitergabe / Beseitigung von
Restinformationen
- M 4.65 (2) Test neuer Hard- und Software
- M 4.199 (1) Vermeidung gefhrlicher Dateiformate
Kommunikation:
- M 5.22 (2) Kompatibilittsprfung des Sender- und Empfngersystems (optional)
- M 5.32 (1) Sicherer Einsatz von Kommunikationssoftware
- M 5.53 (2) Schutz vor Mailbomben
- M 5.54 (2) Schutz vor Mailberlastung und Spam
- M 5.55 (2) Kontrolle von Alias-Dateien und Verteilerlisten
- M 5.56 (1) Sicherer Betrieb eines Mailservers
- M 5.57 (1) Sichere Konfiguration der Mail-Clients
- M 5.63 (2) Einsatz von GnuPG oder PGP (optional)
- M 5.67 (3) Verwendung eines Zeitstempel-Dienstes (optional)
- M 5.108 (3) Kryptographische Absicherung von E-Mail (optional)
- M 5.109 (2) Einsatz eines E-Mail-Scanners auf dem Mailserver (optional)
- M 5.110 (3) Absicherung von E-Mail mit SPHINX (S/MIME) (optional)
Notfallvorsorge:
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.38 (2) Sicherungskopie der bermittelten Daten (optional)
- M 6.90 (3) Datensicherung und Archivierung von E-Mails

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 210
Webserver 7.5
_________________________________________________________________________________________

7.5 Webserver
Beschreibung
Das World Wide Web (WWW) ist eines der zentralen
Medien der heutigen Informationsgesellschaft. Die In-
formationsangebote im WWW werden von Servern be-
reitgestellt, die Daten, meist Dokumente in Form von
HTML-Seiten, an entsprechende Clientprogramme aus-
liefern. Dies erfolgt typischerweise ber die Protokolle
HTTP (Hypertext Transfer Protocol) oder HTTPS (HTTP
ber SSL bzw. TLS, d. h. HTTP geschtzt durch eine
verschlsselte Verbindung). Neben dem Einsatz im Inter-
net werden Webserver auch in zunehmendem Mae fr interne Informationen und Anwendungen in
Firmennetzen (Intranet) eingesetzt. Ein Grund dafr ist, dass sie eine einfache und standardisierte
Schnittstelle zwischen Server-Anwendungen und Benutzern bieten und entsprechende Client-Software
(Webbrowser) fr praktisch jede Betriebssystemumgebung kostenlos verfgbar ist.
Die Bezeichnung Webserver (oder auch WWW-Server) wird meist sowohl fr das Programm benutzt,
welches die HTTP-Anfragen beantwortet, als auch fr den Rechner, auf dem dieses Programm luft.
Bei Webservern sind verschiedene Sicherheitsaspekte zu beachten.
Da ein Webserver ein ffentlich zugngliches System darstellt, sind eine sorgfltige Planung vor dem
Aufbau eines Webservers und die sichere Installation und Konfiguration des Systems und seiner Netz-
umgebung von groer Bedeutung. Das Thema Sicherheit umfasst bei Webservern auch deswegen eine
relativ groe Anzahl von Gebieten, weil auf einem Webserver meist neben der reinen Webserver-An-
wendung noch weitere Serveranwendungen vorhanden sind, die zum Betrieb des Webservers erfor-
derlich sind und deren sicherer Betrieb ebenfalls gewhrleistet sein muss. Beispielsweise werden die
Daten meist ber das Netz (etwa per ftp oder scp) auf den Server bertragen oder es wird Zugriff auf
eine Datenbank bentigt.
Einige der relevanten Aspekte sollen an dieser Stelle kurz erlutert werden.
Planung des Webauftritts
Ein wichtiger Aspekt der Sicherheit eines Webservers ist bereits relevant, bevor dieser berhaupt
existiert: Planung und Organisation des Webangebots. Nur dann, wenn geklrt ist, welche Ziele mit
dem Webangebot erreicht werden sollen (handelt es sich um ein reines Informationsangebot, um ein
E-Commerce- oder ein E-Government-Angebot?) und welche Inhalte oder Anwendungen zu diesem
Zweck angeboten werden, kann durch entsprechende Manahmen dafr gesorgt werden, dass Sicher-
heitsprobleme so weit wie mglich vermieden werden.
Der Aspekt der Sicherheit muss bereits sehr frh in der Planungsphase bercksichtigt werden, um die
entstehende Architektur entsprechend sicher auslegen zu knnen.
Organisation
Bei der Betreuung eines Webangebots sind oft mehrere Organisationseinheiten beteiligt, hufig wer-
den die technische und die inhaltliche Betreuung von verschiedenen Stellen bernommen. Manchmal
wird der Server gar nicht mehr in der Organisation selbst betrieben, sondern bei einem externen
Dienstleister untergebracht. Fr das mglichst reibungslose Funktionieren des Webangebots mssen
daher entsprechende organisatorische Rahmenbedingungen geschaffen werden. Idealerweise sollte
eine Redaktion fr das Webangebot eingerichtet werden (siehe M 2.272 Einrichtung eines WWW-
Redaktionsteams).

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 211
Webserver 7.5
_________________________________________________________________________________________

Auch bei der Festlegung der organisatorischen Rahmenbedingungen eines Webangebots sollte das
Thema Sicherheit eine Rolle spielen. Davon hngt insbesondere eine schnelle und effektive Reaktion
auf Probleme ab.
Sicherheit von Datenbertragung und Authentisierungsmechanismen
Generell wird ein Webserver von auen ber die HTTP-Schnittstelle angesprochen. Abhngig davon,
welches Ziel das Webangebot hat und welche Inhalte und Anwendungen angeboten werden, sind die
folgenden Fragen von Bedeutung:
- Muss die Integritt der Daten bei der bertragung vom Webserver zum Client geschtzt
werden?
- Muss die Vertraulichkeit der Daten bei der bertragung vom Webserver zum Client gewhr-
leistet werden?
- Ist eine Authentisierung des Webservers dem Client gegenber erforderlich?
- Ist eine Authentisierung der Clients gegenber dem Webserver erforderlich?
Bei einem reinen Informationsangebot, das ffentlich zugnglich sein soll, werden alle diese Fragen
normalerweise verneint werden knnen. Handelt es sich jedoch um ein E-Commerce- oder
E-Government-Angebot, so werden sicherlich mehrere Fragen bejaht.
Im Wesentlichen betreffen diese Fragen nur Eigenschaften der verwendeten bertragungsprotokolle
HTTP oder HTTPS. Spezifisch fr den einzelnen Webserver ist dabei nur, inwieweit der Webserver
diese Protokolle untersttzt. Diese Punkte knnen daher als Kriterien fr die Auswahl eines Webser-
ver-Produktes herangezogen werden.
Sicherheit der Inhalte und Anwendungen auf dem Webserver
Um die Inhalte und Anwendungen auf dem Server vor unbefugtem Zugriff oder Vernderung zu
schtzen, ist es wichtig, die Rechte der verschiedenen beteiligten Benutzer klar festzulegen. Die orga-
nisatorische und technische Realisierung der Trennung zwischen verschiedenen Benutzern, die even-
tuell Inhalte auf dem Server einstellen bzw. pflegen drfen, oder gar zwischen verschiedenen Weban-
geboten, die gemeinsam auf einem Server beheimatet sind, ist ein wichtiger Aspekt der Sicherheit
eines Webangebots.
Technische Sicherheit des Servers
Die Kompromittierung eines Webservers kann erhebliche finanzielle Verluste oder Imageschden
nach sich ziehen. Da es in der Regel keine oder nur wenige (vertrauenswrdige) Anwender auf einem
Web-Server gibt, werden die meisten Angriffe nicht lokal, sondern ber das Netz ausgefhrt. Daher
spielt der Schutz des Webservers gegen Angriffe ber das Netz (also z. B. ber das Internet, aber auch
aus dem Intranet heraus) eine sehr wichtige Rolle. Neben Angriffen auf die Webserver-Anwendung
sind auch Angriffe auf Schwachstellen des verwendeten Betriebssystems oder anderer Programme
mglich, beispielsweise auf eine nicht ausreichend gesicherte Datenbankanbindung, auf einen eventu-
ell vorhandenen ftp-Zugang oder auf per NFS oder SMB freigegebene Verzeichnisse. Oft wird zur
Realisierung eines Webangebots auch der Zugriff auf weitere IT-Systeme, etwa einen Datenbankser-
ver, bentigt. Da immer mehr Webangebote nicht mehr ausschlielich aus statischen HTML-Seiten
bestehen, sondern beispielsweise ber entsprechende Anwendungen Zugriff auf Datenbanken bieten,
spielt auerdem die Sicherheit dieser Programme eine zunehmende Rolle.
Gefhrdungslage
Fr den IT-Grundschutz werden pauschal die folgenden Gefhrdungen als typisch im Zusammenhang
mit einem Webserver und der Nutzung des WWW angenommen:

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 212
Webserver 7.5
_________________________________________________________________________________________

Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.28 Verste gegen das Urheberrecht
- G 2.32 Unzureichende Leitungskapazitten
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.96 Veraltete oder falsche Informationen in einem Webangebot
- G 2.100 Fehler bei der Beantragung und Verwaltung von Internet-Domainnamen
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.37 Unproduktive Suchzeiten
- G 3.38 Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.39 Software-Konzeptionsfehler
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.28 Verhinderung von Diensten
- G 5.43 Makro-Viren
- G 5.48 IP-Spoofing
- G 5.78 DNS-Spoofing
- G 5.87 Web-Spoofing
- G 5.88 Missbrauch aktiver Inhalte
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
In diesem Kapitel werden die fr einen Webserver spezifischen Gefhrdungen und Manahmen be-
schrieben. Darber hinaus muss fr die Sicherheit des organisationseigenen Netzes Baustein 6.1
Servergesttztes Netz umgesetzt werden, sowie je nach dem eingesetzten Betriebssystem beispiels-
weise die Bausteine 6.2 Unix-Server oder 6.9 Windows 2000 Server. Falls das Webangebot Inhalte
enthlt, die von einer Webanwendung dynamisch aus einer Datenbank erzeugt werden, ist auch der
Baustein 9.2 Datenbanken zu bercksichtigen. Insbesondere dann, wenn der Webserver aus dem Inter-
net heraus angesprochen werden kann, sollte auch Baustein 3.8 Behandlung von Sicherheitsvorfllen
beachtet werden.
Fr die sichere Anbindung eines Webservers an ffentliche Netze (z. B. das Internet) ist Baustein 7.3
Firewall zu betrachten, ebenso wie fr den Zusammenschluss mehrerer Intranets zu einem bergrei-
fenden Intranet. Die kontrollierte Anbindung externer Anschlusspunkte (z. B. von Telearbeitspltzen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 213
Webserver 7.5
_________________________________________________________________________________________

via ISDN) wird im Baustein 9.3 Telearbeit behandelt. Ein Webserver sollte in einem separaten Server-
raum aufgestellt werden. Hierbei zu realisierende Manahmen sind in Baustein 4.3.2 Serverraum
beschrieben. Wenn kein Serverraum zur Verfgung steht, kann der Webserver alternativ in einem
Serverschrank aufgestellt werden (vgl. Baustein 4.4 Schutzschrnke). Wird der Webserver nicht bei
der Organisation selbst, sondern bei einem externen Dienstleister betrieben, so muss Baustein 3.10
Outsourcing betrachtet werden.
Fr den erfolgreichen und sicheren Aufbau eines Webservers sind eine Reihe von Manahmen umzu-
setzen. Die Schritte, die dabei durchlaufen werden sollten, sowie die Manahmen, die in den jeweili-
gen Schritten beachtet werden sollten, sind im folgenden aufgefhrt.
1. Planung des Einsatzes (siehe M 2.172 Entwicklung eines Konzeptes fr die WWW-Nutzung) und
Festlegung einer WWW-Sicherheitsstrategie (siehe M 2.173 Festlegung einer WWW-Sicherheits-
strategie):
- Festlegung des Einsatzzwecks des Webservers
- Festlegung der Sicherheitsziele
- Gegebenenfalls Auswahl geeigneter Authentisierungsmechanismen
- Anpassung der Netzstruktur
- Organisatorische Regelungen
2. Einrichtung des Webservers (siehe M 2.175 Aufbau eines WWW-Servers):
- Umsetzung der IT-Grundschutz-Manahmen fr den Serverrechner (siehe z. B. Baustein 6.2
fr Webserver auf Unix-Basis) oder Umsetzung der Manahmen des Bausteins 3.10
Outsourcing, falls der Betrieb des Webservers von einem externen Dienstleister
bernommen wird.
- Gegebenenfalls Nutzung sicherer Kommunikationsverbindungen (siehe M 5.66 Verwendung
von SSL beziehungsweise M 5.64 Secure Shell)
- Vermeidung von Java, ActiveX und anderen aktiven Inhalten im eigenen Webangebot (siehe
auch M 5.69 Schutz vor aktiven Inhalten)
3. Betrieb des Webservers (siehe M 2.174 Sicherer Betrieb eines WWW-Servers):
- regelmige Kontrolle
- Anpassung an nderungen und Tests
- Zugriffsschutz auf WWW-Dateien (M 4.94 Schutz der WWW-Dateien)
- Protokollierung am Webserver
- Notfallvorsorge fr den Webserver (siehe M 6.88 Erstellen eines Notfallplans fr den
Webserver und ergnzend auch Baustein 3.3 Notfallvorsorge-Konzept)
- Datensicherung (siehe Baustein 3.4 Datensicherungskonzept)
4. Sicherer Betrieb von WWW-Clients
Obwohl der sichere Betrieb von WWW-Clients (Arbeitsplatzrechner) nicht direkt zum Thema
Webserver gehrt, sollen an dieser Stelle einige Hinweise zur Sicherheit von Webbrowsern gege-
ben werden. Fr jeden (Client-) Rechner, der mit dem Internet verbunden wird, mssen die ent-
sprechenden Manahmen aus Kapitel 5 umgesetzt werden. Fr den sicheren Zugriff auf das WWW
sind auerdem folgende Manahmen zu beachten:
- Sichere Konfiguration und Nutzung der WWW-Client Software (Webbrowser) (siehe
M 5.45 Sicherheit von WWW-Browsern)
- Schutz vor Viren, Makro-Viren, aktiven Inhalten (siehe M 4.33 Einsatz eines Viren-Suchpro-
gramms bei Datentrgeraustausch und Datenbertragung, M 5.69 Schutz vor aktiven
Inhalten)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 214
Webserver 7.5
_________________________________________________________________________________________

- Soweit mglich, sollten sichere Kommunikationsverbindungen genutzt werden (siehe


M 5.66 Verwendung von SSL).
Nachfolgend wird das Manahmenbndel fr den Bereich "WWW-Server" vorgestellt. Auf eine Wie-
derholung von Manahmen anderer Kapitel wird hier aus Redundanzgrnden verzichtet.
Organisation:
- M 2.35 (1) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.172 (1) Entwicklung eines Konzeptes fr die WWW-Nutzung
- M 2.173 (1) Festlegung einer WWW-Sicherheitsstrategie
- M 2.174 (1) Sicherer Betrieb eines WWW-Servers
- M 2.175 (2) Aufbau eines WWW-Servers
- M 2.176 (2) Geeignete Auswahl eines Internet Service Providers
- M 2.271 (1) Festlegung einer Sicherheitsstrategie fr den WWW-Zugang
- M 2.272 (3) Einrichtung eines WWW-Redaktionsteams (optional)
- M 2.273 (1) Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates
- M 2.298 (z) Verwaltung von Internet-Domainnamen,
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware/Software:
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.34 (2) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.64 (1) Verifizieren der zu bertragenden Daten vor Weitergabe / Beseitigung von
Restinformationen
- M 4.65 (2) Test neuer Hard- und Software
- M 4.78 (1) Sorgfltige Durchfhrung von Konfigurationsnderungen
- M 4.93 (1) Regelmige Integrittsprfung
- M 4.94 (1) Schutz der WWW-Dateien
- M 4.95 (1) Minimales Betriebssystem
- M 4.96 (2) Abschaltung von DNS
- M 4.97 (2) Ein Dienst pro Server
- M 4.98 (1) Kommunikation durch Paketfilter auf Minimum beschrnken
- M 4.99 (2) Schutz gegen nachtrgliche Vernderungen von Informationen
- M 4.177 (2) Sicherstellung der Integritt und Authentizitt von Softwarepaketen
Kommunikation:
- M 5.45 (2) Sicherheit von WWW-Browsern
- M 5.59 (1) Schutz vor DNS-Spoofing
- M 5.64 (2) Secure Shell (optional)
- M 5.66 (2) Verwendung von SSL (optional)
- M 5.69 (1) Schutz vor aktiven Inhalten
Notfallvorsorge:
- M 6.88 (2) Erstellen eines Notfallplans fr den Webserver

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 215
Remote Access 7.6
_________________________________________________________________________________________

7.6 Remote Access


Beschreibung
Durch entfernte Zugriffe (Remote Access) wird es einem
Benutzer ermglicht, sich mit einem lokalen Rechner an
ein entferntes Rechnernetz zu verbinden und dessen
Ressourcen zu nutzen, als ob eine direkte LAN-
Koppelung bestehen wrde. Die dafr benutzten Dienste
werden Remote Access Service (RAS) genannt. Durch
RAS wird entfernten Benutzern der Zugriff auf die
Ressourcen des Netzes gewhrt.

Generell lassen sich fr den Einsatz von RAS im Wesentlichen folgende Szenarien unterscheiden:
- das Anbinden einzelner stationrer Arbeitsplatzrechner (z. B. fr Telearbeit einzelner Mitarbeiter),
- das Anbinden mobiler Rechner (z. B. zur Untersttzung von Mitarbeitern im Auendienst oder auf
Dienstreise),
- das Anbinden von ganzen LANs (z. B. zur Anbindung von lokalen Netzen von Auenstellen oder
Filialen),
- der Managementzugriff auf entfernte Rechner (z. B. zur Fernwartung).
Fr diese Szenarien bietet RAS eine einfache Lsung: der entfernte Benutzer verbindet sich z. B. ber
das Telefonnetz mit Hilfe eines Modems mit dem Firmennetz. Diese Direktverbindung kann solange
wie ntig bestehen bleiben und als Standleitung angesehen werden, die nur bei Bedarf geschaltet wird.

Abbildung: Entfernter Zugriff auf Ressourcen


Damit eine RAS Verbindung aufgebaut werden kann, werden in der Regel drei Komponenten
bentigt:
1. ein Rechner mit RAS-Software im Firmennetz, der bereit ist, RAS-Verbindungen
entgegenzunehmen - der so genannte RAS-Server oder Zugangs-Server (engl. Access-Server),
2. ein entfernter Rechner mit RAS-Software, der die RAS-Verbindung initiiert - der so genannte
RAS-Client - und
3. das Kommunikationsmedium, ber das die RAS-Verbindung aufgebaut wird. In den meisten
Szenarien nutzt der RAS-Client ein Telekommunikationsnetz zur Verbindungsaufnahme. Es wird

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 216
Remote Access 7.6
_________________________________________________________________________________________

daher mindestens ein Telefonanschluss und ein entsprechendes Modem bentigt. Je nach RAS-
Architektur kommen serverseitig unterschiedliche Anbindungstechniken zum Einsatz.
Der RAS-Dienst ist als Client-Server-Architektur realisiert: Der RAS-Client kann so konfiguriert
werden, dass er die RAS-Verbindung automatisch aufbaut, wenn Ressourcen des Firmennetzes
bentigt werden. Dies geschieht dadurch, dass er die Telefonnummer des Rechners anwhlt, auf dem
die RAS-Server-Software installiert ist. Alternativ kann die RAS-Verbindung auch "von Hand" vom
Benutzer initiiert werden. Einige Betriebssysteme erlauben auch das Aktivieren des RAS-Dienstes
schon bei der Systemanmeldung, beispielsweise Windows NT.
Fr die Verbindungsaufnahme zum entfernten LAN kommen im Wesentlichen zwei Verfahren zum
Einsatz (siehe Manahme M 2.185 Auswahl einer geeigneten RAS-Systemarchitektur):
1. das direkte Anwhlen des Zugangsservers, der in diesem Fall Teil des entfernten LANs ist,
2. das Anwhlen eines Zugangsservers eines Internetdienstanbieters (Internet Service Provider - ISP)
und Zugang zum entfernten LAN ber das Internet.
Unter dem Gesichtspunkt der Sicherheit sind fr RAS-Zugnge folgende Sicherheitsziele zu
unterscheiden:
1. Zugangssicherheit: Der entfernte Benutzer muss durch das RAS-System eindeutig zu identifizieren
sein. Die Identitt des Benutzers muss durch einen Authentisierungsmechanismus bei jedem
Verbindungsaufbau zum lokalen Netz sichergestellt werden. Im Rahmen des Systemzugangs
mssen weitere Kontrollmechanismen angewandt werden, um den Systemzugang fr entfernte
Benutzer reglementieren zu knnen (z. B. zeitliche Beschrnkungen oder Einschrnkung auf
erlaubte entfernte Verbindungspunkte).
2. Zugriffskontrolle: Ist der entfernte Benutzer authentisiert, so muss das System in der Lage sein, die
entfernten Zugriffe des Benutzers auch zu kontrollieren. Dazu mssen die Berechtigungen und
Einschrnkungen, die fr lokale Netzressourcen durch befugte Administratoren festgelegt wurden,
auch fr den entfernten Benutzer durchgesetzt werden.
3. Kommunikationssicherheit: Bei einem entfernten Zugriff auf lokale Ressourcen sollen im
Allgemeinen auch ber die aufgebaute RAS-Verbindung Nutzdaten bertragen werden. Generell
sollen auch fr Daten, die ber RAS-Verbindungen bertragen werden, die im lokalen Netz
geltenden Sicherheitsanforderungen bezglich Kommunikationsabsicherung (Vertraulichkeit,
Integritt, Authentizitt) durchsetzbar sein. Der Absicherung der RAS-Kommunikation kommt
jedoch eine besondere Bedeutung zu, da zur Abwicklung der Kommunikation verschiedene
Kommunikationsmedien in Frage kommen, die in der Regel nicht dem Hoheitsbereich des
Betreibers des lokalen Netzes zuzurechnen sind.
4. Verfgbarkeit: Wird der RAS-Zugang im produktiven Betrieb genutzt, so ist die Verfgbarkeit des
RAS-Zugangs von besonderer Bedeutung. Der reibungslose Ablauf von Geschftsprozessen kann
bei Totalausfall des RAS-Zugangs oder bei Verbindungen mit nicht ausreichender Bandbreite unter
Umstnden beeintrchtigt werden. Durch die Nutzung von alternativen oder redundanten RAS-
Zugngen kann diese Gefahr bis zu einem gewissen Grad verringert werden. Dies gilt insbesondere
fr RAS-Zugnge, die das Internet als Kommunikationsmedium nutzen, da hier in der Regel keine
Verbindungs- oder Bandbreitengarantien gegeben werden.
Gefhrdungslage
Durch die Client-Server-Architektur von RAS-Systemen ergeben sich fr RAS-Client und RAS-
Server jeweils spezifische Gefahren durch die Art des Einsatzumfeldes und die Nutzungsweise.
- RAS-Clients knnen stationr (heimischer PC), aber auch mobil (Laptop) verwendet werden. In der
Regel unterliegt der Client-Standort jedoch nicht der Kontrolle des LAN-Betreibers, so dass

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 217
Remote Access 7.6
_________________________________________________________________________________________

insbesondere fr den mobilen Einsatz von einem unsicheren Umfeld mit spezifischen
Gefhrdungen ausgegangen werden muss. Hier mssen insbesondere auch physische Gefahren
(Diebstahl, Beschdigung, usw.) in Betracht gezogen werden. Hierzu knnen auch die Kapitel 4.5
Huslicher Arbeitsplatz, Kapitel 5.3 Tragbarer PC und Kapitel 9.3 Telearbeit betrachtet werden.
RAS-Server sind in der Regel Teil des LANs, mit dem sich entfernte Benutzer verbinden wollen.
Sie sind im Hoheits- und Kontrollbereich des LAN-Betreibers angesiedelt und knnen damit durch
die lokal geltenden Sicherheitsvorschriften erfasst werden. Da die Hauptaufgabe des RAS-Servers
darin besteht, nur berechtigten Benutzern den Zugriff auf das angeschlossene LAN zu gewhren,
sind die Gefahren fr RAS-Server eher im Bereich von Angriffen zu sehen, die den unberechtigten
Zugang zum LAN zum Ziel haben.
Von einer vollstndig getrennten Betrachtung der Client- und Server-seitigen Gefhrdungen soll an
dieser Stelle abgesehen werden, da sich z. B. durch die Gefahr der Kompromittierung eines RAS-
Clients automatisch eine Gefhrdung fr den RAS-Server ergibt. Ferner ist zu bedenken, dass sich
z. B. im Windows-Umfeld jeder RAS-Client auch als RAS-Server betreiben lsst, so dass sich hier die
Gefhrdungen kumulieren.
Fr den IT-Grundschutz eines RAS-Systems werden die folgenden typischen Gefhrdungen
angenommen:
Hhere Gewalt
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.10 Ausfall eines Weitverkehrsnetzes
Organisatorische Mngel:
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.44 Inkompatible aktive und passive Netzkomponenten
- G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter
- G 2.64 Fehlende Regelungen fr das RAS-System
Menschliche Fehlhandlungen:
- G 3.30 Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners
- G 3.39 Fehlerhafte Administration des RAS-Systems
- G 3.40 Ungeeignete Nutzung von Authentisierungsdiensten bei Remote Access
- G 3.41 Fehlverhalten bei der Nutzung von RAS-Diensten
- G 3.42 Unsichere Konfiguration der RAS-Clients
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
Technisches Versagen:
- G 4.35 Unsichere kryptographische Algorithmen
- G 4.40 Ungeeignete Ausrstung der Betriebsumgebung des RAS-Clients
Vorstzliche Handlungen:
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.39 Eindringen in Rechnersysteme ber Kommunikationskarten
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
- G 5.83 Kompromittierung kryptographischer Schlssel

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 218
Remote Access 7.6
_________________________________________________________________________________________

- G 5.91 Abschalten von Sicherheitsmechanismen fr den RAS-Zugang


- G 5.92 Nutzung des RAS-Clients als RAS-Server
- G 5.93 Erlauben von Fremdnutzung von RAS-Komponenten
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Ein RAS-System besteht aus mehreren Komponenten, die zunchst als Einzelkomponenten
abgesichert werden sollten. Jenseits der RAS-Funktionalitt sind diese als normale IT-Systeme oder
Netzkoppelelemente anzusehen und sollten gem der Manahmenvorschlge aus den entsprechenden
Bausteinen abgesichert werden. RAS-Server sind Rechner, die sich blicherweise im Hoheitsgebiet
eines Unternehmens oder einer Behrde befinden, und nehmen die wichtige Aufgabe wahr, den
Zugriff auf das interne Netz zu kontrollieren. Die RAS-Funktionalitt ist in der Regel auf einem
Betriebssystem aufgesetzt, das in den meisten Fllen weitere Dienste anbietet. Daher hngt die
Sicherheit des RAS-Zuganges auch davon ab, dass auch auf Betriebssystem- und Dienstebene keine
Sicherheitslcken existieren.
Zustzlich zu der Absicherung der RAS-Systemkomponenten muss jedoch auch ein RAS-
Sicherheitskonzept erstellt werden, das sich in das bestehende Sicherheitskonzept eingliedert: das
RAS-System muss einerseits bestehende Sicherheitsforderungen umsetzen und erfordert andererseits
das Aufstellen neuer, RAS-spezifischer Sicherheitsregeln.
Ein RAS-System wird in der Regel im Umfeld anderer Systeme eingesetzt, die dazu dienen, den
Zugriff auf das interne Netz von auen zu kontrollieren. Hier sind z. B. Firewall-Systeme oder
Systeme zur Fernwartung zu nennen, mit denen ein RAS-System im Verbund zusammenarbeiten
muss. Aus diesem Grund sind bei der Durchfhrung der RAS-spezifischen Manahmen auch die
Manahmen aus den jeweiligen Bausteinen der betroffenen Systeme zu bercksichtigen. Zu nennen
sind u. a. die Bausteine:
- 4.5 Huslicher Arbeitsplatz
- 7.3 Firewall
- 8.1 TK-Anlage
- 9.3 Telearbeit
Fr den sicheren Aufbau eines RAS-Zuganges sind eine Reihe von Manahmen umzusetzen,
beginnend mit der Konzeption ber die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu
durchlaufen sind, sowie die Manahmen, die in den jeweiligen Schritten beachtet werden sollten, sind
im Folgenden aufgefhrt.
1. Begonnen wird mit dem Erstellen eines RAS-Konzeptes, das auf den
Sicherheitsanforderungen fr die bereits vorhandenen IT-Systeme sowie den Anforderungen
aus den geplanten Einsatzszenarien fr Remote Access beruht.
1.1 Um das Konzept individuell zuschneiden zu knnen, mssen zunchst die Anforderungen
festgestellt werden. Dazu ist eine Anforderungsanalyse (siehe M 2.183 Durchfhrung einer
RAS-Anforderungsanalyse) durchzufhren.
1.2 Aufgrund der festgestellten Anforderungen kann dann die Definition eines RAS-Konzeptes
(siehe M 2.184 Entwicklung eines RAS-Konzeptes) erfolgen.
1.3 Zur Umsetzung des Konzeptes ist eine RAS-Systemarchitektur zu definieren (siehe M 2.185
Auswahl einer geeigneten RAS-Systemarchitektur), die auf die Anforderungen des RAS-
Einsatzes und das umzusetzende Konzept abgestimmt ist.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 219
Remote Access 7.6
_________________________________________________________________________________________

2. Die Beschaffung des RAS-Systems erfordert, die aus dem RAS-Konzept resultierenden
Anforderungen an das RAS-Produkt zu formulieren und basierend darauf die Auswahl eines
geeigneten RAS-Produktes zu treffen (s. M 2.186 Geeignete Auswahl eines RAS-Produktes).
3. Die sicherheitsrelevanten Manahmen fr die Umsetzung des RAS-Konzepts untergliedern
sich in die Bereiche:
3.1 Definition der Sicherheitsrichtlinie fr den RAS-Einsatz (siehe M 2.187 Festlegen einer
RAS-Sicherheitsrichtlinie),
3.2 Installation und erste Konfiguration (siehe M 4.110 Sichere Installation des RAS-Systems
und M 4.111 Sichere Konfiguration des RAS-Systems) und
3.3 den laufenden Betrieb des RAS-Systems (siehe M 4.112 Sicherer Betrieb des RAS-Systems,).
Typischerweise muss fr RAS-Systeme immer eine Betrachtung von RAS-Servern und
RAS-Clients erfolgen. Da die Benutzer eines RAS-Systems wesentlich zu dessen sicheren
Betrieb beitragen, mssen sie auf die Nutzung des RAS-Zugangs vorbereitet werden und den
Umgang mit der RAS-Software erlernen. Hier muss insbesondere auf die Gefahren aufmerk-
sam gemacht werden, die sich bei der Nutzung des RAS-Zugangs von zu Hause oder von
unterwegs ergeben (siehe M 3.4 Schulung vor Programmnutzung und M 3.5 Schulung zu IT-
Sicherheitsmanahmen).
Zur Absicherung von RAS-Verbindungen werden in vielen Fllen so genannte Tunnel-
Protokolle eingesetzt. Diese erlauben es, aufbauend auf einer bestehenden Verbindung einen
durch Zugriffskontrolle und Verschlsselung abgeschotteten Kommunikationskanal
zwischen IT-Systemen oder Netzen herzustellen. Aufgrund dieser Abschottung gegen die
Auenwelt wird hier auch hufig von Virtuellen Privaten Netzen (VPN) gesprochen (siehe
M 5.76 Einsatz geeigneter Tunnel-Protokolle fr die RAS-Kommunikation).
Nachfolgend wird das Manahmenbndel fr den Baustein "Remote Access" vorgestellt.
Infrastruktur:
- M 1.29 (1) Geeignete Aufstellung eines IT-Systems
Organisation:
- M 2.2 (2) Betriebsmittelverwaltung
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.183 (1) Durchfhrung einer RAS-Anforderungsanalyse
- M 2.184 (1) Entwicklung eines RAS-Konzeptes
- M 2.185 (1) Auswahl einer geeigneten RAS-Systemarchitektur
- M 2.186 (1) Geeignete Auswahl eines RAS-Produktes
- M 2.187 (1) Festlegen einer RAS-Sicherheitsrichtlinie
- M 2.205 (1) bertragung und Abruf personenbezogener Daten
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware / Software:
- M 4.110 (1) Sichere Installation des RAS-Systems
- M 4.111 (1) Sichere Konfiguration des RAS-Systems
- M 4.112 (1) Sicherer Betrieb des RAS-Systems
- M 4.113 (2) Nutzung eines Authentisierungsservers beim RAS-Einsatz

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 220
Remote Access 7.6
_________________________________________________________________________________________

Kommunikation:
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation
- M 5.76 (2) Einsatz geeigneter Tunnel-Protokolle fr die RAS-Kommunikation
Notfallvorsorge:
- M 6.70 (2) Erstellen eines Notfallplans fr den Ausfall des RAS-Systems
- M 6.71 (2) Datensicherung bei mobiler Nutzung des IT-Systems

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 221
Lotus Notes 7.7
_________________________________________________________________________________________

7.7 Lotus Notes


Beschreibung
Lotus Notes ist ein Produkt im Bereich der Workgroup-
Untersttzung. Es bietet die Mglichkeit, die in einem
Unternehmen anfallenden Broarbeitsablufe zu unter-
sttzen und zu organisieren. Die gesamte dazu ntige
Kommunikation, Datenbertragung und Datenhaltung
kann ber Lotus Notes abgewickelt werden. Dem Notes
Konzept liegt eine Client-Server-Architektur zugrunde:
Benutzer verwenden den Notes-Client oder einen
Browser, um sich mit dem Domino Server zu verbinden
und zu arbeiten.
In frheren Versionen von Lotus Domino/Notes wurden proprietre Kommunikationsprotokolle ver-
wendet. Demgegenber sind in die aktuelle Version (derzeit 5.0.5) standardisierte Internet-Protokolle
integriert. Durch die ffnung in Richtung Internet (erstmals mit Version 4.5) ist es mglich, auch von
einem beliebigen Browser ber das Internet Zugriff auf die Daten eines Lotus Domino Servers zu
haben. Dabei ist nicht nur der lesende Zugriff, sondern auch der schreibende und administrative
Zugriff auf den Server mglich. Aus Sicherheitssicht ist mit dem Release-Wechsel von Version 5.0.3
auf die Version 5.0.4 die wichtigste Vernderung verbunden: durch die Vernderung der US-Export-
Politik wurde die Version 5.0.4 als "Global-Version" zur Verfgung gestellt, die generell starke
Verschlsselungsmechanismen enthlt, so dass nun keine getrennten Versionen mehr fr den nord-
amerikanischen Markt und den internationalen Markt existieren.
Nachfolgend sind die derzeit (Stand 11/2000) aktuellen Produktbezeichnungen der Lotus
Domino/Notes-Komponenten kurz zusammengefasst, da Lotus die betreffenden Komponenten im
Verlauf der vergangenen Release-Wechsel teilweise umbenannt hat. In den nachfolgenden Gefhr-
dungs- und Manahmenbeschreibungen werden die Namen Lotus Domino Server und Lotus Notes
Server synonym verwendet.
Server-Produkte:
- Domino Application Server: Dies ist der eigentliche Nachfolger des ursprnglichen Lotus Notes
Servers. Der Application Server ist modular aufgebaut und bietet neben den Komponenten fr den
Datenbankzugriff auch weitere Module - u. a. ein SMTP-Server-Modul, ein HTTP-Server-Modul
und ein LDAP-Server-Modul - an.
- Domino Mail Server: Die E-Mail-Funktionalitt ist ein Bestandteil des Domino Application
Servers. Durch diese Konfigurationsvariante ist die Funktion eines E-Mail-Servers auch unab-
hngig von den restlichen Server-Modulen verfgbar.
- Domino Enterprise Server: Diese Erweiterung des Domino Application Servers hie zuvor
Domino Advanced Services. Bestandteil dieser Erweiterung sind Funktionen fr Hochverfgbar-
keit, Partitionierung (Partitioning), Serververbnde (Clustering) und Abrechnungsinformationen
(Billing).
- Lotus QuickPlace: QuickPlace ist eine spezielle Konfigurationsvariante, die auf das schnelle und
problemlose Einrichten eines Web-basierten Team-Arbeitsplatzes zugeschnitten ist. QuickPlace ist
Bestandteil des Domino Application Servers und des Domino Enterprise Servers.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 222
Lotus Notes 7.7
_________________________________________________________________________________________

