Sichere Nutzung eines PC-Clients (ISi-Client) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

Sichere Nutzung eines PC-Clients (ISi-Client) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

ISi-Reihe ISi-Check - Absicherung eines PC-Clients Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. http://www.bsi.bund.de oder http://www.isi-reihe.de Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach 20 03 63 53133 Bonn Tel. +49 (0) 228 99 9582-0 E-Mail: isi@bsi.bund.de Internet: http://www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik 2011 2 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe Inhaltsverzeichnis 1 Einleitung...4 1.1 Funktion der Checklisten...4 1.2 Benutzung der Checklisten...4 2 Konzeption...6 2.1 Planung...6 2.2 Komponenten...7 2.3 Benutzerrechte, -verwaltung und -authentisierung...8 2.4 Benutzerverzeichnisse...8 2.5 Organisatorische Regelungen...9 2.6 Aktualisierungen...9 2.7 Mobile APCs...10 3 Auswahl sicherer Komponenten...11 3.1 Übergreifende Aspekte...11 3.2 Hardware, Firmware und externe Schnittstellen...12 3.3 Betriebssystemkomponenten...12 3.4 Benutzerrechte, -verwaltung und -authentisierung...13 3.5 Anwendungen...14 3.6 Backup für mobile APCs...16 4 Konfiguration...18 4.1 Hardware, Firmware und externe Schnittstellen...18 4.2 Betriebssystemkomponenten...19 4.3 Netzprotokolle und -dienste...19 4.4 Benutzerrechte, -verwaltung und -authentisierung...20 4.5 Anwendungen...21 4.6 Funktionsprüfung...24 5 Betrieb...26 5.1 Aktualisierungen...26 5.2 Ereignisprotokollierung...26 5.3 Benutzerverwaltung...27 5.4 Anwendungen...28 5.5 Organisatorische Maßnahmen...28 5.6 Mobile APCs...29 6 Literaturverzeichnis...30 Bundesamt für Sicherheit in der Informationstechnik 3

ISi-Reihe ISi-Check - Absicherung eines PC-Clients 1 Einleitung Der vorliegende Checklisten-Katalog richtet sich vornehmlich an Administratoren, Sicherheitsrevisoren und IT-Fachleute, die sich mit der Einrichtung, dem Betrieb und der Überprüfung von Arbeitsplatz-PCs (APC) befassen. 1.1 Funktion der Checklisten Die Checklisten fassen die relevanten Empfehlungen der BSI-Studie Absicherung eines PC-Clients [ISi-Client] zum Thema Installation, Konfiguration und Betrieb in kompakter Form zusammen. Sie dienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmaßnahmen im Detail überprüft werden kann. Die Kontrollfragen beschränken sich auf die Empfehlungen des BSI-Standards zur Internet-Sicherheit für PC-Clients [ISi-Client]. Allgemeine IT-Grundschutzmaßnahmen, die nicht spezifisch für die beschriebene ISi-Client-Architektur und ihre Komponenten sind, werden von den Fragen nicht erfasst. Solche grundlegenden Empfehlungen sind den BSI-IT-Grundschutzkatalogen [ITGSK] zu entnehmen. Sie bilden das notwendige Fundament für ISi-Check. Auch Kontrollfragen, die bereits durch die Checklisten zu den BSI-Studien Sichere Anbindung lokaler Netze an das Internet [ISi-LANA], Sichere Nutzung von E-Mail [ISi-Mail-Client] und Sichere Nutzung von Web-Angeboten [ISi-Web-Client] abgedeckt sind, werden hier nicht wiederholt. Die Checklisten wenden sich vornehmlich an Revisoren und Administratoren. