Absicherung eines PC-Clients (ISi-Client) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Transkript

1 Absicherung eines PC-Clients (ISi-Client) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

2 ISi-Reihe ISi-L - Absicherung eines PC-Clients Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) isi@bsi.bund.de Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-L - Absicherung eines PC-Clients ISi-Reihe Inhaltsverzeichnis 1 Leitlinie zur Absicherung eines PC-Clients Management Summary Einführung und Überblick Wesentliche Ergebnisse der Gefährdungsanalyse Vertraulichkeit Integrität Verfügbarkeit Wesentliche Empfehlungen Sichere Grundarchitektur Betrieb der APCs Organisatorische Maßnahmen Fazit Literaturverzeichnis...13 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-L - Absicherung eines PC-Clients 1 Leitlinie zur Absicherung eines PC-Clients Die Computertechnologie hat in den vergangenen Jahrzehnten eine rasante Entwicklung genommen. Früher konnte elektronische Datenverarbeitung nur mit zentralen Großrechnern realisiert werden. Inzwischen führt die Verbreitung von Rechnern am Arbeitsplatz zu einer Dezentralisierung der IT. Mit steigender Rechenleistung konnten immer mehr Aufgaben durch sogenannte Personal Computer (PC) erledigt werden. Heute sind PCs am Arbeitsplatz nicht mehr wegzudenken. PCs in Firmen und Institutionen sind in der Regel untereinander vernetzt und ermöglichen Benutzern den Zugriff auf entfernte Ressourcen, wie Druckern, Datei-Servern oder dem Internet. Da Arbeitsplatz-PCs (APCs) Dienste von Servern in Anspruch nehmen, werden sie häufig auch als PC- Clients bezeichnet. Aufgrund ihrer Position als Schnittstelle zwischen Benutzern und IT-Infrastruktur sowie ihrer Anbindung an Netze bieten APCs eine breite Angriffsfläche. Sie stellen ein attraktives Ziel dar, da über den APC auf interne Daten (bspw. auf Datei- oder -Servern) zugegriffen werden kann. Daher ist der Schutz von APCs besonders wichtig. Die wesentlichen Ergebnisse der Studie Absicherung eines PC Clients sind in dieser Leitlinie zusammengefasst. 1.1 Management Summary Der Arbeitsplatz-PC (APC) rückt immer mehr in den Fokus von Angreifern. Er ist ein attraktives Ziel für gezielte Spionage, da über ihn der Zugriff auf interne Dokumente und s möglich ist. Aufgrund der zunehmenden flächendeckenden Vernetzung im Internet kann der APC auch aus der Ferne angegriffen werden. Kriminelle benutzen Schadprogramme um Daten zu stehlen oder die Ressourcen des PCs zum Spam-Versand oder für DDoS-Angriffe 1 zu missbrauchen. Um sich vor solchen Gefahren zu schützen, sind Schutzmaßnahmen direkt am APC notwendig. Mit diesen zusätzlichen Maßnahmen können weitere Einfallstore geschlossen werden, die das zentrale Sicherheits-Gateway nicht abdecken kann. Die Studie Absicherung eines PC Clients beschreibt Betriebssystem-übergreifend die notwendigen Maßnahmen und schlägt eine sichere Grundarchitektur für APCs vor. Kern dieser Architektur ist ein System, bei dem Hardware, Betriebssystem und Anwendungen weitgehend minimiert sind, um eine geringe Angriffsfläche zu bieten. Dieses Minimalsystem wird mit Schutzkomponenten ergänzt: Virenschutzprogramm, zur Prüfung auf Schadprogramme, Personal Firewall, zur Kontrolle von ein- und ausgehenden Verbindungen, Gerätekontrolle, zur Restriktion von Geräten an externen Schnittstellen wie USB, und Ausführungskontrolle, damit nur erlaubte Programme gestartet werden können. Sicherheitsaspekte