Client-Produkte:
- Notes Client: Dies ist der "klassische" Client fr den Zugriff auf den Domino/Notes Server sowie
zur Bearbeitung von E-Mail, Terminen, Kontakten und vielem mehr. Der Notes Client enthlt auch
eine Browser-Komponente, mit der Web-Inhalte angezeigt werden knnen, die auf Grund der
Client-Anfrage durch den "Web-Retriever" vom jeweiligen Web-Server geladen und an den Client
weitergereicht werden.
- Domino Administrator Client: Der Domino Administrator Client ist kein eigenstndiger Client,
sondern ist als optionaler Bestandteil in Domino Server R5 und in Domino Designer R5 enthalten.
Der Domino Administrator Client ist zentrales Werkzeug fr die Sicherheitsadministration des
Domino Servers.
- Domino Designer: Domino Designer ist ein Entwicklungswerkzeug zur Erstellung von Web-
Anwendungen. Domino-Applikationen knnen hierbei unter Verwendung von Java, JavaScript,
HTML4, C++, CORBA/IIOP, OLE und LotusScript erstellt werden.
Unter dem Gesichtspunkt der Sicherheit sind fr Lotus Notes Aspekte aus den folgenden Kategorien
zu unterscheiden:
1. Zugangssicherheit: Die auf einem Notes-Server gehaltenen Daten drfen nur berechtigten Benut-
zern zugnglich gemacht werden. Dazu wird vom Notes-Server eine Zugangskontrolle zum Server
selbst bereitgestellt. Dadurch kann gesteuert werden, welche Benutzer prinzipiell auf welchen
Notes-Server zugreifen drfen.
2. Zugriffskontrolle: Neben der Kontrolle des Serverzugriffs stellt die Zugriffskontrolle auf Daten-
bankebene einen wichtigen Sicherheitsmechanismus zur Verfgung. Durch die von Lotus Notes
bereitgestellten Methoden ist eine detaillierte Kontrolle mglich, welche Benutzer (oder welche
Benutzergruppen) welche Aktionen auf einer bestimmten Datenbank ausfhren drfen.
3. Kommunikationssicherheit: Wenn ein Client auf eine Datenbank auf einem Server zugreift, werden
die abgerufenen Daten ber eine Netzverbindung bertragen. Um die Vertraulichkeit und Integritt
der Daten zu sichern, stellt Lotus Notes Verschlsselungsverfahren zur Verfgung.
4. Verfgbarkeit: Wird ein Notes-System fr Unternehmensbereiche als Brokommunikations-
medium eingesetzt, so mssen auch Anforderungen an die Verfgbarkeit gestellt werden. Dies
betrifft zum einen die Schadensminderung bei Ausfall durch redundante Datenhaltung oder physi-
kalische Redundanz von Rechnern und zum anderen das Erstellen eines Notfallvorsorgeplanes, der
bei einem Ausfall Anleitungen und Hinweise fr eine schnelle Wiederherstellung des Systems gibt.
Gefhrdungslage
Fr den IT-Grundschutz eines Notes-Systems werden die folgenden typischen Gefhrdungen ange-
nommen:
Hhere Gewalt
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 223
Lotus Notes 7.7
_________________________________________________________________________________________

- G 2.18 Ungeordnete Zustellung der Datentrger


- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.40 Komplexitt des Datenbankzugangs/-zugriffs
- G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter
Menschliche Fehlhandlungen:
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
- G 3.46 Fehlkonfiguration eines Lotus Notes Servers
- G 3.47 Fehlkonfiguration des Browser-Zugriffs auf Lotus Notes
Technisches Versagen:
- G 4.26 Ausfall einer Datenbank
- G 4.28 Verlust von Daten einer Datenbank
- G 4.35 Unsichere kryptographische Algorithmen
Vorstzliche Handlungen:
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
- G 5.77 Mitlesen von E-Mails
- G 5.83 Kompromittierung kryptographischer Schlssel
- G 5.84 Geflschte Zertifikate
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.100 Missbrauch aktiver Inhalte beim Zugriff auf Lotus Notes
- G 5.101 "Hacking Lotus Notes"
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Zustzlich zu der Absicherung der Lotus Notes-Komponenten muss jedoch auch ein spezifisches
Sicherheitskonzept erstellt werden, das sich in das bestehende Sicherheitskonzept eingliedert: das
Notes-System muss einerseits bestehende Sicherheitsanforderungen umsetzen und erfordert anderer-
seits das Aufstellen neuer, Notes-spezifischer Sicherheitsregeln.
Ein Notes-System wird in der Regel im Umfeld anderer Systeme eingesetzt, die dazu dienen, den
Zugriff auf das interne Netz von auen zu kontrollieren. Hier sind z. B. Firewall-Systeme oder
Systeme zur Fernwartung zu nennen, mit denen ein Notes-System im Verbund zusammenarbeiten
muss. Aus diesem Grund sind bei der Durchfhrung der Notes-spezifischen Manahmen auch die
Manahmen aus den jeweiligen Bausteinen der betroffenen Systeme zu bercksichtigen. Neben den
entsprechenden Bausteinen aus den Kapiteln 5 und 6 sind u. a. auch die folgenden Bausteine zu
nennen:
- 7.3 Firewall, wenn Notes-Systeme in einer Firewall-Umgebung eingesetzt werden (siehe auch
M 2.211 Planung des Einsatzes von Lotus Notes in einer DMZ).
- 7.6 Remote Access, wenn der Zugriff auf das Notes-System ber Einwahl-Leitungen erfolgt.
Die im Baustein 9.2 Datenbanken aufgefhrten Manahmen sind im Kontext von Lotus Notes nur
bedingt anwendbar, da Notes ein proprietres Datenbanksystem darstellt.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 224
Lotus Notes 7.7
_________________________________________________________________________________________

Fr den erfolgreichen Aufbau eines Notes-Systems sind eine Reihe von Manahmen umzusetzen,
beginnend mit der Konzeption ber die Installation bis zum Betrieb. Die Schritte, die dabei zu durch-
laufen sind, sowie die Manahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im
folgenden aufgefhrt.
1. Nach der Entscheidung, Lotus Notes als internes Kommunikationssystem einzusetzen, muss die
Beschaffung der Software und eventuell zustzlich bentigter Hardware erfolgen. Da Lotus Notes
in verschiedenen Konfigurationsvarianten angeboten wird (siehe oben), hngt die zu beschaffende
Software auch von den geplanten Einsatzszenarien ab. Daher sind folgende Manahmen durchzu-
fhren:
- Zunchst muss der Einsatz fr das Notes System geplant werden (siehe Manahme M 2.206
Planung des Einsatzes von Lotus Notes).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Manahme M 2.207 Festlegen
einer Sicherheitsrichtlinie fr Lotus Notes), die einerseits die bereits bestehenden
Sicherheitsrichtlinien im Kontext von Lotus Notes umsetzt und andererseits Notes-
spezifische Erweiterungen definiert.
- Vor der tatschlichen Einfhrung des Notes-Systems mssen die Benutzer und
Administratoren auf den Umgang mit Lotus Notes durch eine Schulung vorbereitet werden.
Insbesondere fr Administratoren empfiehlt sich aufgrund der Komplexitt der Verwaltung
eines Notes-Systems eine intensive Schulung. Die Administratoren sollen dabei detaillierte
Systemkenntnisse erwerben (siehe M 3.24 Schulung zur Lotus Notes Systemarchitektur fr
Administratoren), so dass eine konsistente und korrekte Systemverwaltung gewhrleistet ist.
Benutzern sollte die Nutzung der Sicherheitsmechanismen von Lotus Notes vermittelt
werden (siehe M 3.25 Schulung zu Lotus Notes Sicherheitsmechanismen fr Benutzer).
2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgefhrt wurden, kann die
Installation des Notes-Systems erfolgen. Dabei sind folgenden Manahmen zu beachten:
- Die Installation kann erst dann als abgeschlossen betrachtet werden, wenn die Lotus Notes
Systeme in einen sicheren Zustand gebracht wurden (siehe M 4.116 Sichere Installation von
Lotus Notes). Dadurch wird sichergestellt, dass in der folgenden Konfigurationsphase nur
berechtigte Administratoren auf das Notes System zugreifen knnen.
- Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des Notes-Systems, das aus
den Servern (siehe M 4.117 Sichere Konfiguration eines Lotus Notes Servers) und den
Clients (siehe M 4.126 Sichere Konfiguration eines Lotus Notes Clients und M 4.127
Sichere Browser-Konfiguration fr den Zugriff auf Lotus Notes ) besteht.
3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter
Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
- Ein Notes-System ist in der Regel stndigen Vernderungen unterworfen. Daher mssen
sicherheitsrelevante Konfigurationsparameter kontinuierlich angepasst werden. Daneben
hngt die Sicherheit in einem Client-Server-basierten System auch von der Sicherheit aller
Teilsysteme - hier auch insbesondere der Clients - ab. Die fr den sicheren Betrieb
relevanten Manahmen sind in M 4.128 Sicherer Betrieb von Lotus Notes und den
Manahmen zur Kommunikationsabsicherung (siehe M 5.84 Einsatz von
Verschlsselungsverfahren fr die Lotus Notes Kommunikation, M 5.85 Einsatz von
Verschlsselungsverfahren fr Lotus Notes E-Mail und M 5.86 Einsatz von
Verschlsselungsverfahren beim Browser-Zugriff auf Lotus Notes) zusammengefasst.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 225
Lotus Notes 7.7
_________________________________________________________________________________________

- Neben der Absicherung im laufenden Betrieb spielt jedoch auch die Notfallvorsorge eine
wichtige Rolle, da nur so der Schaden im Notfall verringert werden kann. Hinweise zur
Notfallvorsorge finden sich in M 6.73 Erstellen eines Notfallplans fr den Ausfall des Lotus
Notes-Systems.
Nachfolgend wird nun das Manahmenbndel fr den Baustein "Lotus Notes" vorgestellt.
Infrastruktur:
- M 1.29 (1) Geeignete Aufstellung eines IT-Systems
- M 1.29 (1) Geeignete Aufstellung eines IT-Systems (Server)
Organisation:
- M 2.2 (2) Betriebsmittelverwaltung
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.206 (1) Planung des Einsatzes von Lotus Notes
- M 2.207 (1) Festlegen einer Sicherheitsrichtlinie fr Lotus Notes
- M 2.208 (1) Planung der Domnen und der Zertifikatshierarchie von Lotus Notes
- M 2.209 (1) Planung des Einsatzes von Lotus Notes im Intranet
- M 2.210 (2) Planung des Einsatzes von Lotus Notes im Intranet mit Browser-Zugriff
- M 2.211 (2) Planung des Einsatzes von Lotus Notes in einer DMZ
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.24 (1) Schulung zur Lotus Notes Systemarchitektur fr Administratoren
- M 3.25 (1) Schulung zu Lotus Notes Sicherheitsmechanismen fr Benutzer
Hardware / Software:
- M 4.116 (1) Sichere Installation von Lotus Notes
- M 4.117 (1) Sichere Konfiguration eines Lotus Notes Servers
- M 4.118 (1) Konfiguration als Lotus Notes Server
- M 4.119 (1) Einrichten von Zugangsbeschrnkungen auf Lotus Notes Server
- M 4.120 (1) Konfiguration von Zugriffslisten auf Lotus Notes Datenbanken
- M 4.121 (1) Konfiguration der Zugriffsrechte auf das Namens- und Adressbuch von Lotus
Notes
- M 4.122 (2) Konfiguration fr den Browser-Zugriff auf Lotus Notes
- M 4.123 (2) Einrichten des SSL-geschtzten Browser-Zugriffs auf Lotus Notes
- M 4.124 (2) Konfiguration der Authentisierungsmechanismen beim Browser-Zugriff auf Lotus
Notes
- M 4.125 (2) Einrichten von Zugriffsbeschrnkungen beim Browser-Zugriff auf Lotus Notes
Datenbanken
- M 4.126 (1) Sichere Konfiguration eines Lotus Notes Clients
- M 4.127 (2) Sichere Browser-Konfiguration fr den Zugriff auf Lotus Notes
- M 4.128 (1) Sicherer Betrieb von Lotus Notes
- M 4.129 (1) Sicherer Umgang mit Notes-ID-Dateien
- M 4.130 (1) Sicherheitsmanahmen nach dem Anlegen neuer Lotus Notes Datenbanken
- M 4.131 (2) Verschlsselung von Lotus Notes Datenbanken (optional)
- M 4.132 (1) berwachen eines Lotus Notes-Systems

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 226
Lotus Notes 7.7
_________________________________________________________________________________________

Kommunikation:
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation (optional)
- M 5.84 (2) Einsatz von Verschlsselungsverfahren fr die Lotus Notes Kommunikation
(optional)
- M 5.85 (2) Einsatz von Verschlsselungsverfahren fr Lotus Notes E-Mail (optional)
- M 5.86 (1) Einsatz von Verschlsselungsverfahren beim Browser-Zugriff auf Lotus Notes
Notfallvorsorge:
- M 6.49 (1) Datensicherung einer Datenbank
- M 6.71 (2) Datensicherung bei mobiler Nutzung des IT-Systems
- M 6.73 (1) Erstellen eines Notfallplans fr den Ausfall des Lotus Notes-Systems

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 227
Internet Information Server 7.8
_________________________________________________________________________________________

7.8 Internet Information Server


Beschreibung
Der Microsoft Internet Information Server (IIS) stellt die
Internet Informationsdienste (WWW-Server, FTP-Server,
NNTP-Dienst und SMTP-Dienst) fr die Microsoft
Betriebssysteme zur Verfgung.
Standardmig wird der IIS mit den Serverversionen von
Windows NT 4.0 (IIS 4), Windows 2000 (IIS 5), Win-
dows XP Professional (IIS 5.1) und Windows Server
2003 (IIS 6) ausgeliefert.
In diesem Kapitel werden spezifische Gefhrdungen und
Manahmen fr einen Webserver basierend auf dem IIS 4 oder IIS 5 beschrieben. Fr Webserver, die
auf einer neueren Version des IIS basieren, knnen die detaillierten technischen Manahmen dieses
Kapitels mglicherweise nicht direkt angewandt werden. Zumindest die allgemeineren Manahmen
sollten jedoch in jedem Fall umgesetzt werden.
Internet Information Server 4.0 (IIS 4 )
Viele Windows NT Versionen beinhalten noch eine ltere Version des IIS, meist die Version 2.0.
Aufgrund vorhandener Sicherheitsrisiken sollten solche lteren Versionen jedoch nicht mehr einge-
setzt werden. Das bedeutet, dass der IIS 4 neu zu installieren ist. Es sollte kein Update von einem
installierten IIS 2.0 auf den IIS 4 stattfinden.
Der IIS 4 ist Bestandteil des Windows NT 4.0 Server Option Packs, das eine Reihe von zustzlichen
Dienstprogrammen und Anwendungen enthlt, die mit dem IIS 4 zusammenarbeiten. Als typische
Microsoft-Anwendung ist der IIS 4 eng mit den Ressourcen des Betriebssystems verzahnt. Der IIS 4
verwendet die Verzeichnisdatenbank von Windows NT, d. h. die Benutzerkonten werden mit Hilfe des
Windows NT-Benutzermanagers verwaltet. Auerdem werden vorhandene Windows-NT-Dienst-
programme, wie der Systemmonitor, die Ereignisanzeige und die SNMP-Untersttzung, zur Verwal-
tung des Webservers genutzt.
Internet Information Server 5.0 (IIS 5.0)
Mit dem Betriebssystem Windows 2000 werden die Internet Informationsdienste durch den IIS 5.0
bereitgestellt. Der IIS 5.0 ist vollstndig in das Betriebssystem integriert und wird standardmig mit
installiert.
Im Vergleich zum IIS 4 enthlt die Version 5.0 eine Reihe von neuen Funktionen und Verbesserun-
gen. Beispielsweise wird die MMC-Technologie (Microsoft Management Console) durch die Integra-
tion in Windows 2000 vollstndig untersttzt und die Verwaltung des Servers durch neue Sicherheits-
assistenten, frei zu definierende Fehlermeldungen (fr HTTP) und losgelste Serverprozesse (Start der
Internet Informationsdienste ohne Neustart des Computers) vereinfacht. Daneben wurden die ASP-
Merkmale durch zustzliche Methoden ergnzt und die Protokollierungsfunktionen, insbesondere im
Bereich Performance und Auslastung, erweitert.
Nach einer Installation der Betriebssysteme Windows 2000 Datacenter Server, Windows 2000
Advanced Server und Windows 2000 Server ist der IIS 5 standardmig aktiviert. Nach einer Instal-
lation von Windows 2000 Professional ist der IIS 5 standardmig nicht aktiviert.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 228
Internet Information Server 7.8
_________________________________________________________________________________________

Internet Information Server 5.1 (IIS 5.1)


Der IIS 5.1 wird mit dem Betriebssystem Windows XP Professional ausgeliefert. Nach einer Installa-
tion von Windows XP Professional ist der IIS 5.1 standardmig nicht aktiviert.
Internet Information Server 6.0 (IIS 6)
Der IIS 6 wird mit dem Betriebssystem Windows Server 2003 ausgeliefert. Gegenber den Vor-
gngerversionen wurde diese Version grundlegend berarbeitet und weitgehend neu entwickelt.
Gefhrdungslage
Generell hngt die Gefhrdungslage Einsatzszenario ab. Webserver werden fr vielfltige Aufgaben
eingesetzt, beispielsweise als einfache Informationsserver im Internet oder Intranet, auf die nur lesend
zugegriffen werden darf, aber auch als Basis fr weiterfhrende Anwendungen, z. B. E-Commerce
oder E-Government-Anwendungen, die auf Datenbanken zugreifen oder als Entwicklungsserver fr
neue Applikationen.
Wird der IIS als Internet-Server eingesetzt, zeigt sich eine besondere Gefhrdungslage. In diesem Fall
ist der Zugriff Externer und Unbekannter auf den Server erwnscht, dabei mssen aber die Verfg-
barkeit des Servers, die Integritt der Daten und auch die Vertraulichkeit von Konfigurationsdateien
und vorhandenen Skripten gewhrleistet sein. Nur durch die Kombination von bergeordneten, orga-
nisatorischen Manahmen mit technischen Sicherheitsvorkehrungen, wie geeigneten Trenneinrich-
tungen und der sicheren Konfiguration des Betriebssystems sowie der eigentlichen Internetdienste,
kann diese Anforderung erfllt werden.
Allerdings darf nicht nur die Mglichkeit eines Angriffs von auen betrachtet werden, denn auch
innerhalb eines LANs ist ein Angriff auf einen IIS denkbar. Wie jedes vernetzte IT-System ist auch ein
Webserver mit IIS vielfltigen Gefahren ausgesetzt, so dass der sicheren Konfiguration des Systems
und seiner Komponenten auch im internen Netz eine wichtige Rolle zukommt.
Fr den IT-Grundschutz eines IIS-basierenden Webservers werden die folgenden typischen Gefhr-
dungen angenommen:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.87 Verwendung unsicherer Protokolle in ffentlichen Netzen
- G 2.94 Unzureichende Planung des IIS-Einsatzes
Menschliche Fehlhandlungen:
- G 3.56 Fehlerhafte Einbindung des IIS in die Systemumgebung
- G 3.57 Fehlerhafte Konfiguration des Betriebssystems fr den IIS
- G 3.58 Fehlkonfiguration eines IIS
- G 3.59 Unzureichende Kenntnisse ber aktuelle Sicherheitslcken und Prfwerkzeuge fr
den IIS
Technisches Versagen:
- G 4.13 Verlust gespeicherter Daten
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.39 Software-Konzeptionsfehler
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.20 Missbrauch von Administratorrechten
- G 5.28 Verhinderung von Diensten
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 229
Internet Information Server 7.8
_________________________________________________________________________________________

- G 5.84 Geflschte Zertifikate


- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.88 Missbrauch aktiver Inhalte
- G 5.108 Ausnutzen von systemspezifischen Schwachstellen des IIS

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes eines Webservers basierend auf dem IIS 4 oder IIS 5 wird
empfohlen, die notwendigen Manahmenbndel ("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben
auszuwhlen.
Da in einer Einsatzumgebung von vernetzten Systemen der IIS nicht alleine betrachtet werden darf,
sind darber hinaus folgende Kapitel zu bercksichtigen:
Kapitel 6.1 Servergesttztes Netz,
Kapitel 7.3 Firewall (bei der Anbindung an Netze mit anderem Schutzbedarf),
Kapitel 7.5 Webserver,
Kapitel 6.4 Windows NT Netz (bei der Verwendung von IIS 4.0)
Kapitel 6.9 Windows 2000 Server (bei der Verwendung von IIS 5.0)
Je nachdem, wie die Administration und Pflege des IIS-Systems erfolgen, sollten gegebenenfalls auch
die Kapitel 7.6 Remote Access und 9.3 Telearbeit fr die Anbindung externer Anschlusspunkte
herangezogen werden.
Fr den erfolgreichen Aufbau und Betrieb eines Internet Information Servers sind in den einzelnen
Realisierungsphasen (Konzeption, Implementation und Betrieb) eine Reihe von Manahmen umzuset-
zen. Die Realisierungsschritte, die dabei durchlaufen werden, sowie die Manahmen, die in den je-
weiligen Schritten zu beachten sind, werden nachfolgend aufgefhrt. Teilweise stellen diese Ma-
nahmen "Spezialisierungen" von Manahmen aus einem der oben genannten Bausteine dar.

1. Nach der Entscheidung, einen IIS als Webserver einzusetzen, muss die Beschaffung der Software
und eventuell zustzlich bentigter Hardware erfolgen. Die zu beschaffende Soft- und Hardware ist
abhngig von den geplanten Einsatzszenarien. Daher sind folgende Manahmen durchzufhren:
- Zunchst muss der Einsatz des IIS-Systems geplant werden (siehe M 2.267 Planen des IIS-
Einsatzes).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe M 2.268 Festlegung einer IIS-
Sicherheitsrichtlinie), in der die bestehenden Sicherheitsrichtlinien fr den IIS angewandt
und spezialisiert werden.
- Vor der tatschlichen Einfhrung des IIS-Systems mssen die Administratoren auf den
Umgang mit dem IIS durch eine Schulung vorbereitet werden. Insbesondere fr
Administratoren empfiehlt sich aufgrund der Komplexitt der Verwaltung eine intensive
Schulung. Die Administratoren sollen dabei detaillierte Systemkenntnisse erwerben (siehe
M 3.36 Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS),
so dass eine konsistente und korrekte Systemverwaltung gewhrleistet ist.
2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgefhrt wurden, kann die
Installation des Webservers erfolgen. Dabei sind folgenden Manahmen zu beachten:
- Die Installation kann erst dann als abgeschlossen betrachtet werden, wenn die IIS-Systeme in
einen sicheren Zustand gebracht wurden. Basis fr die sichere Installation des IIS ist ein

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 230
Internet Information Server 7.8
_________________________________________________________________________________________

abgesichertes Betriebssystem (siehe M 4.174 Vorbereitung der Installation von Windows


NT/2000 fr den IIS und M 4.175 Sichere Konfiguration von Windows NT/2000 fr den IIS).
Es muss sichergestellt werden, dass in der folgenden Konfigurationsphase nur berechtigte
Administratoren auf das IIS-System zugreifen knnen.
- Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des IIS-Systems. Bei der
Konfiguration sind die relevanten Manahmen aus den Bereichen Hardware / Software und
Kommunikation zu bercksichtigen.
3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter
Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
- Ein IIS ist in der Regel stndigen Vernderungen unterworfen. Daher mssen sicher-
heitsrelevante Konfigurationsparameter kontinuierlich angepasst werden. Die fr den
sicheren Betrieb relevanten Sicherheitseinstellungen sind in den Manahmen zur Hardware /
Software und Kommunikation zusammengefasst.
- Neben der Absicherung im laufenden Betrieb spielt jedoch auch die Notfallvorsorge eine
wichtige Rolle, da nur so der Schaden im Notfall verringert werden kann. Hinweise zur
Notfallvorsorge finden sich in M 6.85 Erstellung eines Notfallplans fr den Ausfall des IIS.
Nachfolgend wird nun das Manahmenbndel fr den Baustein IIS vorgestellt.
Organisation:
- M 2.267 (1) Planen des IIS-Einsatzes
- M 2.268 (1) Festlegung einer IIS-Sicherheitsrichtlinie
Personal:
- M 3.36 (1) Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS
Hardware / Software:
- M 4.174 (1) Vorbereitung der Installation von Windows NT/2000 fr den IIS
- M 4.175 (1) Sichere Konfiguration von Windows NT/2000 fr den IIS
- M 4.178 (1) Absicherung der Administrator- und Benutzerkonten beim IIS-Einsatz
- M 4.179 (1) Schutz von sicherheitskritischen Dateien beim IIS-Einsatz
- M 4.180 (2) Konfiguration der Authentisierungsmechanismen fr den Zugriff auf den IIS
- M 4.181 (1) Ausfhren des IIS in einem separaten Prozess
- M 4.182 (1) berwachen des IIS-Systems
- M 4.183 (2) Sicherstellen der Verfgbarkeit und Performance des IIS
- M 4.184 (2) Deaktivieren nicht bentigter Dienste beim IIS-Einsatz
- M 4.185 (2) Absichern von virtuellen Verzeichnissen und Web-Anwendungen beim IIS-Einsatz
- M 4.186 (1) Entfernen von Beispieldateien und Administrations-Scripts des IIS
- M 4.187 (1) Entfernen der FrontPage Server-Erweiterung des IIS
- M 4.188 (2) Prfen der Benutzereingaben beim IIS-Einsatz
- M 4.189 (2) Schutz vor unzulssigen Programmaufrufen beim IIS-Einsatz
- M 4.190 (2) Entfernen der RDS-Untersttzung des IIS
Kommunikation:
- M 5.66 (1) Verwendung von SSL (optional)
- M 5.101 (2) Entfernen nicht bentigter ODBC-Treiber beim IIS-Einsatz
- M 5.102 (3) Installation von URL-Filtern beim IIS-Einsatz
- M 5.103 (2) Entfernen smtlicher Netzwerkfreigaben beim IIS-Einsatz
- M 5.104 (3) Konfiguration des TCP/IP-Filters beim IIS-Einsatz
- M 5.105 (2) Vorbeugen vor SYN-Attacken auf den IIS
- M 5.106 (1) Entfernen nicht vertrauenswrdiger Root-Zertifikate beim IIS-Einsatz

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 231
Internet Information Server 7.8
_________________________________________________________________________________________

Notfallvorsorge:
- M 6.85 (3) Erstellung eines Notfallplans fr den Ausfall des IIS
- M 6.86 (2) Schutz vor schdlichem Code auf dem IIS
- M 6.87 (1) Datensicherung auf dem IIS

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 232
Apache Webserver 7.9
_________________________________________________________________________________________

7.9 Apache-Webserver
Beschreibung
Der Apache-Webserver ist seit 1997 der bei weitem am
hufigsten eingesetzte Webserver. Laut der Netcraft-
Webserverstatistik war im August 2002 auf ber 60 Pro-
zent aller betrachteten Webserver ein Apache-Webserver
im Einsatz.
Der Apache-Webserver entstand 1995 aus dem bis dahin
meist genutzten Webserver, dem NCSA httpd, der am
National Center for Supercomputing Applications der
University of Illinois entwickelt worden war. Da der bis-
herige Entwickler, Rob McCool, das NCSA verlassen hatte, war die Entwicklung ins Stocken geraten.
Eine Gruppe von Webmastern fand sich zusammen, um den NCSA httpd weiter zu entwickeln. Da die
Weiterentwicklung zunchst in der Form von Patches und Ergnzungen zum NCSA httpd erfolgte,
bekam das Produkt Namen Apache, von "A patchy server".
Ende 1995 wurde die Version 1.0 des Apache-Webservers verffentlicht. Nach einer lngeren Beta-
testphase fr die Version 2, die sich seit ungefhr 1998 in der Entwicklung befand, wurde im April
2002 mit der Version 2.0.35 die erste "Produktionsversion", beim Apache-Webserver General Avail-
ability Release genannt, freigegeben.
In der neuen Version des Apache-Webservers hat sich vor allem an der Architektur des Apache-Kerns
einiges gendert. Bei der Entwicklung der neuen Version hatten die Autoren das Ziel, die Portierung
auf neue Plattformen einfacher zu gestalten, und entwarfen eine modulare Architektur, in der die
Apache Portable Runtime (APR) eine Abstraktionsschicht zwischen dem unterliegenden Betriebs-
system und dem Apache 2.0 darstellt. Die APR stellt fr die eigentlichen Apache-Module gewisser-
maen ein virtuelles Betriebssystem dar, verwendet aber so weit wie mglich native Betriebssystem-
aufrufe, um eine bestmgliche Performance zu erzielen.
Gefhrdungslage
Fr den Grundschutz werden pauschal die folgenden Gefhrdungen als typisch fr einen Apache-
Webserver angenommen:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.87 Verwendung unsicherer Protokolle in ffentlichen Netzen
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.62 Fehlerhafte Konfiguration des Betriebssystems fr einen Apache-Webserver
- G 3.63 Fehlerhafte Konfiguration eines Apache-Webservers
Technisches Versagen:
- G 4.39 Software-Konzeptionsfehler
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 233
Apache Webserver 7.9
_________________________________________________________________________________________

- G 5.21 Trojanische Pferde


- G 5.28 Verhinderung von Diensten
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.109 Ausnutzen systemspezifischer Schwachstellen beim Apache-Webserver
Manahmenempfehlungen
Seit Version 2 wird neben diversen Unix-Varianten auch Windows als Betriebssystemplattform fr
den Apache-Webserver voll untersttzt. Zwar gab es auch eine Portierung der Version 1.3 auf
Windows, diese galt jedoch bis zuletzt als nicht so stabil wie die Unix-Versionen. Die Manahmen in
diesem Kapitel sind so weit wie mglich so formuliert, dass sie sich sowohl auf einen Apache-
Webserver unter Unix als auch unter Windows anwenden lassen. An einigen Stellen wird auf betriebs-
systemspezifische Aspekte besonders eingegangen.
Fr die sichere Planung, Implementierung und den sicheren Betrieb eines Apache-Webservers mssen
zunchst die allgemeinen Aspekte bercksichtigt werden, die im Kapitel7.5 Webserver erlutert
werden. In diesem Kapitel werden vor allem solche Aspekte der Sicherheit betrachtet, die ber die
allgemeinen Aspekte hinaus speziell fr einen Apache-Webserver relevant sind.
Im Rahmen der allgemeinen Planung fr den Aufbau eines Webangebots (siehe M 2.172 Entwicklung
eines Konzeptes fr die WWW-Nutzung) wird entschieden, zu welchem Zweck das Webangebot dienen
soll und an welche Zielgruppen es sich richtet. Ist im Anschlu daran die Entscheidung gefallen, dass
das Webangebot mit einem Apache-Webserver aufgebaut werden soll, muss sich eine detailliertere
Planung fr dessen Einsatz anschlieen (siehe M 2.269 Planung des Einsatzes eines Apache-Web-
servers). Soll der Apache-Webserver in Verbindung mit SSL eingesetzt werden, so muss dies frh-
zeitig in die Planung einbezogen werden (siehe M 2.270 Planung des SSL-Einsatzes beim Apache-
Webserver). Der Einsatz von SSL erfordert auch beim Betrieb des Servers einige zustzliche Ma-
nahmen (siehe M 5.107 Verwendung von SSL im Apache-Webserver).
Die Administratoren mssen fr die sichere Installation und den sicheren Betrieb eines Apache-Web-
servers geschult werden. Wichtige Aspekte, die in einer solchen Schulung abgedeckt werden sollten,
sind in M 3.37 Schulung der Administratoren eines Apache-Webservers beschrieben.
Bevor der Apache-Webserver auf dem Serverrechner installiert wird, muss zunchst das Betriebs-
system geeignet konfiguriert und abgesichert werden. (siehe M 4.192 Konfiguration des Betriebs-
systems fr einen Apache-Webserver). Die Integritt und Authentizitt der zur Installation verwende-
ten Pakete (Quelltext- oder Binrpakete) muss berprft werden (siehe M 4.191 berprfung der
Integritt und Authentizitt der Apache-Pakete). Bei der eigentlichen Installation und der anschlieen-
den Gundkonfiguration sind eine Reihe von Punkten zu beachten, die in M 4.193 Sichere Installation
eines Apache-Webservers und M 4.194 Sichere Grundkonfiguration eines Apache-Webservers be-
schrieben werden.
Sollen auf dem Webserver Bereiche nicht ffentlich, sondern nur einem begrenzten Kreis von Be-
suchern zugnglich sein, so ist M 4.195 Konfiguration der Zugriffssteuerung beim Apache-Webserver
zu beachten. Beim Betrieb eines Apache-Webservers sind auerdem die in M 4.196 Sicherer Betrieb
eines Apache-Webservers beschriebenen Aspekte zu beachten.
Falls auf dem Apache-Webserver dynamische Webseiten ber Server-Side-Includes, cgi-Programme
oder andere Servererweiterungen realisiert werden sollen, so ist M 4.197 Servererweiterungen fr
dynamische Webseiten beim Apache-Webserver zu bercksichtigen. Der Apache-Webserver kann zur
Erhhung der Systemsicherheit unter verschiedenen Unix-Varianten in einem sogenannten chroot-
Kfig installiert werden (siehe M 4.198 Installation eines Apache-Webservers in einem chroot-Kfig).