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der PC-Technik, der Betriebssysteme und der IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge bei der Absicherung und beim Betrieb eines PC-Clients. Nur ein kundiger Anwender ist in der Lage, die Prüfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen IT-Grundschutzmaßnahmen zu beurteilen. Der Zweck dieser Kontrollfragen besteht darin, den IT-Fachleuten, -Experten, -Beratern sowie Administratoren in Behörden und Unternehmen bei der Konzeption, der Realisierung und dem späteren Betrieb von PC-Clients die jeweils erforderlichen Maßnahmen und die dabei verfügbaren Umsetzungsvarianten übersichtlich vor Augen zu führen. Die Checklisten sollen gewährleisten, dass kein wichtiger Aspekt vergessen wird. 1.2 Benutzung der Checklisten Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde, der im Einführungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-Client-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Inhalten der ISi-Client-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prüfaspekten zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumente erforderlich. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der Studie ISi-Client ab, ohne diese zu begründen oder deren Umsetzung näher zu erläutern. Anwender, die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, können vertiefende Informationen in der zugehörigen Studie nachschlagen. IT-Fachleute, die mit der Studie 4 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe bereits vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie bearbeiten können. Format der Kontrollfragen Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. Zusammenhängende Kontrollfragen sind soweit sinnvoll hierarchisch unter einer übergeordneten Frage gruppiert. Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impliziert. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die übergeordnete Frage zu beantworten, soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall, dass sich der Anwender unschlüssig ist, ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. Die hierarchische Struktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prüfaspekte schnell zu übergehen. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. Dabei beantwortet der Anwender im ersten Schritt nur die übergeordneten Fragen, um sich so einen schnellen Überblick über potenzielle Umsetzungsmängel zu verschaffen. Prüfkomplexe, deren übergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. Normaler und hoher Schutzbedarf Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. Diese müssen bei hohem Schutzbedarf natürlich auch berücksichtigt werden. Soweit für hohen Schutzbedarf besondere Anforderungen zu erfüllen sind, ist der entsprechenden Kontrollfrage ein [hoher Schutzbedarf] zur Kennzeichnung vorangestellt. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel [hohe Verfügbarkeit]. Anwender, die nur einen normalen Schutzbedarf haben, können alle so gekennzeichneten Fragen außer Acht lassen. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Darunter ist je eine Kontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein oder miteinander verknüpft. Um das übergeordnete Prüfkriterium zu erfüllen, muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung [hoher Schutzbedarf], so muss mindestens eine der so gekennzeichneten Varianten bejaht werden, um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen. Bundesamt für Sicherheit in der Informationstechnik 5