müssen aber nicht erst bei der Installation, sondern in allen Phasen des Lebenszyklus eines APCs berücksichtigt werden. Dies beginnt bei der Auswahl, bei der auf unnötige Schnittstellen und Funktionen verzichtet wird. Bei der Konfiguration werden die Benutzerrechte festgelegt, weitere Schnittstellen deaktiviert und das System weitgehend minimalisiert. Im Betrieb sind insbesondere das regelmäßige Einspielen von Aktualisierungen sowie das Auswerten von Protokolldaten von Bedeutung. Schließlich sind bei der Entsorgung alle Datenträger zu löschen bzw. zu zerstören und Benutzerkonten zu deaktivieren. Nur wenn kontinuierlich und in allen Phasen auf Sicherheit geachtet wird, können Sicherheitsvorfälle erfolgreich eingedämmt werden. 1 DDoS bezeichnet einen Angriff auf die Verfügbarkeit eines Zielsystems, der von vielen verteilten Quellen ausgeht. 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-L - Absicherung eines PC-Clients ISi-Reihe 1.2 Einführung und Überblick Der APC ist die technische Basis für IT-gestützte Arbeitsabläufe. Er ist ein Universalwerkzeug und kann für verschiedenste Aufgaben benutzt werden. APCs sind meist in ein lokales Netz eingebunden. Dort können sie Dienste entfernter Systeme, wie Datei-, Druck- oder -Server, nutzen. Diese Vernetzung erhöht das Sicherheitsrisiko für APCs, da ein Angriff aus der Ferne ohne direkten Zugriff erfolgen kann. War der Angriff erfolgreich, sind auch andere APCs und Server im lokalen Netz bedroht. In den vergangenen Jahren wurden überwiegend Schutzmaßnahmen am Übergang des lokalen Netzes zum Internet etabliert, die sogenannten Sicherheits-Gateways (siehe auch [ISi-LANA]). Schutzmaßnahmen für die APCs hingegen hatten nur eine untergeordnete Bedeutung. Einige Angriffe umgehen jedoch die zentralen Sicherheitsmechanismen. Dazu gehören beispielsweise infizierte Wechselmedien, die direkt am APC angeschlossen werden oder Innentäter, die hinter dem Sicherheits-Gateway agieren und bewusst andere IT-Systeme angreifen. Die Absicherung von APCs ist daher als weitere Verteidigungslinie gegen Angriffe unverzichtbar. Aufbau eines APCs Abbildung 1.1 zeigt den schematischen Aufbau eines APCs mit den folgenden drei Schichten: 1. Unter Hardware werden alle physischen Komponenten des APCs verstanden. Dies beinhaltet neben den eingebauten Komponenten wie Arbeitsspeicher, Prozessor und Festplatte auch Schnittstellen wie USB und Peripheriegeräte wie Monitor und Tastatur. 2. Das Betriebssystem ist die Software-Plattform des APCs. Es verwaltet die Betriebsmittel, wie Arbeitsspeicher und Prozessor, und steuert die Ein- und Ausgabegeräte. Außerdem stellt es dem Benutzer eine Oberfläche zur Interaktion mit dem APC bereit. 3. Anwendungen sind die Software-Komponenten, die ein Benutzer für die Erfüllung seiner Aufgaben benötigt. Dies sind i.d.r. Browser, Office-Paket sowie - und Kalenderprogramm. Abbildung 1.1: Schematischer Aufbau eines APCs Mobile APCs Typischerweise stehen APCs in einem zugangsbeschränkten Bereich und sind dauerhaft mit dem lokalen Netz verbunden. Für mobile APCs, wie Laptops, gelten diese Annahmen nicht, da diese auch außerhalb der Institution, beispielsweise im Hotel, eingesetzt werden können und über fremde Netze auf das Netz der Institution zugreifen. Für solche Geräte sind zusätzliche Maßnahmen zu ergreifen, weil sie aufgrund ihrer Mobilität zusätzlichen Gefährdungen ausgesetzt sind. Zu diesen Maßnahmen gehört beispielsweise eine Festplattenverschlüsselung, um auch bei Diebstahl des Gerätes die Vertraulichkeit der gespeicherten Daten zu gewährleisten. Weitere Hinweise zur Anbindung von mobilen Endgeräten an das interne Netz finden sich im Modul Sicherer Fernzugriff auf das interne Netz [ISi-Fern]. Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-L - Absicherung eines PC-Clients 1.3 Wesentliche Ergebnisse der Gefährdungsanalyse APCs sind zahlreichen Gefährdungen ausgesetzt, die die Aspekte Vertraulichkeit, Integrität und Verfügbarkeit betreffen. Einige dieser Gefährdungen sind im Folgenden beispielhaft aufgeführt Vertraulichkeit Die Vertraulichkeit von Daten ist bedroht, wenn ein Angreifer auf Daten zugreifen kann, für die er normalerweise keine Berechtigung hat. Dies ist beispielsweise der Fall, wenn sich ein Angreifer Zugang zu einem fremden APC verschafft oder ein Innentäter an seinem APC mehr Rechte erlangt. Nutzung eines nicht gesperrten APCs Wird der Bildschirm beim Verlassen des Arbeitsplatzes nicht gesperrt, kann ein Angreifer in Abwesenheit des Benutzers die laufende Sitzung nutzen und mit den Rechten und der Identität des angemeldeten Benutzers auf Daten zugreifen oder diese manipulieren. Hardware-Zugriff Hat ein Angreifer direkten Zugriff auf die Hardware, kann er sehr leicht Schutzmaßnahmen umgehen. Durch Ausbau einer Festplatte aus einem APC und Anschluss an ein vom Angreifer kontrolliertes System können Zugriffsbeschränkungen umgangen und sämtliche Daten ausgelesen werden. Neben der Kenntnis vertraulicher Dokumente kann der Angreifer auch Passwörter oder Schlüssel in Erfahrung bringen, die in der Auslagerungsdatei oder einem Verzeichnis für temporäre Daten abgelegt sind. Für die daraus resultierende Bedrohung der Vertraulichkeit ist es unerheblich, ob der Angreifer die Festplatte lediglich kurzzeitig aus dem APC ausbaut, sie entwendet, sie im Rahmen einer Reparatur gegen eine neue Platte tauscht oder ob sie nach unsachgemäßer Entsorgung in seinen Besitz gelangt. Eine noch größere Gefahr geht von Wechseldatenträgern wie USB-Sticks aus, wenn auf ihnen vertrauliche Daten gespeichert werden. Da USB-Sticks im Vergleich zu Festplatten sehr klein sind, besteht die Gefahr, dass sie verloren gehen. Außerdem ist das Risiko eines Diebstahls für USB- Sticks besonders hoch, da sie sich sehr leicht vom Laptop entfernen lassen. Keylogger Keylogger gibt es in zwei Varianten: Ein Hardware-Keylogger wird als externes Gerät in die Leitung zwischen Tastatur und APC eingebaut und zeichnet Tastatureingaben, wie z. B. Passwörter, auf. Solche Geräte können lediglich durch eine Sichtkontrolle des APCs gefunden werden. Für Virenschutzprogramme ist er unsichtbar. Die zweite Variante ist ein Software-Keylogger. Dabei handelt es sich um ein Schadprogramm, das auf dem APC installiert wird, um dort Tastatureingaben mitzuprotokollieren. Zur Installation benötigt der Angreifer also nicht zwingend physischen Zugriff auf die Hardware des APCs. Die aufgezeichneten Tastatureingaben können vom Software-Keylogger beispielsweise über das Internet an den Angreifer gesendet werden. Das Virenschutzprogramm kann Software-Keylogger i.d.r. erkennen. 