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 234
Apache Webserver 7.9
_________________________________________________________________________________________

Einige Punkte, die bei der Notfallplanung zustzlich zu den allgemeinen Aspekten der Notfallplanung
speziell fr einen Apache-Webserver bercksichtigt werden mssen, sind in M 6.89 Notfallvorsorge
fr einen Apache-Webserver zusammen gefasst.
In Beispielen und bei konkreten Empfehlungen wird im Rahmen dieses Bausteins von Version 2.0
eines Apache-Webservers ausgegangen. Wo nicht explizit auf einen Unterschied hingewiesen wird,
sollten jedoch die meisten Aussagen auch fr die Version 1.3 gelten. Beispiele werden meist in der
Syntax angegeben, wie sie fr einen Apache-Webserver unter Unix korrekt ist, sie sind aber ohne
groe Mhe auf die Windows-Version bertragbar.
Nachfolgend sind die Manahmen zur Umsetzung von IT-Grundschutz fr den Apache-Webserver
zusammengefasst. Die Manahmen des allgemeinen Webserver-Bausteins und der anderen relevanten
Bausteine werden aus Grnden der bersichtlichkeit hier nicht noch einmal aufgefhrt.
Organisation
- M 2.269 (2) Planung des Einsatzes eines Apache-Webservers
- M 2.270 (1) Planung des SSL-Einsatzes beim Apache-Webserver (zustzlich)
Personal
- M 3.37 (1) Schulung der Administratoren eines Apache-Webservers
Hardware / Software
- M 4.191 (1) berprfung der Integritt und Authentizitt der Apache-Pakete
- M 4.192 (1) Konfiguration des Betriebssystems fr einen Apache-Webserver
- M 4.194 (1) Sichere Grundkonfiguration eines Apache-Webservers
- M 4.195 (1) Konfiguration der Zugriffssteuerung beim Apache-Webserver
- M 4.196 (1) Sicherer Betrieb eines Apache-Webservers
- M 4.197 (2) Servererweiterungen fr dynamische Webseiten beim Apache-Webserver
- M 4.198 (3) Installation eines Apache-Webservers in einem chroot-Kfig (optional)
Kommunikation
- M 5.107 (2) Verwendung von SSL im Apache-Webserver (optional)
Notfallvorsorge
- M 6.89 (1) Notfallvorsorge fr einen Apache-Webserver

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 235
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________

7.10 Exchange 2000 / Outlook 2000


Beschreibung
Der Exchange 2000 Server ist ein Managementsystem fr
Nachrichten, das berdies Funktionen im Bereich der
Workflow-Untersttzung bietet. Es ist dazu gedacht, in
mittleren bis groen Behrden bzw. Unternehmen den
internen und externen E-Mail-Verkehr zu regeln. Ebenso
werden Newsgroups, Kalender und Aufgabenlisten von
Exchange verwaltet.
Outlook 2000 ist ein E-Mail-Client, der Bestandteil des
Office 2000 Paketes von Microsoft ist. Neben der reinen
E-Mail-Funktionalitt bietet er eine Reihe von Zusatzfunktionen, die den Arbeitsprozess in Unter-
nehmen und Behrden erleichtern sollen.
Es handelt sich hierbei um eine typische Client-Server-Anwendung, wobei Exchange 2000 die Server-
und Outlook 2000 die Client-Komponente darstellt.
Unterschiede zur Vorgngerversion Exchange 5.5
Die Vorgngerversion von Exchange 2000 Server ist der Exchange 5.5 Server. Zwischen diesen Ver-
sionen besteht konzeptionell ein gravierender Unterschied. Exchange 2000 Server integriert sich tief in
das Betriebssystem Windows 2000, speziell in das Active Directory. Dies betrifft die Organisation des
Exchange Systems, dessen Administration und besonders auch die Sicherheit des Gesamtsystems
durch die Verwendung der Systemrichtlinien von Windows 2000.
Das Standort-Konzept (Site) von Exchange 5.5 wurde fallen gelassen und stattdessen das Forest-Kon-
zept von Windows 2000 bernommen, denen sich sogenannte Routing Groups von Exchange 2000
Servern unterordnen. Darber hinaus haben sich interne Kommunikationsprotokolle gendert. Bei-
spielsweise basiert in der neuen Version die interne E-Mail-Kommunikation innerhalb einer Routing
Group ausschlielich auf dem "klassischen" Simple Mail Transfer Protocol (SMTP) anstelle der zuvor
verwendeten Remote Procedure Calls (RPCs).
Weitere Unterschiede ergeben sich aus einer erweiterten Funktionalitt und einer Vergrerung des
Leistungsspektrums: Die E-Mail- und Nachrichten-Datenbanken knnen in separat verwaltete Teile
partitioniert und auf verschiedene Server verteilt werden. Dies dient zum einen der Skalierbarkeit des
Systems und erhht zum anderen auch die Ausfallsicherheit. Weiterhin wird eine verteilte Konfigu-
ration untersttzt, eine vereinheitlichte Administration ber die Microsoft Management Console
(MMC) ermglicht, mehrfache ffentliche Verzeichnisse bereitgestellt, Video- und Datenkonferenzen
ermglicht und Instant Messaging untersttzt.
Exchange 2000 Server integriert auerdem in hohem Mae die Internet Information Services (IIS) von
Windows 2000. Dies fhrt zu zustzlichen Gefhrdungen und ist fr einen gesicherten Betrieb des
Systems unbedingt zu bercksichtigen. Betroffen ist davon unter anderem der sogenannte Web Store
(Installable File System - IFS), der den lokalen und den entfernten (remote) Zugriff auf das Datei-
system erlaubt. Das Laufwerk M (Standardeinstellung) eines jeden Rechners, auf dem Exchange 2000
installiert wird, bietet einen direkten Zugang ber das Dateisystem auf diesen Web Store. Dieses
Laufwerk erhlt automatisch eine Netzfreigabe, so dass weitere Applikationen darauf zugreifen
knnen. Ein weiterer Punkt sind die Web Forms, die vom Exchange 2000 Server direkt an Browser
bermittelt werden, um interaktive Arbeitsprozesse ber Browser zu ermglichen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 236
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________

Zwischen der Exchange Store Architektur und den Internet Access Protokollen liegt eine spezielle
Schicht, der Exchange Interprocess Communication Layer EXIPC, auch Epoxy-Layer genannt. Dieser
besteht aus einem asynchron geteilten Speicherbereich, in welchem sowohl der Prozess STORE.EXE
als auch die IIS-Protokolle Daten lesen und schreiben knnen. STORE.EXE ist ein wesentlicher Pro-
zess des Exchange Servers. Dadurch wird ein schneller Datenaustausch ermglicht, der aus Sicher-
heitssicht jedoch auch problematisch ist.
Die Zusammenarbeit von Client mit Server lsst sich auf vielfltige Art und Weise konfigurieren und
betreiben. Hier ergeben sich zum Teil erhebliche Unterschiede in Bezug auf die Sicherheit. Weiterhin
ist es mglich, den Exchange 2000 Server so zu konfigurieren, dass mittels des sogenannten Outlook
Web Access (OWA) direkt ber das Internet zugegriffen werden kann. Dies ist von erheblicher sicher-
heitstechnischer Relevanz, siehe M 4.164 Browser-Zugriff auf Exchange 2000.
Allgemeine Gesichtspunkte beim Betrieb eines E-Mail-Systems
Fr einen sicheren Betrieb des Exchange 2000 Systems gelten auch allgemeine IT-Sicherheitsaspekte
eines E-Mail-Systems, wie z. B. die Frage der Internet-Anbindung, eventuelle unterliegende Ver-
schlsselungsmanahmen, Behandlung aktiver Inhalte, Einsatz von Anti-Viren-Software und vieles
mehr. Diesbezglich wird auf den Baustein 7.4 E-Mail verwiesen. Die dort dargestellten Gefhr-
dungen und Manahmen besitzen im Kontext von Exchange/Outlook 2000 uneingeschrnkte Gltig-
keit.
Wie in der bisherigen bersicht dargestellt, spielt die Sicherheit von Windows 2000 eine zentrale
Rolle fr die Sicherheit von Exchange bzw. Outlook. Dies gilt sowohl fr die Server als auch die
Clients des betrachteten Netzes. In diesem Zusammenhang sei auf die Bausteine 6.9 Windows 2000
Server und 5.7 Windows 2000 Client sowie die dort aufgefhrten Gefhrdungen und Manahmen
verwiesen.
Eine Ende-zu-Ende-Sicherheit auf Anwendungsebene (hier: Outlook-Client) kann mittels Ver-
schlsselung und Signatur von elektronischen Nachrichten erzielt werden. Die Konfiguration und der
Betrieb eines solchen Systems setzen dabei entweder die Verwendung der Microsoft Public Key Infra-
struktur (PKI) oder eine Plug-In-Lsung eines Drittherstellers voraus. Theoretisch ist es natrlich
mglich, gnzlich auf eine PKI zu verzichten, jedoch sind dann die bekannten Skalierungsprobleme
im Schlsselmanagement oder die Probleme der Vertrauensbeziehungen zu lsen.
Betrachtete Versionen
Im folgenden sind die derzeit aktuellen (Stand Oktober 2001) Produktversionen aufgefhrt. In der
Folge bezeichnet Exchange 2000 Server jede dieser Produktausprgungen:
- Exchange 2000 Server:
Dies ist die Grundausstattung des Produktes und richtet sich an kleine bis mittlere Unternehmen
bzw. Behrden.
- Exchange 2000 Enterprise Server:
Diese Ausprgung beinhaltet die Grundfunktionalitt von Exchange 2000 sowie Mechanismen fr
eine bessere Skalierbarkeit des Systems, z. B. Verteilung der E-Mail-Datenbanken auf verschie-
dene Server, keine Beschrnkungen in der Gre von Transaktionsdaten, Vier-Wege-Clustering.
- Exchange 2000 Conferencing Server:
Diese Version bietet die umfassendste Funktionalitt, unter anderem Werkzeuge zur Durchfhrung
von Daten-, Audio- und Videokonferenzen, Load Balancing und Bandbreitenmanagement.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 237
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________

- Outlook 2000, Service Release 1


In diesem Baustein wird die englischsprachige Version des Produktes Exchange 2000 betrachtet. Dies
erfolgt vor dem Hintergrund der allgemeinen Empfehlung, stets diejenige Version im Betrieb einzu-
setzen, fr welche Software-Anpassungen und Fehlerbehebungen generell als erstes verfgbar sind.
Fr die Office-Anwendung Outlook 2000 wird die deutsche Version betrachtet, da diese in deutsch-
sprachigen Behrden und Unternehmen eine grere Verbreitung findet als die entsprechende eng-
lischsprachige Ausgabe.
Fr ein Exchange/Outlook 2000 System knnen folgende Sicherheitsziele unterschieden werden:
1. Zugangssicherheit: Die auf einem Exchange 2000 Server gespeicherten Daten drfen nur
berechtigten Benutzern zugnglich sein. Das heit, der Zugriff auf den Server muss entsprechend
geregelt sein. Dies wird in erster Linie durch geeignete Konfiguration des Windows 2000 Servers
erreicht, auf dem die Exchange Services installiert werden. Um Rollenkonflikte und erhebliche zu-
stzliche Risiken zu vermeiden, sollte dies grundstzlich ein Member Server des Netzes sein und
kein Domnen-Controller.
2. Zugriffskontrolle: Neben der Kontrolle des Serverzugriffs stellt der Zugriff auf Datenbankebene
(Mail Stores) einen wichtigen Sicherheitsaspekt dar. Hier lsst sich mit Hilfe der Sicherheitsein-
stellungen des Active Directory (Access Control Lists auf die relevanten Objekte) ein Schutz er-
reichen.
3. Kommunikationssicherheit: Wenn ein E-Mail-Client auf die Daten des Exchange 2000 Servers
zugreift, werden die abgerufenen Daten ber eine Netzverbindung (LAN, WAN oder Internet)
bertragen. Um Vertraulichkeit und Integritt der Daten zu gewhrleisten, lassen sich Schutzma-
nahmen auf verschiedenen Ebenen der bertragung durchfhren.
4. Verfgbarkeit: Um die Produktivitt innerhalb eines Unternehmens bzw. einer Behrde nicht zu
gefhrden, sind Anforderungen an die Verfgbarkeit des Systems zu stellen. Dies umso mehr, als
E-Mail oft einen entscheidenden Anteil an der Abwicklung von Geschftsprozessen hat. Manah-
men zum Schutz der Verfgbarkeit sind die Verteilung der E-Mail-Datenbanken auf mehrere
Server, allgemeine Spiegelungstechniken sowie die Erstellung eines Notfallplans.
Gefhrdungslage
Fr den IT-Grundschutz eines Exchange 2000 Systems inklusive zugeordneter Outlook 2000 Clients
werden die folgenden typischen Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.55 Ungeordnete E-Mail-Nutzung
- G 2.91 Fehlerhafte Planung der Migration von Exchange 5.5 nach Exchange 2000
- G 2.92 Fehlerhafte Regelungen fr den Browser-Zugriff auf Exchange
- G 2.95 Fehlendes Konzept zur Anbindung anderer E-Mail-Systeme an Exchange/Outlook

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 238
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________

Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.60 Fehlkonfiguration von Exchange 2000 Servern
- G 3.61 Fehlerhafte Konfiguration von Outlook 2000 Clients
Technisches Versagen:
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.32 Nichtzustellung einer Nachricht
Vorstzliche Handlungen:
- G 5.9 Unberechtigte IT-Nutzung
- G 5.19 Missbrauch von Benutzerrechten
- G 5.77 Mitlesen von E-Mails
- G 5.83 Kompromittierung kryptographischer Schlssel
- G 5.84 Geflschte Zertifikate
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.23 Computer-Viren
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Zustzlich zu der Absicherung der Komponenten von Exchange bzw. Outlook muss noch ein spezi-
fisches Sicherheitskonzept erstellt werden, das sich konsistent in das bestehende betriebsweite Sicher-
heitskonzept integrieren lsst. Das Exchange/Outlook-System muss so konfiguriert werden, dass be-
reits bestehende Sicherheitsanforderungen umgesetzt werden. Darber hinaus sind weitere, fr
Exchange bzw. Outlook spezifische Anforderungen zu erfllen.
Ein Exchange/Outlook-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, die
den Zugriff auf das interne Netz von auen kontrollieren. Hierbei sind insbesondere Firewall-Systeme
und Systeme zur Fernwartung zu nennen, mit denen Exchange 2000 zusammenarbeiten muss. Aus
diesem Grund sind bei der Durchfhrung der fr Exchange bzw. Outlook spezifischen Manahmen
stets auch die entsprechenden Empfehlungen aus den jeweiligen Bausteinen zustzlich betroffener
Systeme zu bercksichtigen. Neben den Bausteinen aus den Kapiteln 5 und 6 sind unter anderem auch
die folgenden Bausteine zu nennen:
- 7.3 Firewall, sofern Exchange 2000 Systeme in einer Firewall-Umgebung eingesetzt werden.
- 7.6 Remote Access, wenn der Zugriff auf das Exchange-System ber Einwahlleitungen erfolgt.
Fr die erfolgreiche Implementierung eines Exchange/Outlook-Systems sind eine Reihe von Ma-
nahmen umzusetzen, beginnend mit der Planung ber die Installation bis hin zum Betrieb. Die
einzelnen Schritte sowie die jeweiligen Manahmen, die auf diesem Weg zu beachten sind, sind nach-
stehend zusammengefasst:
1. Nach der Entscheidung, Exchange 2000 als internes Kommunikationssystem einzusetzen, muss die
Beschaffung der Software und eventuell zustzlich bentigter Hardware erfolgen. Da Exchange
2000 in verschiedenen Ausprgungen erhltlich ist (siehe oben), hngt das zu beschaffende Soft-
wareprodukt von den geplanten Einsatzszenarien ab. Daher sind folgende Manahmen zu
ergreifen:

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 239
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________

- Zunchst muss der Einsatz des Exchange/Outlook-Systems geplant werden (siehe M 2.247
Planung des Einsatzes von Exchange/Outlook 2000).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe M 2.248 Festlegung einer
Sicherheitsrichtlinie fr Exchange/ Outlook 2000), die einerseits bereits bestehende Sicher-
heitsrichtlinien im Kontext von Exchange/Outlook umsetzt und gleichzeitig fr Exchange
bzw. Outlook spezifische Ergnzungen definiert.
- Vor der tatschlichen Verteilung des Exchange/Outlook-Systems mssen die Benutzer und
Administratoren im Umgang mit den Produkten geschult werden. Insbesondere fr Admi-
nistratoren empfiehlt sich eine intensive und praxisnahe Schulung, die auf fundierte Kennt-
nisse bezglich Windows 2000 und dessen Sicherheit aufsetzen sollte (siehe M 3.31
Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 fr Administratoren).
Benutzern sollten die verfgbaren Sicherheitsmechanismen von Outlook 2000 detailliert er-
lutert werden (siehe M 3.32 Schulung zu Sicherheitsmechanismen von Outlook 2000 fr
Benutzer).
2. Nachdem die organisatorischen und planerischen Vorbereitungen durchgefhrt wurden, kann die
Installation des Exchange/Outlook-Systems erfolgen. Folgende Manahmen sind dabei zu er-
greifen:
- Die Systeme, auf denen Exchange/Outlook installiert werden soll, mssen geeignet abge-
sichert sein. Empfehlungen fr die Betriebssystemplattform des Servers finden sich unter
anderem in Baustein 6.9 Windows 2000 Server.
- Die Installation kann erst dann als abgeschlossen angesehen werden, wenn die
Exchange/Outlook-Systeme in einen sicheren Zustand berfhrt wurden (siehe M 4.161
Sichere Installation von Exchange/Outlook 2000). Dadurch wird sichergestellt, dass in der
anschlieenden Konfigurationsphase nur berechtigte Administratoren auf das Exchange
2000 System zugreifen knnen.
- Nach der Installation erfolgt eine erstmalige Konfiguration des Exchange/Outlook-Systems,
siehe M 4.162 Sichere Konfiguration von Exchange 2000 Server, M 4.165 Sichere Konfigu-
ration von Outlook 2000 sowie M 4.164 Browser-Zugriff auf Exchange 2000.
3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Dabei
sind aus Sicht der IT-Sicherheit folgende Aspekte zu beachten:
- Ein Exchange/Outlook-System ist in der Regel kontinuierlichen Vernderungen unterworfen.
Entsprechend mssen die sicherheitsrelevanten Konfigurationsparameter stndig angepasst
werden. Weiterhin hngt die Sicherheit bei einer verteilten Software-Architektur von der
Sicherheit smtlicher Teilsysteme ab. Dies gilt insbesondere fr die Outlook-Clients. Die fr
den sicheren Betrieb relevanten Empfehlungen sind in M 4.166 Sicherer Betrieb von
Exchange/Outlook 2000 und den Manahmen zur Kommunikationssicherung (siehe M 5.100
Einsatz von Verschlsselungs- und Signaturverfahren fr die Exchange 2000 Kommunika-
tion) zusammengefasst.
- Neben der Absicherung des laufenden Betriebs sind auch die Manahmen zur Notfallvor-
sorge von zentraler Bedeutung. Hinweise zu diesem Thema finden sich in M 6.82 Erstellen
eines Notfallplans fr den Ausfall von Exchange-Systemen.
Nachfolgend wird das Manahmenbndel fr den Einsatz von Exchange 2000 und Outlook 2000 vor-
gestellt.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 240
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________

Organisation:
- M 2.247 (1) Planung des Einsatzes von Exchange/Outlook 2000
- M 2.248 (1) Festlegung einer Sicherheitsrichtlinie fr Exchange/ Outlook 2000
- M 2.249 (1) Planung der Migration von "Exchange 5.5-Servern" nach "Exchange 2000"
Personal:
- M 3.31 (1) Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 fr
Administratoren
- M 3.32 (1) Schulung zu Sicherheitsmechanismen von Outlook 2000 fr Benutzer
Hardware / Software:
- M 4.161 (1) Sichere Installation von Exchange/Outlook 2000
- M 4.162 (1) Sichere Konfiguration von Exchange 2000 Servern
- M 4.163 (1) Zugriffsrechte auf Exchange 2000 Objekte
- M 4.164 (1) Browser-Zugriff auf Exchange 2000
- M 4.165 (1) Sichere Konfiguration von Outlook 2000
- M 4.166 (1) Sicherer Betrieb von Exchange/Outlook 2000
- M 4.167 (2) berwachung und Protokollierung von Exchange 2000 Systemen
Kommunikation:
- M 5.99 (2) SSL/TLS-Absicherung fr Exchange 2000
- M 5.100 (2) Einsatz von Verschlsselungs- und Signaturverfahren fr die Exchange 2000
Kommunikation (optional) (optional)
Kommunikation (optional)
Notfallvorsorge:
- M 6.82 (1) Erstellen eines Notfallplans fr den Ausfall von Exchange-Systemen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 241
Router und Switches 7.11
_________________________________________________________________________________________

7.11 Router und Switches


Netze spielen eine immer wichtigere Rolle als Teile der
IT-Infrastruktur, weil Anwendungen heutzutage vermehrt
ber lokale Netze oder Weitverkehrsnetze betrieben
werden. Die Verfgbarkeit, Integritt und Vertraulichkeit
der Netze muss sichergestellt sein und mindestens den
Anforderungen der Anwendungen an den Schutz dieser
drei Grundwerte der IT-Sicherheit entsprechen.
Ein Netz besteht aus aktiver und passiver Netztechnik.
Als passive Netztechnik wird in erster Linie die
strukturierte Verkabelung verstanden. Hierzu gehren
Patch-Felder (ber Steckfelder konfigurierbare Kabelverteiler), Schutzschrnke und Anschlussdosen
am Arbeitsplatz. Zur aktiven Netztechnik gehren beispielsweise Hubs, Bridges, Switches und Router.
In modernen Netzen ersetzen Switches heutzutage vielfach Hubs sowie Bridges. Ein Ausfall einer
oder mehrerer Komponenten der aktiven Netztechnik (Router und Switches) kann zum kompletten
Stillstand der gesamten IT-Infrastruktur fhren. Da diese Komponenten die Basis und das Rckgrat
der IT-Infrastruktur bilden, mssen Router und Switches vor unerlaubten Zugriffen und
Manipulationen geschtzt werden.
Die Funktionsweise von Routern ist in M 2.276 Funktionsweise eines Routers beschrieben. Die
Manahme M 2.277 Funktionsweise eines Switches beschreibt die Funktionsweise eines Switches. Die
wichtigsten funktionalen Unterschiede der in der folgenden Abbildung dargestellten aktiven
Netzkomponenten werden kurz erklrt.

Abbildung: Hub, Bridge, Switch und Router


Kollisionsdomne
Unter einer Kollisionsdomne wird ein einzelnes Segment beim Netzzugangsverfahren CSMA/CD
(Carrier Sense Multipe Access with Collision Detection) verstanden. Alle Gerte, die im selben
Segment angeschlossen sind, sind Bestandteil dieser Kollisionsdomne. Versuchen zwei Gerte, zum
gleichen Zeitpunkt ein Paket ins Netz zu senden, so spricht man von einer Kollision. Beide Gerte
warten dann einen bestimmten Zeitraum zufllig gewhlter Lnge und versuchen dann erneut, das
Paket zu senden. Durch diese Wartezeit verringert sich die effektive Bandbreite, die den Gerten zur
Verfgung steht.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 242
Router und Switches 7.11
_________________________________________________________________________________________

Broadcast-Domne
Broadcast-Informationen sind nicht an ein bestimmtes Endgert gerichtet, sondern an alle
"benachbarten" Endgerte. Diejenigen Gerte in einem Netz, die die jeweiligen Broadcast-
Informationen der anderen Gerte empfangen, bilden zusammen eine Broadcast-Domne. Gerte, die
in einer Broadcast-Domne zusammen gefasst sind, mssen sich nicht in derselben Kollisionsdomne
befinden. Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz. Beispielsweise
bilden die Stationen mit den IP-Adressen von 192.168.1.1 bis 192.168.1.254 in einem IP-Subnetz mit
einer Subnetzmaske von 255.255.255.0 eine Broadcast-Domne.
Hub
Hubs arbeiten auf der OSI Schicht 1 (Bitbertragungsschicht). Alle angeschlossenen Gerte befinden
sich in derselben Kollisionsdomne und damit auch in derselben Broadcast-Domne. Hubs werden
heutzutage durch Access-Switches (siehe M 2.277 Funktionsweise eines Switches) abgelst.
Bridge
Bridges verbinden Netze auf der OSI Schicht 2 (Sicherungsschicht) und segmentieren
Kollisionsdomnen. Jedes Segment bzw. Port an einer Bridge bildet eine eigene Kollisionsdomne.
Alle angeschlossenen Stationen sind im Normalfall Bestandteil einer Broadcast-Domne. Bridges
knnen auch dazu dienen, Netze mit unterschiedlichen Topographien (Ethernet, Token Ring, FDDI,
etc.) auf der OSI Schicht 2 miteinander zu verbinden (transparent bridging, translational bridging).
Hauptschlich wurden Bridges zur Lastverteilung in Netzen eingesetzt. Die Entlastung wird dadurch
erzielt, dass eine Bridge als zentraler bergang zwischen zwei Netzsegmenten nicht mehr jedes
Datenpaket weiterleitet. Eine Bridge hlt eine interne MAC-Adresstabelle vor, aus der hervorgeht, in
welchem angeschlossenen Segment entsprechende MAC-Adressen vorhanden sind. Wenn die Bridge
beispielsweise aus dem Teilsegment A ein Datenpaket fr eine Station im Teilsegment B erhlt, wird
das Datenpaket weitergeleitet. Falls die Bridge hingegen ein Datenpaket aus dem Teilsegment A fr
eine Station aus dem Teilsegment A empfngt, wird dieses Datenpaket nicht in das Teilsegment B
bertragen. Dadurch wird eine Entlastung des Teilsegments B erreicht. Heutzutage werden Bridges
durch Switches ersetzt.
Layer-2-Switch
Herkmmliche Layer-2-Switches verbinden Netze auf der OSI Schicht 2. Jeder Switch-Port bildet eine
eigene Kollisionsdomne. Normalerweise sind alle angeschlossenen Stationen Bestandteil einer
Broadcast-Domne. Das bedeutet, dass ein Layer-2-Switch die Ziel-MAC-Adresse im MAC-Header
als Entscheidungskriterium dafr verwendet, auf welchen Port eingehende Datenpakete weitergeleitet
werden. Trotz der vergleichbaren Funktionsweise gibt es zwei wesentliche Unterschiede zu Bridges:
- Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente miteinander als eine Bridge.
- Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface Circuits
(ASICs). Dadurch ist ein Switch in der Lage, Datenpakete wesentlich schneller als eine Bridge von
einem Segment in ein anderes zu transportieren. Unterschiedliche Switching-Technologien sind in
M 2.277 Funktionsweise eines Switches beschrieben.
Gelegentlich werden Switches auch als Multiport Bridges bezeichnet.
Router
Router arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete anhand der Ziel-IP-
Adresse im IP-Header. Jedes Interface an einem Router stellt eine eigene Broadcast-Domne und
damit auch eine Kollisionsdomne dar. Router sind in der Lage, Netze mit unterschiedlichen
Topographien zu verbinden. Router werden verwendet, um lokale Netze zu segmentieren oder um

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 243
Router und Switches 7.11
_________________________________________________________________________________________

lokale Netze ber Weitverkehrsnetze zu verbinden. Ein Router identifiziert eine geeignete Verbindung
zwischen dem Quellsystem beziehungsweise Quellnetz und dem Zielsystem beziehungsweise
Zielnetz. In den meisten Fllen geschieht dies durch die Weitergabe des Datenpaketes an den nchsten
Router, den sogenannten Next Hop. Weitergehende Aspekte sind in M 2.276 Funktionsweise eines
Routers beschrieben.
Router mssen jedes IP-Paket vor der Weiterleitung analysieren. Dies fhrt zu Verzgerungen und
damit im Vergleich zu "klassischen" Switches zu einem geringeren Datendurchsatz.
Layer-3-Switch und Layer-4-Switch
Layer-3- und Layer-4-Switches sind Switches, die zustzlich eine Routing-Funktionalitt bieten.
Layer-2-Switches verwenden die Ziel-MAC-Adresse im MAC-Header eines Paketes zur
Entscheidung, zu welchem Port Datenpakete weitergeleitet werden. Ein Layer-3-Switch behandelt
Datenpakete beim ersten Mal wie ein Router (Ziel-IP-Adresse im IP-Header). Alle nachfolgenden
Datenpakete des Senders an diesen Empfnger werden daraufhin jedoch auf der OSI Schicht 2 (Ziel-
MAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine wesentlich
hhere Durchsatzrate erzielen als ein herkmmlicher Router.
Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3-Switch ist die
Anzahl von Ports zum Anschluss von einzelnen Endgerten. Ein Layer-3-Switch verfgt in der Regel
ber eine wesentlich grere Portdichte.
Durch die Routing-Funktion knnen Layer-3 oder Layer-4-Switches in lokalen Netzen herkmmliche
LAN-to-LAN-Router ersetzen.
Abgrenzung
In diesem Kapitel werden Gefhrdungen und Manahmen beim Einsatz von Routern und Switches
beschrieben. Die Abgrenzung zwischen Routern und Switches wird durch die Einfhrung der
Bezeichnungen Layer-2-Switch, Layer-3-Switch oder Layer-4-Switch durch verschiedene Hersteller
erschwert. Durch die Verschmelzung der Funktionen von Routern und Switches kann der Groteil der
beschriebenen Manahmen sowohl auf Router als auch auf Switches angewendet werden.
Es ist eine groe Auswahl von unterschiedlichen Routern und Switches von verschiedenen Herstellern
am Markt verfgbar. Die Beschreibung der Manahmen und Gefhrdungen in diesem Kapitel ist so
gehalten, dass sie so weit wie mglich herstellerunabhngig ist.
Neben den bergreifenden Aspekten und den infrastrukturellen Manahmen ist bei dem Einsatz von
Routern und Switches das Kapitel 6.7 Heterogene Netze zu bercksichtigen. Speziell bei der
Einbindung der aktiven Netzkomponenten in ein umfassendes Netz- und Systemmanagement ist das
Kapitel 6.8 Netz- und Systemmanagement von Bedeutung. Bei der Verwendung eines Routers als
Paketfilter oder als Einwahlmglichkeit sind zustzlich die Bausteine 7.3 Sicherheitsgateway
(Firewall) und 7.6 Remote Access zu bercksichtigen.
Neben eigens dafr hergestellten Gerten bieten auch verschiedene Betriebssysteme (beispielsweise
diverse Unix-Derivate, Windows 2000, etc.) Routing-Funktionalitt. Das bedeutet, dass ein Router aus
einem entsprechenden Rechner mit zwei oder mehr Netzwerkkarten und einem
Standardbetriebssystem bestehen kann. In kleineren lokalen Netzen kann dies unter Umstnden eine
kostengnstige Alternative sein. Neben den in diesem Baustein beschriebenen Sicherheitsmanahmen
sind beim Betrieb eines solchen Routers die Sicherheitsmanahmen des eingesetzten Betriebssystems
(Unix, Windows 2000, etc.) zu bercksichtigen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 244
Router und Switches 7.11
_________________________________________________________________________________________

Gefhrdungslage
Neben den Gefhrdungen, die generell fr den Groteil der IT-Systeme gelten, existieren fr aktive
Netzkomponenten eine Reihe spezieller Gefhrdungen.
Diese Gefhrdungen basieren oft auf bekannten Schwachstellen in den verwendeten Protokollen, wie
TCP, UDP, IP oder ICMP. Durch Schwachstellen in dynamischen Routing-Protokollen knnen
beispielsweise Routing-Tabellen auf Routern modifiziert werden. Die oft fehlende oder unzureichende
Mglichkeit zur Authentisierung auf aktiven Netzkomponenten ist als weitere Gefhrdung anzufgen.
Aktive Netzkomponenten werden oft mit einer unsicheren Default-Konfiguration ausgeliefert (siehe
G 4.49 Unsichere Default-Einstellungen auf Routern und Switches), die bei der Inbetriebnahme der
Gerte geprft werden sollte. Einige Hersteller von Switches schlagen fr die sichere Trennung von
Teilnetzen mit unterschiedlichem Schutzbedarf die Nutzung von virtuellen Netzen (VLANs) vor. Es
sind jedoch einige Angriffsmethoden bekannt, die es ermglichen, die Grenzen zwischen VLANs zu
berwinden und unberechtigt auf andere VLANs zuzugreifen (siehe G 5.115 berwindung der
Grenzen zwischen VLANs).
Nachfolgend ist die Gefhrdungslage beim Einsatz von Routern und Switches als bersicht
dargestellt:
Organisatorische Mngel:
- G 2.98 Fehlerhafte Planung und Konzeption des Einsatzes von Routern und Switches
Menschliche Fehlhandlungen
- G 3.64 Fehlerhafte Konfiguration von Routern und Switchen
- G 3.65 Fehlerhafte Administration von Routern und Switchen
Technisches Versagen
- G 4.49 Unsichere Default-Einstellungen auf Routern und Switchen
Vorstzliche Handlungen
- G 5.112 Manipulation von ARP-Tabellen
- G 5.113 MAC Spoofing
- G 5.114 Missbrauch von Spanning Tree
- G 5.115 berwindung der Grenzen zwischen VLANs

Manahmenempfehlungen
Die diesem Baustein zugeordneten Sicherheitsmanahmen orientieren sich an dem Lebenszyklus der
aktiven Netzkomponenten. Es werden Manahmen beschrieben, die in folgende Zyklen kategorisiert
sind:
- Planung und Konzeption des Einsatzes von Routern und Switches
Der Einsatz von Routern und Switches muss sorgfltig geplant werden. Die Funktionen von Routern
und Switches sind in M 2.276 Funktionsweise eines Routers und M 2.277 Funktionsweise eines
Switches beschrieben. Typische Einsatzszenarien von Routern und Switches, die bei der Planung und
Konzeption hilfreich sein knnen, sind in M 2.278 Typische Einsatzszenarien von Routern und
Switches zu finden.
- Festlegung einer Sicherheitsstrategie fr Router und Switches
Vor der Beschaffung aktiver Netzkomponenten (siehe M 2.280 Kriterien fr die Beschaffung und
geeignete Auswahl von Routern und Switches) ist eine Sicherheitsstrategie fr den sicheren Betrieb der
Gerte festzulegen und zu dokumentieren (siehe M 2.279 Erstellung einer Sicherheitsrichtlinie fr

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 245
Router und Switches 7.11
_________________________________________________________________________________________

Router und Switches). Anschlieend knnen geeignete Netzkoppelelemente ausgewhlt werden, die
anschlieend sicher in die bestehende Netzinfrastruktur zu integrieren sind. In dieser Phase ist es
zudem wichtig, die Administratoren fr die sichere Administration zu schulen (siehe M 3.38
Administratorenschulung fr Router und Switches).
- Konfiguration und Inbetriebnahme von Routern und Switches
Bei der Konfiguration und Inbetriebnahme von Routern und Switches ist eine Reihe von wichtigen
Sicherheitsmanahmen zu bercksichtigen. Unsichere Default-Konfigurationen von Netzkomponenten
stellen oft ein erhebliches Sicherheitsrisiko dar. Deswegen muss die Konfiguration bei der
Inbetriebnahme berprft und angepasst werden.
Bei der Inbetriebnahme von Routern und Switches spielt neben der Dokumentation der
Systemkonfiguration (siehe M 2.281 Dokumentation der Systemkonfiguration von Routern und
Switches) die sichere Einrichtung der Systeme eine groe Rolle (siehe M 4.201 Sichere lokale
Grundkonfiguration von Routern und Switches und M 4.202 Sichere Netz-Grundkonfiguration von
Routern und Switches). Beim Einsatz von Routern muss zudem darauf geachtet werden, dass die
Routing-Protokolle sicher eingesetzt werden. Abhngig vom Einsatzzweck sollten auf Routern Access
Control Lists (ACLs) konfiguriert werden (siehe M 5.111 Einrichtung von Access Control Lists auf
Routern).
Router werden auerdem oft zur sicheren Einwahl und zur Etablierung von virtuellen privaten Netzen
(VPNs) verwendet. Bei der Einrichtung von VLANs auf Switches sind einige Sicherheitsaspekte zu
bercksichtigen. Zusammenfassend ist in M 4.203 Konfigurations-Checkliste fr Router und Switches
eine Checkliste zur sicheren Konfiguration von Routern und Switches dokumentiert.
- Sicherer Betrieb von Routern und Switches
Hinweise zum sicheren Betrieb von Routern und Switches finden sich in M 2.282 Regelmige
Kontrolle von Routern und Switches , M 2.283 Software-Pflege auf Routern und Switches und M 6.91
Datensicherung und Recovery bei Routern und Switches gegeben. Aspekte der Protokollierung auf
Routern und Switches werden in M 4.205 Protokollierung bei Routern und Switches beschrieben.
Sicherheitsaspekte, die im Fall einer Strung wichtig sind, werden in M 6.92 Notfallvorsorge bei
Routern und Switches beschrieben.
- Sicherheitsaspekte bei der Auerbetriebnahme von Routern und Switches
Gespeicherte Konfigurationsdateien und Log-Dateien auf Routern und Switches verraten
Informationen ber die Netzstruktur. Bei der Auerbetriebnahme aktiver Netzkomponenten sind die
Hinweise aus M 2.284 Sichere Auerbetriebnahme von Routern und Switches zu bercksichtigen.
Nachfolgend sind die beim Einsatz von Routern und Switches zu bercksichtigenden Manahmen
aufgelistet:
Infrastruktur:
- M 1.43 (1) Gesicherte Aufstellung aktiver Netzkomponenten
Organisation:
- M 2.276 (opt) Funktionsweise eines Routers
- M 2.277 (opt) Funktionsweise eines Switches
- M 2.278 (opt) Typische Einsatzszenarien von Routern und Switches
- M 2.279 (1) Erstellung einer Sicherheitsrichtlinie fr Router und Switches
- M 2.280 (3) Kriterien fr die Beschaffung und geeignete Auswahl von Routern und Switches
- M 2.281 (2) Dokumentation der Systemkonfiguration von Routern und Switches
- M 2.282 (1) Regelmige Kontrolle von Routern und Switches
- M 2.283 (2) Software-Pflege auf Routern und Switches

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 246
Router und Switches 7.11
_________________________________________________________________________________________

- M 2.284 (3) Sichere Auerbetriebnahme von Routern und Switches


Personal:
- M 3.38 (2) Administratorenschulung fr Router und Switches
Hardware/Software
- M 4.201 (1) Sichere lokale Grundkonfiguration von Routern und Switches
- M 4.202 (1) Sichere Netz-Grundkonfiguration von Routern und Switches
- M 4.203 (1) Konfigurations-Checkliste fr Router und Switches
- M 4.204 (1) Sichere Administration von Routern und Switches
- M 4.205 (2) Protokollierung bei Routern und Switches
- M 4.206 (3) Sicherung von Switch-Ports

- M 5.111 (3) Einrichtung von Access Control Lists auf Routern


- M 5.112 (3) Sicherheitsaspekte von Routing-Protokollen

- M 6.91 (2) Datensicherung und Recovery bei Routern und Switches


- M 6.92 (2) Notfallvorsorge bei Routern und Switches

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 247
Telekommunikation 8
_________________________________________________________________________________________

8 Telekommunikation
IT-Grundschutz wird fr folgende Einsatzfelder der Telekommunikation definiert:

8.1 TK-Anlage
8.2 Faxgert
8.3 Anrufbeantworter
8.4 LAN-Anbindung eines IT-Systems ber ISDN
8.5 Faxserver
8.6 Mobiltelefon
8.7 PDA

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 248
TK-Anlage 8.1
_________________________________________________________________________________________

8.1 TK-Anlage
Beschreibung
Die private, digitale ISDN-Telekommunikations-Anlage
(TK-Anlage) stellt sowohl eine Kommunikationsbasis fr
den eigenen Bereich als auch die Schnittstelle zum
ffentlichen Netz dar. Sie dient der bertragung von
Sprache und Bildern (Fax) und in zunehmendem Ma als
LAN bzw. LAN-Koppler sowie als bertragungsmedium
fr elektronische Mailsysteme. Bei der Nutzung als LAN
ist das Kapitel 6.1 Servergesttztes Netz zu beachten.
Es wird davon ausgegangen, dass ein Verantwortlicher
fr die TK-Anlage benannt ist, der die grundstzlichen Sicherheitsentscheidungen fllen und
Sicherheitsmanahmen initiieren kann.
Gefhrdungslage
Fr den IT-Grundschutz einer TK-Anlage werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.7 Unzulssige Temperatur und Luftfeuchte
Organisatorische Mngel:
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Menschliche Fehlhandlungen:
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.7 Ausfall der TK-Anlage durch Fehlbedienung
Technisches Versagen:
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.11 Vertraulichkeitsverlust in TK-Anlagen gespeicherter Daten
- G 5.12 Abhren von Telefongesprchen und Datenbertragungen
- G 5.13 Abhren von Rumen
- G 5.14 Gebhrenbetrug
- G 5.15 "Neugierige" Mitarbeiter
- G 5.16 Gefhrdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefhrdung bei Wartungsarbeiten durch externes Personal
- G 5.44 Missbrauch von Remote-Zugngen fr Managementfunktionen von TK-Anlagen

Es werden hier solche Gefhrdungen betrachtet, die die Funktionsfhigkeit einer Institution beein-
trchtigen knnen. Datenschutzrechtliche Erwgungen stehen somit nicht im Vordergrund. Diesen
wird bereits zu groen Teilen durch bestehende Betriebs- bzw. Dienstvereinbarungen Rechnung getra-
gen. Gleichwohl trgt der IT-Grundschutz natrlich auch zum Schutz der personenbezogenen Daten
bei.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 249
TK-Anlage 8.1
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Die zentralen Einrichtungen einer TK-Anlage sollten in einem Raum aufgestellt werden, der den
Anforderungen an einen Serverraum (Kapitel 4.3.2) oder einen Raum fr technische Infrastruktur
(Kapitel 4.3.4) gengt. Fr die Verkabelung der TK-Anlage wird auf Kapitel 4.2 hingewiesen.
Nachfolgend wird das Manahmenbndel fr den Bereich "TK-Anlage" vorgestellt:
Infrastruktur:
- M 1.2 (2) Regelungen fr Zutritt zu Verteilern
- M 1.9 (2) Brandabschottung von Trassen
- M 1.12 (2) Vermeidung von Lagehinweisen auf schtzenswerte Gebudeteile
- M 1.13 (3) Anordnung schtzenswerter Gebudeteile
- M 1.22 (2) Materielle Sicherung von Leitungen und Verteilern (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.25 (2) berspannungsschutz (optional)
- M 1.27 (2) Klimatisierung (optional)
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung (optional)
- M 1.30 (2) Absicherung der Datentrger mit TK-Gebhrendaten
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.27 (1) Verzicht auf Fernwartung der TK-Anlage (optional)
- M 2.28 (3) Bereitstellung externer TK-Beratungskapazitt (optional)
- M 2.29 (2) Bedienungsanleitung der TK-Anlage fr die Benutzer
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.105 (1) Beschaffung von TK-Anlagen
Personal:
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.12 (2) Information aller Mitarbeiter ber mgliche TK-Warnanzeigen, -symbole und -
tne
- M 3.13 (2) Sensibilisierung der Mitarbeiter fr mgliche TK-Gefhrdungen
Hardware/Software:
- M 4.5 (2) Protokollierung der TK-Administrationsarbeiten
- M 4.6 (2) Revision der TK-Anlagenkonfiguration
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.8 (1) Schutz des TK-Bedienplatzes
- M 4.10 (2) Passwortschutz fr TK-Endgerte
- M 4.11 (2) Absicherung der TK-Anlagen-Schnittstellen
- M 4.12 (1) Sperren nicht bentigter TK-Leistungsmerkmale
- M 4.62 (2) Einsatz eines D-Kanal-Filters (optional)
Kommunikation:
- M 5.14 (1) Absicherung interner Remote-Zugnge