ISi-Reihe ISi-Check - Absicherung eines PC-Clients 2 Konzeption In der Konzeptionsphase des Ablaufplans gemäß [ISi-E] wird eine sichere APC-Architektur erstellt. Die Checklisten dieses Abschnitts erfragen, ob alle Empfehlungen für eine sichere Grundarchitektur korrekt umgesetzt sind. Der sichere Einsatz von Client-PCs kann nicht unabhängig von der Gesamtarchitektur des Netzes betrachtet werden. Die Voraussetzung ist daher, dass der Client in einer Netzarchitektur gemäß der Empfehlungen aus der Studie [ISi-LANA] eingesetzt wird. Des Weiteren wird in der Checkliste der Client-PC mit seinem Betriebssystem betrachtet. Anwendungsprogramme (wie z. B. ein E-Mail- Client oder Web-Browser) werden in dieser Checkliste nicht betrachtet. 2.1 Planung Wurde ermittelt, welche Arten von APCs eingesetzt werden sollen? O Werden Standalone-Geräte eingesetzt? oder O Werden mobile Geräte (Laptops) eingesetzt? oder O Werden Thin-Clients eingesetzt? [Variante 5.2.3 D] Wurde ermittelt, welche Schnittstellen für den Einsatzzweck des APC benötigt werden? Wurde ermittelt, welche Arten von Wechseldatenträger benötigt werden? Wurde ermittelt, welche externen Geräte an den APC angeschlossen werden dürfen? Wurde ermittelt, welche Protokolle für den Einsatzzweck des APC benötigt werden? Wurde ermittelt, welche Protokolle für die Administration des APC benötigt werden? Wurde ermittelt, welche Dienste für den Einsatzzweck des APC benötigt werden? Wurde ermittelt, welche Dienste für die Administration des APC benötigt werden? Wurde ermittelt, welche Betriebssystemkomponenten benötigt werden? Wurde ermittelt, welche Anwendungen benötigt werden? Wurde ermittelt, welche Dateiformate gelesen und geschrieben werden können sollen? [Optional] Ist eine Virtualisierungslösung erforderlich? O Werden für den Einsatzzweck mehrere Betriebssysteme bzw. Betriebssystemversionen benötigt? [Variante 5.1.1 L] oder O Werden Funktionen benötigt, die auf dem normalen APC nicht zugelassen sind? [Variante 5.1.1 M] Gibt es ein Konzept zur Schlüsselverwaltung? 6 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe 2.2 Komponenten Ist ein Virenschutzprogramm vorgesehen? Ist eine Ausführungskontrolle vorgesehen? O Soll eine verzeichnisbasierte Ausführungskontrolle eingesetzt werden? oder O [hoher Schutzbedarf] Soll eine richtlinienbasierte Ausführungskontrolle eingesetzt werden? [Variante 5.1.1 A] Ist eine Gerätekontrolle (Device Control) vorgesehen? Soll die Gerätekontrolle mit Betriebssystem-Mitteln erfolgen? oder Soll ein Produkt zur Gerätekontrolle eingesetzt werden? [Variante 5.1.1 B] Ist eine Personal Firewall vorgesehen? O Soll die Personal Firewall auf Anwendungsebene arbeiten? oder O Soll eine Personal Firewall ohne Anwendungskontrolle eingesetzt werden? [Variante 5.1.2 B] [Optional] Ist Network Access Control vorgesehen? [Variante 5.1.2 C] Ist eine Protokollierung vorgesehen? O Soll ein zentraler Logging Server eingesetzt werden? oder O Soll das Logging lokal auf den APCs erfolgen? [Variante 5.1.1 K] [Optional] Ist eine Integritätsprüfung vorgesehen? O Ist eine prozessbasierte Prüfung vorgesehen? [Variante 5.1.1 F] oder O [hoher Schutzbedarf] Ist eine dateisystembasierte Prüfung vorgesehen? [Variante 5.1.1 G] [hoher Schutzbedarf] Ist ein Host-based Intrusion-Detection/Prevention-System (HIDS/HIPS) vorgesehen? [Variante 5.1.1 H] [hohe Vertraulichkeit] Ist eine Festplattenverschlüsselung vorgesehen? O Ist eine Dateiverschlüsselung vorgesehen? [Variante 5.2.2 A] oder O Soll die gesamte Festplatte verschlüsselt werden? [Variante 5.2.3 A] oder O Soll die gesamte Festplatte unter Nutzung des TPMs verschlüsselt werden? [Variante 5.2.3 B] [Optional] Sollen Wechseldatenträger mit Hardware-Schreibschutz eingesetzt werden? [Variante 5.1.1 C] [hohe Integrität] Ist vorgesehen, Dateien zu signieren? [Variante 5.3.1 A] Bundesamt für Sicherheit in der Informationstechnik 7