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-L - Absicherung eines PC-Clients ISi-Reihe Besonderheiten bei mobilen APCs Mobile APCs sind hinsichtlich der Vertraulichkeit stärker bedroht als stationäre APCs. Sie können sehr einfach im Hotel, am Flughafen oder in der Bahn gestohlen werden. Ist die Festplatte des APCs nicht verschlüsselt oder das System sogar eingeschaltet, kann ein Angreifer Zugriff auf Daten und Dokumente auf der Festplatte erhalten. Die Festplattenverschlüsselung bietet jedoch keinen absoluten Schutz. Wenn ein Angreifer kurzzeitig Zugriff auf einen Laptop erhält, kann er diesen manipulieren und dem Benutzer zurückgeben. Der APC wird so manipuliert, dass er das zur Entschlüsselung der Festplatte erforderliche Passwort unverschlüsselt an einer freien Stelle der Festplatte speichert. Entwendet der Angreifer den Laptop nochmal, nachdem sich der Anwender am manipulierten System einmal angemeldet hat, erlangt er trotz Festplattenverschlüsselung Zugriff auf die vertraulichen Daten. Weitere Gefährdungen für mobile Endgeräte und deren Anbindung ans interne Netz finden sich in [ISi-Fern] Integrität Die Integrität eines APCs ist gewährleistet, wenn er nicht vorsätzlich oder unbeabsichtigt verändert wurde. Veränderungen können an der Hardware des APCs, an Konfigurationsdateien oder an Benutzerdaten vorgenommen werden. Manipulation der Hardware Schließt ein Angreifer zusätzliche Hardware, wie beispielsweise einen WLAN-Adapter, an den APC an, ist der APC nicht mehr in seinem ursprünglichen Zustand. Damit ist seine Integrität verletzt. Bestimmte Hardware-Zusätze können die Sicherheit des APCs oder des internen Netzes beeinträchtigen. Handelt es sich bei dem angeschlossenen Gerät um einen Hardware-Keylogger, so werden Tastatureingaben einschließlich der Benutzerpasswörter aufgezeichnet. Wird beispielsweise ein WLAN-Adapter angeschlossen, kann der APC über ein ungesichertes Funknetz auf das Internet zugreifen. Damit werden die Schutzmaßnahmen des zentralen Sicherheits-Gateways umgangen. Änderungen an der Systemkonfiguration Schafft es ein Angreifer, die Konfigurationsdateien zu manipulieren, so kann er Sicherheitsmechanismen am APC aushebeln. Beispielsweise kann er das Regelwerk der Personal Firewall verändern oder abgeschaltete Schnittstellen reaktivieren. Dadurch können Einfallswege für Schadprogramme geöffnet werden. Die Sicherheit des APCs ist auch dann gefährdet, wenn diese Konfigurationsänderungen nicht von einem Angreifer, sondern von einem Benutzer ausgeführt werden. Dieser könnte beispielsweise versuchen, USB-Medien generell zu erlauben und das Virenschutzprogramm zu deaktivieren, um komfortabler am APC arbeiten zu können. Manipulation von Benutzerdaten Ein Angreifer kann die Daten anderer Benutzer verfälschen, wenn er Zugriff auf ein fremdes Benutzerkonto erlangt, z. B. indem er einen nicht gesperrten APC nutzt. Das Ziel des Angreifers könnte sein, Daten zu seinen Gunsten zu ändern, wie etwa die Bewertung eines Angebots. Die Gefahr der Datenmanipulation besteht auch, wenn Benutzer aufgrund zu umfangreicher Rechte auf die Dateien anderer Benutzer schreibend zugreifen können. Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-L - Absicherung eines PC-Clients Verfügbarkeit Sowohl der Ausfall eines APCs als auch der Verlust von Daten gefährden die Verfügbarkeit, da der Benutzer an der Erfüllung seiner Dienstaufgaben gehindert wird. Ausfall der Stromversorgung Fällt die Stromversorgung aus, ist der APC für die Dauer des Stromausfalls und des Neustarts nicht verfügbar. Daten im Hauptspeicher, die noch nicht auf der lokalen Festplatte oder auf einem Datei- Server gespeichert wurden, gehen bei Stromausfall verloren. Ereignet sich der Stromausfall während eines Schreibzugriffes