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 250
TK-Anlage 8.1
_________________________________________________________________________________________

- M 5.15 (1) Absicherung externer Remote-Zugnge


Notfallvorsorge:
- M 6.10 (2) Notfall-Plan fr DF-Ausfall
- M 6.26 (2) Regelmige Datensicherung der TK-Anlagen-Konfigurationsdaten
- M 6.28 (3) Vereinbarung ber Lieferzeiten "lebensnotwendiger" TK-Baugruppen (optional)
- M 6.29 (2) TK-Basisanschluss fr Notrufe (optional)
- M 6.30 (3) Katastrophenschaltung (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 251
Faxgert 8.2
_________________________________________________________________________________________

8.2 Faxgert
Beschreibung
Betrachtet wird die Informationsbermittlung in Form
eines Faksimile (Fax). Fr die Manahmenauswahl im
Bereich IT-Grundschutz wurde nicht nach dem
verwendeten bertragungsstandard (z. B. CCITT Gruppe
3) unterschieden. In diesem Baustein werden als
technische Basis des Faxversands ausschlielich
marktbliche Stand-Alone-Faxgerte betrachtet, nicht
jedoch Fax-Einschubkarten oder Faxserver (siehe Kapitel
8.5 Faxserver).
Gefhrdungslage
Fr den IT-Grundschutz werden bei der Informationsbermittlung per Fax folgende typische
Gefhrdungen angenommen:
Organisatorische Mngel
- G 2.20 Unzureichende oder falsche Versorgung mit Verbrauchsgtern
Menschliche Fehlhandlungen:
- G 3.14 Fehleinschtzung der Rechtsverbindlichkeit eines Fax
Technisches Versagen:
- G 4.14 Verblassen spezieller Faxpapiere
- G 4.15 Fehlerhafte Faxbertragung
Vorstzliche Handlungen:
- G 5.7 Abhren von Leitungen
- G 5.30 Unbefugte Nutzung eines Faxgertes oder eines Faxservers
- G 5.31 Unbefugtes Lesen von Faxsendungen
- G 5.32 Auswertung von Restinformationen in Faxgerten und Faxservern
- G 5.33 Vortuschen eines falschen Absenders bei Faxsendungen
- G 5.34 Absichtliches Umprogrammieren der Zieltasten eines Faxgertes
- G 5.35 berlastung durch Faxsendungen

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen. Nachfolgend wird das
Manahmenbndel fr den Bereich "Faxgert" vorgestellt:
Infrastruktur:
- M 1.37 (1) Geeignete Aufstellung eines Faxgertes
Organisation:
- M 2.47 (2) Ernennung eines Fax-Verantwortlichen
- M 2.48 (2) Festlegung berechtigter Faxbediener (optional)
- M 2.48 (2) Festlegung berechtigter Faxbediener (optional)
- M 2.49 (2) Beschaffung geeigneter Faxgerte
- M 2.50 (2) Geeignete Entsorgung von Fax-Verbrauchsgtern und -Ersatzteilen
- M 2.51 (3) Fertigung von Kopien eingehender Faxsendungen (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 252
Faxgert 8.2
_________________________________________________________________________________________

- M 2.52 (3) Versorgung und Kontrolle der Verbrauchsgter


- M 2.53 (3) Abschalten des Faxgertes auerhalb der Brozeiten (optional)
Personal:
- M 3.15 (1) Informationen fr alle Mitarbeiter ber die Faxnutzung
Hardware/Software:
- M 4.36 (2) Sperren bestimmter Faxempfnger-Rufnummern (optional)
- M 4.37 (3) Sperren bestimmter Absender-Faxnummern (optional)
- M 4.43 (2) Faxgert mit automatischer Eingangskuvertierung (optional)
Kommunikation:
- M 5.24 (1) Nutzung eines geeigneten Faxvorblattes
- M 5.25 (2) Nutzung von Sende- und Empfangsprotokollen
- M 5.26 (2) Telefonische Ankndigung einer Faxsendung (optional)
- M 5.27 (2) Telefonische Rckversicherung ber korrekten Faxempfang (optional)
- M 5.28 (2) Telefonische Rckversicherung ber korrekten Faxabsender (optional)
- M 5.29 (2) Gelegentliche Kontrolle programmierter Zieladressen und Protokolle
Notfallvorsorge:
- M 6.39 (3) Auflistung von Hndleradressen zur Fax-Wiederbeschaffung (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 253
Anrufbeantworter 8.3
_________________________________________________________________________________________

8.3 Anrufbeantworter
Beschreibung
Betrachtet werden Anrufbeantworter, die zustzlich zum
Telefon an das lokale Haus-Telefonnetz angeschlossen
werden knnen. Sie dienen blicherweise der Aufzeich-
nung eingehender Gesprche oder Nachrichten in
gesprochener Form, wenn der Angerufene nicht erreich-
bar ist. Technisch unterscheiden sich diese Gerte durch
unterschiedliche Aufzeichnungsweisen: vollstndig
analog aufzeichnende Gerte, vollstndig digital
aufzeichnende Gerte und Kombinationsformen. Insbe-
sondere das heute verbreitete Leistungsmerkmal der
Fernabfrage legt es nahe, Anrufbeantworter als IT-System aufzufassen, wobei gerade die Fernabfrage
ein erhebliches Gefhrdungspotential darstellen kann.

Gefhrdungslage
Fr den IT-Grundschutz eines Anrufbeantworters werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.5 Fehlende oder unzureichende Wartung
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Menschliche Fehlhandlungen:
- G 3.15 Fehlbedienung eines Anrufbeantworters
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.18 Entladene oder beralterte Notstromversorgung im Anrufbeantworter
- G 4.19 Informationsverlust bei erschpftem Speichermedium
Vorstzliche Handlungen:
- G 5.36 Absichtliche berlastung des Anrufbeantworters
- G 5.37 Ermitteln des Sicherungscodes
- G 5.38 Missbrauch der Fernabfrage

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Anrufbeantworter" vorgestellt.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 254
Anrufbeantworter 8.3
_________________________________________________________________________________________

Infrastruktur:
- M 1.23 (3) Abgeschlossene Tren (optional)
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.4 (3) Regelungen fr Wartungs- und Reparaturarbeiten (optional)
- M 2.11 (2) Regelung des Passwortgebrauchs
- M 2.54 (1) Beschaffung geeigneter Anrufbeantworter
- M 2.55 (1) Einsatz eines Sicherungscodes (optional)
- M 2.56 (1) Vermeidung schutzbedrftiger Informationen auf dem Anrufbeantworter
- M 2.57 (2) Regelmiges Abhren und Lschen aufgezeichneter Gesprche
- M 2.58 (3) Begrenzung der Sprechdauer (optional)
Personal:
- M 3.16 (2) Einweisung in die Bedienung des Anrufbeantworters
Hardware/Software:
- M 4.38 (1) Abschalten nicht bentigter Leistungsmerkmale
- M 4.39 (3) Abschalten des Anrufbeantworters bei Anwesenheit (optional)
Notfallvorsorge:
- M 6.40 (3) Regelmige Batterieprfung/-wechsel (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 255
LAN-Anbindung eines IT-Systems ber ISDN 8.4
_________________________________________________________________________________________

8.4 LAN-Anbindung eines IT-Systems


ber ISDN
Beschreibung
ISDN (Integrated Services Digital Network) ist ein digi-
tales Telekommunikationsnetz, ber das verschiedene
Dienste, wie Telefon und Telefax, genutzt sowie Daten
und Bilder bertragen werden knnen.
In diesem Kapitel wird die Anbindung eines abgesetzten
IT-Systems an ein lokales Netz ber ein ffentliches
ISDN-Netz betrachtet. Hierbei erfolgt die Anbindung auf
Seiten des abgesetzten IT-Systems mittels einer ISDN-
Adapterkarte mit S0-Schnittstelle. Die Anbindung des LAN wird ber einen Router hergestellt, der
ber eine S2M-Schnittstelle mit einem ffentlichen ISDN-Netz verbunden ist.
Diese Form der Anbindung eines entfernt stehenden IT-Systems kommt typischerweise fr die
Anbindung von Telearbeitspltzen in Betracht.
Gefhrdungslage
Fr den Grundschutz werden die folgenden Gefhrdungen als typisch fr die LAN-Anbindung eines
IT-Systems ber ISDN angenommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
- G 1.10 Ausfall eines Weitverkehrsnetzes
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.24 Vertraulichkeitsverlust schutzbedrftiger Daten des zu schtzenden Netzes
- G 2.32 Unzureichende Leitungskapazitten
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.13 bertragung falscher oder nicht gewnschter Datenstze
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
Technisches Versagen:
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.25 Nicht getrennte Verbindungen
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 256
LAN-Anbindung eines IT-Systems ber ISDN 8.4
_________________________________________________________________________________________

- G 5.8 Manipulation an Leitungen


- G 5.9 Unberechtigte IT-Nutzung
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.14 Gebhrenbetrug
- G 5.16 Gefhrdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefhrdung bei Wartungsarbeiten durch externes Personal
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.25 Maskerade
- G 5.26 Analyse des Nachrichtenflusses
- G 5.39 Eindringen in Rechnersysteme ber Kommunikationskarten
- G 5.48 IP-Spoofing
- G 5.61 Missbrauch von Remote-Zugngen fr Managementfunktionen von Routern
- G 5.62 Missbrauch von Ressourcen ber abgesetzte IT-Systeme
- G 5.63 Manipulationen ber den ISDN-D-Kanal

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
In diesem Kapitel steht die Gewhrleistung einer sicheren Kommunikation im Vordergrund. Die fr
die kommunizierenden IT-Systeme weiterhin erforderlichen Manahmen sind den jeweiligen Kapiteln
(fr das LAN siehe Kapitel 6, fr das entfernt stehende IT-System siehe Kapitel 5) zu entnehmen.
Nachfolgend wird das Manahmenbndel fr den Bereich LAN-Anbindung eines IT-Systems ber
ISDN vorgestellt.
Infrastruktur:
- M 1.43 (2) Gesicherte Aufstellung aktiver Netzkomponenten,
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.42 (1) Festlegung der mglichen Kommunikationspartner
- M 2.46 (2) Geeignetes Schlsselmanagement
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.106 (2) Auswahl geeigneter ISDN-Karten in der Beschaffung
- M 2.107 (2) Dokumentation der ISDN-Karten-Konfiguration
- M 2.108 (2) Verzicht auf Fernwartung der ISDN-Netzkoppelelemente (optional)
- M 2.109 (1) Rechtevergabe fr den Fernzugriff
- M 2.204 (1) Verhinderung ungesicherter Netzzugnge
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.34 (1) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.59 (1) Deaktivieren nicht bentigter ISDN-Karten-Funktionalitten
- M 4.60 (1) Deaktivieren nicht bentigter ISDN-Router-Funktionalitten
- M 4.61 (1) Nutzung vorhandener Sicherheitsmechanismen der ISDN-Komponenten

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 257
LAN-Anbindung eines IT-Systems ber ISDN 8.4
_________________________________________________________________________________________

- M 4.62 (2) Einsatz eines D-Kanal-Filters (optional)


Kommunikation:
- M 5.29 (2) Gelegentliche Kontrolle programmierter Zieladressen und Protokolle
- M 5.32 (1) Sicherer Einsatz von Kommunikationssoftware
- M 5.47 (1) Einrichten einer Closed User Group (optional)
- M 5.48 (1) Authentisierung mittels CLIP/COLP
- M 5.49 (1) Callback basierend auf CLIP/COLP
- M 5.50 (1) Authentisierung mittels PAP/CHAP

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 258
Faxserver 8.5
_________________________________________________________________________________________

8.5 Faxserver
Beschreibung
Betrachtet wird die Informationsbermittlung in Form
eines Faksimile (Fax). Fr die Manahmenauswahl im
Bereich IT-Grundschutz wird nicht nach dem
verwendeten bertragungsstandard (z. B. CCITT
Gruppe 3) unterschieden. In diesem Baustein werden als
technische Basis des Fax-Verkehrs ausschlielich
Faxserver betrachtet. Ein Faxserver in diesem Sinne ist
eine Applikation, die auf einem IT-System installiert ist
und in einem Netz fr andere IT-Systeme die Dienste
Faxversand und/oder Faxempfang zur Verfgung stellt.
Faxserver werden in der Regel in bereits bestehende E-Mailsysteme integriert. So ist es u. a. mglich,
dass eingehende Fax-Dokumente durch den Faxserver per E-Mail an den Benutzer zugestellt werden.
Abzusendende Dokumente werden entweder ber eine Druckerwarteschlange oder per E-Mail an den
Faxserver bergeben. Durch die Integration des Faxservers in ein E-Mail-System ist es auch mglich,
"Serienbriefe" wahlweise per Fax und per E-Mail zu versenden. Sofern ein Adressat ber einen E-
Mail-Zugang verfgt, erhlt er die Nachricht kostengnstig per E-Mail, ansonsten per Fax. Das von
einem Faxserver gesendete oder empfangene Dokument ist eine Grafik-Datei, die nicht unmittelbar in
Textverarbeitungssystemen weiterverarbeitet werden kann. Mglich ist aber auf jeden Fall die
Archivierung. Dies kann durch die Faxserver-Software oder auch in Dokumentenmanagement-
systemen erfolgen.
Faxserver gibt es fr eine Reihe von Betriebssystemen wie z. B. fr verschiedene Unix-Derivate,
Microsoft Windows NT und Novell Netware. berlegungen zu Gefhrdungen und Manahmen, die
durch das jeweils verwendete Betriebssystem bedingt werden, sind nicht Gegenstand dieses Bausteins.
Vielmehr sind hierzu das Kapitel 6.1 und das jeweils betriebssystemspezifische Kapitel
durchzuarbeiten.
Faxserver verfgen hufig zustzlich ber den Binary-Transfer-Mode. Hiermit werden beliebige
Daten, die nicht im Fax-Format vorliegen, bertragen. Es handelt sich dabei nicht um
Faxbertragungen. Daher werden spezielle Gefhrdungen und Manahmen, die diesen Dienst
betreffen, nicht in diesem Kapitel betrachtet. Wird der Binary-Transfer-Mode zugelassen, so ist
zustzlich Kapitel 7.2 Modem zu bearbeiten.

Gefhrdungslage
Fr den IT-Grundschutz werden bei der Informationsbermittlung per Fax mittels eines Faxservers
folgende typische Gefhrdungen angenommen:
Organisatorische Mngel
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.63 Ungeordnete Faxnutzung
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.14 Fehleinschtzung der Rechtsverbindlichkeit eines Fax

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 259
Faxserver 8.5
_________________________________________________________________________________________

Technisches Versagen:
- G 4.15 Fehlerhafte Faxbertragung
- G 4.20 Datenverlust bei erschpftem Speichermedium
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.27 Nichtanerkennung einer Nachricht
- G 5.30 Unbefugte Nutzung eines Faxgertes oder eines Faxservers
- G 5.31 Unbefugtes Lesen von Faxsendungen
- G 5.32 Auswertung von Restinformationen in Faxgerten und Faxservern
- G 5.33 Vortuschen eines falschen Absenders bei Faxsendungen
- G 5.35 berlastung durch Faxsendungen
- G 5.39 Eindringen in Rechnersysteme ber Kommunikationskarten
- G 5.90 Manipulation von Adressbchern und Verteillisten

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Zunchst sollte eine bergreifende Sicherheitsleitlinie fr den Faxserver erarbeitet werden (siehe
M 2.178 Erstellung einer Sicherheitsleitlinie fr die Faxnutzung) und ein geeigneter Faxserver
beschafft werden (siehe M 2.181 Auswahl eines geeigneten Faxservers). Hieraus mssen Regelungen
abgeleitet werden. Schlielich sind Verantwortliche fr den Einsatz des Faxservers zu benennen (siehe
M 3.10 Auswahl eines vertrauenswrdigen Administrators und Vertreters und M 2.180 Einrichten
einer Fax-Poststelle). Sowohl die Sicherheitsleitlinie als auch die daraus folgenden Regelungen und
die Benennung von Verantwortlichen sollte schriftlich erfolgen. Die dort erarbeiteten Festlegungen
sollten sodann in konkrete Sicherheitsmanahmen umgesetzt werden. Neben dem sicheren Betrieb des
Faxservers ist von besonderer Bedeutung, dass von den Benutzern die entsprechenden
Sicherheitsvorkehrungen und Anweisungen eingehalten werden.
Nachfolgend wird das Manahmenbndel fr die Applikation "Faxserver" vorgestellt:

Organisation:
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.64 (1) Kontrolle der Protokolldateien
- M 2.178 (1) Erstellung einer Sicherheitsleitlinie fr die Faxnutzung
- M 2.179 (1) Regelungen fr den Faxserver-Einsatz
- M 2.180 (1) Einrichten einer Fax-Poststelle
- M 2.181 (1) Auswahl eines geeigneten Faxservers
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.15 (1) Informationen fr alle Mitarbeiter ber die Faxnutzung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 260
Faxserver 8.5
_________________________________________________________________________________________

Hardware/Software:
- M 4.36 (2) Sperren bestimmter Faxempfnger-Rufnummern (optional)
- M 4.37 (2) Sperren bestimmter Absender-Faxnummern (optional)
Kommunikation:
- M 5.24 (1) Nutzung eines geeigneten Faxvorblattes
- M 5.25 (2) Nutzung von Sende- und Empfangsprotokollen
- M 5.26 (2) Telefonische Ankndigung einer Faxsendung (optional)
- M 5.27 (2) Telefonische Rckversicherung ber korrekten Faxempfang (optional)
- M 5.28 (2) Telefonische Rckversicherung ber korrekten Faxabsender (optional)
- M 5.73 (1) Sicherer Betrieb eines Faxservers
- M 5.74 (1) Pflege der Faxserver-Adressbcher und der Verteillisten
- M 5.75 (1) Schutz vor berlastung des Faxservers
Notfallvorsorge:
- M 6.69 (1) Notfallvorsorge und Ausfallsicherheit bei Faxservern

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 261
Mobiltelefon 8.6
_________________________________________________________________________________________

8.6 Mobiltelefon
Beschreibung
Mobiltelefone sind inzwischen nicht mehr wegzu-
denkende Bestandteile der Kommunikationsinfrastruktur
geworden. Damit stellt sich die Frage nach deren sicheren
Nutzung.
In diesem Kapitel werden digitale Mobilfunksysteme
nach dem GSM-Standard (D- und E-Netze) betrachtet.
Um deren sicheren Einsatz zu gewhrleisten, mssen
verschiedene Komponenten und deren Zusammenspiel
betrachtet werden (siehe Bild):
- Mobiltelefon
- Basisstation
- Festnetz

Mobiltelefon
Ein Mobiltelefon besteht aus zwei Komponenten: Dem Mobilfunkgert selbst und dem Identifi-
kationsmodul, der SIM-Karte (SIM - Subscriber Identity Module). Damit kann im GSM-Netz
zwischen Benutzer und Gert unterschieden werden.
Das Mobilfunkgert ist gekennzeichnet durch seine international eindeutige Seriennummer (IMEI
- International Mobile Equipment Identity). Der Benutzer wird durch seine auf der SIM-Karte gespei-
cherten Kundennummer (IMSI - International Mobile Subscriber Identity) identifiziert. Sie wird dem
Teilnehmer beim Vertragsabschluss vom Netzbetreiber zugeteilt. Sie ist zu unterscheiden von den ihm
zugewiesenen Telefonnummern (MSISDN). Durch diese Trennung ist es mglich, dass ein Teil-
nehmer mit seiner SIM-Karte verschiedene Mobilfunkgerte nutzen kann.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 262
Mobiltelefon 8.6
_________________________________________________________________________________________

Auf der SIM-Karte wird u. a. die teilnehmerbezogene Rufnummer (MSISDN) gespeichert. Ebenso
sind dort die kryptographischen Algorithmen fr die Authentisierung und Nutzdatenverschlsselung
implementiert. Darber hinaus knnen dort Kurznachrichten, Gebhreninformationen und ein
persnliches Telefonbuch gespeichert werden.
SIM-Toolkit
Seit 1999 sind Mobiltelefone und SIM-Karten auf dem Markt, bei denen die Menfunktionen der
Mobiltelefone erweitert wurden. Dieser neue Standard "SIM-Toolkit" definiert neue Funktionen
zwischen SIM-Karte und Mobilfunkgert. Damit knnen im laufenden Betrieb neue Daten und
Programme vom Netzbetreiber heruntergeladen werden. Mit SIM-Toolkit lassen sich so ganz neue
Serviceangebote realisieren. Beispielsweise bietet es dem Kartenanbieter die Mglichkeit, die Men-
struktur des Mobiltelefons den Bedrfnissen der Kunden anzupassen. Mchte der Kunde ber sein
Mobiltelefon eine Hotelreservierung vornehmen oder eine Reise buchen, wird die Menstruktur des
Mobiltelefons vom Serviceanbieter entsprechend angepasst. Dafr mssen allerdings sowohl Karte als
auch Gert den Standard "SIM-Toolkit" untersttzen.
Basisstation
Jeder Netzbetreiber unterhlt eine Vielzahl von Sendestationen (BTS - Base Station Transceiver
System). Jede dieser Stationen kann ein Gebiet mit einem Radius von ca. 250 m bis 35 km versorgen,
je nach Sendeleistung und Gelndebeschaffenheit. Das Versorgungsgebiet einer Sendestation wird als
Funkzelle bezeichnet. Mehrere Funkzellen werden von einer Kontrollstation (BSC - Base Station
Controller) gesteuert. Der Verbund von Sendestationen und Kontrollstation heit wiederum Base
Station Subsystem (BSS) oder kurz Basisstation.
Die Basisstation stellt also die Schnittstelle zwischen dem Netz und dem Mobiltelefon dar. Hier
werden die Kanle fr die Signalisierung und den Nutzverkehr bereitgestellt. Die Basisstation wird
ber den Vermittlungsknoten (MSC) gesteuert. Dieser Vermittlungsknoten bernimmt alle tech-
nischen Funktionen eines Festnetz-Vermittlungsknotens, wie z. B. Wegsuche, Signalwegschaltung
und Dienstmerkmalsbearbeitung. Falls Verbindungswnsche zu einem Teilnehmer im Festnetz beste-
hen, werden sie vom Vermittlungsknoten ber einen Koppelpfad (GMSC) ins Festnetz weitergeleitet.
Als Besonderheit im GSM-Netz gegenber dem Festnetz kann die Verschlsselung der Daten auf der
Luftschnittstelle, d. h. zwischen Mobiltelefon und Basisstation, angesehen werden. Dies soll den
Teilnehmer gegen unbefugtes Mithren schtzen.
Register
Damit der Netzbetreiber in die Lage versetzt wird, auch alle gewnschten Dienste zu erbringen, muss
er verschiedene Daten speichern. Er muss z. B. wissen, welche Teilnehmer sein Netz nutzen und
welche Dienste sie in Anspruch nehmen wollen. Diese Daten, wie Teilnehmer, Kundennummer und
beanspruchte Dienste, werden im Heimatregister (HLR - Home Location Register) abgelegt. Soll eine
Verbindung, z. B. von einem Festnetzanschluss zu einem Mobiltelefon, hergestellt werden, muss der
Netzbetreiber wissen, wo sich der Teilnehmer befindet und ob er sein Mobiltelefon eingeschaltet hat.
Diese Informationen werden im Besucher- (VLR) und im Heimatregister (HLR) abgelegt. Um zu
prfen, ob der Teilnehmer berhaupt berechtigt ist, das Mobilfunknetz zu nutzen (also einen Karten-
vertrag besitzt), fhrt der Netzbetreiber das Identifikationsregister (AUC). Hier werden der Sicher-
heitscode der SIM-Karte sowie die vom Teilnehmer festgelegten PINs abgelegt.
Auerdem kann der Netzbetreiber noch ein Gerteregister, das EIR, fhren. Hier sind alle im Netz
zugelassenen Mobilfunkgerte registriert, aufgeteilt in drei Gruppen, den so genannten weien, grauen
und schwarzen Listen. In der weien Liste sind alle unbedenklichen Gerte registriert, die graue Liste
enthlt alle Gerte, die mglicherweise fehlerhaft sind und in der schwarzen Liste stehen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 263
Mobiltelefon 8.6
_________________________________________________________________________________________

all jene, die defekt oder als gestohlen gemeldet sind. Allerdings fhren nicht alle Netzbetreiber ein
Gerteregister.
Damit der Netzbetreiber eine detaillierte Abrechnung der durch den Kunden in Anspruch
genommenen Dienste erstellen kann, mssen die Verbindungsdaten gespeichert werden. Hierzu
gehren z. B. Angaben ber Kommunikationspartner (z. B. Rufnummern des Angerufenen), Zeitpunkt
und Dauer der Verbindung und die Standortkennungen der mobilen Endgerte.
Verbindungsaufbau
Sobald der Besitzer sein Mobiltelefon einschaltet, meldet es sich ber die nchstgelegene Basisstation
beim Netzbetreiber an. Mit seiner SIM-Karte und den darauf befindlichen kryptographischen Algo-
rithmen identifiziert sich der Teilnehmer gegenber dem Netzbetreiber. Die Authentikation erfolgt mit
Hilfe eines Schlssels, der nur dem Netzbetreiber und dem Teilnehmer bekannt ist. Beim Netz-
betreiber werden Daten zur Identitt des Nutzers, die Seriennummer des Mobiltelefons und die
Kennung der Basisstation, ber die seine Anmeldung erfolgt ist, protokolliert und gespeichert. Dies
erfolgt auch dann, wenn kein Gesprch gefhrt wird. Weiterhin wird jeder Verbindungsversuch
gespeichert, unabhngig vom Zustandekommen der Verbindung. Damit ist dem Netz bekannt, welcher
Teilnehmer sich im Netz befindet, und es knnen nun Verbindungen von und zum Teilnehmer
aufgebaut werden.
Festnetz
Als Festnetz wird das herkmmliche ffentliche Telefonnetz mit seinen Verbindungswegen bezeich-
net.
Da bei jeder Mobilfunkverbindung auch Festnetze benutzt werden, treten eine Reihe von Festnetz-
Gefhrdungen auch bei der Nutzung von Mobilfunknetzen auf. Der leitungsgebundene Teil eines
GSM-Netzes ist ein Spezialfall eines ISDN-Netzes. Daher sind auch die Gefhrdungen und Manah-
men, die fr ISDN gelten, grtenteils fr GSM relevant. Fr den Bereich des Datenaustausches ber
GSM ist daher Kapitel 8.4 LAN-Anbindung eines IT-Systems ber ISDN zu betrachten.
In diesem Kapitel werden diejenigen IT-Sicherheitseigenschaften von Mobiltelefonen betrachtet, die
fr die Anwender bei deren Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden,
wie ein Konzept zum Einsatz von Mobiltelefonen innerhalb einer Organisation erstellt und wie dessen
Umsetzung und Einbettung sichergestellt werden kann.
Gefhrdungslage
Fr den IT-Grundschutz werden im Rahmen der Nutzung von Mobiltelefonen folgende typische
Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
- G 3.45 Unzureichende Identifikationsprfung von Kommunikationspartnern
Technisches Versagen:
- G 4.41 Nicht-Verfgbarkeit des Mobilfunknetzes
- G 4.42 Ausfall des Mobiltelefons oder des PDAs

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 264
Mobiltelefon 8.6
_________________________________________________________________________________________

Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.80 Hoax
- G 5.94 Kartenmissbrauch
- G 5.95 Abhren von Raumgesprchen ber Mobiltelefone
- G 5.96 Manipulation von Mobiltelefonen
- G 5.97 Unberechtigte Datenweitergabe ber Mobiltelefone
- G 5.98 Abhren von Mobiltelefonaten
- G 5.99 Auswertung von Verbindungsdaten bei der Nutzung von Mobiltelefonen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Um Mobiltelefone sicher und effektiv einsetzen zu knnen, sollte zunchst die Mobiltelefon-Nutzung
in der Behrde bzw. im Unternehmen geregelt und Sicherheitsrichtlinien dafr erarbeitet werden
(siehe M 2.188 Sicherheitsrichtlinien und Regelungen fr die Mobiltelefon-Nutzung).
Nachfolgend wird das Manahmenbndel fr den Einsatz von Mobiltelefonen vorgestellt.
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.22 (3) Hinterlegen des Passwortes
- M 2.188 (1) Sicherheitsrichtlinien und Regelungen fr die Mobiltelefon-Nutzung
- M 2.189 (1) Sperrung des Mobiltelefons bei Verlust
- M 2.190 (2) Einrichtung eines Mobiltelefon-Pools (optional)
Hardware/Software:
- M 4.114 (1) Nutzung der Sicherheitsmechanismen von Mobiltelefonen
- M 4.115 (2) Sicherstellung der Energieversorgung von Mobiltelefonen
Kommunikation:
- M 5.78 (3) Schutz vor Erstellen von Bewegungsprofilen bei der Mobiltelefon-Nutzung
(optional)
- M 5.79 (3) Schutz vor Rufnummernermittlung bei der Mobiltelefon-Nutzung (optional)
- M 5.80 (3) Schutz vor Abhren der Raumgesprche ber Mobiltelefone (optional)
- M 5.81 (2) Sichere Datenbertragung ber Mobiltelefone
Notfallvorsorge:
- M 6.72 (2) Ausfallvorsorge bei Mobiltelefonen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 265
PDA 8.7
_________________________________________________________________________________________

8.7 PDA
Beschreibung
Dieser Baustein beschftigt sich mit handtellergroen,
mobilen Endgerten zur Datenerfassung, -bearbeitung
und -kommunikation, die im folgenden der einfacheren
Lesbarkeit halber alle als PDAs (Personal Digital
Assistant) bezeichnet werden. Diese gibt es in verschie-
denen Gerteklassen, die sich nach Abmessungen und
Leistungsmerkmalen unterscheiden, dazu gehren unter
anderem:
- Organizer, um Adressen und Termine zu verwalten.
- PDAs ohne eigene Tastatur, bei denen die Dateneingabe ber das Display erfolgt (mittels Stift).
Der primre Einsatzzweck ist das Erfassen und Verwalten von Terminen, Adressen und kleinen
Notizen.
- PDAs, bei denen die Dateneingabe ber eine eingebaute Tastatur und/oder einen Touchscreen
erfolgt. Diese sollen neben dem Erfassen und Verwalten von Terminen, Adressen und kleinen
Notizen auch die Bearbeitung von E-Mail ermglichen.
- PDAs mit integriertem Mobiltelefon, sogenannte Smartphones, die damit eine eingebaute Schnitt-
stelle zur Datenbertragung besitzen. Beim Einsatz von Smartphones ist zustzlich Kapitel 8.6
Mobiltelefon umzusetzen.
- Den bergang zu "echten" Notebooks stellen sogenannte Sub-Notebooks dar, die wesentlich klei-
ner als normale Notebooks sind und daher beispielsweise weniger Peripheriegerte und
Anschlussmglichkeiten bieten, die aber unter anderem fr die Vorfhrung von Prsentationen
geeignet sind. Beim Einsatz von Sub-Notebooks ist der Baustein 5.3 Tragbarer PC umzusetzen.
Die bergnge zwischen den verschiedenen Gertetypen sind flieend und auerdem dem stndigen
Wandel der Technik unterworfen. PDA- und Mobiltelefon-Funktionalitten werden in zunehmendem
Ma kombiniert.
Eine typische Anforderungen an PDAs ist die Nutzung von Standard-Office-Anwendungen, auch
unterwegs. Zum Teil werden hierfr angepasste Varianten von Textverarbeitungs-, Tabellenkalku-
lations-, E-Mail- bzw. Kalenderprogrammen angeboten. PDAs werden aber auch zunehmend fr
sicherheitskritische Applikationen eingesetzt, wie beispielsweise die Nutzung als Authentisierungs-
token fr Zugriffe auf Unternehmensnetze (z. B. Generierung von Einmalpasswrtern), Speicherung
von Patientendaten oder die Fhrung von Kundenkarteien.
In diesem Kapitel werden diejenigen IT-Sicherheitseigenschaften von PDAs betrachtet, die fr die
Anwender bei deren Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden, wie ein
Konzept zum Einsatz von PDAs innerhalb einer Organisation erstellt und wie dessen Umsetzung und
Einbettung sichergestellt werden kann.
Gefhrdungslage
Fr den IT-Grundschutz werden im Rahmen der Nutzung von PDAs folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.15 Beeintrchtigung durch wechselnde Einsatzumgebung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 266
PDA 8.7
_________________________________________________________________________________________

Organisatorische Mngel:
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
- G 3.45 Unzureichende Identifikationsprfung von Kommunikationspartnern
- G 3.76 Fehler bei der Synchronisation mobiler Endgerte
Technisches Versagen:
- G 4.42 Ausfall des Mobiltelefons oder des PDAs
- G 4.51 Unzureichende Sicherheitsmechanismen bei PDAs
- G 4.52 Datenverlust bei mobilem Einsatz
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.9 Unberechtigte IT-Nutzung
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.23 Computer-Viren
- G 5.123 Abhren von Raumgesprchen ber mobile Endgerte
- G 5.124 Missbrauch der Informationen von mobilen Endgerten
- G 5.125 Unberechtigte Datenweitergabe ber mobile Endgerte
- G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgerten
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Im Rahmen des PDA-Einsatzes sind eine Reihe von Manahmen umzusetzen, beginnend mit der Kon-
zeption ber die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die
Manahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgefhrt.
1. Um PDAs sicher und effektiv in Behrden oder Unternehmen einsetzen zu knnen, sollte ein Kon-
zept erstellt werden, das auf den Sicherheitsanforderungen fr die bereits vorhandenen IT-Systeme
sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Darauf aufbauend ist die
PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafr zu erarbeiten (siehe M 2.304 Sicherheits-
richtlinien und Regelungen fr die PDA-Nutzung).
2. Fr die Beschaffung von PDAs mssen die aus dem Konzept resultierenden Anforderungen an die
jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getrof-
fen werden (siehe M 2.305 Geeignete Auswahl von PDAs).
3. Je nach Sicherheitsanforderungen mssen die beteiligten Software-Komponenten (PDA, Synchro-
nisationssoftware, Software zum zentralen PDA-Management) unterschiedlich konfiguriert
werden. Dies betrifft vor allem die PDAs selber (siehe M 4.228 Nutzung der Sicherheits-
mechanismen von PDAs), die Synchronisationsumgebung (siehe M 4.229 Sicherer Betrieb von
PDAs) und gegebenenfalls spezielle Software zum zentralen PDA-Management.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 267
PDA 8.7
_________________________________________________________________________________________

Damit PDAs sicher eingesetzt werden knnen, mssen auch damit gekoppelte Arbeitsplatz-Rechner
und hier vor allem die Synchronisationsschnittstelle sicher konfiguriert sein. Geeignete IT-Sicher-
heitsempfehlungen fr Standard-Arbeitsplatz-PCs sind in den Bausteinen des Kapitels 5 beschrieben.
Nachfolgend wird das Manahmenbndel fr den Einsatz von PDAs vorgestellt.
Infrastruktur:
- M 1.33 (1) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
Organisation:
- M 2.218 (2) Regelung der Mitnahme von Datentrgern und IT-Komponenten
- M 2.303 (1) Festlegung einer Strategie fr den Einsatz von PDAs
- M 2.304 (1) Sicherheitsrichtlinien und Regelungen fr die PDA-Nutzung
- M 2.305 (3) Geeignete Auswahl von PDAs
- M 2.306 (3) Verlustmeldung
Hardware/Software:
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.31 (2) Sicherstellung der Energieversorgung im mobilen Einsatz
- M 4.228 (1) Nutzung der Sicherheitsmechanismen von PDAs
- M 4.229 (3) Sicherer Betrieb von PDAs
- M 4.230 (3) Zentrale Administration von PDAs
- M 4.231 (3) Einsatz zustzlicher Sicherheitswerkzeuge fr PDAs
- M 4.232 (3) Sichere Nutzung von Zusatzspeicherkarten
Kommunikation:
- M 5.121 (2) Sichere Kommunikation von unterwegs
Notfallvorsorge:
- M 6.95 (2) Ausfallvorsorge und Datensicherung bei PDAs

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 268
Sonstige IT-Komponenten 9
_________________________________________________________________________________________

9 Sonstige IT-Komponenten
In diesem Kapitel werden IT-Grundschutzmanahmen in den nachfolgend aufgezhlten Bausteinen
vorgestellt.

9.1 Standardsoftware
9.2 Datenbanken
9.3 Telearbeit
9.4 Novell eDirectory
9.5 Archivierung

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 269
Standardsoftware 9.1
_________________________________________________________________________________________

9.1 Standardsoftware
Beschreibung
Unter Standardsoftware wird Software verstanden, die
auf dem Markt angeboten wird und im Allgemeinen ber
den Fachhandel, z. B. ber Kataloge, erworben werden
kann. Sie zeichnet sich dadurch aus, dass sie vom
Anwender selbst installiert werden soll und dass nur
geringer Aufwand fr die anwenderspezifische
Anpassung notwendig ist.
In diesem Kapitel wird eine Vorgehensweise fr den
Umgang mit Standardsoftware unter Sicherheits-
gesichtspunkten dargestellt. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet:
Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe,
Installation, Lizenzverwaltung und Deinstallation.
Das Qualittsmanagementsystem des Entwicklers der Standardsoftware fllt nicht in den
Anwendungsbereich dieses Kapitels. Es wird vorausgesetzt, dass die Entwicklung der Software unter
Beachtung gngiger Qualittsstandards erfolgte.
Die beschriebene Vorgehensweise dient der Orientierung, um einen Sicherheitsprozess bezglich
Standardsoftware zu etablieren. Gegebenenfalls kann die hier aufgezeigte Vorgehensweise auch zum
Vergleich mit einem bereits eingefhrten Verfahren herangezogen werden.