ISi-Reihe ISi-Check - Absicherung eines PC-Clients [hohe Verfügbarkeit] Ist eine zusätzliche Internetanbindung des APCs über Mobilfunk vorgesehen? [Variante 5.4.1 A] [hohe Verfügbarkeit] Ist eine unterbrechungsfreie Stromversorgung vorgesehen? [Variante 5.4.1 B] 2.3 Benutzerrechte, verwaltung und authentisierung Erfolgt eine Benutzerverwaltung? O Erfolgt die Benutzerverwaltung in einem zentralen Verzeichnisdienst? oder O Erfolgt die Benutzerverwaltung lokal? [Variante 5.1.4 B] Erhält jeder Benutzer ein persönliches, nur ihm zugewiesenes Benutzerkonto? Authentisiert sich der Benutzer gegenüber dem APC? O Meldet er sich mit Benutzername und Passwort an? oder O [hoher Schutzbedarf] Wird eine 2-Faktor-Authentisierung verwendet? [Variante 5.1.4 A] Sollen die Benutzerrechte aus einem Berechtigungskonzept abgeleitet werden? 2.4 Benutzerverzeichnisse Steht jedem Benutzer ein Arbeitsverzeichnis zur Verfügung? O Liegt dieses Verzeichnis auf einem zentralen Datei-Server? oder O Liegt dieses Verzeichnis lokal auf dem APC? Ist ein Backup-Konzept für den zentralen Datei-Server vorgesehen? O Werden Backups täglich durchgeführt? oder O [hohe Verfügbarkeit] Werden Backups häufiger, z. B. stündlich, durchgeführt? [Variante 5.4.3 A] Ist eine Regelung für das Speichern von Daten auf der lokalen Festplatte vorgesehen? O Wird das Speichern von Daten auf der lokalen Festplatte organisatorisch unterbunden und der Benutzer darauf hingewiesen wird, dass lokale Datenträger nicht gesichert werden? oder O Wird das Speichern von Daten und Dokumenten auf der lokalen Festplatte technisch unterbunden? [Variante 5.4.2 B] oder O Wird ein APC ohne lokale Speichermedien (Thin-Client) eingesetzt? [Variante 5.2.3 D] [Optional] Haben die Benutzer die Möglichkeit lokale Daten selbst zu sichern? [Variante 5.4.2 A] 8 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe 2.5 Organisatorische Regelungen Existiert eine Richtlinie, die verbindlich definiert wie und in welcher Form der APC genutzt werden darf: Existieren Vorgaben zum Umgang mit Passwörtern? Existieren Vorgaben zur Ablage von Daten auf Netzlaufwerken? Existieren Vorgaben zum Gebrauch privater Informationstechnik am Arbeitsplatz? Wird bei der Erstellung des Logging-Konzepts die Personalvertretung beteiligt? 2.6 Aktualisierungen Firmware Gibt es ein Konzept für die Aktualisierung der Firmware? O Werden die Aktualisierungen direkt vom Hersteller bezogen? oder O Werden die Aktualisierungen von einem autorisierten Fachhändler bezogen? Betriebssystem Gibt es ein Konzept zur Aktualisierung des Betriebssystems? O Wird ein lokaler Update-Server eingesetzt? oder O Erfolgt die Aktualisierung über die Web-Seite des Herstellers? [Variante 5.1.1 I] oder O Wird ein Update-Tool zur Erkennung des Aktualisierungsbedarfs verwendet und werden ausstehende Aktualisierungen manuell installiert? [Variante 5.1.1 J] Anwendungen Gibt es ein Konzept zur Aktualisierung der Anwendungen? O Werden Aktualisierungen über zentrale Mechanismen, wie beispielsweise Update-Server oder Software-Verteilung, verteilt? oder O Erfolgt die Aktualisierung über die Web-Seite des Herstellers? [Variante 5.1.1 I] oder O Wird ein Update-Tool zur Erkennung des Aktualisierungsbedarfs verwendet und werden ausstehende Aktualisierungen manuell installiert? [Variante 5.1.1 J] Bundesamt für Sicherheit in der Informationstechnik 9