auf die Festplatte oder befinden sich bearbeitete Daten noch in einem Zwischenspeicher des Betriebssystems, kann es zu Inkonsistenzen im Dateisystem und schließlich zu Datenverlust kommen. Datenverlust Die Verfügbarkeit von Daten ist auf mehrere Arten bedroht. Zum einen kann es durch einen Defekt oder den Diebstahl eines Datenträgers zum physischen Verlust von Daten kommen. Zum anderen können auch Fehlbedienungen zu Datenverlust führen, wenn Benutzer beispielsweise Daten unbeabsichtigt löschen oder überschreiben. Werden Daten verschlüsselt und geht der benötigte Schlüssel verloren, so werden Daten unlesbar. Zur Verringerung dieses Risikos werden Daten üblicherweise auf einem Datei-Server gespeichert, der regelmäßig gesichert wird. Gültigkeit von Lizenzen Einige Hersteller von Anwendungen vergeben nur zeitlich befristete Lizenzen. Läuft die Lizenz aus, stellen die zugehörigen Anwendungen nur noch einen eingeschränkten Funktionsumfang bereit oder lassen sich gar nicht mehr verwenden. In diesem Fall sind ggf. auch mit der Anwendung erzeugte Daten und Dokumente nicht mehr nutzbar. Der Ausfall von Anwendungen ist insbesondere dann problematisch, wenn es sich um Sicherheitskomponenten, wie ein Virenschutzprogramm oder eine Software zur Dateiverschlüsselung handelt. Auch unbefristete Lizenzen können ungültig werden, wenn sie beispielsweise an bestimmte Hardware gebunden sind. Fällt der APC aus, so ist die Anwendung auf einem Ersatzsystem nicht einsetzbar. Unter bestimmten Umständen ist es Herstellern auch möglich, Lizenzen zu widerrufen bzw. zu invalidieren, z. B. wenn ein Verdacht auf Missbrauch der Lizenz besteht. Besonderheiten bei mobilen APCs Da mobile APCs häufig in öffentlich zugänglichen Bereichen verwendet und manchmal unbeaufsichtigt abgestellt werden, besteht für sie ein im Vergleich zu stationären APCs deutlich höheres Diebstahlrisiko. Bei Verlust des Laptops ist die Verfügbarkeit des Arbeitsgerätes an sich gefährdet. Des Weiteren sind auch alle auf ihm gespeicherten Daten verloren und somit nicht weiter verfügbar. Auch Hardware-Defekte bedrohen die Verfügbarkeit von Daten auf mobilen APCs mehr als dies bei stationären APCs der Fall ist. Da mobile APCs nicht immer mit dem Netz der Institution verbunden sind, müssen Daten auf der lokalen Festplatte abgelegt und bearbeitet werden. Diese gehen bei Defekt der Festplatte verloren. Eine regelmäßige Synchronisation der APC-Festplatte mit dem Datei-Server im lokalen Netz reduziert den bei einem Defekt entstehenden Schaden. 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-L - Absicherung eines PC-Clients ISi-Reihe 1.4 Wesentliche Empfehlungen Viele der in Abschnitt 1.3 beschriebenen Gefährdungen lassen sich durch eine konsequente Umsetzung der in der Studie vorgestellten Grundarchitektur vermeiden. Die folgenden Abschnitte fassen die wesentlichen Empfehlungen aus der Studie zusammen Sichere Grundarchitektur Die Grundarchitektur sieht vor, dass nur die Hard- und Software-Komponenten verwendet werden, die entweder für den Einsatzzweck des APCs benötigt werden oder seinen Schutz erhöhen. Nicht benötigte Komponenten werden weggelassen. Dadurch reduziert sich die Angriffsfläche des APCs und das Risiko von Fehlkonfigurationen sinkt. In den meisten Fällen kann beispielsweise auf Schnittstellen, wie Firewire und PCMCIA, sowie drahtlose Schnittstellen, wie Bluetooth oder Infrarot, verzichtet werden. Durch das gezielte Weglassen und