Gefhrdungslage
Fr den IT-Grundschutz von "Standardsoftware" werden die folgenden typischen Gefhrdungen
betrachtet:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
- G 2.27 Fehlende oder unzureichende Dokumentation
- G 2.28 Verste gegen das Urheberrecht
- G 2.29 Softwaretest mit Produktionsdaten
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.38 Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.22 Software-Schwachstellen oder -Fehler
Vorstzliche Handlungen:
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 270
Standardsoftware 9.1
_________________________________________________________________________________________

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Baustein "Standardsoftware" vorgestellt. Je nach
Art und Umfang der jeweiligen Standardsoftware muss erwogen werden, ob einzelne Manahmen nur
reduziert umgesetzt werden. Die Manahmen M 2.79 bis M 2.89 stellen in der angegebenen
Reihenfolge eine umfassende Beschreibung dar, wie der Lebenszyklus von Standardsoftware gestaltet
werden kann. Sie werden durch die anderen genannten Manahmen ergnzt.
Organisation:
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.35 (1) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.66 (2) Beachtung des Beitrags der Zertifizierung fr die Beschaffung
- M 2.79 (1) Festlegung der Verantwortlichkeiten im Bereich Standardsoftware
- M 2.80 (1) Erstellung eines Anforderungskatalogs fr Standardsoftware
- M 2.81 (1) Vorauswahl eines geeigneten Standardsoftwareproduktes
- M 2.82 (1) Entwicklung eines Testplans fr Standardsoftware
- M 2.83 (1) Testen von Standardsoftware
- M 2.84 (1) Entscheidung und Entwicklung der Installationsanweisung fr Standardsoftware
- M 2.85 (1) Freigabe von Standardsoftware
- M 2.86 (2) Sicherstellen der Integritt von Standardsoftware
- M 2.87 (2) Installation und Konfiguration von Standardsoftware
- M 2.88 (2) Lizenzverwaltung und Versionskontrolle von Standardsoftware
- M 2.89 (3) Deinstallation von Standardsoftware
- M 2.90 (2) berprfung der Lieferung
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
Hardware/Software:
- M 4.34 (2) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.78 (2) Sorgfltige Durchfhrung von Konfigurationsnderungen
Notfallvorsorge:
- M 6.21 (3) Sicherungskopie der eingesetzten Software (optional)

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 271
Datenbanken 9.2
_________________________________________________________________________________________

9.2 Datenbanken
Beschreibung
Datenbanksysteme (DBS) sind ein weithin akzeptiertes
Hilfsmittel zur rechnergesttzten Organisation, Erzeu-
gung, Manipulation und Verwaltung groer Datensamm-
lungen. Ein DBS besteht aus dem so genannten Daten-
bankmanagement-System (DBMS) und einer gewissen
Anzahl von Datenbanken. Eine Datenbank ist eine
Sammlung von Daten, welche Fakten ber eine spezielle
Anwendung der realen Welt reprsentiert. Das DBMS
fungiert dabei als Schnittstelle zwischen den Benutzern
und einer Datenbank. Es stellt sicher, dass die Benutzer
auf ihre Daten effizient und unter zentralisierter Kontrolle zugreifen knnen, und dass die Daten
dauerhaft vorhanden sind.
Der Einsatz von Datenbankmanagement-Systemen in der IT ist inzwischen nicht mehr wegzudenken.
Die Flut von Daten, die erfasst, verarbeitet und ausgewertet werden mssen, kann ohne ein DBMS
nicht mehr bewltigt werden. Die Konzeption einer Datenbank und eines DBMS basiert auf einem so
genannten Datenbankmodell. Nachfolgend werden die wichtigsten Datenbankmodelle kurz
beschrieben:
Hierarchisches Datenbankmodell
Es ist die lteste existierende Variante und wird auch als Datenbankmodell der ersten Generation
bezeichnet. Die Organisation der Datenbank erfolgt in Form einer Baumstruktur. Die Knoten bzw.
Bltter einer solchen Struktur sind Dateien. Ein Knoten/Blatt hat genau einen Vorgnger. Der Zugriff
auf die Daten erfolgt immer sequentiell. Die Zugriffspfade sind durch die Baumstruktur (bzw. Datei-
struktur) festgelegt.
Relationales Datenbankmodell
Das relationale Datenbankmodell basiert auf einer strikten Trennung von Daten und Zugriffsmglich-
keiten. Die Daten werden in Form von Tabellen abgelegt, wobei eine Zeile einem Datensatz entspricht
(dieser wird Tupel genannt) und eine Spalte einem Attribut des Datensatzes. Tupel knnen nun mit
anderen Tupeln aus anderen Tabellen in einer Beziehung stehen, was durch entsprechende Relationen
gekennzeichnet wird. Im Gegensatz zum hierarchischen sind dem relationalen Datenbankmodell keine
Grenzen hinsichtlich der Zugriffsmglichkeiten auf Daten gesetzt.
Die in allen relationalen Datenbanksystemen zur Verfgung stehende Datenbanksprache ist SQL
(Standard Query Language), die durch die ISO standardisiert ist.
Objektorientiertes Datenbankmodell
Objektorientierte Datenbankmodelle stellen eine Erweiterung klassischer Datenbankmodelle dar und
verwenden einen objektorientierten (OO) Ansatz. Dieser zeichnet sich dadurch aus, dass Objekte mit
hnlichen Eigenschaften zu Klassen zusammengefasst und diese wiederum zu Klassenhierarchien
gruppiert werden knnen. Nur definierte Methoden knnen die Objekte verndern, und der Mecha-
nismus der Vererbung von Methoden und Attributen ist dabei ein zentraler Punkt des OO-Ansatzes.
Weiterhin sind neben den Standarddatentypen wie z. B. "Integer" oder "Character" auch Typkonstruk-
tore mglich, so dass komplexe Werte definiert werden knnen.
Dieses Kapitel bercksichtigt ausschlielich Datenbanken, die auf dem relationalen Datenbankmodell
basieren, da dies das derzeit am meisten verbreitete Datenbankmodell ist.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 272
Datenbanken 9.2
_________________________________________________________________________________________

Ein Datenbanksystem steht im allgemeinen nicht nur einem Benutzer exklusiv zur Verfgung, sondern
es muss die parallele Verarbeitung verschiedener Benutzerauftrge (so genannte Transaktionen)
ermglichen und dabei einen gewissen Grad an Fehlertoleranz gewhrleisten. Wesentlich dafr ist die
Einhaltung der folgenden vier Eigenschaften, die unter dem ACID-Prinzip bekannt sind:
- Atomaritt (Atomicity)
Eine Transaktion wird aus der Sicht des Benutzers nur vollstndig oder gar nicht ausgefhrt. Sollte
es bei der Ausfhrung zu einem Fehler bzw. Abbruch kommen, werden alle bereits gettigten
nderungen an der Datenbank wieder zurckgenommen. Dies wird durch geeignete Recovery-
Mechanismen des Datenbanksystems sichergestellt.
- Konsistenz (Consistency)
Alle Integrittsbedingungen der Datenbank werden eingehalten, d. h. eine Transaktion berfhrt
eine Datenbank immer von einem konsistenten Zustand in einen anderen konsistenten Zustand.
Dies kann u. a. durch eine geeignete Synchronisationskontrolle des Datenbanksystems gewhr-
leistet werden.
- Isolation (Isolation)
Jede Transaktion luft isoliert von anderen Transaktionen ab und ist in jeder Hinsicht unabhngig
von anderen. Dazu gehrt auch, dass jeder Transaktion nur diejenigen Daten aus der Datenbank zur
Verfgung gestellt werden, die Teil eines konsistenten Zustands sind.
- Persistenz (Durability)
Falls eine Transaktion erfolgreich beendet und dies dem Benutzer auch gemeldet wurde, berleben
die in der Datenbank erzeugten Effekte (falls es solche gibt) jeden danach auftretenden Hard- oder
Softwarefehler (es sei denn, die Festplatte mit der Datenbank wird zerstrt).
Diese Eigenschaften muss das Transaktionssystem des DBMS gewhrleisten, was mittlerweile bis auf
wenige Ausnahmen von allen kommerziellen DBMSen erfllt wird.
Datenbanksysteme stellen Standardsoftware dar, d. h. sie werden von den unterschiedlichsten Herstel-
lern auf dem Markt angeboten. Soll eine Datenbank zur Verarbeitung von Daten eingesetzt werden, so
ist im ersten Schritt eine geeignete Standardsoftware auszuwhlen. Die zugehrigen Gefhrdungen
und Manahmen aus dem Kapitel 9.1 Standardsoftware sind deshalb zustzlich zu beachten.
Datenbanken knnen nicht losgelst von der Umgebung betrachtet werden, in der sie eingesetzt
werden. Ein Stand-alone PC ist ebenso denkbar, wie ein Grorechnerumfeld oder vernetzte Unix-
Systeme. Dementsprechend sind in Abhngigkeit des Einsatzumfeldes die Gefhrdungen und
Manahmen der Kapitel 5 Nicht Vernetzte Systeme, Kapitel 6 Vernetzte Systeme und Kapitel 7
Datenbertragungseinrichtungen zu bercksichtigen. Auf eine Wiederholung von Gefhrdungen und
Manahmen dieser Kapitel wird hier aus Redundanzgrnden verzichtet, es sei denn, sie sind von
besonderer Wichtigkeit.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 273
Datenbanken 9.2
_________________________________________________________________________________________

Gefhrdungslage
Fr den IT- Grundschutz von Datenbanken werden die folgenden Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
Organisatorische Mngel:
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
- G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen
- G 2.39 Komplexitt eines DBMS
- G 2.40 Komplexitt des Datenbankzugangs/-zugriffs
- G 2.41 Mangelhafte Organisation des Wechsels von Datenbank-Benutzern
- G 2.57 Nicht ausreichende Speichermedien fr den Notfall
Menschliche Fehlhandlungen:
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.23 Fehlerhafte Administration eines DBMS
- G 3.24 Unbeabsichtigte Datenmanipulation
Technisches Versagen:
- G 4.26 Ausfall einer Datenbank
- G 4.27 Unterlaufen von Zugriffskontrollen ber ODBC
- G 4.28 Verlust von Daten einer Datenbank
- G 4.29 Datenverlust einer Datenbank bei erschpftem Speichermedium
- G 4.30 Verlust der Datenbankintegritt/-konsistenz
Vorstzliche Handlungen:
- G 5.9 Unberechtigte IT-Nutzung
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.64 Manipulation an Daten oder Software bei Datenbanksystemen
- G 5.65 Verhinderung der Dienste eines Datenbanksystems

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben umzusetzen.
Es ist sinnvoll, den Datenbank-Server in einem separaten Serverraum aufzustellen. Zu realisierende
Manahmen sind in Kapitel 4.3.2 beschrieben. Sollte ein als Bro genutzter Raum gleichzeitig als
Serverraum dienen mssen, so sind zustzlich die in Kapitel 4.3.1 beschriebenen Manahmen zu
realisieren.
Wird der Datenbank-Server in einem Schutzschrank aufgestellt, ist auch das Kapitel 4.4 Schutz-
schrnke zu beachten.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 274
Datenbanken 9.2
_________________________________________________________________________________________

Darber hinaus sind im Bereich Datenbanken im wesentlichen die folgenden Schritte durchzufhren:
1. Anforderungen an die Datenbank-Software ermitteln
Zu Beginn muss ein Anforderungskatalog fr Standardsoftware erstellt werden, so dass eine geeig-
nete Datenbank-Software ausgewhlt werden kann (M 2.80 und M 2.124).
2. Schulung der Administratoren
Bevor die Datenbank-Software produktiv eingesetzt werden kann, sollten die zustndigen
Administratoren zum Betrieb des Datenbanksystems geschult werden (M 3.11). Dies sollte nach
Mglichkeit bereits vor deren Beschaffung geschehen.
3. Erstellung eines Datenbankkonzeptes
Vor dem Einsatz der Datenbank-Software sollte ein Datenbankkonzept erstellt werden, welches
sowohl die Installation und Konfiguration der Datenbank-Software selbst, ein ausreichendes
Benutzerkonzept, als auch die anwendungsspezifische Datenbank beinhalten sollte. Je nach Volu-
men und Einsatzbereich der Datenbank, sowie der gewhlten Datenbank-Standardsoftware kann
ein solches Konzept sehr umfangreich sein (M 2.125, M 2.129, M 2.128 und M 2.126).
4. Betrieb der Datenbank
Die Inbetriebnahme und der eigentliche Betrieb des Datenbanksystems bedeuten neben der
Umsetzung des Konzeptes eine permanente Kontrolle des DBMS, um die Verfgbarkeit, die
Datenintegritt sowie den Schutz vertraulicher Daten sicherstellen zu knnen. Die hierfr
wichtigsten Manahmen betreffen die Punkte Dokumentation (M 2.25, M 2.31, M 2.34),
Administration (M 2.130, M 2.133 und die aufgefhrten Manahmen fr Hard- und Software)
sowie Nutzung der Datenbank (M 2.65, M 3.18).
5. Notfallvorsorge
Neben den allgemein zu diesem Komplex gehrenden Manahmen gilt es insbesondere, die daten-
bankspezifischen Gegebenheiten zu bercksichtigen, um bei einem System- respektive Daten-
bankcrash den Anforderungen hinsichtlich des verkraftbaren Datenverlusts sowie der Wiederan-
laufzeit der Datenbank zu gengen (M 6.32, M 6.49, M 6.50).
Nachfolgend wird das Manahmenbndel fr den Bereich Datenbanken vorgestellt.
Organisation:
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.31 (1) Dokumentation der zugelassenen Benutzer und Rechteprofile
- M 2.34 (1) Dokumentation der Vernderungen an einem bestehenden System
- M 2.65 (2) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
- M 2.80 (1) Erstellung eines Anforderungskatalogs fr Standardsoftware
- M 2.111 (2) Bereithalten von Handbchern
- M 2.124 (1) Geeignete Auswahl einer Datenbank-Software
- M 2.125 (1) Installation und Konfiguration einer Datenbank
- M 2.126 (1) Erstellung eines Datenbanksicherheitskonzeptes
- M 2.127 (2) Inferenzprvention
- M 2.128 (1) Zugangskontrolle einer Datenbank
- M 2.129 (1) Zugriffskontrolle einer Datenbank
- M 2.130 (1) Gewhrleistung der Datenbankintegritt
- M 2.131 (1) Aufteilung von Administrationsttigkeiten bei Datenbanksystemen
- M 2.132 (1) Regelung fr die Einrichtung von Datenbankbenutzern/-benutzergruppen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 275
Datenbanken 9.2
_________________________________________________________________________________________

- M 2.133 (2) Kontrolle der Protokolldateien eines Datenbanksystems


- M 2.134 (2) Richtlinien fr Datenbank-Anfragen
- M 2.135 (3) Gesicherte Datenbernahme in eine Datenbank
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.18 (2) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfllung
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.67 (3) Sperren und Lschen nicht bentigter Datenbank-Accounts
- M 4.68 (1) Sicherstellung einer konsistenten Datenbankverwaltung
- M 4.69 (2) Regelmiger Sicherheitscheck der Datenbank
- M 4.70 (3) Durchfhrung einer Datenbankberwachung
- M 4.71 (2) Restriktive Handhabung von Datenbank-Links
- M 4.72 (2) Datenbank-Verschlsselung (optional)
- M 4.73 (2) Festlegung von Obergrenzen fr selektierbare Datenstze
Kommunikation:
- M 5.58 (1) Installation von ODBC-Treibern
Notfallvorsorge:
- M 6.32 (1) Regelmige Datensicherung
- M 6.48 (2) Verhaltensregeln nach Verlust der Datenbankintegritt
- M 6.49 (1) Datensicherung einer Datenbank
- M 6.50 (1) Archivierung von Datenbestnden
- M 6.51 (3) Wiederherstellung einer Datenbank

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 276
Telearbeit 9.3
_________________________________________________________________________________________

9.3 Telearbeit
Beschreibung
Unter Telearbeit versteht man im allgemeinen
Ttigkeiten, die rumlich entfernt vom Standort des
Arbeit- bzw. Auftraggebers durchgefhrt werden, deren
Erledigung durch eine kommunikationstechnische
Anbindung an die IT des Arbeit- bzw. Auftraggebers
untersttzt wird.
Es gibt unterschiedliche Formen von Telearbeit wie z. B.
Telearbeit in Satellitenbros, Nachbarschaftsbros,
mobile Telearbeit sowie Telearbeit in der Wohnung des
Arbeitnehmers. Bei der letzteren unterscheidet man zwischen ausschlielicher Teleheimarbeit und
alternierender Telearbeit, d. h. der Arbeitnehmer arbeitet teilweise im Bro und teilweise zu Hause.
Dieses Kapitel konzentriert sich auf die Formen der Telearbeit, die teilweise oder ganz im huslichen
Umfeld durchgefhrt werden. Es wird davon ausgegangen, dass zwischen dem Arbeitsplatz zu Hause
und der Institution eine Telekommunikationsverbindung besteht, die den Austausch von Daten oder
ggf. auch den Zugriff auf Daten in der Institution ermglicht.
Die Manahmenempfehlungen dieses Kapitels umfassen vier verschiedene Bereiche:
- die Organisation der Telearbeit,
- den Telearbeitsrechner des Telearbeiters,
- die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und
- der Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners.
Die in diesem Kapitel aufgefhrten Manahmenempfehlungen konzentrieren sich auf zustzliche
Sicherheitsanforderungen fr ein IT-System, das fr die Telearbeit eingesetzt wird. Insbesondere fr
die technischen Anteile der Telearbeit (Telearbeitsrechner, Kommunikationsverbindung und
Kommunikationsrechner) werden sicherheitstechnische Anforderungen formuliert, die bei der
konkreten Ausgestaltung durch geeignete IT-Systeme realisiert werden mssen. Fr das eingesetzte
IT-System muss weiterhin der entsprechende Baustein aus Kapitel 5 betrachtet werden sowie die in
Kapitel 4.5 fr den huslichen Arbeitsplatzes erforderlichen Manahmen.

Gefhrdungslage
Fr den IT-Grundschutz der Telearbeit werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.5 Fehlende oder unzureichende Wartung
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.8 Unkontrollierter Einsatz von Betriebsmitteln

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 277
Telearbeit 9.3
_________________________________________________________________________________________

- G 2.22 Fehlende Auswertung von Protokolldaten


- G 2.24 Vertraulichkeitsverlust schutzbedrftiger Daten des zu schtzenden Netzes
- G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter
- G 2.50 Verzgerungen durch temporr eingeschrnkte Erreichbarkeit der Telearbeiter
- G 2.51 Mangelhafte Einbindung des Telearbeiters in den Informationsfluss
- G 2.52 Erhhte Reaktionszeiten bei IT-Systemausfall
- G 2.53 Unzureichende Vertretungsregelungen fr Telearbeit
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.13 bertragung falscher oder nicht gewnschter Datenstze
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.30 Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners
Technisches Versagen:
- G 4.13 Verlust gespeicherter Daten
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.43 Makro-Viren
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen

Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Eine ausreichend sichere Form der Telearbeit wird nur erreicht, wenn IT-Sicherheitsmanahmen aus
mehreren Bereichen ineinandergreifen und sich ergnzen. Wird einer dieser Bereiche vernachlssigt,
ist eine sichere Telearbeit nicht mehr mglich. Die einzelnen Bereiche und wesentlichen Manahmen
sind:
- Infrastrukturelle Sicherheit des Telearbeitsplatzes: Manahmen, die am Telearbeitsplatz zu
beachten sind, werden im Kapitel 4.5 Huslicher Arbeitsplatz beschrieben.
- Organisation der Telearbeit: sichere Telearbeit setzt organisatorische Regelungen und personelle
Manahmen voraus. Diese werden nachfolgend unter den Oberbegriffen "Organisation" und

_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 278
Telearbeit 9.3
_________________________________________________________________________________________

"Personal" beschrieben. Besonders zu beachten sind die Verpflichtungen des Telearbeiters, seine
Einweisung und die Nutzungsregelungen der Kommunikation. Sie sind in den folgenden
Manahmen beschrieben
- M 2.113 (2) Regelungen fr Telearbeit
- M 2.116 (1) Geregelte Nutzung der Kommunikationsmglichkeiten
- M 2.117 (1) Regelung der Zugriffsmglichkeiten des Telearbeiters
- M 3.21 (1) Sicherheitstechnische Einweisung und Fortbildung des Telearbeiters
- Sicherheit des Telearbeitsrechners: der Telearbeitsrechner muss so gestaltet sein, dass im
unsicheren Einsatzumfeld eine sichere Nutzung mglich ist. Insbesondere darf nur eine autorisierte
Person den Telearbeitsrechner offline und online nutzen knnen. Die notwendigen Manahmen
sind unter dem Oberbegriff "Hardware/Software" und "Notfallvorsorge" zusammengefasst. Dabei
sind insbesondere die Sicherheitsanforderungen aus M 4.63 Sicherheitstechnische Anforderungen
an den Telearbeitsrechner zu beachten.
- Sichere Kommunikation zwischen Telearbeitsrechner und Institution: da die Kommunikation ber
ffentliche Netze ausgefhrt wird, sind besondere Sicherheitsanforderungen fr die
Kommunikation zwischen Telearbeitsrechner und Institution zu erfllen. Sie sind in M 5.51
Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner -
Institution beschrieben. Fr die Anbindung des Telearbeitsrechners ber das ffentliche Netz ist
Kapitel 8.4 LAN-Anbindung eines IT-Systems ber ISDN zu beachten. Fr die Anbindung des
Telearbeitsrechners ber einen Remote-Access-Service (RAS) ist Kapitel 7.6 Remote Access zu
beachten.
- Sicherheit des Kommunikationsrechners der Institution: dieser Rechner stellt eine quasi ffentlich
zugngliche Schnittstelle dar, ber die der Telearbeiter die IT und die Daten der Institution nutzen
kann. Da hier ein Missbrauch durch Dritte verhindert werden muss, sind besondere
Sicherheitsanforderungen zu erfllen, die in M 5.52 Sicherheitstechnische Anforderungen an den
Kommunikationsrechner beschrieben sind.
Nachfolgend wird das Manahmenbndel fr den Bereich "Telearbeit" vorgestellt.
Organisation:
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.113 (2) Regelungen fr Telearbeit
- M 2.114 (2) Informationsfluss zwischen Telearbeiter und Institution
- M 2.115 (2) Betreuungs- und Wartungskonzept fr Telearbeitspltze
- M 2.116 (1) Geregelte Nutzung der Kommunikationsmglichkeiten
- M 2.117 (1) Regelung der Zugriffsmglichkeiten des Telearbeiters
- M 2.205 (1) bertragung und Abruf personenbezogener Daten
- M 2.241 (1) Durchfhrung einer Anforderungsanalyse fr den Telearbeitsplatz
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.21 (1) Sicherheitstechnische Einweisung und Fortbildung des Telearbeiters
- M 3.22 (2) Vertretungsregelung fr Telearbeit

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 279
Telearbeit 9.3
_________________________________________________________________________________________

Hardware/Software:
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.63 (1) Sicherheitstechnische Anforderungen an den Telearbeitsrechner
Kommunikation:
- M 5.51 (1) Sicherheitstechnische Anforderungen an die Kommunikationsverbindung
Telearbeitsrechner - Institution
- M 5.52 (1) Sicherheitstechnische Anforderungen an den Kommunikationsrechner
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation
Notfallvorsorge:
- M 6.13 (2) Erstellung eines Datensicherungsplans
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.32 (1) Regelmige Datensicherung
- M 6.38 (2) Sicherungskopie der bermittelten Daten
- M 6.47 (2) Aufbewahrung der Backup-Datentrger fr Telearbeit

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 280
Novell eDirectory 9.4
_________________________________________________________________________________________

9.4 Novell eDirectory


Beschreibung
Novell eDirectory ist ein komplexes und vielseitiges
Produkt, welches
- einerseits innerhalb eines Behrden- oder Unter-
nehmensnetzes das Management der eingebundenen
Ressourcen und deren Benutzer plattformbergreifend
bernehmen kann und
- andererseits auch als Internet-Informationsbasis mit
gesicherten und standardisierten Zugriffsmg-
lichkeiten via geeigneter Clients einsetzbar ist.
Diese beiden Szenarien ergeben vllig unterschiedliche Gefhrdungen fr den Einsatz und den Betrieb
eines solchen Systems. Vor allem eine Kombination dieser Einsatzszenarien stellt vom Standpunkt der
IT-Sicherheit eine Herausforderung dar.
Entsprechend muss fr die Sicherheit der in einem eDirectory-Verzeichnis gespeicherten Daten stets
auch die Sicherheit des zugrunde liegenden Betriebssystems mit bercksichtigt werden. Letzteres ist
jedoch nicht Bestandteil dieses Bausteins und es wird deshalb auf die entsprechenden Beschreibungen
zum sicheren Betrieb des genutzten Betriebssystems in Kapitel 6 des IT-Grundschutzhandbuchs ver-
wiesen.
eDirectory ist aus dem Verzeichnisdienst Novell Directory Services (NDS) hervorgegangen, das
Bestandteil des Betriebssystems Netware 4 war. Dies war seinerzeit die herausragende Neuerung
gegenber dem Betriebssystem Netware 3. Inzwischen positioniert Novell diese Verzeichnisdienste
als eigenstndiges Produkt eDirectory vollstndig unabhngig vom Netware-Betriebssystem.
eDirectory lsst sich dabei auf einer Vielzahl von Betriebssystemen installieren und betreiben. In der
Literatur und in den Quellen wird jedoch hufig weiterhin von "den Novell Directory Services"
gesprochen und NDS mit eDirectory synonym gesetzt.
In diesem Baustein wird speziell die eDirectory-Version 8.6 betrachtet, und zwar die englische
Version. Die Software untersttzt die Plattformen Netware, Windows NT/2000, Linux sowie Sun
Solaris.
eDirectory kann mit spezieller Clientsoftware verwendet werden, wie dem Novell Client fr die
Windows-Betriebssysteme. Diese Clients sind in den Bootvorgang des jeweiligen Rechners integriert
und bernehmen die Authentisierung der Benutzer gegen den Verzeichnisdienst eDirectory. Auch fr
Unix-Betriebssysteme (Linux, Solaris) gibt es eine hnliche Mglichkeit, die den Mechanismus der
Pluggable Authentication Modules (PAM) nutzt. Dabei kommen die Novell Account Management
Modules zum Einsatz. Auch hier werden Benutzer beim Login gegen den eDirectory-Verzeichnis-
dienst authentisiert.
Eine andere Mglichkeit bietet der Zugriff ber die LDAP-Schnittstelle. Durch die Verwendung dieser
standardisierten Schnittstelle ist die Nutzung des eDirectorys auch mit anderen Applikationen und
Systemen mglich. Fr den Einsatz im Internet ist generell das LDAP-Protokoll die Zugriffsmethode.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 281
Novell eDirectory 9.4
_________________________________________________________________________________________

Abbildung: Architekturskizze

Weiterhin bietet die eDirectory-Software eine Vielzahl von Tools, unter anderem den iMonitor, der
berwachungs- und Diagnosemglichkeiten ber die Server eines Verzeichnisdienstes von einem
Web-Browser aus zur Verfgung stellt.
Gefhrdungslage
Aufgrund der Vielzahl an Funktionen und der Komplexitt der Software ist ein eDirectory-Verzeich-
nisdienst einer Reihe von Gefhrdungen ausgesetzt. Hinzu kommen die Gefhrdungen, die das einge-
setzte Betriebssystem betreffen, insbesondere den allgemeinen Serverzugriff und das Dateisystem.
Fr den IT-Grundschutz eines Novell eDirectory-Systems werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
- G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen
- G 2.40 Komplexitt des Datenbankzugangs/-zugriffs
- G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory
- G 2.70 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im
Novell eDirectory
- G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 282
Novell eDirectory 9.4
_________________________________________________________________________________________

Menschliche Fehlhandlungen:
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.13 bertragung falscher oder nicht gewnschter Datenstze
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.33 Fehlbedienung von Kryptomodulen
- G 3.34 Ungeeignete Konfiguration des Managementsystems
- G 3.35 Server im laufenden Betrieb ausschalten
- G 3.36 Fehlinterpretation von Ereignissen
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.50 Fehlkonfiguration von Novell eDirectory
- G 3.51 Falsche Vergabe von Zugriffsrechten im Novell eDirectory
- G 3.52 Fehlkonfiguration des Intranet-Clientzugriffs auf Novell eDirectory
- G 3.53 Fehlkonfiguration des LDAP-Zugriffs auf Novell eDirectory
Technisches Versagen:
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.13 Verlust gespeicherter Daten
- G 4.33 Schlechte oder fehlende Authentikation
- G 4.34 Ausfall eines Kryptomoduls
- G 4.35 Unsichere kryptographische Algorithmen
- G 4.39 Software-Konzeptionsfehler
- G 4.44 Ausfall von Novell eDirectory
Vorstzliche Handlungen:
- G 5.16 Gefhrdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefhrdung bei Wartungsarbeiten durch externes Personal
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.64 Manipulation an Daten oder Software bei Datenbanksystemen
- G 5.65 Verhinderung der Dienste eines Datenbanksystems
- G 5.78 DNS-Spoofing
- G 5.81 Unautorisierte Benutzung eines Kryptomoduls
- G 5.82 Manipulation eines Kryptomoduls
- G 5.83 Kompromittierung kryptographischer Schlssel
Manahmenempfehlungen
Zur Umsetzung des IT-Grundschutzes wird empfohlen, die dazu notwendigen Manahmenbndel
gem den Kapiteln 2.3 und 2.4 durchzufhren.
Fr den Einsatz der eDirectory-Komponenten sollte bereits bei der Planung ein spezifisches IT-Sicher-
heitskonzept erstellt werden, welches sich konsistent in das bestehende organisationsweite IT-Sicher-
heitskonzept integrieren lsst. Das eDirectory-System muss so konfiguriert werden, dass bereits beste-
hende Sicherheitsanforderungen umgesetzt werden, und hat darber hinaus weitere, eDirectory-spezi-
fische Anforderungen durchzusetzen.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 283
Novell eDirectory 9.4
_________________________________________________________________________________________

Ein eDirectory-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, welche den
Zugriff auf das interne Netz von auen kontrollieren. Hierbei sind insbesondere Firewall-Systeme und
Systeme zur Fernwartung zu nennen, mit denen eDirectory zusammenarbeiten muss. Aus diesem
Grund sind bei der Durchfhrung der eDirectory-spezifischen Manahmen stets auch die entsprechen-
den Manahmen aus den jeweiligen Bausteinen zustzlich betroffener Systeme mit zu bercksichti-
gen. Neben den Bausteinen aus den Kapiteln 5 und 6 sind u. a. auch die folgenden Bausteine zu
nennen:
- 7.3 Firewall, sofern eDirectory-Systeme in einer Firewall-Umgebung eingesetzt werden
- 7.6 Remote Access , wenn der Zugriff auf das eDirectory-System ber Einwahlleitungen erfolgt
- 9.2 Datenbanken allgemein
Fr die sichere Implementierung eines eDirectory-Systems sind eine Reihe von Manahmen umzu-
setzen, beginnend mit der Planung ber die Installation bis hin zum Betrieb. Die einzelnen Schritte
sowie die jeweiligen Manahmen, die auf diesem Weg zu beachten sind, sind nachstehend zusammen-
gefasst:
1. Nach der Entscheidung, eDirectory als Verzeichnissystem einzusetzen, muss Software und eventu-
ell zustzlich bentigte Hardware beschafft werden. Da eDirectory verschiedene Einsatzmglich-
keiten zulsst (siehe oben), hngt die gegebenenfalls zu beschaffende Hardware von den geplanten
Einsatzszenarien ab. Daher sind folgende Manahmen zu ergreifen:
- Zunchst muss der Einsatz des eDirectory-Systems geplant werden (siehe Manahmen
M 2.236 Planung des Einsatzes von Novell eDirectory und M 2.237 Planung der
Partitionierung und Replikation im Novell eDirectory).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Manahme M 2.238
Festlegung einer Sicherheitsrichtlinie fr Novell eDirectory), die einerseits bereits
bestehende IT-Sicherheitsrichtlinien im Kontext von eDirectory umsetzt und gleichzeitig
eDirectory-spezifische Ergnzungen konsistent definiert.
- Vor der tatschlichen Verwendung des eDirectory-Systems im Regelbetrieb mssen die
Benutzer und Administratoren auf den Umgang mit dem Produkt geschult werden.
Insbesondere fr Administratoren empfiehlt sich eine intensive Beschftigung mit der
Materie, die auf einen umfassenden Kenntnisstand bezglich der Sicherheit der eingesetzten
Betriebssysteme aufsetzen sollte (siehe M 3.29 Schulung zur Administration von Novell
eDirectory ). Benutzern sollten die verfgbaren Sicherheitsmechanismen der eingesetzten
Clients detailliert vermittelt werden (siehe M 3.30 Schulung zum Einsatz von Novell
eDirectory Clientsoftware).
2. Nachdem die organisatorischen und planerischen Vorbereitungen durchgefhrt wurden, kann die
Installation des eDirectory-Systems erfolgen. Folgende Manahmen sind dabei zu ergreifen:
- Die Installation kann erst dann als abgeschlossen angesehen werden, wenn die eDirectory-
Systeme in einen sicheren Zustand berfhrt wurden ( M 4.153 Sichere Installation von
Novell eDirectory und siehe M 4.154 Sichere Installation der Novell eDirectory
Clientsoftware). Dadurch wird sichergestellt, dass in der anschlieenden
Konfigurationsphase nur berechtigte Administratoren auf das eDirectory-System zugreifen
knnen.
- Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des eDirectory-Systems,
siehe M 4.155 Sichere Konfiguration von Novell eDirectory , M 4.156 Sichere Konfiguration
der Novell eDirectory Clientsoftware, M 4.157 Einrichten von Zugriffsberechtigungen auf
Novell eDirectory sowie M 4.158 Einrichten des LDAP-Zugriffs auf Novell eDirectory.

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 284
Novell eDirectory 9.4
_________________________________________________________________________________________

3. Nach der Konfiguration und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Dabei
sind unter Sicherheitsgesichtspunkten folgende Aspekte zu beachten:
- Ein eDirectory-System ist in der Regel kontinuierlichen Vernderungen unterworfen.
Entsprechend mssen die sicherheitsrelevanten Konfigurationsparameter stndig angepasst
werden. Weiterhin hngt die Sicherheit bei einer verteilten Softwarearchitektur von der
Sicherheit smtlicher Teilsysteme ab. Dies gilt insbesondere fr die eDirectory-
Clientsoftware. Die fr den sicheren Betrieb relevanten Manahmen sind in M 4.159
Sicherer Betrieb von Novell eDirectory und M 4.160 berwachen von Novell eDirectory
sowie der Manahme zur Kommunikationssicherung (siehe M 5.97 Absicherung der
Kommunikation mit Novell eDirectory) zusammengefasst.
- Neben den Manahmen zur Absicherung des laufenden Betriebs sind auch die Manahmen
zur Notfallvorsorge von zentraler Bedeutung. Hinweise zu diesem Thema finden sich in
M 6.80 Erstellen eines Notfallplans fr den Ausfall eines Novell eDirectory
Verzeichnisdienstes sowie M 6.81 Erstellen von Datensicherungen fr Novell eDirectory.

Nachfolgend wird das Manahmenbndel fr den Baustein "Novell eDirectory" vorgestellt:


Infrastruktur:
- M 1.29 (1) Geeignete Aufstellung eines IT-Systems
Organisation:
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.46 (2) Geeignetes Schlsselmanagement (optional)
- M 2.236 (1) Planung des Einsatzes von Novell eDirectory
- M 2.237 (1) Planung der Partitionierung und Replikation im Novell eDirectory
- M 2.238 (1) Festlegung einer Sicherheitsrichtlinie fr Novell eDirectory
- M 2.239 (1) Planung des Einsatzes von Novell eDirectory im Intranet
- M 2.240 (1) Planung des Einsatzes von Novell eDirectory im Extranet
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.29 (1) Schulung zur Administration von Novell eDirectory
- M 3.30 (1) Schulung zum Einsatz von Novell eDirectory Clientsoftware
Hardware / Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.34 (2) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.153 (1) Sichere Installation von Novell eDirectory
- M 4.154 (1) Sichere Installation der Novell eDirectory Clientsoftware
- M 4.155 (1) Sichere Konfiguration von Novell eDirectory
- M 4.156 (1) Sichere Konfiguration der Novell eDirectory Clientsoftware
- M 4.157 (1) Einrichten von Zugriffsberechtigungen auf Novell eDirectory

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 285
Novell eDirectory 9.4
_________________________________________________________________________________________

- M 4.158 (2) Einrichten des LDAP-Zugriffs auf Novell eDirectory


- M 4.159 (1) Sicherer Betrieb von Novell eDirectory
- M 4.160 (1) berwachen von Novell eDirectory
Kommunikation:
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation
- M 5.97 (2) Absicherung der Kommunikation mit Novell eDirectory
Notfallvorsorge:
- M 6.20 (1) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.80 (1) Erstellen eines Notfallplans fr den Ausfall eines Novell eDirectory
Verzeichnisdienstes
- M 6.81 (1) Erstellen von Datensicherungen fr Novell eDirectory

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 286
Archivierung 9.5
_________________________________________________________________________________________

9.5 Archivierung
Beschreibung
Die Abbildung von Geschftsprozessen und -unterlagen
in elektronische Dokumente erfordert eine geeignete Ab-
lage der entstehenden Daten fr die sptere Verwendung,
deren Wiederfinden und Aufbereitung. Dies betrifft so-
wohl Datenstze als auch elektronische Reprsentationen
papierner Geschftsdokumente und Belege. Die dauer-
hafte und unvernderbare Speicherung von elektro-
nischen Dokumenten und anderen Daten wird als Archi-
vierung bezeichnet.
Die Archivierung ist als Teil eines
Dokumentenmanagement-Prozesses zu sehen. Neben der Erzeugung, Bearbeitung und Verwaltung
elektronischer Dokumente spielt die dauerhafte Speicherung (Archivierung) eine besondere Rolle,
denn es wird blicherweise erwartet, dass einerseits die Dokumente bis zum Ablauf einer
vorgegebenen Aufbewahrungsfrist verfgbar sind und andererseits deren Vertraulichkeit- und
Integritt gewahrt bleibt. Unter Umstnden sollen elektronische Dokumente zeitlich unbegrenzt
verfgbar sein.
Die technische Ausgestaltung dieses Prozesses erfolgt ber Dokumentenmanagement- und Archiv-
systeme (siehe Abbildung). In diesem Baustein werden ausschlielich elektronische Archivsysteme
betrachtet.