ISi-Reihe ISi-Check - Absicherung eines PC-Clients 2.7 Mobile APCs Beim Einsatz von mobilen APCs wie Laptops, die auch außerhalb der Institution eingesetzt werden, sind folgende zusätzliche Schutzmaßnahmen umzusetzen: Soll der Zugang zum Internet im mobilen Einsatz gemäß [ISi-Fern] erfolgen? Soll die Festplatte verschlüsselt werden? Besteht für den mobilen APC ein Konzept zur Vermeidung von Datenverlust? O Verfügt die Institution über ein zentrales Backup-System, mit dem die Sicherung des mobilen APCs über VPN erfolgen kann? oder O Werden die Daten und Dokumente des Benutzers automatisch über VPN mit dem Datei-Server im internen Netz synchronisiert? oder O Synchronisiert der Anwender seine Daten regelmäßig manuell über VPN mit dem Datei-Server im internen Netz? 10 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe 3 Auswahl sicherer Komponenten Um eine sichere APC-Architektur zu realisieren, muss bereits bei der Auswahl der Komponenten darauf geachtet werden, dass diese über die notwendigen Sicherheitseigenschaften verfügen. Die folgenden Fragen helfen bei der Erstellung von Ausschreibungen oder bei der Bewertung verschiedener Produkte. 3.1 Übergreifende Aspekte Die folgenden Kontrollfragen betreffen Prüfaspekte, die für alle Komponenten relevant sind. Werden bei der Auswahl Hersteller bevorzugt, welche für ihrer Komponenten, insbesondere bei Bekanntwerden von Sicherheitsproblemen, zeitnah Aktualisierungen anbieten? Werden die Komponenten von einer vertrauenswürdigen Quelle bezogen? O Werden die Komponenten direkt vom Hersteller bezogen? oder O Werden die Komponenten von einem autorisierten Fachhändler bezogen? Werden neuere Versionen von Produkten gegenüber älteren Versionen bevorzugt? Lizenzierung Die hier beschriebenen Anforderungen sollten nach Möglichkeit erfüllt werden. [Optional] Sind Lizenzen unabhängig von der Hardware des unterliegenden Systems? [Optional] Erfolg die Lizenzierung ohne Online-Aktivierung? [Optional] Sind die Lizenzen unbefristet gültig? Logging Unterstützen die Anwendungen die gewählte Protokollierungsart? Die folgende Frage muss nur beantwortet werden, wenn die Protokolldatei lokal (zwischen-)gespeichert wird: Kann die Größe der lokalen Protokolldatei begrenzt werden? Aktualisierung Gibt es für den Bezug von Programmen und Aktualisierungen einen vertrauenswürdigen Mechanismus? O Stellt der Hersteller Prüfsummen für Downloads bereit? oder O Bietet der Hersteller Aktualisierungen auf CD/DVD an? Gibt es einen Mechanismus zur Installation von Sicherheits-Patches und Aktualisierungen? Bundesamt für Sicherheit in der Informationstechnik 11

ISi-Reihe ISi-Check - Absicherung eines PC-Clients O Können diese über zentrale Mechanismen, wie einen internen Update-Server oder eine Software- Verteilung, installiert werden? oder O Können diese über das Internet beim Hersteller bezogen werden? [Variante 5.1.1 I] oder O Wird ein Update-Tool zur Erkennung des Aktualisierungsbedarfs verwendet und werden ausstehende Aktualisierungen manuell installiert? [Variante 5.1.1 J] 3.2 Hardware, Firmware und externe Schnittstellen Ist die Leistungsfähigkeit der Hardware des APC ausreichend dimensioniert? Verfügt der APC über eine ausreichende Leistungsfähigkeit für seinen Einsatzzweck? Sind ausreichende Reserven für die Sicherheitskomponenten vorhanden (siehe Abschnitt 2.2)? Können alle benötigten Peripheriegeräte per Kabel angeschlossenen werden? Kann der Monitor über ein Kabel an den APC angeschlossen werden? Kann die Tastatur über ein Kabel an den APC angeschlossen werden? Kann die Maus über ein Kabel an den APC angeschlossen werden? Sind alle nicht benötigten Schnittstellen entwerder nicht vorhanden oder deaktivierbar? Ist die Bluetooth-Schnittstelle nicht vorhanden oder deaktivierbar? Ist die Express-Schnittstelle nicht vorhanden oder deaktivierbar? Ist die PC-Card-Leser-Schnittstelle nicht vorhanden oder