Deaktivieren von Schnittstellen und Software-Komponenten kann der APC Schritt für Schritt einem Minimalsystem angenähert werden, das nur noch die zum Betrieb notwendigen Komponenten enthält. Eine detaillierte Anleitung zur Erreichung eines Minimalsystems findet sich in der Studie im Abschnitt zur sicheren Grundkonfiguration. Dieses Minimalsystem wird um einige Komponenten ergänzt, die den Schutz des APCs erhöhen. Abbildung 1.2 greift die schematische Darstellung eines APCs aus Abbildung 1.1 auf und ergänzt sie um diese Schutzkomponenten, die im Folgenden erläutert werden. Abbildung 1.2: Schematische Darstellung der Grundarchitektur des APCs mit seinen Schutzkomponenten Logging Um einen sicheren Betrieb des APCs gewährleisten zu können, ist es erforderlich, relevante Ereignisse insbesondere vom Betriebssystem, Virenschutzprogramm und der Personal Firewall zu erfassen und auszuwerten. So kann beispielsweise die wiederholt gescheiterte Anmeldung eines Benutzers auf einen Einbruchsversuch hindeuten oder ein vom Virenschutzprogramm entdecktes Schadprogramm eine umgehende Deaktivierung des betroffenen APCs erfordern. Ausführungskontrolle Die Ausführungskontrolle verhindert, dass der Benutzer Programme starten kann, die er selbst auf dem System abgelegt hat. Dazu unterbindet die Ausführungskontrolle den Start von Anwendungs- Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-L - Absicherung eines PC-Clients programmen aus Verzeichnissen, auf die der Benutzer schreibend zugreifen kann. Dies beinhaltet neben einigen Verzeichnissen auf der Festplatte (z. B. das Benutzer- bzw. Home-Verzeichnis) auch externe Wechseldatenträger, wie USB-Sticks. Durch diesen Mechanismus wird verhindert, dass beispielsweise heruntergeladene oder von zu Hause mitgebrachte Dateien, die möglicherweise infiziert sind, am APC ausgeführt werden. Als Variante für den hohen Schutzbedarf kann die Ausführungskontrolle auch richtlinienbasiert ausgelegt werden. Durch Regeln wird spezifiziert, welche Benutzer oder Gruppen welche Anwendungen starten dürfen. Virenschutz Das Virenschutzprogramm ist eine der wichtigsten Sicherheitskomponenten des APCs. Es prüft Dateien beim Lesen und beim Speichern auf schädliche Inhalte. Geprüft werden nicht nur Dateien auf der Festplatte, sondern auch solche, die über Wechseldatenträger (z. B. über USB-Sticks), s oder den Besuch von Web-Seiten auf den APC gelangen. Zusätzlich wird in regelmäßigen Abständen das gesamte System auf Schadprogramme untersucht. So können Schadprogramme gefunden werden, die das Virenschutzprogramm zum Zeitpunkt der Infektion noch nicht erkennen konnte, weil es noch keine entsprechenden Erkennungsmuster (Signaturen) gab. Nur wenn das Virenschutzprogramm und seine Erkennungsmuster auf einem aktuellen Stand sind, können Schadprogramme zuverlässig erkannt werden. Aus diesem Grund bedarf das Virenschutzprogramm besonderer Aufmerksamkeit im Betrieb. Personal Firewall Die Personal Firewall des APCs kontrolliert sämtliche ankommende und abgehende Verbindungen. Sie arbeitet auf Anwendungsebene und erlaubt nur zugelassenen Anwendungen eine Verbindung über das Netz aufzubauen. Es sind nur Verbindungen zulässig, die für die Verwaltung des APCs (z. B. zur Aktualisierung) oder für den Zugriff auf lokale Server oder über das Sicherheits-Gateway auf das Internet benötigt werden. Ankommende Verbindungen sind nur vom Management-Netz aus erlaubt. Die direkte Kommunikation zwischen einzelnen