Die Spannweite der Realisierungsmglichkeiten eines solchen Archivsystems umfasst:


- kleine Archivsysteme, z. B. bestehend aus einen Archivserver mit angeschlossenem Massenspei-
cher (wie Festplatte oder Jukebox), bis hin zu
- komplexen, gegebenenfalls weltweit verteilten Archivsystemen zur organisationsweiten Archivie-
rung von relevanten Geschftsdaten, bestehend aus:
- zentralen Archivserver-Komponenten mit RAID-Systemen, Jukeboxen oder der Anbindung
an Storage Area Networks (SAN) fr das zentrale Speichern von Dateien,
- WORM-Medien fr die revisionssichere, unvernderbare Speicherung von Daten,
- Komponenten zur Indizierung von Dateien, Recherche und zur Umwandlung von Speicher-
formaten (Rendition),

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 287
Archivierung 9.5
_________________________________________________________________________________________

- dezentralen Cache-Servern fr den schnellen Zugriff auf hufig bentigte Daten,


- Client-Software, die einen direkten Zugriff auf Daten des Archivs erlaubt (z. B. auch aus
Office-Anwendungen heraus).
Es ist zweckmig, elektronische Archive gegenber Systemen zur Datensicherung abzugrenzen. Bei
einer Datensicherung werden Kopien der System- und Nutzdaten angelegt. Die gesicherten Daten
werden hierbei physikalisch vom IT-System getrennt und gefahrengeschtzt gelagert. Elektronische
Archive dagegen sind regelmig in den laufenden Systembetrieb eingebunden. Dabei werden bli-
cherweise groe Mengen von Nutzdaten (elektronischen Dokumenten) abgelegt, die aus dem elektro-
nischen Archivsystem heraus jederzeit abgerufen werden knnen. Bei besonderem Aufbau (z. B. die
redundante Auslegung der Speicherkomponenten und eine entsprechende rumliche Anordnung) kn-
nen grere Archivsysteme teilweise die Funktionalitt der Datensicherung (der Nutzdaten) berneh-
men.
In diesem Kapitel soll ein systematischer Weg aufgezeigt werden, wie ein Konzept zur elektronischen
Archivierung erstellt und wie der Aufbau eines Archivsystems und dessen Einbettung innerhalb eines
Unternehmens bzw. einer Behrde sichergestellt werden kann. Der Aufwand zur Erstellung und Um-
setzung eines solchen Konzepts ist nicht gering. Dieses Kapitel sollte immer dann angewandt werden,
wenn die zu archivierenden Daten langfristig fr die Behrde bzw. das Unternehmen relevant sind.
Gefhrdungslage
Fr die bei der elektronischen Archivierung zu betrachtenden Archivsysteme sowie die zugehrigen
Organisationsprozesse werden im Rahmen des IT-Grundschutzes die folgenden typischen Gefhrdun-
gen angenommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.9 Datenverlust durch starke Magnetfelder
- G 1.14 Datenverlust durch starkes Licht
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.72 Unzureichende Migration von Archivsystemen
- G 2.73 Fehlende Revisionsmglichkeit von Archivsystemen
- G 2.74 Unzureichende Ordnungskriterien fr Archive
- G 2.75 Mangelnde Kapazitt von Archivdatentrgern
- G 2.76 Unzureichende Dokumentation von Archivzugriffen
- G 2.77 Unzulngliche bertragung von Papierdaten in elektronische Archive
- G 2.78 Unzulngliche Auffrischung von Datenbestnden bei der Archivierung
- G 2.79 Unzureichende Erneuerung von digitalen Signaturen bei der Archivierung
- G 2.80 Unzureichende Durchfhrung von Revisionen bei der Archivierung
- G 2.81 Unzureichende Vernichtung von Datentrgern bei der Archivierung
- G 2.82 Fehlerhafte Planung des Aufstellungsortes von Archivsystemen
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.35 Server im laufenden Betrieb ausschalten
- G 3.54 Verwendung ungeeigneter Datentrger bei der Archivierung
- G 3.55 Versto gegen rechtliche Rahmenbedingungen beim Einsatz von Archivsystemen

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 288
Archivierung 9.5
_________________________________________________________________________________________

Technisches Versagen:
- G 4.7 Defekte Datentrger
- G 4.13 Verlust gespeicherter Daten
- G 4.20 Datenverlust bei erschpftem Speichermedium
- G 4.26 Ausfall einer Datenbank
- G 4.30 Verlust der Datenbankintegritt/-konsistenz
- G 4.31 Ausfall oder Strung von Netzkomponenten
- G 4.45 Verzgerte Archivauskunft
- G 4.46 Fehlerhafte Synchronisierung von Indexdaten bei der Archivierung
- G 4.47 Veralten von Kryptoverfahren
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.6 Anschlag
- G 5.29 Unberechtigtes Kopieren der Datentrger
- G 5.82 Manipulation eines Kryptomoduls
- G 5.83 Kompromittierung kryptographischer Schlssel
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.102 Sabotage
- G 5.105 Verhinderung der Dienste von Archivsystemen
- G 5.106 Unberechtigtes berschreiben oder Lschen von Archivmedien
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Darber hinaus wird die im Folgenden beschriebene Vorgehensweise fr die Einfhrung und den Be-
trieb von elektronischen Archivsystemen empfohlen. Bereits bei der Planung ist zu bercksichtigen,
dass die eingesetzten Archivsysteme und -medien im Lauf der Zeit technologisch und physikalisch
veralten werden. Daher schliet sich an eine Planungs- und Einfhrungs-/Betriebsphase eine Migrati-
onsphase an, in der das bestehende Archivsystem oder Teile davon durch neue Technologien und
Komponenten ersetzt werden. Die Migrationsphase umfasst auch die bertragung der archivierten
Daten und Dokumente in zuknftig verwendete Datenformate.

Die einzelnen Phasen und die darin umzusetzenden Manahmen sind nachfolgend kurz erlutert.
1. Planungsphase
In der Planungsphase muss die Zielsetzung , die mit dem Einsatz des Archivsystems verbunden ist,
formuliert werden (siehe M 2.242 Zielsetzung der elektronischen Archivierung). Hierbei mssen die
relevanten organisatorischen, rechtlichen und technischen Anforderungen ermittelt werden, wobei
auch abgeschtzt werden muss, wie sich die Anforderungen whrend der erwarteten Laufzeit des ein-

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 289
Archivierung 9.5
_________________________________________________________________________________________

zufhrenden Archivsystems entwickeln werden (siehe M 2.244, M 2.245 und M 2.246). Die Ergeb-
nisse mssen in einem Archivierungskonzept niedergelegt werden (siehe M 2.243).
2. Einfhrung und Betrieb
Bei der Einfhrung eines Archivsystems ist zunchst ein System auszuwhlen, das den ermittelten
Anforderungen gengt. Darber hinaus sind der Aufstellungsort des Systems sowie der Lagerungsort
der Archivmedien festzulegen (siehe M 4.168, M 4.169, M 4.170, M 1.59, M 1.60).
Neben dem Archivsystem als solches muss ein geeignetes bergeordnetes Dokumentenmanagement-
System zur Verwaltung der Inhalte des Archivs eingefhrt werden (siehe M 2.258, M 2.259).
Es mssen die Regelungen fr die Nutzung des Archivsystems sowie den Einsatz digitaler Signaturen
festgelegt und die Administratoren und Benutzer geschult werden (siehe M 2.262, M 2.265, M 3.34,
M 3.35).
Um die Ordnungsmigkeit langfristig sicherstellen zu knnen, ist der Archivierungsprozess kontinu-
ierlich zu berwachen und auf Korrektheit zu prfen. Darber hinaus ist sicherzustellen, dass zu jedem
Zeitpunkt gengend Medien zur Archivierung verfgbar sind (siehe M 2.257, M 2.260 M 2.263,
M 4.171, M 4.172, M 4.173, M 6.84).
In Abhngigkeit der konkret eingesetzten Archivsoftware mssen auch die in Baustein 9.2 Datenban-
ken beschriebenen Manahmen umgesetzt werden.
3. Migrationsphase
Die Migrationsphase wird hufig durch Ereignisse wie die folgenden ausgelst:
- Bei Systemkomponenten oder Datenformaten hat ein Technologiewechsel stattgefunden, daher
sollten die Entwicklungen in diesem Bereich beobachtet werden (siehe M 2.261 Regelmige
Marktbeobachtung von Archivsystemen).
- Systemkomponenten, insbesondere Datentrger, sind beraltert und mssen durch neue ersetzt
werden (siehe M 2.266 Regelmige Erneuerung technischer Archivsystem-Komponenten).
- Die Nutzungskriterien fr das Archivsystem haben sich gendert.
- Kryptographische Verfahren, Produkte bzw. Schlssel mssen durch neue abgelst werden (siehe
M 2.264 Regelmige Aufbereitung von verschlsselten Daten bei der Archivierung).
Nachfolgend wird das Manahmenbndel fr den Einsatz elektronischer Archivsysteme vorgestellt:
Infrastruktur:
- M 1.59 (1) Geeignete Aufstellung von Archivsystemen
- M 1.60 (1) Geeignete Lagerung von Archivmedien
Organisation:
- M 2.4 (1) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.13 (1) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.242 (1) Zielsetzung der elektronischen Archivierung
- M 2.243 (1) Entwicklung des Archivierungskonzepts
- M 2.244 (1) Ermittlung der technischen Einflussfaktoren fr die elekronische Archivierung
- M 2.245 (1) Ermittlung der rechtlichen Einflussfaktoren fr die elektronische Archivierung
- M 2.246 (1) Ermittlung der organisatorischen Einflussfaktoren fr die elektronische Archi-
vierung
- M 2.257 (1) berwachung der Speicherressourcen von Archivmedien
- M 2.258 (1) Konsistente Indizierung von Dokumenten bei der Archivierung
- M 2.259 (1) Einfhrung eines bergeordneten Dokumentenmanagements

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 290
Archivierung 9.5
_________________________________________________________________________________________

- M 2.260 (1) Regelmige Revision des Archivierungsprozesses


- M 2.261 (1) Regelmige Marktbeobachtung von Archivsystemen
- M 2.262 (1) Regelung der Nutzung von Archivsystemen
- M 2.263 (1) Regelmige Aufbereitung von archivierten Datenbestnden
- M 2.264 (1) Regelmige Aufbereitung von verschlsselten Daten bei der Archivierung
- M 2.265 (1) Geeigneter Einsatz digitaler Signaturen bei der Archivierung
- M 2.266 (1) Regelmige Erneuerung technischer Archivsystem-Komponenten
Personal:
- M 3.2 (1) Verpflichtung der Mitarbeiter auf Einhaltung einschlgiger Gesetze, Vorschriften
und Regelungen
- M 3.34 (1) Einweisung in die Administration des Archivsystems
- M 3.35 (1) Einweisung der Benutzer in die Bedienung des Archivsystems
Hardware und Software:
- M 4.168 (1) Auswahl eines geeigneten Archivsystems
- M 4.169 (1) Verwendung geeigneter Archivmedien
- M 4.170 (1) Auswahl geeigneter Datenformate fr die Archivierung von Dokumenten
- M 4.171 (1) Schutz der Integritt der Index-Datenbank von Archivsystemen
- M 4.172 (1) Protokollierung der Archivzugriffe
- M 4.173 (1) Regelmige Funktions- und Recoverytests bei der Archivierung
Notfallvorsorge:
- M 6.84 (1) Regelmige Datensicherung der System- und Archivdaten

_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 291
Gefhrdungskatalog Hhere Gewalt G1 Bemerkungen
___________________________________________________________________ ..........................................

G1 Gefhrdungskatalog Hhere Gewalt


G 1.1 Personalausfall ........................................................................... 1
G 1.2 Ausfall des IT-Systems.............................................................. 2
G 1.3 Blitz............................................................................................ 3
G 1.4 Feuer .......................................................................................... 4
G 1.5 Wasser........................................................................................ 5
G 1.6 Kabelbrand................................................................................. 6
G 1.7 Unzulssige Temperatur und Luftfeuchte.................................. 7
G 1.8 Staub, Verschmutzung ............................................................... 8
G 1.9 Datenverlust durch starke Magnetfelder.................................... 9
G 1.10 Ausfall eines Weitverkehrsnetzes............................................ 10
G 1.11 Technische Katastrophen im Umfeld....................................... 11
G 1.12 Beeintrchtigung durch Groveranstaltungen ......................... 12
G 1.13 Sturm........................................................................................ 13
G 1.14 Datenverlust durch starkes Licht ............................................. 14
G 1.15 Beeintrchtigung durch wechselnde Einsatzumgebung........... 15

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 292
Gefhrdungskatalog Hhere Gewalt G 1.1 Bemerkungen
___________________________________________________________________ ..........................................

G 1.1 Personalausfall
Durch Krankheit, Unfall, Tod oder Streik kann ein nicht vorhersehbarer
Personalausfall entstehen. Desweiteren ist auch der Personalausfall bei einer
regulren Beendigung des Arbeitsverhltnisses zu bercksichtigen,
insbesondere wenn die Restarbeitszeit z. B. durch einen Urlaubsanspruch
verkrzt wird.
In allen Fllen kann die Konsequenz sein, dass entscheidende Aufgaben auf- Schlsselstellung im
IT-Bereich
grund des Personalausfalls im IT-Einsatz nicht mehr wahrgenommen werden.
Dies ist besonders dann kritisch, wenn die betroffene Person im IT-Bereich
eine Schlsselstellung einnimmt und aufgrund fehlenden Fachwissens anderer
nicht ersetzt werden kann. Strungen des IT-Betriebs knnen die Folge sein.
Ein Personalausfall kann zustzlich einen empfindlichen Verlust von Wissen Verlust von Wissen und
Geheimnissen
und Geheimnissen nach sich ziehen, der die nachtrgliche bertragung der
Ttigkeiten auf andere Personen unmglich macht.
Beispiele:
- Aufgrund lngerer Krankheit blieb der Netzadministrator vom Dienst fern.
In der betroffenen Firma lief das Netz zunchst fehlerfrei weiter. Nach
zwei Wochen jedoch war nach einem Systemabsturz niemand in der Lage,
den Fehler zu beheben. Dies fhrte zu einem Ausfall des Netzes ber
mehrere Tage.
- Whrend des Urlaubs des Administrators muss fr Datensicherungszwecke
auf die Backupbnder im Datensicherungstresor zurckgegriffen werden.
Der Zugangscode zum Tresor wurde erst krzlich gendert und ist nur dem
Administrator bekannt. Erst nach mehreren Tagen konnte die
Datenrestaurierung durchgefhrt werden, da der Aufenthaltsort des
Administrators zuerst ermittelt werden musste.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 293
Gefhrdungskatalog Hhere Gewalt G 1.2 Bemerkungen
___________________________________________________________________ ..........................................

G 1.2 Ausfall des IT-Systems


Der Ausfall einer Komponente eines IT-Systems kann zu einem Ausfall des Ausfall zentraler
gesamten IT-Betriebs fhren. Insbesondere zentrale Komponenten eines IT- Komponenten
Systems sind geeignet, solche Ausflle herbeizufhren, z. B. LAN-Server,
Datenfernbertragungseinrichtung. Auch der Ausfall von Komponenten der
technischen Infrastruktur, beispielsweise Klima- oder Stromversorgungs-
einrichtungen, kann zu einem Ausfall des IT-Systems beitragen.
Technisches Versagen (z. B. G 4.1 Ausfall der Stromversorgung) muss nicht Technisches Versagen/
menschliche Fehlhand-
zwingend als Ursache fr den Ausfall eines IT-Systems angenommen werden. lungen
Ausflle lassen sich auch oft auf menschliches Fehlverhalten (z. B. G 3.2
Fahrlssige Zerstrung von Gert oder Daten) oder vorstzliche Handlungen
(z. B. G 5.4 Diebstahl, G 5.102 Sabotage) zurckfhren. Auch durch hhere
Gewalt (z. B. Feuer, Blitzschlag, Chemieunfall) knnen Schden eintreten,
allerdings sind diese Schden meist um ein Vielfaches hher.
Werden auf einem IT-System zeitkritische IT-Anwendungen betrieben, sind
die Folgeschden nach Systemausfall entsprechend hoch, wenn es keine
Ausweichmglichkeiten gibt.
Beispiele:
- Durch Spannungsspitzen in der Stromversorgung wird das Netzteil eines
wichtigen IT-Systems zerstrt. Da es sich um ein lteres Modell handelt,
steht nicht unmittelbar Ersatz bereit. Die Reparatur nimmt einen Tag in
Anspruch, in dieser Zeit ist der gesamte IT-Betrieb nicht verfgbar.
- Es wird eine Firmware in ein IT-System eingespielt, die nicht fr diesen
Systemtyp vorgesehen ist. Das IT-System startet daraufhin nicht mehr
fehlerfrei und muss vom Hersteller wieder betriebsbereit gemacht werden.
- Bei einem Internet Service Provider fhrte ein Stromversorgungsfehler in
einem Speichersystem dazu, dass dieses abgeschaltet wurde. Obwohl der
eigentliche Fehler schnell behoben werden konnte, lieen sich die
betroffenen IT-Systeme anschlieend nicht wieder hochfahren, da
Inkonsistenzen im Dateisystem auftraten. Bis alle Folgeprobleme behoben
waren, waren mehrere der vom ISP betriebenen WWW-Server tagelang
nicht erreichbar.
- In elektronischen Archiven kann der Zeitpunkt der erstmaligen Ausfall einer
Archivkomponente
Archivierung als Entstehungszeitpunkt von Dokumenten missinterpretiert
werden, wenn keine anderweitigen Beweisverfahren, z. B.
Zeitstempeldienste, zur Beglaubigung eingesetzt werden. Dies gilt vor
allem fr Geschftsprozesse, in die die elektronische Archivierung von
massenhaft anfallenden Belegdaten transparent eingebunden ist. Im
vorliegenden Fall konnte aufgrund des Ausfalls einer Archivkomponente
ein Teil von Belegdaten erst um einen Tag verzgert archiviert werden.
Durch die Verwendung von WORM-Medien wurde die Reihenfolge der
physikalischen Archivierung der Geschftsbelege trotzdem nachweisbar
dokumentiert, es wurde jedoch kein Nachweis fr die ansonsten nicht
auftretende Verzgerung durch die ausgefallene Archivkomponente
gefhrt. Dadurch entstand bei einer spteren Prfung der Eindruck einer
nachtrglichen Manipulation.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 294
Gefhrdungskatalog Hhere Gewalt G 1.3 Bemerkungen
___________________________________________________________________ ..........................................

G 1.3 Blitz
Der Blitz ist die wesentliche whrend eines Gewitters bestehende Gefhrdung Freisetzung elektrischer
fr ein Gebude und die darin befindliche Informationstechnik. Blitze errei- Energie
chen bei Spannungen von mehreren 100.000 Volt Strme bis zu 200.000
Ampere. Diese enorme elektrische Energie wird innerhalb von 50-100 Mikro-
sekunden freigesetzt und abgebaut. Ein Blitz mit diesen Werten, der in einem
Abstand von ca. 2 km einschlgt, verursacht auf elektrischen Leitungen im
Gebude immer noch Spannungsspitzen, die zur Zerstrung empfindlicher
elektronischer Gerte fhren knnen. Diese indirekten Schden nehmen mit
abnehmender Entfernung zu.
Schlgt der Blitz direkt in ein Gebude ein, werden durch die dynamische Gebudeschden
Energie des Blitzes Schden hervorgerufen. Dies knnen Beschdigungen des
Baukrpers (Dach und Fassade), Schden durch auftretende Brnde oder
berspannungsschden an elektrischen Gerten sein.
ber das regional unterschiedliche Blitzschlagrisiko erteilt der Deutsche
Wetterdienst entsprechende Ausknfte.
Beispiele:
- Auf einem deutschen Groflughafen schlug ein Blitz in unmittelbarer Nhe
neben dem Tower ein. Trotz der installierten ueren Blitzschutzanlage
(Blitzableiter) wurde die automatische Lschanlage im IT-Bereich ausge-
lst und dadurch der gesamte Flughafenbetrieb fr 2 Stunden lahmgelegt.
- Neben direkten Schden haben Blitzschlge auch oft weitreichendere
Folgen. Hufig finden sich Meldungen wie diese: Im April 1999 fhrte ein
Blitzeinschlag in eine Hochspannungsleitung im Raum Darmstadt zu
einem kurzzeitigen Stromausfall, von dem ca. 80.000 Personen betroffen
waren.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 295
Gefhrdungskatalog Hhere Gewalt G 1.4 Bemerkungen
___________________________________________________________________ ..........................................

G 1.4 Feuer
Neben direkten durch das Feuer verursachten Schden an einem Gebude oder
dessen Einrichtung lassen sich Folgeschden aufzeigen, die insbesondere fr
die Informationstechnik in ihrer Schadenswirkung ein katastrophales Ausma
erreichen knnen. Lschwasserschden treten beispielsweise nicht nur an der
Brandstelle auf. Sie knnen auch in tiefer liegenden Gebudeteilen entstehen.
Bei der Verbrennung von PVC entstehen Chlorgase, die zusammen mit der
Luftfeuchtigkeit und dem Lschwasser Salzsure bilden. Werden die Salzsu-
redmpfe ber die Klimaanlage verteilt, knnen auf diese Weise Schden an
empfindlichen elektronischen Gerten entstehen, die in einem vom Brandort
weit entfernten Teil des Gebudes stehen. Aber auch "normaler" Brandrauch
kann auf diesem Weg beschdigend auf die IT-Einrichtung einwirken.
Ein Brand entsteht nicht nur durch den fahrlssigen Umgang mit Feuer (z. B.
Adventskranz, Schwei- und Ltarbeiten), sondern auch durch unsachgeme
Benutzung elektrischer Einrichtungen (z. B. unbeaufsichtigte Kaffeemaschine,
berlastung von Mehrfachsteckdosen). Technische Defekte an elektrischen
Gerten knnen ebenfalls zu einem Brand fhren.
Die Ausbreitung eines Brandes kann unter anderem begnstigt werden durch:
- Aufhalten von Brandabschnittstren durch Keile,
- Unsachgeme Lagerung brennbarer Materialien,
- Nichtbeachtung der einschlgigen Normen und Vorschriften,
- Fehlen von Brandmeldeeinrichtungen,
- Fehlen von Handfeuerlschern bzw. automatische Lscheinrichtungen
- mangelhaft vorbeugenden Brandschutz (z. B. Fehlen von Brandabschot-
tungen auf Kabeltrassen).
Beispiele:
- Anfang der 90er Jahre erlitt im Frankfurter Raum ein Grorechenzentrum
einen katastrophalen Brandschaden, der zu einem kompletten Ausfall
fhrte.
- Immer wieder kommt es vor, dass elektrische Kleingerte wie z. B.
Kaffeemaschinen oder Halogenlampen unsachgem installiert sind oder
betrieben werden und dadurch Brnde verursachen.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 296
Gefhrdungskatalog Hhere Gewalt G 1.5 Bemerkungen
___________________________________________________________________ ..........................................

G 1.5 Wasser
Der unkontrollierte Eintritt von Wasser in Gebuden oder Rumen kann
beispielsweise bedingt sein durch:
- Regen, Hochwasser, berschwemmung,
- Strungen in der Wasser-Versorgung oder Abwasser-Entsorgung,
- Defekte der Heizungsanlage,
- Defekte an Klimaanlagen mit Wasseranschluss,
- Defekte in Sprinkleranlagen,
- Lschwasser bei der Brandbekmpfung und
- Wassersabotage z. B. durch ffnen der Wasserhhne und Verstopfen der
Abflsse.
Unabhngig davon, auf welche Weise Wasser in Gebude oder Rume
gelangt, besteht die Gefahr, dass Versorgungseinrichtungen oder IT-Kompo-
nenten beschdigt oder auer Betrieb gesetzt werden (Kurzschluss, mecha-
nische Beschdigung, Rost etc.). Wenn zentrale Einrichtungen der Gebude-
versorgung (Hauptverteiler fr Strom, Telefon, Daten) in Kellerrumen ohne
selbstttige Entwsserung untergebracht sind, kann eindringendes Wasser sehr
hohe Schden verursachen.
Beispiele:
- Viele Gewerbebetriebe, auch groe Unternehmen, tragen der Hochwasser-
gefhrdung nicht hinreichend Rechnung. So wurde ein Unternehmen
bereits mehrere Male durch Hochwasserschden am Rechenzentrum
"berrascht". Das Rechenzentrum schwamm im wahrsten Sinne des Wortes
innerhalb von 14 Monaten zum zweiten Mal davon. Der entstandene
Schaden belief sich auf mehrere hunderttausend Euro und ist nicht von
einer Versicherung gedeckt.
- In einem Serverraum verlief eine Wasserleitung unterhalb der Decke, die
mit Gipskarton verkleidet war. Als eine Verbindung undicht wurde, wurde
dies nicht rechtzeitig erkannt. Das austretende Wasser sammelte sich
zunchst an der tiefsten Stelle der Verkleidung, bevor es dort austrat und
im darunter angebrachten Stromverteiler einen Kurzschluss verursachte.
Dies fhrte dazu, dass bis zur endgltigen Reparatur sowohl die Wasser-
als auch die Stromversorgung des betroffenen Gebudeteils abgeschaltet
werden musste.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 297
Gefhrdungskatalog Hhere Gewalt G 1.6 Bemerkungen
___________________________________________________________________ ..........................................

G 1.6 Kabelbrand
Wenn ein Kabel in Brand gert, sei es durch Selbstentzndung oder durch
Beflammung, hat dies verschiedene Folgen:
- Die Verbindung kann unterbrochen werden.
- Es knnen sich aggressive Gase entwickeln. Diese knnen zum einen "aggressive" Gase
korrosiv sein, also die Informations- und Kommunikationstechnik in Mit-
leidenschaft ziehen. Sie knnen aber auch toxisch sein, also zu Personen-
schden (z. B. Vergiftung) fhren.
- An Kabeln, deren Isolationsmaterial nicht flammwidrig bzw. selbstver- Ausbreitung durch
Kabelschchte
lschend ist, kann sich ein Feuer ausbreiten. Selbst Brandabschottungen
verhindern dies nicht vollstndig, sie verzgern die Ausbreitung.
- Bei dicht gepackten Trassen kann es zu Schwelbrnden kommen, die ber
lngere Zeit unentdeckt bleiben und so zur Ausbreitung des Feuers fhren,
lange bevor es offen ausbricht.
Beispiel:
In einem ostdeutschen Verwaltungsgebude wurden die vorhandenen Elektro-
leitungen aus Kostengrnden nicht ersetzt, sondern wider besseres Wissen
berlastet. Die notwendigen Anpassungsarbeiten wurden nicht durchgefhrt,
da in Krze ein neu erstelltes Verwaltungsgebude bezogen werden sollte.
Die berlasteten Leitungen erhitzten sich und durch die sehr dichte Verlegung
kam es zu einem Hitzestau, der dann zu einem Schwelbrand fhrte. Dieser
wurde erst dann entdeckt, als die Leitungen durch die groe Hitze versagten.
Bis die vom Brand betroffenen Arbeitspltze wieder ordnungsgem benutzt
werden konnten, vergingen zwei Tage.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 298
Gefhrdungskatalog Hhere Gewalt G 1.7 Bemerkungen
___________________________________________________________________ ..........................................

G 1.7 Unzulssige Temperatur und Luftfeuchte


Jedes Gert hat einen Temperaturbereich, innerhalb dessen seine
ordnungsgeme Funktion gewhrleistet ist. berschreitet die
Raumtemperatur die Grenzen dieses Bereiches nach oben oder unten, kann es
zu Betriebsstrungen und zu Gerteausfllen kommen.
So wird z. B. in einem Serverraum durch die darin befindlichen Gerte elek- IT-Systeme als Heizung
trische Energie in Wrme umgesetzt und daher der Raum aufgeheizt. Bei
unzureichender Lftung kann die zulssige Betriebstemperatur der Gerte
berschritten werden. Bei Sonneneinstrahlung in den Raum sind Temperatu-
ren ber 50C nicht unwahrscheinlich.
Zu Lftungszwecken werden oft die Fenster des Serverraumes geffnet. In der
bergangszeit (Frhjahr, Herbst) kann das bei groen Temperatur-
schwankungen dazu fhren, dass durch starke Abkhlung die zulssige Luft-
feuchte berschritten wird.
Bei der Lagerung von Langzeitspeichermedien knnen zu groe Fehler auf
Langzeitspeichermedien
Temperaturschwankungen oder zu groe Luftfeuchtigkeit zu Datenfehlern und
reduzierter Speicherdauer fhren. Einige Hersteller geben die optimalen
Lagerbedingungen fr Langzeitspeichermedien mit Temperaturen von 20 bis
22C und einer Luftfeuchtigkeit von 40% an.
Beispiel:
In einer Bonner Behrde wurde die gesamte Steuerungs- und Auswerte-
elektronik einer Sicherungseinrichtung in einem Raum untergebracht, der
gerade genug Platz lie, um die Tren der Gerteschrnke zu ffnen. Aus
Sicherheitsgrnden waren sowohl die Schrnke als auch der Raum mit festen
Tren verschlossen.
Nach der Fertigstellung der Anlage im Herbst lief die Anlage strungsfrei. Im
folgenden Sommer zeigten sich zuerst unerklrliche Funktionsfehler und bald
Totalabstrze des Systems, alles ohne erkennbare Systematik. Tagelanges
Suchen mit hohem technischen und personellem Aufwand bei geffneten
Tren erbrachte keine Ergebnisse. Nur durch Zufall wurde schlielich die
berhitzung der Anlage bei Auentemperaturen ber 30C als Ursache der
Strungen erkannt und durch ein Khlgert erfolgreich abgestellt.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 299
Gefhrdungskatalog Hhere Gewalt G 1.8 Bemerkungen
___________________________________________________________________ ..........................................

G 1.8 Staub, Verschmutzung


Trotz zunehmender Elektronik in der IT kommt sie noch nicht ohne mecha- Staub strt Elektronik
nisch arbeitende Komponenten aus. Zu nennen sind Disketten, Fest- und
Wechselplatten, Diskettenlaufwerke, Drucker, Scanner etc, aber auch Lfter
von Prozessoren und Netzteile. Mit steigenden Anforderungen an die Qualitt
und die Schnelligkeit mssen diese Gerte immer prziser arbeiten. Bereits
geringfgige Verunreinigungen knnen zu einer Strung eines Gertes fhren.
Staub und Verschmutzungen knnen beispielsweise durch
- Arbeiten an Wnden, Doppelbden oder anderen Gebudeteilen,
- Umrstungsarbeiten an der Hardware bzw.
- Entpackungsaktionen von Gerten (z. B. aufwirbelndes Styropor)
in grerem Mae entstehen, die entsprechende Ausflle der Hardware verur-
sachen knnen.
Vorhandene Sicherheitsschaltungen in den Gerten fhren meist zu einem
rechtzeitigen Abschalten. Das hlt zwar den Schaden, die Instandsetzungs-
kosten und die Ausfallzeiten klein, fhrt aber dazu, dass das betroffene Gert
nicht verfgbar ist.
Beispiele:
- Bei der Aufstellung eines Servers in einem Medienraum, zusammen mit
einem Kopierer und einem Normalpapier-Faxgert, traten nacheinander die
Lhmung des Prozessor-Lfters und des Netzteil-Lfters aufgrund der
hohen Staubbelastung des Raumes auf. Der Ausfall des Prozessor-Lfters
fhrte zu sporadischen Server-Abstrzen. Der Ausfall des Netzteil-Lfters
fhrte schlielich zu einer berhitzung des Netzteils mit der Folge eines
Kurzschlusses, was schlielich einen Totalausfall des Servers nach sich
zog.
- Um eine Wandtafel in einem Bro aufzuhngen, wurden von der Haus-
technik Lcher in die Wand gebohrt. Der Mitarbeiter hatte hierzu sein Bro
fr kurze Zeit verlassen. Nach Rckkehr an seinen Arbeitsplatz stellte er
fest, dass sein PC nicht mehr funktionierte. Ursache hierfr war Bohrstaub,
der durch die Lftungsschlitze in das PC-Netzteil eingedrungen war.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 300
Gefhrdungskatalog Hhere Gewalt G 1.9 Bemerkungen
___________________________________________________________________ ..........................................

G 1.9 Datenverlust durch starke Magnetfelder


Typische Datentrger mit magnetisierbaren Speichermedien sind Disketten,
Wechselplatten, Kassetten und Bnder. Informationen werden ber Schreib-
/Lesekpfe aufgebracht. Die derart magnetisierten Datentrger sind empfind-
lich gegenber magnetischer Strstrahlung, so dass die Nhe zu solchen
Strahlungsquellen vermieden werden sollte.
Je nach Strke der Strahlung fhrt diese zu mehr oder weniger groen Daten-
verlusten. Besonders kritisch ist dies bei Dateien, die aufgrund ihrer internen
Formatierung bereits durch geringfgige Vernderungen gnzlich unbrauchbar
werden (z. B. Postscript-Dateien, Datenbanken).
Beispiele fr Quellen magnetischer Strstrahlung sind:
- Elektromotoren,
- Transformatoren,
- Ausweiselesegerte auf Magnetfeldbasis.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 301
Gefhrdungskatalog Hhere Gewalt G 1.10 Bemerkungen
___________________________________________________________________ ..........................................

G 1.10 Ausfall eines Weitverkehrsnetzes


Werden auf IT-Systemen, die ber Weitverkehrsnetze verbunden sind, zeit-
kritische IT-Anwendungen betrieben, sind die durch einen Netzausfall mg-
lichen Schden und Folgeschden entsprechend hoch, wenn keine Ausweich-
mglichkeiten (z. B. Anbindung an ein zweites Kommunikationsnetz) vorge-
sehen sind.
Im Rahmen der Liberalisierung des Telekommunikationsmarktes bietet nicht
nur die Deutsche Telekom AG ihre Dienste fr die Bereitstellung von
Kommunikationsverbindungen zum Daten- und Sprachtransfer an. Viele,
teilweise sehr kleine Netzbetreiber, konkurrieren mit gnstigen Kommuni-
kationsentgelten untereinander und mit der Deutschen Telekom AG. Daher
sollte ein Kunde sich informieren, mit welcher Gte dieser Dienst tatschlich
erbracht werden kann, indem er den Netzbetreiber um detaillierte Ausknfte
ber Backup-Strategien oder Notfallplanungen bittet.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 302
Gefhrdungskatalog Hhere Gewalt G 1.11 Bemerkungen
___________________________________________________________________ ..........................................

G 1.11 Technische Katastrophen im Umfeld


Probleme im Umfeld einer Behrde bzw. eines Unternehmens knnen zu
Schwierigkeiten im Betrieb bis hin zu Arbeitsausfllen fhren. Dies knnen
technische Unglcksflle, Havarien, aber auch gesellschaftliche oder poli-
tische Unruhen wie Demonstrationen oder Krawalle sein (siehe auch G 1.12
Beeintrchtigung durch Groveranstaltungen).
Die Liegenschaften einer Organisation knnen verschiedenen Gefhrdungen
aus dem Umfeld durch Verkehr (Straen, Schiene, Luft, Wasser), Nachbar-
betrieben oder Wohngebieten ausgesetzt sein. Diese knnen beispielsweise
durch Brnde, Explosionen, Stube, Gase, Sperrungen, Strahlung, Emissionen
(chemische Industrie) verursacht sein.
Vorbeugungs- oder Rettungsmanahmen knnen die Liegenschaften dabei
direkt betreffen. Durch die Komplexitt der Haustechnik und der IT-Einrich-
tungen kann es aber auch zu indirekten Problemen kommen.
Beispiel:
Bei einem Brand in einem chemischen Betrieb in unmittelbarer Nhe eines
Rechenzentrums (ca. 1000 m Luftlinie) entstand eine mchtige Rauchwolke.
Das Rechenzentrum besa eine Klima- und Lftungsanlage, die ber keine
Auenluftberwachung verfgte. Nur durch die Aufmerksamkeit eines Mitar-
beiters (der Unfall geschah whrend der Arbeitszeit), der die Entstehung und
Ausbreitung verfolgte, konnte die Auenluftzufuhr rechtzeitig manuell abge-
schaltet werden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 303
Gefhrdungskatalog Hhere Gewalt G 1.12 Bemerkungen
___________________________________________________________________ ..........................................