deaktivierbar? Ist die Firewire-Schnittstelle nicht vorhanden oder deaktivierbar? Ist die esata-schnittstelle nicht vorhanden oder deaktivierbar? Ist die serielle Schnittstelle nicht vorhanden oder deaktivierbar? Ist die parallele Schnittstelle nicht vorhanden oder deaktivierbar? Ist die Modem-Schnittstelle nicht vorhanden oder deaktivierbar? Unterstützt der Prozessor Speicherschutzmechanismen? [Optional] Unterstützt der Prozessor 64-bit Technologie? [Optional] Haben die Wechseldatenträger einen Hardware-Schreibschutz? [Variante 5.1.1 C] 3.3 Betriebssystemkomponenten Lässt sich die Auswahl der installierten Betriebssystemkomponenten beeinflussen? 12 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe O Kann bei der Installation des Betriebssystems eine Auswahl der zu installierenden Komponenten getroffen werden? oder O Lassen sich nicht benötigte Komponenten nachträglich deinstallieren? Unterstützt das Betriebssystem die gewählte Protokollierungsart? Unterstützt das Betriebssystem die unter Abschnitt 2.1 identifizierten Protokolle? Unterstützt das Betriebssystem die unter Abschnitt 2.3 gewählte Authentisierungsmethode? Sind die für den Einsatzzweck des APCs erforderlichen Programme für das gewählte Betriebssystem verfügbar? Unterstützt das Betriebssystem Speicherausführungsschutz? Unterstützt das Betriebssystem Speicherrandomisierung? [Optional] Arbeitet das Betriebssystem mit 64 Bit? Existiert für das Betriebssystem ein geeignetes Virenschutzprogramm? Existiert für das Betriebssystem eine geeignete Personal Firewall? 3.4 Benutzerrechte, verwaltung und authentisierung Kann bei der Anmeldung die Gültigkeitsdauer von Passwörtern geprüft werden? Kann bei der Änderung von Passwörtern die Komplexität und die Wiederholungsfrequenz überprüft werden? Die folgenden Fragen sind zu beantworten, wenn nicht bewusst auf eine zentrale Benutzerverwaltung verzichtet wurde: Lassen sich alle eingesetzten APC-Betriebssysteme an den Verzeichnisdienst anbinden? Eignet sich der Verzeichnisdienst zur Benutzerverwaltung? Lassen sich im Verzeichnisdienst Benutzer anlegen? Lassen sich im Verzeichnisdienst Benutzer-Rechte verwalten? Lassen sich im Verzeichnisdienst Gruppenzugehörigkeiten verwalten? Lassen sich im Verzeichnisdienst Authentisierungsdaten verwalten? Bietet der Verzeichnisdienst ein Berechtigungskonzept, mit dem sich festlegen lässt, wer welche Daten ändern darf? Unterstützt der Verzeichnisdienst die unter Abschnitt 2.3 gewählte Authentisierungsmethode? Bundesamt für Sicherheit in der Informationstechnik 13

ISi-Reihe ISi-Check - Absicherung eines PC-Clients 3.5 Anwendungen Werden die Sicherheitskomponenten durch die Anwendung nicht negativ beeinflusst? Ist der Einsatz der Anwendung ohne kritische Konfigurationsänderungen des APC möglich? O Funktioniert die Anwendung mit der bestehenden Konfiguration des APC? oder O Beschränken sich die Änderungen auf Treiber und Bibliotheken für die Nutzung erlaubter Peripheriegeräte (z. B. einen Smartcard-Leser)? Baut die Anwendung keine unkontrollierten Netzverbindungen auf? O Baut die Anwendung keinerlei Verbindungen über das Netz auf? oder O Baut die Anwendung Verbindungen ausschließlich zu lokalen Server-Systemen auf (also weder zu anderen APCs noch zum Internet)? oder O Baut die Anwendung Verbindungen zum Internet über einen Proxy-Server auf? Unterstützen die Anwendungen die gewählte Protokollierungsart? [Optional] Unterstützt die Anwendung die Speicherschutzmechanismen des Betriebssystems? [hoher Schutzbedarf] Wurde der Quelltext der Anwendung geprüft? [Variante 