APCs, Verbindungen ins Internet am Sicherheit-Gateway vorbei, sowie Verbindungsversuche nicht zugelassener Programme, werden von der Personal Firewall unterbunden. Gerätekontrolle Die Gerätekontrolle (Device Control) regelt, welche Geräte der Benutzer über die externen Schnittstellen des APC, beispielsweise über USB, verwenden kann. Geräte können anhand der Klasse (z. B. Massenspeicher), des Herstellers und der Seriennummer identifiziert werden. Über die Gerätekontrolle ist es somit möglich, die Verwendung von beliebigen USB-Sticks oder externen DVD- Laufwerken zu verhindern, gleichzeitig aber die Verwendung von USB-Sticks eines bestimmten Herstellers zu gestatten. Benutzerverwaltung Die Benutzerverwaltung sorgt für die Authentisierung von Anwendern und die Durchsetzung von Zugriffsbeschränkungen. Sie erfolgt über einen zentralen Verzeichnisdienst. In diesem Verzeichnisdienst werden auch organisatorische Veränderungen, beispielsweise Ausscheiden, Neueinstellung oder Abteilungswechsel von Mitarbeitern, abgebildet. Jeder Benutzer erhält ein persönliches Benutzerkonto und muss sich vor der Nutzung des APCs mindestens mittels Benutzername und Kennwort authentisieren. 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-L - Absicherung eines PC-Clients ISi-Reihe Technisch lassen sich Zugriffsrechte durch Datei- und Verzeichnisattribute, sowie über Gruppenrichtlinien (bei Windows-Systemen) umsetzen. Benutzer erhalten nur die notwendigen Rechte, die sie zur Erfüllung ihrer Aufgaben benötigen. Insbesondere haben sie keine Rechte zur Administration des APCs, d. h., sie dürfen keine Änderung an Konfigurationsdateien vornehmen und keine Programme installieren. Erweiterungen für mobile APCs Der Einsatz mobiler APCs, wie beispielsweise Laptops, ist möglich, setzt aber zusätzliche Schutzmaßnahmen voraus. Die Grundarchitektur für mobile APCs enthält daher die folgenden Erweiterungen: Zum Abgleich der auf dem APC befindlichen Daten und Dokumente mit dem zentralen Datei- Server im lokalen Netz existiert ein Synchronisations- bzw. Backup-Verfahren. Die Festplatten mobiler APCs müssen verschlüsselt sein. Um die Verfügbarkeit der verschlüsselten Daten auch bei Verlust des Schlüssels sicherzustellen, muss ein Zweitschlüssel bzw. Recovery-Key an einem sicheren Ort deponiert werden. Die Personal Firewall des mobilen APCs erlaubt dem Benutzer ein Anmelden an WLAN-Hotspots. Da je nach WLAN-Anbieter auf einer Web-Seite Anmelde- oder Zahlungsinformationen angegeben werden müssen, ist in eingeschränktem Maß der Zugriff auf Web-Seiten erforderlich. Darüber hinaus erlaubt die Personal Firewall ausschließlich die zum Aufbau eines VPNs erforderliche Kommunikation. Zur Gewährleistung des sicheren Fernzugriffs auf lokale Netze sind erforderliche Maßnahmen entsprechend [ISi-Fern] anzuwenden Betrieb der APCs Eine wesentliche Voraussetzung für den Erhalt der Sicherheit der APCs ist die regelmäßige Wartung durch Fachpersonal. Dazu zählt insbesondere die regelmäßige Aktualisierung von Schutzkomponenten, Betriebssystem und Anwendungen. Aktualisierungen schließen häufig Schwachstellen und verringern so die Angriffsfläche des APCs. Um sicherzustellen, dass der Betrieb auch mit den aktualisierten Programmen gewährleistet ist, werden diese zunächst auf einem Test-System und anschließend bei einer kleinen Pilot-Gruppe installiert. Treten dabei keine Fehler auf, kann die Aktualisierung an alle APCs ausgerollt werden. Bei