G 1.12 Beeintrchtigung durch Groveranstaltungen


Groveranstaltungen aller Art knnen zu Behinderungen des ordnungs-
gemen Betriebs einer Behrde bzw. eines Unternehmens fhren. Hierzu
gehren u. a. Straenfeste, Konzerte, Sportveranstaltungen, Arbeitskmpfe
oder Demonstrationen. Ausschreitungen im Umfeld solcher Veranstaltungen
knnen zustzlich Auswirkungen wie die Einschchterung bis hin zur
Gewaltanwendung gegen das Personal oder das Gebude nach sich ziehen.
Beispiele:
- Whrend der heien Sommermonate fand eine Demonstration in der Nhe
eines Rechenzentrums statt. Die Situation eskalierte und es kam zu Gewalt-
ttigkeiten. In einer Nebenstrae stand noch ein Fenster des Rechenzen-
trumsbereiches auf, durch das ein Demonstrant eindrang und die Gelegen-
heit nutzte, IT-Hardware mit wichtigen Daten zu entwenden.
- Beim Aufbau einer Grokirmes wurde aus Versehen eine Stromleitung
gekappt. Dies fhrte in einem hierdurch versorgten Rechenzentrum zu
einem Ausfall, der jedoch durch die vorhandene Netzersatzanlage abge-
fangen werden konnte.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 304
Gefhrdungskatalog Hhere Gewalt G 1.13 Bemerkungen
___________________________________________________________________ ..........................................

G 1.13 Sturm
Die Auswirkungen eines Sturms oder Orkans auf Aueneinrichtungen, die
zum Betrieb eines Rechenzentrums mittelbar bentigt werden, werden hufig
unterschtzt. Aueneinrichtungen knnen hierdurch beschdigt oder
abgerissen werden. Abgerissene und vom Sturm fortgeschleuderte
Gegenstnde knnen weitere Folgeschden verursachen. Weiterhin knnen
dadurch technische Komponenten in ihrer Funktion beeintrchtigt werden.
Beispiele:
- Khlleitungen der Klimaanlage eines Rechenzentrums waren auf dem lose verlegte
Khlleitungen
Dach als flexible Hart-PVC-Schluche verlegt, aber ber weite Strecken
auf der Dachhaut weder beschwert noch befestigt. Sie wurden vom Orkan
gepackt und vom Dach des Gebudes gefegt. Dabei rissen sie aus den
Verbindungen. Die Khlflssigkeit lief aus und das System musste fr
mehrere Stunden stillgelegt werden. Fr die Dauer des Sturmes konnten
wegen der Gefahr, vom Dach geweht zu werden, keinerlei Reparaturen
vorgenommen werden. Der Serverpark fiel fr fast 12 Stunden aus. Er
versorgt ca. 12.000 Nutzer.
- In einem anderen Fall strzte eine Lamellenwand, welche die durch Sturm
abgerissene Verkleidung
Rckkhlwerke auf dem Dach des Prozessrechenzentrums eines
Industriebetriebs optisch verkleidete, ein. Die scharfen Kanten der Bleche
durchschnitten die Elektroleitungen der Rckkhlwerke. Es gab einen
Kurzschluss mit Lichtbogen, der die vom Sturm mit hoch gerissene
Dachhaut in Brand steckte. Gleichzeitig wirkte die umgestrzte
Verkleidung geringfgig als Windschutz - lie aber genug Wind durch, um
das Feuer zu entfachen. Der Brand setzte sich in der Isolierung zwischen
Trapezblech und Dichtungsbahnen fort. Nur durch einen glcklichen Zufall
konnte ein Totalschaden verhindert werden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 305
Gefhrdungskatalog Hhere Gewalt G 1.14 Bemerkungen
___________________________________________________________________ ..........................................

G 1.14 Datenverlust durch starkes Licht


Typische Datentrger mit optischen Speichermedien sind CD-ROM, CD-RW,
DVD-RAM, DVD-RW und MO. Informationen werden ber Schreib-
/Lesekpfe sowie Laser aufgebracht. Die derart beschriebenen Datentrger
sind empfindlich gegenber starkem Licht, insbesondere im UV-Bereich, so
dass die Nhe zu solchen Lichtquellen vermieden werden sollte.
Je nach Strke und Dauer der Strahlung fhrt diese zu mehr oder weniger
groen Datenverlusten. Besonders kritisch ist dies bei Dateien, die aufgrund
ihrer internen Formatierung bereits durch geringfgige Vernderungen
gnzlich unbrauchbar werden (z. B. Postscript-Dateien, Datenbanken oder
verschlsselte Dateien).
Beispiele fr starke Lichtquellen sind:
- Sonnenlicht (vor allem an wolkenfreien Sommertagen oder in
Hhenlagen),
- Halogenlampen,
- spezielle Neonrhren.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 306
Gefhrdungskatalog Hhere Gewalt G 1.15 Bemerkungen
___________________________________________________________________ ..........................................

G 1.15 Beeintrchtigung durch wechselnde Einsatzum-


gebung
Mobile Gerte werden in sehr unterschiedlichen Umgebungen eingesetzt und
sind dadurch einer Vielzahl von Gefhrdungen ausgesetzt. Dazu gehren bei-
spielsweise schdigende Umwelteinflsse wie zu hohe oder zu niedrige Tem-
peraturen, ebenso wie Staub oder Feuchtigkeit. Zu anderen Problemen, die
durch die Beweglichkeit der Gerte entstehen, gehren beispielsweise Trans-
portschden.
Ein wichtiger Aspekt bei mobilen Gerten ist aber auch, dass sie sich in Berei- Unbekannte Umgebung -
unbekannte Risiken
chen mit unterschiedlichem Sicherheitsniveau bewegen. Bei einigen Umge-
bungen ist das Sicherheitsniveau den Benutzern durchaus bekannt, bei anderen
nicht. Neben der Beweglichkeit ist auch die Kommunikationsfhigkeit mit
anderen IT-Systemen ein Grund fr den Einsatz von PDAs, Laptops und
anderen mobilen Gerten. Daher mssen auch die Probleme betrachtet
werden, die durch die Interaktion mit anderen IT-Systemen ausgelst werden
knnen. Innerhalb der eigenen Organisation kann die Vertrauenswrdigkeit
von IT-Systemen bis zu einem gewissen Grad eingeschtzt werden. Dies ist
allerdings in fremden Umgebungen schwierig. Die Kommunikation mit unbe-
kannten IT-Systemen und Netzen kann immer Gefhrdungspotential fr das
eigene mobile System und dessen Anwendungen und Daten enthalten. Bei der
Kontaktaufnahme mit anderen IT-Systemen knnten beispielsweise auch
Computerviren oder Trojanische Pferde mit bertragen werden.
Daher muss auch nach der Rckkehr von mobilen Systemen immer kritisch
hinterfragt werden, wo dieser PDA schon berall gewesen ist, und die ent-
sprechenden Vorsichtsregeln sind zu beachten.
Ein weiteres Problem bei der Nutzung von fremden Infrastrukturen, wie z. B.
beim Herunterladen von Informationsangeboten auf Messen, ist die hufig
unzureichende Transparenz der angebotenen Dienste. Viele Dienstanbieter
sammeln Kundendaten, um Profile erstellen zu knnen, um einerseits ihren
Kunden besser auf sie zugeschnittene Dienste anbieten zu knnen, aber auch
um diese andererseits an andere Anbieter weiterverkaufen zu knnen. Es
knnten beispielsweise Profile erstellt werden, alleine indem die Informa-
tionen ber Aufenthaltsorte und das Kommunikationsverhalten des Benutzers
ausgewertet werden (welche Dienste, wann, wie oft, mit wem). Auch bei
Anwendungen, die vollstndig auf dem eigenen mobilen Endgert ablaufen,
kann es vorkommen, dass diese Daten sammeln (z. B. ber Nutzungshufig-
keit und -art) und weitergeben, sobald das Gert online geht.
Immer wieder werden mobile Endgerte verloren oder gestohlen. Je kleiner
und begehrter solche Gerte sind, wie beispielsweise PDAs, desto hher ist
dieses Risiko. Neben dem unmittelbaren Verlust kann dabei durch den Verlust
bzw. die Offenlegung wichtiger Daten weiterer Schaden entstehen.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 307
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................

G2 Gefhrdungskatalog Organisatorische Mngel


G 2.1 Fehlende oder unzureichende Regelungen ................................ 1
G 2.2 Unzureichende Kenntnis ber Regelungen................................ 2
G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel................. 3
G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen.......... 4
G 2.5 Fehlende oder unzureichende Wartung ..................................... 5
G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen ..................... 6
G 2.7 Unerlaubte Ausbung von Rechten ........................................... 7
G 2.8 Unkontrollierter Einsatz von Betriebsmitteln ............................ 8
G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-
Einsatz........................................................................................ 9
G 2.10 Nicht fristgerecht verfgbare Datentrger ............................... 10
G 2.11 Unzureichende Trassendimensionierung ................................. 11
G 2.12 Unzureichende Dokumentation der Verkabelung.................... 12
G 2.13 Unzureichend geschtzte Verteiler .......................................... 13
G 2.14 Beeintrchtigung der IT-Nutzung durch ungnstige
Arbeitsbedingungen ................................................................. 14
G 2.15 Vertraulichkeitsverlust schutzbedrftiger Daten im
Unix-System ............................................................................ 15
G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs.................. 16
G 2.17 Mangelhafte Kennzeichnung der Datentrger ......................... 17
G 2.18 Ungeordnete Zustellung der Datentrger................................. 18
G 2.19 Unzureichendes Schlsselmanagement bei
Verschlsselung....................................................................... 19
G 2.20 Unzureichende oder falsche Versorgung mit
Verbrauchsgtern..................................................................... 20
G 2.21 Mangelhafte Organisation des Wechsels zwischen den
Benutzern................................................................................. 21
G 2.22 Fehlende Auswertung von Protokolldaten............................... 22
G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in
ein servergesttztes Netz ......................................................... 23
G 2.24 Vertraulichkeitsverlust schutzbedrftiger Daten des zu
schtzenden Netzes.................................................................. 24
G 2.25 Einschrnkung der bertragungs- oder
Bearbeitungsgeschwindigkeit durch Peer-to-Peer-
Funktionalitten ....................................................................... 25

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 308
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................

G 2.26 Fehlendes oder unzureichendes Test- und


Freigabeverfahren .................................................................... 26
G 2.27 Fehlende oder unzureichende Dokumentation......................... 27
G 2.28 Verste gegen das Urheberrecht ............................................ 28
G 2.29 Softwaretest mit Produktionsdaten .......................................... 29
G 2.30 Unzureichende Domnenplanung............................................ 30
G 2.31 Unzureichender Schutz des Windows NT Systems................. 31
G 2.32 Unzureichende Leitungskapazitten ........................................ 32
G 2.33 Nicht gesicherter Aufstellungsort von Novell Netware
Servern..................................................................................... 33
G 2.34 Fehlende oder unzureichende Aktivierung von Novell
Netware Sicherheitsmechanismen ........................................... 34
G 2.35 Fehlende Protokollierung unter Windows 95
(gestrichen!) ............................................................................. 35
G 2.36 Ungeeignete Einschrnkung der Benutzerumgebung .............. 36
G 2.37 Unkontrollierter Aufbau von
Kommunikationsverbindungen................................................ 37
G 2.38 Fehlende oder unzureichende Aktivierung von
Datenbank-Sicherheitsmechanismen ....................................... 38
G 2.39 Komplexitt eines DBMS........................................................ 39
G 2.40 Komplexitt des Datenbankzugangs/-zugriffs......................... 41
G 2.41 Mangelhafte Organisation des Wechsels von
Datenbank-Benutzern .............................................................. 43
G 2.42 Komplexitt der NDS .............................................................. 44
G 2.43 Migration von Novell Netware 3.x nach Novell
Netware Version 4 ................................................................... 45
G 2.44 Inkompatible aktive und passive Netzkomponenten ............... 46
G 2.45 Konzeptionelle Schwchen des Netzes.................................... 47
G 2.46 berschreiten der zulssigen Kabel- bzw. Buslnge
oder der Ringgre .................................................................. 49
G 2.47 Ungesicherter Akten- und Datentrgertransport...................... 51
G 2.48 Ungeeignete Entsorgung der Datentrger und
Dokumente am huslichen Arbeitsplatz .................................. 52
G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter ........ 53
G 2.50 Verzgerungen durch temporr eingeschrnkte
Erreichbarkeit der Telearbeiter ................................................ 54
G 2.51 Mangelhafte Einbindung des Telearbeiters in den
Informationsfluss ..................................................................... 55

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 309
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................

G 2.52 Erhhte Reaktionszeiten bei IT-Systemausfall........................ 56


G 2.53 Unzureichende Vertretungsregelungen fr Telearbeit............. 57
G 2.54 Vertraulichkeitsverlust durch Restinformationen .................... 58
G 2.55 Ungeordnete E-Mail-Nutzung ................................................. 59
G 2.56 Mangelhafte Beschreibung von Dateien.................................. 60
G 2.57 Nicht ausreichende Speichermedien fr den Notfall ............... 61
G 2.58 Novell Netware und die Datumsumstellung im Jahr
2000 ......................................................................................... 62
G 2.59 Betreiben von nicht angemeldeten Komponenten ................... 63
G 2.60 Fehlende oder unzureichende Strategie fr das Netz-
und Systemmanagement .......................................................... 64
G 2.61 Unberechtigte Sammlung personenbezogener Daten .............. 66
G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfllen...................... 67
G 2.63 Ungeordnete Faxnutzung......................................................... 68
G 2.64 Fehlende Regelungen fr das RAS-System............................. 69
G 2.65 Komplexitt der SAMBA-Konfiguration ................................ 71
G 2.66 Unzureichendes IT-Sicherheitsmanagement ........................... 73
G 2.67 Ungeeignete Verwaltung von Zugangs- und
Zugriffsrechten......................................................................... 75
G 2.68 Fehlende oder unzureichende Planung des Active
Directory .................................................................................. 76
G 2.69 Fehlende oder unzureichende Planung des Einsatzes
von Novelle eDirectory............................................................ 77
G 2.70 Fehlerhafte oder unzureichende Planung der
Partitionierung und Replizierung im Novell eDirectory.......... 79
G 2.71 Fehlerhafte oder unzureichende Planung des
LDAP-Zugriffs auf das Novell eDirectory .............................. 81
G 2.72 Unzureichende Migration von Archivsystemen ...................... 83
G 2.73 Fehlende Revisionsmglichkeit von Archivsystemen ............. 85
G 2.74 Unzureichende Ordnungskriterien fr Archive ....................... 86
G 2.75 Mangelnde Kapazitt von Archivdatentrgern ........................ 87
G 2.76 Unzureichende Dokumentation von Archivzugriffen.............. 88
G 2.77 Unzulngliche bertragung von Papierdaten in
elektonische Archive................................................................ 89
G 2.78 Unzulngliche Auffrischung von Datenbestnden bei
der Archivierung...................................................................... 91
G 2.79 Unzulngliche Erneuerung von digitalen Signaturen bei
der Archivierung...................................................................... 92

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 310
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................

G 2.80 Unzureichende Durchfhrung von Revisionen bei der


Archivierung ............................................................................ 93
G 2.81 Unzureichende Vernichtung von Datentrgern bei der
Archivierung ............................................................................ 94
G 2.82 Fehlerhafte Planung des Aufstellungsortes von
Archivsystemen ....................................................................... 95
G 2.83 Fehlerhafte Outsourcing-Strategie........................................... 96
G 2.84 Unzulngliche vertragliche Regelungen mit einem
externen Dienstleister .............................................................. 97
G 2.85 Unzureichende Regelungen fr das Ende des
Outsourcing-Vorhabens ........................................................... 99
G 2.86 Abhngigkeit von einem Outsourcing-Dienstleister.............. 100
G 2.87 Verwendung unsicherer Protokolle in ffentlichen
Netzen .................................................................................... 101
G 2.88 Strungen des Betriebsklimas durch ein Outsourcing-
Vorhaben................................................................................ 103
G 2.89 Mangelhafte IT-Sicherheit in der Outsourcing-
Einfhrungsphase................................................................... 104
G 2.90 Schwachstellen bei der Anbindung an einen
Outsourcing-Dienstleister ...................................................... 106
G 2.91 Fehlerhafte Planung der Migration von Exchange 5.5
nach Exchange 2000 .............................................................. 107
G 2.92 Fehlerhafte Regelungen fr den Browser-Zugriff auf
Exchange................................................................................ 108
G 2.93 Unzureichendes Notfallvorsorgekonzept beim
Outsourcing............................................................................ 109
G 2.94 Unzureichende Planung des IIS-Einsatzes............................. 110
G 2.95 Fehlendes Konzept zur Anbindung anderer E-Mail-
Systeme an Exchange/Outlook .............................................. 111
G 2.96 Veraltete oder falsche Informationen in einem
Webangebot ........................................................................... 112
G 2.97 Unzureichende Notfallplanung bei einem Apache
Webserver .............................................................................. 113
G 2.98 Fehlerhafte Planung und Konzeption des Einsatzes von
Routern und Switchen............................................................ 114
G 2.99 Unzureichende oder fehlerhafte Konfiguration der
zSeries-Systemumgebung...................................................... 116
G 2.100 Fehler bei der Beantragung und Verwaltung von
Internet-Domainnamen .......................................................... 117

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 311
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................

G 2.101 Unzureichende Notfallvorsorge bei einem


Sicherheitsgateway ................................................................ 119

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 312
Gefhrdungskatalog Organisatorische Mngel G 2.1 Bemerkungen
___________________________________________________________________ ..........................................

G 2.1 Fehlende oder unzureichende Regelungen


Die Bedeutung bergreifender organisatorischer Regelungen und Vorgaben
fr das Ziel IT-Sicherheit nimmt mit dem Umfang der Informationsverar-
beitung, aber auch mit dem Schutzbedarf der zu verarbeitenden Informationen
zu.
Von der Frage der Zustndigkeiten angefangen bis hin zur Verteilung von
Kontrollaufgaben kann das Spektrum der Regelungen sehr umfangreich sein.
Auswirkungen von fehlenden oder unzureichenden Regelungen werden
beispielhaft in den Gefhrdungen G 2.2 ff. beschrieben.
Vielfach werden nach Vernderungen technischer, organisatorischer oder
personeller Art, die wesentlichen Einfluss auf die IT-Sicherheit haben,
bestehende Regelungen nicht angepasst. Veraltete Regelungen knnen dem
strungsfreien IT-Betrieb entgegen stehen. Probleme knnen auch dadurch
entstehen, dass Regelungen unverstndlich oder zusammenhanglos formuliert
sind und dadurch missverstanden werden.
Dass Regelungsdefizite schadensfrdernde Auswirkungen haben knnen,
machen folgende Beispiele deutlich:
- Durch eine mangelhafte Betriebsmittelverwaltung kann der termingerechte
Arbeitsablauf in einem Rechenzentrum schon durch eine unterbliebene
Druckerpapierbestellung stark beeintrchtigt werden.
- Neben einer Beschaffung von Handfeuerlschern muss auch deren War-
tung geregelt sein, um sicherzustellen, dass diese im Brandfall auch funk-
tionstchtig sind.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 313
Gefhrdungskatalog Organisatorische Mngel G 2.2 Bemerkungen
___________________________________________________________________ ..........................................

G 2.2 Unzureichende Kenntnis ber Regelungen


Die Festlegung von Regelungen allein sichert den strungsfreien IT-Einsatz
noch nicht. Die fr einen Funktionstrger geltenden Regelungen mssen
diesem auch bekannt sein. Der Schaden, der sich aus einer unzureichenden
Kenntnis ber bestehende Regelungen ergeben kann, darf sich nicht mit den
Aussagen entschuldigen lassen: "Ich habe nicht gewusst, dass ich dafr
zustndig bin." oder "Ich habe nicht gewusst, wie ich zu verfahren hatte."
Beispiele:
- Werden Mitarbeiter nicht ber die Verfahrensweise des Umgangs mit
bersandten Datentrger und E-Mails unterrichtet, besteht die Gefahr, dass
ein Computer-Virus im Unternehmen bzw. in der Behrde verbreitet wird.
- In einer Bundesbehrde wurden farblich unterschiedliche Papierkrbe auf-
gestellt, von denen eine Farbe fr die Entsorgung zu vernichtender Unter-
lagen bestimmt war. Die meisten Mitarbeiter waren von dieser Regelung
nicht unterrichtet.
- In einer Bundesbehrde gab es eine Vielzahl von Regelungen zur Durch-
fhrung von Datensicherungen, die mndlich zwischen dem IT-Sicher-
heitsbeauftragten und dem IT-Referat sukzessiv vereinbart wurden. Eine
Nachfrage ergab, dass die betroffenen IT-Benutzer keine Kenntnis und
keinen Ansprechpartner ber die getroffenen "Vereinbarungen" hatten. Die
Regelungen zur Datensicherung waren auch nicht dokumentiert. Viele
Benutzer haben deshalb unntig lokale Datensicherungen angefertigt.
- In einem Rechenzentrum wurde als neue Regelung festgelegt, dass bei
Problemen mit der Einbruch- oder Brandmeldeanlage eine Besetzung der
Pfrtnerloge auch nachts erfolgt. Der sich selbst organisierende Pfrtner-
dienst war ber diese eingefhrte Regelung vom Sicherheitsverantwort-
lichen nicht informiert worden. Als Folge war das Rechenzentrum fr
mehrere Wochen ungeschtzt.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 314
Gefhrdungskatalog Organisatorische Mngel G 2.3 Bemerkungen
___________________________________________________________________ ..........................................

G 2.3 Fehlende, ungeeignete, inkompatible


Betriebsmittel
Eine nicht ausreichende Bereitstellung von Betriebsmitteln kann einen IT-
Betrieb erheblich beeintrchtigen. Strungen knnen sich aus einer nicht aus-
reichenden Menge bentigter Betriebsmittel oder deren nicht termingerechter
Bereitstellung ergeben.
Ebenso kann es vorkommen, dass ungeeignete oder sogar inkompatible
Betriebsmittel beschafft werden, die infolgedessen nicht eingesetzt werden
knnen.
Beispiele:
- Durch das Jahr-2000-Problem knnen durch den bevorstehenden Jahres-
wechsel Kompatibilittsproblemen bei der eingesetzten Hard- und Soft-
ware auftreten.
- Fr den neu angemieteten Datex-P-Anschluss wird vergessen, das Entgelt
fr die Einrichtung an den Betreiber zu berweisen mit der Folge, dass der
Anschluss nicht freigeschaltet wird. Das IT-Verfahren, das diesen
Anschluss nutzen soll, kann daher nur mit Versptung in Betrieb
genommen werden.
- Ein ungeeignetes Betriebsmittel ist zum Beispiel eine graphische
Benutzeroberflche, die auf einem nicht ausreichend leistungsfhigen
Rechner installiert werden soll.
- Ein Beispiel fr inkompatible Betriebsmittel sind Verbindungskabel unter-
schiedlicher Pin-Belegung zum Anschluss von Druckern.
- Fr den Betrieb einer Datenbank unter der neu beschafften Datenbanken-
Standardsoftware ist im zugehrigen Rechner nicht gengend Haupt-
speicher vorhanden oder der Plattenplatz reicht nicht aus.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 315
Gefhrdungskatalog Organisatorische Mngel G 2.4 Bemerkungen
___________________________________________________________________ ..........................................

G 2.4 Unzureichende Kontrolle der IT-


Sicherheitsmanahmen
Nach der Einfhrung von Manahmen, die der Sicherheit der IT dienen (z. B.
Datensicherung, Zutrittskontrolle, Vorgaben fr Verhalten bei Notfllen),
mssen diese auch konsequent umgesetzt werden. Finden keine oder nur
unzureichende Kontrollen der Sicherheitsmanahmen statt, wird weder deren
Missachtung noch ihre effektive Wirksamkeit festgestellt. Eine rechtzeitige
und der jeweiligen Situation angemessene Reaktion wird dadurch verhindert.
Darber hinaus gibt es Sicherheitsmanahmen, die nur mit der Durchfhrung
entsprechender Kontrollen ihre Wirkung entfalten. Hierzu zhlen bei-
spielsweise Protokollierungsfunktionen, deren Sicherheitseigenschaften erst
mit der Auswertung der Protokolldaten zum Tragen kommen.
Beispiele:
- Der Administrationsplatz einer Datenverarbeitungsanlage ist mit einem
Konsoldrucker ausgestattet. Dieser Drucker soll smtliche Eingaben
protokollieren, die ber die Bedienungskonsole erfolgen. Ob durch die
Administration missbruchlich Handlungen vorgenommen werden, lsst
sich erst durch eine Auswertung der Ausdrucke feststellen. Fehlt diese
Auswertung durch eine unabhngige Person, so ist die Protokollierung
wirkungslos.
- Zur Vorbereitung von Straftaten kommt es vor, dass Schliezylinder in
Auentren und Toren ausgetauscht werden. Gerade wenn es sich um
Zugnge handelt, die selten genutzt werden oder lediglich als Notausgnge
vorgesehen sind, werden diese bei Streifengngen nur in Panikrichtung
geprft. Der Schliezylinder wird nicht ausprobiert.
- In einer Behrde werden einige Unix-Server zur externen Datenkommu-
nikation eingesetzt. Aufgrund der zentralen Bedeutung dieser IT-Systeme
sieht das IT-Sicherheitskonzept vor, dass die Unix-Server wchentlich
einer Integrittsprfung unterworfen werden. Da diese berprfungen
nicht regelmig nachgehalten werden, fllt erst bei der Klrung eines
Sicherheitsvorfalls auf, dass die IT-Abteilung auf solche Integrittspr-
fungen verzichtet hat. Als Grund wurde die mangelhafte personelle Aus-
stattung der Abteilung genannt.
- In einem Unternehmen wurde die Rolle des z/OS-Security-Auditors nicht
besetzt. Dies hatte zur Folge, dass die Einstellungen im RACF im Laufe
der Zeit nicht mehr den Sicherheitsvorgaben des Unternehmens
entsprachen. Erst nach einem Produktionsausfall wurde bemerkt, dass
einige Anwender mehr Rechte hatten, als sie fr ihre Ttigkeit bentigten.
Eine fr die Produktion wichtige Anwendung war von ihnen gestoppt
worden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 316
Gefhrdungskatalog Organisatorische Mngel G 2.5 Bemerkungen
___________________________________________________________________ ..........................................

G 2.5 Fehlende oder unzureichende Wartung


Die Funktionsfhigkeit der eingesetzten Technik muss gewhrleistet bleiben.
Durch regelmige Wartung kann die Funktionsfhigkeit der eingesetzten
Technik gefrdert werden. Werden Wartungsarbeiten nicht oder nur unzurei-
chend durchgefhrt, knnen daraus unabsehbar hohe Schden oder Folgesch-
den entstehen.
Beispiele:
- Die Batterien einer unterbrechungsfreien Stromversorgung (USV) verfgen
infolge fehlender Wartung ber eine unzureichende Kapazitt (zu geringer
Suregehalt). Die USV kann einen Stromausfall nicht mehr ausreichend
lange berbrcken.
- Die Feuerlscher verfgen aufgrund fehlender Wartung nicht mehr ber
einen ausreichenden Druck, so dass ihre brandbekmpfende Wirkung nicht
mehr vorhanden ist.
- Der Laserdrucker fllt aufgrund berhitzung aus, weil ein Lftungsgitter
nicht vorschriftsmig gereinigt wurde.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 317
Gefhrdungskatalog Organisatorische Mngel G 2.6 Bemerkungen
___________________________________________________________________ ..........................................

G 2.6 Unbefugter Zutritt zu schutzbedrftigen


Rumen
Gelangen Unbefugte in schutzbedrftige Rume, knnen sich Gefhrdungen
nicht nur durch vorstzliche Handlungen, sondern auch durch
unbeabsichtigtes Fehlverhalten ergeben. Eine Strung des Betriebsablaufs tritt
allein schon dadurch ein, dass aufgrund des unbefugten Zutritts eine Fest-
stellung mglicher Schden erforderlich wird. Dabei ist zu beachten, dass
auch dienstlich genutzte Rume im huslichen Umfeld zu diesen schutz-
bedrftigen Rumen zu zhlen sind.
Beispiel:
Beim Reinigungspersonal wird eine Urlaubsvertretung eingesetzt. Die
Urlaubsvertretung bernimmt eigenmchtig - obwohl sie nicht eingewiesen
wurde - die Reinigung des Rechenzentrums. Dort ffnet sie den
alarmberwachten Notausgang und lst hierdurch einen Fehlalarm aus.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 318
Gefhrdungskatalog Organisatorische Mngel G 2.7 Bemerkungen
___________________________________________________________________ ..........................................

G 2.7 Unerlaubte Ausbung von Rechten


Rechte wie Zutritts-, Zugangs- und Zugriffsberechtigungen werden als orga-
nisatorische Manahmen eingesetzt, um eine sichere und ordnungsgeme IT-
Nutzung zu gewhrleisten. Werden solche Rechte an die falsche Person
vergeben oder wird ein Recht unautorisiert ausgebt, knnen sich eine Viel-
zahl von Gefhrdungen ergeben, die die Vertraulichkeit und Integritt von
Daten oder die Verfgbarkeit von Rechnerleistung beeintrchtigen.
Beispiel:
Der Arbeitsvorbereiter, der keine Zutrittsberechtigung zum Datentrgerarchiv
besitzt, entnimmt in Abwesenheit des Archivverwalters Magnetbnder, um
Sicherungskopien einspielen zu knnen. Durch die unkontrollierte Entnahme
wird das Bestandsverzeichnis des Datentrgerarchivs nicht aktualisiert, die
Bnder sind fr diesen Zeitraum nicht auffindbar.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 319
Gefhrdungskatalog Organisatorische Mngel G 2.8 Bemerkungen
___________________________________________________________________ ..........................................

G 2.8 Unkontrollierter Einsatz von Betriebsmitteln


Betriebsmittel - gleich welcher Art - drfen nur entsprechend dem Verwen-
dungszweck eingesetzt werden. Die fr die Beschaffung und den Einsatz der
Betriebsmittel verantwortlichen Personen mssen sowohl den unkontrollierten
Einsatz verhindern als auch den korrekten Einsatz berwachen. Wird jedoch
der Einsatz von Betriebsmitteln nicht ausreichend kontrolliert, knnen als
Folge vielfltige Gefhrdungen auftreten.
Beispiele:
- Der Einsatz privater Datentrger durch Mitarbeiter kann zu einer Infektion
des dienstlichen PC durch Computer-Viren fhren.
- Falsche Reinigungsmittel knnen zu einer Beschdigung von Monitoren
fhren.
- Ungeeignete Tinte fr Tintenstrahldrucker kann zu einer Verunreinigung
oder Fehlfunktion des Druckers fhren.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 320
Gefhrdungskatalog Organisatorische Mngel G 2.9 Bemerkungen
___________________________________________________________________ ..........................................

G 2.9 Mangelhafte Anpassung an Vernderungen


beim IT-Einsatz
Die speziell fr den Einsatz von Informationstechnik geschaffenen organisato-
rischen Regelungen, aber auch das gesamte Umfeld einer Behrde bzw. eines
Unternehmens unterliegen stndigen Vernderungen. Sei es nur, dass
Mitarbeiter ausscheiden oder hinzukommen, Mitarbeiter das Bro wechseln,
neue Hardware oder Software beschafft wird, der Zulieferbetrieb fr die
Betriebsmittel Konkurs anmeldet. Da sich bei einer ungengenden Berck-
sichtigung der vorzunehmenden organisatorischen Anpassungen Gefhr-
dungen ergeben, zeigen folgende Beispiele:
- Vor Urlaubsantritt vergisst ein Mitarbeiter, der Urlaubsvertretung Zugriffs-
rechte auf alle von dieser bentigten Dateien und Verzeichnisse zu ber-
tragen. Hierdurch knnen sich Verzgerungen im IT-Betrieb ergeben.
- Durch bauliche nderungen im Gebude werden bestehende Fluchtwege
verndert. Durch mangelhafte Unterrichtung der Mitarbeiter ist die Ru-
mung des Gebudes nicht in der erforderlichen Zeit mglich.
- Durch eine Umstellung eines IT-Verfahrens werden grere Mengen an
Druckerpapier bentigt. Durch fehlende Unterrichtung der Beschaffungs-
stelle kommt es zu Engpssen im IT-Betrieb.
- Beim Empfang elektronischer Dokumente werden diese nicht automatisch
auf Makro-Viren berprft, da dieses Problem noch nicht bekannt ist oder
kein Virenprfprogramm vorhanden ist.
- Bei der bermittlung elektronischer Dokumente wird nicht darauf geach-
tet, diese in einem fr die Empfngerseite lesbaren Format abzuspeichern.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 321
Gefhrdungskatalog Organisatorische Mngel G 2.10 Bemerkungen
___________________________________________________________________ ..........................................

G 2.10 Nicht fristgerecht verfgbare Datentrger


Die korrekte Verwendung von Datentrgern ist fr ein IT-Verfahren von
besonderer Bedeutung. Bereits geringfgige Fehler - z. B. mangelhafte Kenn-
zeichnung, falscher Aufbewahrungsort, fehlende Ein- oder Ausgabebestti-
gungen im Datentrgerarchiv - knnen dazu fhren, dass ein Datentrger nicht
in der erforderlichen Zeit aufgefunden werden kann. Die resultierenden
Verzgerungen knnen zu erheblichen Schden fhren.
Beispiele:
- Datensicherungsbnder werden versehentlich in ein externes Datensiche-
rungsarchiv ausgelagert. Eine erforderliche Datenrekonstruktion wird
erheblich verzgert, weil die Wiederbeschaffung der Bnder nicht unver-
zglich mglich ist.
- Datensicherungsbnder unterschiedlichen Inhalts werden versehentlich
gleich gekennzeichnet. Der Archivverwalter gibt unabsichtlich das aktu-
ellere Magnetband zum Lschen frei. Folglich steht nur noch eine ber-
alterte Datensicherung zur Verfgung.
- Bandverwaltungssysteme im z/OS-Betriebssystem verwenden Batch-Jobs,
um Datensicherungsbnder mit erreichtem Expiration Date zu erkennen
und zum berschreiben frei zu geben. Bricht dieser Batch-Job ab oder luft
erst gar nicht an, so stehen unter Umstnden nicht genug Leerbnder
(Scratch Tapes) fr die Folgesicherungen zur Verfgung und es kann zu
Engpssen in der Bandverarbeitung kommen.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 322
Gefhrdungskatalog Organisatorische Mngel G 2.11 Bemerkungen
___________________________________________________________________ ..........................................

G 2.11 Unzureichende Trassendimensionierung


Bei der Planung von Netzen, Serverrumen oder Rechenzentren wird oft der
Fehler begangen, die funktionale, kapazitive oder sicherheitstechnische Aus-
legung ausschlielich am aktuellen Stand auszurichten. Dabei wird bersehen,
dass
- die Kapazitten des Netzes und der Rechner aufgrund steigender Daten-
volumina oder Einsatz neuer Dienste und Dienstleistungen erweitert
werden mssen,
- nderungen technischer Standards bauliche oder sicherheitstechnische
Anpassungen nach sich ziehen knnen,
- Erweiterungen des Netzes nicht auszuschlieen sind
- neue Forderungen an das Netz die Verlegung anderer Kabel erforderlich
machen.
Beispiele:
- Eine Erweiterung von Netzen ist nur in dem Umfang mglich, wie es die kein Austausch einzelner
Kabel mglich
vorhandenen, verlegten Kabel zulassen oder der zur Verfgung stehende
Platz fr zustzliche Kabel erlaubt. Gerade in geschlossenen Trassen
(Rohre, estrichberdeckte Fubodenkanle etc.) ist es trotz noch
vorhandenen Platzes oft nicht mglich, zustzliche Kabel einzuziehen,
ohne neue und alte Kabel zu beschdigen. Als Ausweg bleibt dann nur, die
vorhandenen Kabel aus der Trasse herauszuziehen und alle Kabel, die alten
und die neuen, gleichzeitig neu einzuziehen. Die dadurch entstehenden
Betriebsbeeintrchtigungen und Kosten sind betrchtlich.
- Die Planung eines Rechenzentrum erfolgte zunchst allein unter Trassen nicht eingeplant
sthetischen Gesichtspunkten. Infrastrukturelle und sicherheitstechnische
Anforderungen standen im Hintergrund und wurden erst nach der
Rohbauerstellung konkreter definiert. Die Fertigstellung des Baus
verzgerte sich extrem, weil erforderliche Trassen nicht zur Verfgung
standen und Rume nicht bedarfsgerecht dimensioniert und positioniert
waren. nderungen whrend des spteren Betriebs waren nur unter groen
Umstnden zu bewltigen.
- In einem Unternehmen wurde nach zehn Jahren Betriebszeit eine schlechte Koordination
vollstndig neue Netzstruktur und IT-Verkabelung geplant. Auf Nachfrage
stellte sich heraus, dass im folgenden Jahr eine Erneuerung der TK-Anlage
und der TK-Verkabelung geplant war, die bislang zusammen mit der IT-
Verkabelung in derselben Trasse gefhrt wurde. Ohne Koordinierung
dieser beiden Manahmen wren doppelte Arbeiten an den Trassen
erforderlich geworden und es wren mglicherweise zu kleine Trassen
geplant worden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 323
Gefhrdungskatalog Organisatorische Mngel G 2.12 Bemerkungen
___________________________________________________________________ ..........................................

G 2.12 Unzureichende Dokumentation der Verkabelung


Ist aufgrund unzureichender Dokumention die genaue Lage von Leitungen
nicht bekannt, so kann es bei Bauarbeiten auerhalb oder innerhalb eines
Gebudes zu Beschdigungen von Leitungen kommen. Dabei kann es zu
lngeren Ausfallzeiten oder unter Umstnden sogar zu lebensbedrohenden
Gefahren, z. B. durch Stromschlag, kommen.
Eine unzureichende Dokumentation erschwert zudem Prfung, Wartung und
Reparatur von Leitungen sowie Rangierungen, wie sie z. B. bei nderungen
im Endgerte-Bereich (Umzug, Neuzugang) erforderlich werden.
Beispiel:
In einer greren Behrde wurde die Verkabelung der IT durch eine externe
Firma vorgenommen. Die Anfertigung einer Dokumentation war im
Leistungsumfang nicht enthalten. Da nach Fertigstellung der Verkabelung mit
der Firma kein Wartungsvertrag abgeschlossen wurde, verfgte die Behrde
nicht ber die notwendige Dokumentation. Erweiterungen des Netzes konnten
nur mit erheblichen Verzgerungen vorgenommen werden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 324
Gefhrdungskatalog Organisatorische Mngel G 2.13 Bemerkungen
___________________________________________________________________ ..........................................