sicherheitskritischen Updates kann das Testverfahren auch abgekürzt werden. Weitere Aspekte, die im Betrieb eine wichtige Rolle spielen, sind das Anpassen der Personal Firewall an Änderungen (Aktualisierungen oder Installationen), die regelmäßige Kontrolle und Korrelation von Protokollmeldungen und das Anpassen der Benutzerrechte, z. B. bei personellen Veränderungen wie dem Wechsel oder Ausscheiden von Mitarbeitern Organisatorische Maßnahmen Es sind auch einige nicht technische Aspekte für den sicheren Betrieb des APCs zu beachten (siehe auch [IT-GSK]). Benutzer sollten regelmäßig geschult werden, um ein Sicherheitsbewusstsein zu entwickeln. Auf diese Weise können Sicherheitsvorfälle vermieden und die Akzeptanz für die Sicherheitsmaßnahmen gesteigert werden. Benutzer sollten außerdem über den Ablauf zur Meldung von sicherheitsrelevanten Ereignissen und den sicheren Umgang mit dem APC informiert sein. Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-L - Absicherung eines PC-Clients Für einen Sicherheitsvorfall muss im Vorfeld klar definiert werden, welche Reaktion erforderlich ist. Die Administratoren der APCs müssen wissen, wie sie bei einem Sicherheitsverstoß vorgehen und welche Stellen sie informieren müssen. Nur so kann im Ernstfall eine schnelle und zielgerichtete Reaktion des technischen Personals sicher gestellt werden. 1.5 Fazit Der APC ist die Schnittstelle zwischen Benutzer und IT-Infrastruktur. Da APCs die direkte Benutzer-Interaktion erlauben und zudem in der Regel mit einem Netz verbunden sind, bieten sie eine breite Angriffsfläche. Sie stellen ein attraktives Ziel für Angreifer dar, weil über den APC der Zugriff auf das interne Netz und somit auf interne Daten und Informationen möglich ist. Aus diesen Gründen ist es erforderlich, direkt auf den APCs Schutzmaßnahmen umzusetzen. Zu den wesentlichen Maßnahmen, die in der Studie Absicherung eines Clients ausführlich beschrieben werden, gehören unter anderem: Minimierung von Hard- und Software-Komponenten Einschränkung der Benutzerrechte (insbesondere keine Administratorrechte für Benutzer) Einsatz von Schutzkomponenten wie Virenschutzprogramm, Personal Firewall, Ausführungskontrolle und Gerätekontrolle Regelmäßige Aktualisierungen und ständige Kontrolle aller Komponenten Protokollierung relevanter Ereignisse und die regelmäßige Auswertung der Protokolldaten Werden diese Maßnahmen entsprechend den Empfehlungen aus der Studie umgesetzt, so lässt sich ein APC für den normalen Schutzbedarf hinreichend absichern. In der Studie sind darüber hinaus noch Varianten zur Anpassung der vorgeschlagenen Grundarchitektur beispielsweise an den hohen Schutzbedarf angegeben. Ergänzt wird die Studie um Checklisten für verschiedene Betriebssysteme, in denen die Anforderungen der Studie an konkreten Produkten umgesetzt werden. Sie dienen somit als Werkzeug für Administratoren und als Prüfinstrument für Revisoren. 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-L - Absicherung eines PC-Clients ISi-Reihe 2 Literaturverzeichnis [ISi-Fern] [ISi-LANA] [IT-GSK] Bundesamt für Sicherheit in der Informationstechnik, Sicherer Fernzugriff auf das interne Netz, 2010, rvices/dokumente/isi-fern-doc.html Bundesamt für Sicherheit in der Informationstechnik, Sichere Anbindung lokaler Netze an das Internet, 2007, ernetanbindung/isi-lana.html Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz, Stand 2010, ml Bundesamt für Sicherheit in der Informationstechnik 13