G 2.13 Unzureichend geschtzte Verteiler


Verteiler des Stromversorgungsnetzes sind vielfach frei zugnglich und unver-
schlossen in Fluren oder Treppenhusern untergebracht. Somit ist es
jedermann mglich, diese Verteiler zu ffnen, Manipulationen vorzunehmen
und ggf. einen Stromausfall herbeizufhren.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 325
Gefhrdungskatalog Organisatorische Mngel G 2.14 Bemerkungen
___________________________________________________________________ ..........................................

G 2.14 Beeintrchtigung der IT-Nutzung durch


ungnstige Arbeitsbedingungen
Ein nicht nach ergonomischen Gesichtspunkten eingerichteter Arbeitsplatz
oder das Arbeitsumfeld (z. B. Strungen durch Lrm oder Staub) knnen dazu
fhren, dass die zur Verfgung stehende IT nicht oder nicht optimal genutzt
werden kann.
Die meisten der denkbaren Strungen wirken sich nicht direkt auf die IT aus.
Vielmehr wird der Mitarbeiter in der Form beeinflusst, dass er seiner Aufgabe
nicht mit entsprechender Konzentration nachgehen kann. Die Strungen
reichen von Lrm oder starkem, unorganisiertem Kundenverkehr bis zu
ungnstiger Beleuchtung, schlechter Belftung u... Erste Anzeichen solcher
Strungen sind die Verlangsamung der Aufgabenerledigung und die Zunahme
kleiner Fehler (Zeichendreher, Schreibfehler). Dadurch wird nicht nur das
direkte Arbeitsergebnis beeintrchtigt. Auch die gespeicherten Daten enthalten
evtl. Fehler, die Integritt der Daten wird vermindert.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 326
Gefhrdungskatalog Organisatorische Mngel G 2.15 Bemerkungen
___________________________________________________________________ ..........................................

G 2.15 Vertraulichkeitsverlust schutzbedrftiger Daten


im Unix-System
Durch verschiedene Unix-Programme ist es mglich, Daten abzufragen, die
das IT-System ber die Benutzer speichert. Hiervon sind auch solche Daten
betroffen, die Auskunft ber das Leistungsprofil eines Benutzers geben
knnen. Datenschutzrechtliche Gesichtspunkte mssen deshalb genauso
beachtet werden wie die Gefahr, dass solche Informationen
Missbrauchsmglichkeiten erleichtern.
Beispiel:
Mit einem einfachen Programm, das in einem bestimmten Zeitintervall die
Informationen, die der Befehl who liefert, auswertet, kann jeder Benutzer ein
genaues Nutzungsprofil fr einen Account erstellen. Z. B. lassen sich auf diese
Weise die Abwesenheitszeiten des oder der Systemadministratoren feststellen,
um diese Zeiten fr unberechtigte Handlungen zu nutzen. Desweiteren lsst
sich feststellen, welche Terminals fr einen privilegierten Zugang zugelassen
sind.
Weitere Programme mit hnlichen Missbrauchsmglichkeiten sind finger oder
ruser.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 327
Gefhrdungskatalog Organisatorische Mngel G 2.16 Bemerkungen
___________________________________________________________________ ..........................................

G 2.16 Ungeordneter Benutzerwechsel bei tragbaren


PCs
Der Benutzerwechsel bei tragbaren PCs wie Laptops oder Notebooks wird
oftmals durch die einfache bergabe des Gertes vorgenommen. Dies hat zur
Folge, dass meist nicht sichergestellt wird, dass auf dem Gert keine schutzbe-
drftigen Daten mehr gespeichert sind und dass das Gert nicht mit einem
Computer-Virus verseucht ist. Zudem ist nach einiger Zeit nicht mehr nach-
vollziehbar, wer den tragbaren PC wann genutzt hat oder wer ihn zurzeit
benutzt. Der ungeordnete Benutzerwechsel ohne Speicherkontrollen und ohne
entsprechende Dokumentation kann damit zur Einschrnkung der
Verfgbarkeit des Gerts und zum Vertraulichkeitsverlust von Restdaten der
Festplatte fhren.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 328
Gefhrdungskatalog Organisatorische Mngel G 2.17 Bemerkungen
___________________________________________________________________ ..........................................

G 2.17 Mangelhafte Kennzeichnung der Datentrger


Unterbleibt eine ordnungsgeme Kennzeichnung der ausgetauschten Daten-
trger, so ist fr den Empfnger oft nicht nachvollziehbar, wer den
Datentrger bersandt hat, welche Informationen darauf gespeichert sind oder
welchem Zweck sie dienen. Wenn mehrere Datentrger ein- und desselben
Absenders eingehen, kann bei fehlender Kennzeichnung die Reihenfolge
verwechselt werden.
Beispiel:
Absender A verschickt an den Empfnger E eine Diskette mit Informationen,
bei denen groes Gewicht auf deren Integritt gelegt wird. Am nchsten Tag
stellt A fest, dass die Daten fehlerhaft waren, verschickt eine korrigierte
Version und kndigt diese beim Empfnger telefonisch an. Auf dem Postweg
berholt nun die zweite Diskette die erste, so dass der Empfnger aufgrund
mangelhafter Kennzeichnung glaubt, die zuerst erhaltene Diskette enthielte die
falschen Daten.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 329
Gefhrdungskatalog Organisatorische Mngel G 2.18 Bemerkungen
___________________________________________________________________ ..........................................

G 2.18 Ungeordnete Zustellung der Datentrger


Bei ungeordneter Zustellung von Datentrgern besteht die Gefahr, dass
vertrauliche, auf dem Datentrger gespeicherte Daten in unbefugte Hnde
gelangen oder das gewnschte Ziel nicht rechtzeitig erreichen.
Beispiele:
- eine fehlerhafte Adressierung kann dazu fhren, dass der Datentrger
einem unautorisierten Empfnger bergeben wird,
- eine unzureichende Verpackung kann zu einer Beschdigung des Datentr-
gers fhren, aber auch einen unbefugten Zugriff ermglichen, der nicht
festgestellt werden kann,
- eine fehlende Festlegung der Verantwortung beim Empfnger kann zur
Folge haben, dass ein eingegangener Datentrger erst versptet bearbeitet
wird,
- eine nicht festgelegte Versandart kann bewirken, dass der Datentrger zu
spt zugestellt wird, da die falsche Versandart ausgewhlt wurde,
- eine fehlende Festlegung der Verantwortung beim Absender kann zur
Folge haben, dass eine terminlich zugesicherte Zustellung der Datentrger
nicht eingehalten werden kann.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 330
Gefhrdungskatalog Organisatorische Mngel G 2.19 Bemerkungen
___________________________________________________________________ ..........................................

G 2.19 Unzureichendes Schlsselmanagement bei


Verschlsselung
Werden zum Schutz der Vertraulichkeit zu bermittelnder Daten Verschlsse-
lungssysteme eingesetzt, so kann aufgrund eines unzureichenden Schlssel-
managements der gewnschte Schutz unterlaufen werden, wenn
- die Schlssel in einer ungesicherten Umgebung erzeugt oder aufbewahrt
werden,
- ungeeignete oder leicht erratbare Schlssel eingesetzt werden,
- die zur Verschlsselung bzw. Entschlsselung eingesetzten Schlssel nicht
auf einem sicheren Weg den Kommunikationspartner erreichen.
Beispiele:
- Einfachstes Negativbeispiel ist der Versand der verschlsselten Infor-
mationen und des benutzten Schlssels auf ein- und derselben Diskette. In
diesem Fall kann jeder, der in den Besitz der Diskette gelangt, die Infor-
mationen entschlsseln, vorausgesetzt, dass das bei der Verschlsselung
eingesetzte Verfahren bekannt ist.
- Kryptographische Schlssel werden im Allgemeinen durch Zufallsprozesse schlechte Zufallsquelle
erzeugt und evtl. nachbearbeitet. Wenn die verwendete Zufallsquelle unge-
eignet ist, knnen Schlssel erzeugt werden, die unsicher sind.
- Bei der Erzeugung von kryptographischen Schlsseln, insbesondere von schlechte Wahl der
Schlssel
Masterkeys, ist es fr die Sicherheit entscheidend, dass keine schwachen
kryptographischen Schlssel erzeugt werden. Dies knnen Schlssel sein,
die leicht zu erraten sind, oder Schlssel, die fr die Verschlsselung unge-
eignet sind (Beispiel: schwache und semischwache DES-Schlssel). Wenn
bei der Ableitung von Schlsseln aus Masterkeys nicht berprft wird, ob
dabei ein schwacher Schlssel erzeugt wurde, kann dadurch ein schwacher
Schlssel im Wirkbetrieb zum Einsatz kommen.
- Werden beim Triple-DES identische Teilschlssel verwendet, bewirkt die
Triple-DES-Verschlsselung nur eine einfache DES-Verschlsselung. Der
Sicherheitsgewinn geht verloren.
Aber nicht nur die Offenlegung, sondern auch der Verlust von kryptogra-
phischen Schlsseln kann zu groen Problemen fhren. Kryptographische
Schlssel knnen
- verloren oder vergessen werden,
- nicht mehr zugreifbar sein, z. B. wenn der Schlsselinhaber die Firma
verlassen hat, oder
- zerstrt werden, indem sie versehentlich gelscht werden oder indem sie
verndert werden, z. B. durch Datentrgerversagen oder Bitfehler.
Wenn die Schlssel nicht mehr verfgbar sind, knnen damit geschtzte
Daten nicht mehr entschlsselt oder auf ihre Authentizitt berprft werden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 331
Gefhrdungskatalog Organisatorische Mngel G 2.20 Bemerkungen
___________________________________________________________________ ..........................................

G 2.20 Unzureichende oder falsche Versorgung mit


Verbrauchsgtern
Viele im Broalltag eingesetzte Gerte wie Faxgerte, Drucker, Datensiche-
rungslaufwerke usw. bentigen fr einen reibungslosen und unterbrechungs-
freien Betrieb Verbrauchsgter in ausreichender Menge. Fehlen Verbrauchs-
gter, kann der Betriebsablauf empfindlich gestrt werden. In Notfllen kann
die Handlungsfhigkeit stark beeintrchtigt sein und hohe Folgekosten
verursachen, weil Verbrauchsgter nicht in ausreichender Menge zur
Verfgung stehen.
Beispiele:
- Eingehende Faksimiles knnen nicht ausgedruckt werden, obwohl sie
ordnungsgem empfangen wurden, wenn der Papier- oder der Tonervorrat
aufgebraucht sind. Der Puffer-Speicher kann aufgrund seiner begrenzten
Speicherkapazitt die Abweisung oder den Verlust von Fax-Sendungen nur
herauszgern, aber nicht langfristig verhindern.
- Es wird ein neues Bandlaufwerk beschafft, das mit den alten Bndern nicht
kompatibel ist. Neue passende Bnder sind nicht beschafft worden, daher
knnen tagelang keine Datensicherungen angefertigt werden.
- Ein wichtiger Druckjob steht an. Die beschaffte Tonerkartusche zur
Reserve passt jedoch nicht fr den Drucker.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 332
Gefhrdungskatalog Organisatorische Mngel G 2.21 Bemerkungen
___________________________________________________________________ ..........................................

G 2.21 Mangelhafte Organisation des Wechsels


zwischen den Benutzern
Arbeiten mehrere Benutzer zeitlich versetzt an einem Einzelplatz-IT-System,
so findet zwangslufig ein Wechsel zwischen den Benutzern statt. Ist dieser
nicht ausreichend organisiert und geregelt, wird er unter Umstnden nicht
sicherheitsgerecht durchgefhrt. Hierdurch knnen Missbrauchsmglichkeiten
entstehen, wenn z. B.
- laufende Anwendungen nicht korrekt abgeschlossen werden,
- aktuelle Daten nicht gespeichert werden,
- Restdaten im Hauptspeicher oder in temporren Dateien verbleiben,
- der vorhergehende Benutzer sich nicht am IT-System abmeldet und
- der neue Benutzer sich nicht ordnungsgem am IT-System anmeldet.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 333
Gefhrdungskatalog Organisatorische Mngel G 2.22 Bemerkungen
___________________________________________________________________ ..........................................

G 2.22 Fehlende Auswertung von Protokolldaten


Protokolldaten dienen dem Zweck, nachtrglich feststellen zu knnen, ob
Sicherheitsverletzungen im IT-System stattgefunden haben oder ob ein solcher
Versuch unternommen wurde. Daher knnen Protokolldaten fr die
Tterermittlung im Schadensfall genutzt werden. Eine weitere wichtige
Funktion der Protokolldaten ist die Abschreckung. Werden Protokolldaten
regelmig ausgewertet, knnen vorstzliche Angriffe auf ein IT-System
frhzeitig erkannt werden. Findet die Auswertung der Protokolldaten jedoch
nicht oder nur unzureichend statt und wird dies bekannt, verliert sich die
Abschreckungswirkung vollstndig.
Bei vielen IT-Systemen oder Anwendungen fehlen ausreichende Protokollie-
rungsmglichkeiten. Teilweise ist berhaupt keine Protokollierung vorge-
sehen, hufig ist es nicht mglich, die Protokollierung nach Ereignissen zu
differenzieren.
Beispiel:
Auf einem nicht vernetzten Windows 95-Rechner gibt es keine Mglichkeit,
die Aktivitten eines oder mehrerer Benutzer benutzerspezifisch zu protokol-
lieren. Es ist daher nicht festzustellen, ob Sicherheitsverletzungen im IT-
System stattgefunden haben oder ob ein solcher Versuch unternommen wurde.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 334
Gefhrdungskatalog Organisatorische Mngel G 2.23 Bemerkungen
___________________________________________________________________ ..........................................

G 2.23 Schwachstellen bei der Einbindung von DOS-


PCs in ein servergesttztes Netz
Durch die Einbindung von DOS-PCs in ein servergesttztes Netz knnen in
einem ansonsten sicheren Netz Schwachstellen hinzukommen.
Werden beispielsweise DOS-PCs in ein Unix-Netz eingebunden, ist den
Benutzern der Einsatz von Unix-Diensten wie telnet, ftp, NFS, RPCs, X-
Windows mglich. Die hierdurch entstehenden Sicherheitsprobleme sind
grundstzlich nicht verschieden von denen in einem reinen Unix-Netz.
Jedoch werden durch die Einbindung von DOS-PCs in ein servergesttztes Abhren des Netzes
Netz zustzliche unkontrollierte Netzzugnge geschaffen. Jeder Netzanschluss
kann zum Abhren des Netzes missbraucht werden. Dies ist mit geeigneter
Software (Sniffer) auch durch einen am Netz angeschlossenen PC mglich.
Damit ist es ein Leichtes, alle Informationen, d. h. alle Passwrter und auch
Dateiinhalte, die ber das Netz verschickt werden mitzulesen und zu
missbrauchen.
Ein PC-Benutzer kann zudem i. allg. den PC selbstndig administrieren. Vorspiegelung einer
falschen Identitt
Indem er den PC so konfiguriert, dass hiermit eine falsche Identitt vorge-
spiegelt wird, kann er zugelassene Dienste wie z. B. NFS oder RPCs nutzen,
um Zugriff auf Verzeichnisse und Dateien anderer Benutzer auf dem Server zu
erlangen. Er kann diese Informationen dann unbemerkt lesen, kopieren,
verflschen oder lschen.
DOS-PCs, die in ein Windows NT Netz eingebunden sind, stellen ebenfalls unkontrollierter Import
und Export von Informa-
eine potentielle Bedrohung der Sicherheit dieses Netzes dar. So knnen durch tionen
Kopieren von Dateien von einem Server auf die Festplatte eines PCs sicher-
heitsrelevante Informationen auf einem physisch nur unzureichend geschtz-
ten Medium abgelegt werden, oder durch Kopieren auf ein lokales Disketten-
laufwerk knnen solche Informationen an externe Stellen abgegeben werden,
ohne dass dies von den Protokollierungsfunktionen des Servers erfasst wird.
Umgekehrt besteht die Gefahr des Imports von Computer-Viren ber unge-
ngend abgesicherte Diskettenlaufwerke.
Unix-Rechner, die mittels des Programmes SAMBA ihre Dateisysteme fr SAMBA
Windows-Rechner verfgbar machen, knnen bei mangelhafter Konfiguration
ein hohes Sicherheitsrisiko darstellen. So ist es z. B. mglich, dass ein
Benutzer, der sich auf einem Windows-Rechner mit der Kennung "root"
anmeldet, bei einem weiteren Anmeldevorgang unter Unix-Rechner sich auch
hier Zugriff auf die "root"-Kennung verschaffen kann und somit Administra-
tor-Rechte erhlt.
Die Verwendung eines Primary Domnen Controller (PDC) als Passwort-
server fr SAMBA projiziert eventuell bestehende Sicherheitslcken von
Windows NT auf das Unix-System, da ein kompromittierter NT-Server somit
einer unberechtigten Person Zugriff auf das Unix-Filesystem ermglichen
kann.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 335
Gefhrdungskatalog Organisatorische Mngel G 2.24 Bemerkungen
___________________________________________________________________ ..........................................

G 2.24 Vertraulichkeitsverlust schutzbedrftiger Daten


des zu schtzenden Netzes
Bei einem nicht durch eine Firewall geschtzten Netz, das mit einem externen
Netz wie dem Internet gekoppelt ist, knnen aus dem externen Netz verschie-
dene Daten des internen Netzes wie z. B. Mailadressen, IP-Nummern, Rech-
nernamen und Benutzernamen abgerufen werden. Dadurch lassen sich Rck-
schlsse auf die interne Netzstruktur und dessen Anwender ziehen. Je mehr
Informationen ein Angreifer ber potentielle Angriffsziele hat, desto mehr
Angriffsmglichkeiten hat er. Wenn ein Angreifer z. B. Benutzernamen eines
IT-Systems kennt, kann er versuchen, die zugehrigen Passwrter zu erraten
oder ber Wrterbuchattacken herauszufinden (siehe auch G 5.18 Systema-
tisches Ausprobieren von Passwrtern).

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 336
Gefhrdungskatalog Organisatorische Mngel G 2.25 Bemerkungen
___________________________________________________________________ ..........................................

G 2.25 Einschrnkung der bertragungs- oder


Bearbeitungsgeschwindigkeit durch Peer-to-
Peer-Funktionalitten
In einem servergesttzten Netz knnen auf Clients aktivierte Peer-to-Peer-
Funktionalitten die verfgbare bertragungsbandbreite einschrnken, da
dasselbe physikalische Medium beansprucht wird. Beispielsweise erfolgen
Zugriffe auf Dateien des Servers unter Umstnden mit erheblichen Verzge-
rungen, wenn gleichzeitig ber die Peer-to-Peer-Funktionen groe Dateien
von Client zu Client kopiert werden.
Ein Arbeitsplatz-Computer kann in einem Peer-to-Peer-Netz als "Server", d. h.
als Applikations- oder Dateianbieter fr andere Rechner, eingesetzt werden.
Dabei wird er durch die zu verwaltenden Peer-to-Peer-Funktionalitten unter
Umstnden erheblich belastet, wodurch die lokale Bearbeitungsgeschwindig-
keit deutlich abnimmt.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 337
Gefhrdungskatalog Organisatorische Mngel G 2.26 Bemerkungen
___________________________________________________________________ ..........................................

G 2.26 Fehlendes oder unzureichendes Test- und


Freigabeverfahren
Wird neue Hard- oder Software nicht oder nur unzureichend getestet und ohne
Installationsvorschriften freigegeben, kann es passieren, dass Fehler in der
Hard- oder Software nicht erkannt werden oder dass die notwendigerweise
einzuhaltenden Installationsparameter nicht erkannt bzw. nicht beachtet wer-
den. Diese Hardware-, Software- oder Installationsfehler, die aus einem feh-
lenden oder unzureichenden Software-Test- und Freigabeverfahren resultieren,
stellen eine erhebliche Gefhrdung fr den IT-Betrieb dar.
Im Vertrauen auf eine problemlose Installation neuer Hard- bzw. Software
wird oftmals bersehen, dass mgliche Schden in keinem Verhltnis zu dem
Aufwand stehen, den ein geordnetes Test- und Freigabeverfahren erfordert.
Programme oder IT-Systeme werden unzureichend getestet und mit Fehlern in
eine Produktionsumgebung eingebracht. Die Fehler wirken sich in der Folge
strend auf den bis zu diesem Zeitpunkt problemlosen Betrieb aus.
Beispiele fr solche Schden werden nachfolgend aufgezeigt:
- Programme oder Programm-Updates lassen sich nicht sinnvoll nutzen, da Ressourcen
fr ein annehmbares Verarbeitungstempo mehr Ressourcen (z. B. Haupt-
speicher, Prozessorkapazitt) als erwartet bentigt werden. Wird dies nicht
im Test erkannt, kann dies zu erheblichen Fehl- oder Folgeinvestitionen
fhren. Nicht selten fhrten Entscheidungen gegen weitere Investitionen
dazu, dass ein Softwareprodukt zwar gekauft und bezahlt, jedoch nie be-
nutzt wurde.
- Eingebte Arbeitsablufe werden nach Installation neuer Software Arbeitsbehinderungen
mageblich behindert. Der mit der Installation des Programms beab-
sichtigte Nutzen stellt sich erst bedeutend spter ein, da die Mitarbeiter im
Vorfeld nicht geschult bzw. nicht ber die neuen Funktionen des Pro-
gramms informiert wurden.
- Durch das Einspielen eines neuen Updates einer DBMS-Standardsoftware,
das mit Fehlern behaftet ist, steht die Datenbank nicht mehr zur Verfgung
und es kann zu einem Datenverlust kommen.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 338
Gefhrdungskatalog Organisatorische Mngel G 2.27 Bemerkungen
___________________________________________________________________ ..........................................

G 2.27 Fehlende oder unzureichende Dokumentation


Verschiedene Formen der Dokumentation knnen betrachtet werden: die Pro-
duktbeschreibung, die Administrator- und Benutzerdokumentation zur
Anwendung des Produktes und die Systemdokumentation.
Eine fehlende oder unzureichende Dokumentation der eingesetzten IT-
Komponenten kann sowohl im Auswahl- und Entscheidungsprozess fr ein
Produkt, als auch bei einem Schadensfall im Wirkbetrieb erhebliche Auswir-
kungen haben.
Bei einer unzureichenden Dokumentation kann sich im Schadensfall, bei- Schadensbehebung
ohne Dokumentation
spielsweise durch den Ausfall von Hardware bzw. Fehlfunktionen von Pro- schwierig
grammen, die Fehlerdiagnose und -behebung erheblich verzgern oder vllig
undurchfhrbar sein.
Dies gilt auch fr die Dokumentation von Leitungswegen und Verkabelungen
innerhalb der Gebude-Infrastruktur. Ist aufgrund unzureichender Dokumen-
tation die genaue Lage von Leitungen nicht bekannt, so kann es bei Bau-
arbeiten auerhalb oder innerhalb eines Gebudes zu Beschdigungen von
Leitungen kommen. Dabei kann es zu lngeren Ausfallzeiten (Eintritt eines
Notfalls) oder unter Umstnden sogar zu lebensbedrohenden Gefahren, z. B.
durch Stromschlag, kommen.
Beispiele:
- Wenn von einem Programm Arbeitsergebnisse in temporren Dateien vertrauliche Infor-
mationen versehentlich
zwischengespeichert werden, ohne dass dies ausreichend dokumentiert ist, offen gelegt
kann dies dazu fhren, dass die temporren Dateien nicht angemessen
geschtzt und vertrauliche Informationen offengelegt werden. Durch
fehlenden Zugriffsschutz auf diese Dateien oder eine nicht korrekte physi-
kalische Lschung der nur temporr genutzten Bereiche knnen Informa-
tionen Unbefugten zugnglich werden.
- Bei Installation eines neuen Softwareproduktes werden bestehende Konfi-
gurationen abgendert. Andere, bislang fehlerfrei laufende Programme sind
danach falsch parametrisiert und strzen ggf. ab. Durch eine detaillierte
Dokumentation der Vernderung bei der Installation von Software liee
sich der Fehler schnell lokalisieren und beheben.
- In einer greren Behrde wurde die Verkabelung der IT durch eine Dokumentationspflicht
vergessen
externe Firma vorgenommen. Die Anfertigung einer Dokumentation war
im Leistungsumfang nicht enthalten. Da nach Fertigstellung der Ver-
kabelung mit der Firma kein Wartungsvertrag abgeschlossen wurde,
verfgte die Behrde nicht ber die notwendige Dokumentation. Erwei-
terungen des Netzes konnten nur mit erheblichen Verzgerungen
vorgenommen werden.
- In einer z/OS-Installation wurden jeden Abend automatisch Batch-Jobs
zur Verarbeitung von Anwendungsdaten gestartet. Fr die Verarbeitung
war es wichtig, dass die Batch-Jobs in der richtigen Reihenfolge abliefen.
Als eines Abends die Automation versagte, mussten die Jobs manuell
gestartet werden. Aufgrund fehlender Dokumentation wurden die Batch-
Jobs in der falschen Reihenfolge gestartet. Dies fhrte zu Abbrchen in der

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 339
Gefhrdungskatalog Organisatorische Mngel G 2.27 Bemerkungen
___________________________________________________________________ ..........................................

Verarbeitung der Anwendungsdaten und zu Verzgerungen in der Produktion


um mehrere Stunden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 340
Gefhrdungskatalog Organisatorische Mngel G 2.28 Bemerkungen
___________________________________________________________________ ..........................................

G 2.28 Verste gegen das Urheberrecht


Der Einsatz nicht-lizensierter Software kann einen Versto gegen das
Urheberrecht darstellen und sowohl zu zivil- als auch strafrechtlichen
Konsequenzen fhren.
Behrden und Unternehmen, in denen Raubkopien zum Einsatz kommen,
knnen im Rahmen des Organisationsverschuldens, unabhngig von der
Schuldform (Vorsatz oder Fahrlssigkeit) vom Urheberrechtseigentmer
schadensersatzpflichtig gemacht werden.
Beispiel:
In einem Unternehmen wurde eine groe Anzahl Benutzeroberflchen einge-
setzt, ohne dass die hierfr erforderlichen Lizenzen erworben wurden. Die
Kosten fr die erforderliche Nachlizenzierung sowie den Schadensersatz an
den Urheberrechtseigentmer beliefen sich auf ein Vielfaches der
Lizenzgebhren.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 341
Gefhrdungskatalog Organisatorische Mngel G 2.29 Bemerkungen
___________________________________________________________________ ..........................................

G 2.29 Softwaretest mit Produktionsdaten


Vielfach ist zu beobachten, dass Softwaretests mit Produktionsdaten vollzogen
werden. Als wesentliche Grnde werden hierfr angefhrt, dass nur im
direkten Vergleich mit vorhandenen Arbeitsergebnissen eine abschlieende
Beurteilung ber die Funktion und Performance des Produktes mglich ist.
Darber hinaus sind mangelndes Sicherheitsbewusstsein, berzogenes
Vertrauen in die zu testende Software und Unkenntnis ber mgliche
schdliche Auswirkungen urschlich fr diese Vorgehensweise.
Beim Test mit Produktionsdaten kann es zu folgenden Problemen kommen:
- Software wird mit Kopien von Produktionsdaten in isolierter Test-
umgebung getestet:
Wenn neue Software mit nicht anonymisierten Daten getestet wird,
erhalten evtl. nicht befugte Mitarbeiter, bzw. Dritte, die mit dem
Softwaretest beauftragt worden sind, hierbei Einblick in Dateien mit evtl.
vertraulichen Informationen.
- Software wird mit Produktionsdaten im Wirkbetrieb getestet:
Fehlfunktionen von Software whrend des Testens knnen ber den oben
geschilderten Fall hinaus beispielsweise dazu fhren, dass neben der Ver-
traulichkeit der Produktionsdaten auch deren Integritt und Verfgbarkeit
beeintrchtigt werden.
Aufgrund der Inkompatibilitt unterschiedlicher Programme knnen
Seiteneffekte auftreten, die bei anderen Systemkomponenten zu nach-
haltigen Beeintrchtigungen fhren knnen. Bei vernetzten Systemen kann
das von Performanceverlusten bis hin zum Systemabsturz des Netzes
reichen.
Durch fehlerhaftes Verhalten der zu testenden Software oder Bedienfehler
knnen Produktionsdaten ungewollt verndert werden. Mglicherweise
wird diese Vernderung nicht festgestellt. Da Datenbestnde, um unntige
Redundanz zu vermeiden, zunehmend durch unterschiedliche Programme
gemeinsam genutzt werden, knnen sich diese Fehler auch auf andere IT-
Anwendungen auswirken. Im Schadensfall ist nicht nur der Aufwand fr
die Rekonstruktion der Daten notwendig, darber hinaus mssen bereits
erstellte Arbeitsergebnisse auf ihre Integritt berprft werden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 342
Gefhrdungskatalog Organisatorische Mngel G 2.30 Bemerkungen
___________________________________________________________________ ..........................................

G 2.30 Unzureichende Domnenplanung


Eine unzureichende Planung der Domnen und ihrer Vertrauensbeziehungen
in einem Windows NT Netz kann dazu fhren, dass Vertrauensbeziehungen zu
Domnen bestehen, die nicht als vertrauenswrdig zu betrachten sind. Damit
ist es Benutzern der betreffenden Domnen unter Umstnden mglich, auf
Ressourcen der vertrauenden Domne zuzugreifen, ohne dass dies dort
beabsichtigt ist oder auch nur erkannt wird. Dies kann insbesondere dann
geschehen, wenn die Zugriffsrechte der vertrauenden Domne in der
Annahme, dass keine andere Domne auf die lokalen Ressourcen zugreift,
relativ weitgehend festgesetzt wurden.
Umgekehrt knnen fehlende Vertrauensbeziehungen zwischen Domnen dazu
fhren, dass sich Benutzer unntigerweise explizit bei fremden Domnen
authentisieren mssen, was bei mangelnder Koordination der Passwrter zwi-
schen diesen Domnen zu Verwirrung fhrt. Der Benutzer muss sich dann
eine Vielzahl von Passwrtern merken, was zu einer Beeintrchtigung der
Sicherheit fhren kann, wenn er sich die Passwrter aufschreibt.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 343
Gefhrdungskatalog Organisatorische Mngel G 2.31 Bemerkungen
___________________________________________________________________ ..........................................

G 2.31 Unzureichender Schutz des Windows NT


Systems
Windows NT wird mit sehr weitgehenden Zugriffsrechten auf das Datei-
system und auf die Registrierung ausgeliefert. Wenn diese Zugriffsrechte nicht
nach der Installation entsprechend den lokalen Sicherheitsanforderungen
strikter eingestellt werden, besitzt effektiv jeder Benutzer Zugriff auf alle
Dateien und auf die gesamte Registrierung, d.h. der Zugriffsschutz ist de facto
ausgeschaltet.
Weiterhin ist Windows NT nicht in der Lage, den Zugriff auf Disketten- und
CD-ROM-Laufwerke sowie auf Bnder zu kontrollieren, so dass hier eine
Mglichkeit zu unzulssigem Datenimport und -export besteht, wenn nicht
durch zustzliche Manahmen der Zugriff auf diese Datentrger eingeschrnkt
oder zumindest auf organisatorischer Ebene kontrolliert wird.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 344
Gefhrdungskatalog Organisatorische Mngel G 2.32 Bemerkungen
___________________________________________________________________ ..........................................

G 2.32 Unzureichende Leitungskapazitten


Bei der Planung von Netzen wird oft der Fehler begangen, die Kapazitts-
auslegung ausschlielich am aktuellen Bedarf vorzunehmen. Dabei wird
bersehen, dass die Kapazittsanforderungen an das Netz stetig steigen, z. B.
wenn neue IT-Systeme in das Netz integriert werden oder das bertragene
Datenvolumen zunimmt.
Wenn die Kapazitt des Netzes nicht mehr ausreicht, wird die bertragungs-
geschwindigkeit und ggf. auch die Erreichbarkeit im Netz fr alle Benutzer
stark eingeschrnkt. Beispielsweise werden Dateizugriffe auf entfernten IT-
Systemen erheblich verzgert, wenn gleichzeitig das Netz von anderen
Benutzern stark in Anspruch genommen wird, wie durch das Verschieben von
groen Dateien von einem IT-System zum anderen.
Beispiel:
Eine verteilte Organisation baut fr die Datenkommunikation ein Netz ber
ISDN-So-Verbindungen auf. Nach Einfhrung eines graphisch orientierten,
firmeneigenen Intranet kommt die Datenkommunikation fast zum Stillstand.
Erst das Umstellen auf S2M-bertragungswege schafft die ntige bertra-
gungskapazitt.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 345
Gefhrdungskatalog Organisatorische Mngel G 2.33 Bemerkungen
___________________________________________________________________ ..........................................

G 2.33 Nicht gesicherter Aufstellungsort von Novell


Netware Servern
Die Aufstellung von Novell Netware Servern in einer nicht gesicherten Umge-
bung (z. B. Flure, nicht verschlossene Serverrume) stellt eine erhebliche
Gefhrdung fr die IT-Sicherheit dar.
Direkte Eingaben an der Server-Konsole bzw. das Laden von NLMs (Netware
Loadable Modules) am Server knnen dazu fhren, dass die installierten
Sicherheitsmechanismen auer Kraft gesetzt werden, ohne dass dieser
Umstand dem Administrationspersonal bzw. dem IT-Sicherheitsmanagement
bekannt wird.
Beispiel:
Durch das Laden spezieller NLMs ist es mglich, einen Supervisor-quivalen-
ten Benutzer zu generieren bzw. einen existierenden Benutzer mit Supervisor-
quivalenten Rechten zu versehen.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 346
Gefhrdungskatalog Organisatorische Mngel G 2.34 Bemerkungen
___________________________________________________________________ ..........................................

G 2.34 Fehlende oder unzureichende Aktivierung von


Novell Netware Sicherheitsmechanismen
Das Netzbetriebssystem Novell Netware verfgt ber eine Sammlung an
Sicherheitsmechanismen, die den unerlaubten Zugriff auf Dateien des Servers
abwehren.
Diese Sicherheitsmechanismen werden jedoch nicht automatisch aktiviert,
sondern mssen durch die Systemadministration nach dem erstmaligen Start
des Servers eingerichtet werden.
Werden die Sicherheitsmechanismen eines Novell Netware Servers nicht oder
nur unzureichend installiert, so kann der unerlaubte Zugriff auf schtzens-
werte Dateien entscheidend erleichtert werden.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 347
Gefhrdungskatalog Organisatorische Mngel G 2.35 Bemerkungen
___________________________________________________________________ ..........................................

G 2.35 Fehlende Protokollierung unter Windows 95


Auf einem nicht vernetzten Windows 95-Rechner gibt es keine Mglichkeit,
die Aktivitten eines oder mehrerer Benutzer benutzerspezifisch zu
protokollieren. Es ist daher nicht festzustellen, ob Sicherheitsverletzungen im
IT-System stattgefunden haben oder ob ein solcher Versuch unternommen
wurde.

Hinweis:
Der Inhalt dieser Gefhrdung wurde in G 2.22 Fehlende Auswertung von
Protokolldaten integriert und wird in der Version 1999 des IT-Grundschutz-
handbuchs in keinem Baustein mehr benutzt.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 348
Gefhrdungskatalog Organisatorische Mngel G 2.36 Bemerkungen
___________________________________________________________________ ..........................................

G 2.36 Ungeeignete Einschrnkung der


Benutzerumgebung
Verschiedene Betriebssysteme (z. B. Windows 95, Windows NT) und PC-
Sicherheitsprodukte bieten die Mglichkeit, die Benutzerumgebung indi-
viduell fr jeden Benutzer einzuschrnken. Dabei bestehen prinzipiell zwei
Mglichkeiten:
1. Bestimmte Funktionalitten werden erlaubt, alle anderen sind verboten.
2. Bestimmte Funktionalitten werden verboten, alle anderen sind erlaubt.
In beiden Fllen besteht die Mglichkeit, den Benutzer derart einzuschrnken,
dass dieser wesentliche Funktionen nicht mehr ausfhren kann oder dass sogar
ein sinnvolles und effizientes Arbeiten mit dem PC nicht mehr mglich ist.

___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 349
Gefhrdungskatalog Organisatorische Mngel G 2.37 Bemerkungen
___________________________________________________________________ ..........................................

G 2.37 Unkontrollierter Aufbau von


Kommunikationsverbindungen
Beim Einsatz von Kommunikationskarten innerhalb eines IT-Systems (Fax-,
Modem- oder ISDN-Karten) ist fr den Benutzer nicht immer offensichtlich,
was auer seinen Nutz- und Protokollinformationen zustzlich bertragen
wird. Nach Aktivierung einer Kommunikationskarte ist es grundstzlich
mglich, dass diese, ohne Initiierung durch den Benutzer, Verbindungen zu
einer nicht gewnschten Gegenstelle aufbaut oder durch Dritte ber dem
Benutzer nicht bekannte Remote-Funktionalitten angesprochen wird.
Beispiele:
- Bei der erstmaligen Konfiguration einer Faxkarte wurde der Benutzer vom
Installationsprogramm nach der Landesvorwahl von Schweden gefragt. Zu
vermuten ist, dass der Kartenhersteller ber den Einsatz seines Produkts,
evtl. aus Grnden des Produkt-Marketings, informiert werden wollte.
- Eine groe Anzahl von Modem-Karten untersttzt den ferngesteuerten
Zugriff auf IT-Systeme. Zwa