5.1.1 N] Ausführungskontrolle Wird die Ausführung von Programmen reglementiert? O Werden Mechanismen des Betriebssystems zur Ausführungskontrolle genutzt? oder O [hoher Schutzbedarf] Kommt eine richtlinienbasierte Ausführungskontrolle zum Einsatz? [Variante 5.1.1 A] Virenschutzprogramm Kann das Virenschutzprogramm Dateien sowohl beim lesenden als auch beim schreibenden Zugriff überprüfen? (On Access Scanning) Kann eine Prüfung der gesamten Festplatte auf Schadprogramme zeitgesteuert oder manuell ausgelöst werden kann? (On Demand Scanning) Kann der Anwender mit dem Produkt Dateien und Verzeichnisse gezielt auf Schadprogramme überprüfen? Können alle gängigen Archivformate auch verschachtelte entpackt werden, um den Inhalt auf Schadprogramme zu untersuchen? Unterstützt das Virenschutzprogramm gängige Verfahren zur Erkennung? Verwendet das Virenschutzprogramm Erkennungsmuster (Virensignaturen)? 14 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe Verwendet das Virenschutzprogramm heuristische Verfahren? [Optional] Verwendet das Virenschutzprogramm eine Verhaltensanalyse? Werden infizierte Dateien unschädlich gemacht? O Werden infizierte Dateien in Quarantäne verschoben? oder O Werden infizierte Dateien bereinigt? Stellt der Hersteller des Virenschutzprogramms mindestens täglich aktualisierte Erkennungsmuster zur Verfügung? Lässt sich das Virenschutzprogramm in den E-Mail-Client integrieren? Kann das Produkt E-Mails überprüfen, auch wenn diese über verschlüsselte Verbindungen auf den Client gelangen? Kann das Produkt Aktive Inhalte auf Schadprogramme untersuchen, falls der E-Mail-Client die Ausführung Aktiver Inhalte, wie JavaScript oder ActiveX Controls, unterstützt? Folgende Frage ist nicht zu beantworten, wenn bewusst auf ein zentrales Management für den Virenschutz verzichtet wird: Lässt sich das Virenschutzprogramm von einem zentralen Management-Server aus verwalten? Können die Erkennungsmuster über den lokalen Management-Server aktualisiert werden? Kann das zentrale Management einen Report erzeugen, welcher die Version der Virenschutzprogramme und Erkennungsmuster auf den verwalteten APC zusammenfasst? Unterstützt das zentrale Management das schrittweise Verteilen von Signatur-Updates? Unterstützt das zentrale Management auf unterschiedlichen Betriebssystemen laufende Virenschutzprogramme? Erfolgen die Statusmeldungen der Virensignaturaktualisierung und eventuell gefundener Schadprogramme an das zentrale Management? [Optional] Kann das zentrale Management die von den Virenschutzprogrammen empfangenen Protokollmeldungen an das zentrale Logging weiterleiten? Personal Firewall Kann die Personal Firewall für den Anwender transparent und durch den Administrator zentral administriert werden? Kann die Personal Firewall sowohl ankommende als auch abgehende Kommunikation kontextsensitiv prüfen? Kann das Produkt ankommende Verbindungen auf Basis von IP-Adresse und Port-Nummer kontrollieren? Unterstützt das Produkt die gewählte Protokollierungsart? Bundesamt für Sicherheit in der Informationstechnik 15

ISi-Reihe ISi-Check - Absicherung eines PC-Clients [mobiler APC] Unterstützt das Produkt unterschiedliche Profile für den Einsatz innerhalb der Institution und für den mobilen Einsatz? Integritätsprüfung Die folgenden Fragen sind nur zu beantworten, wenn eine Integritätsprüfung eingesetzt wird: Kann das Produkt Änderungen an Prozessen oder Dateien erkennen? Lässt sich das Produkt über ein zentrales Management steuern? Unterstützt das Produkt die gewählte Protokollierungsart? Festplattenverschlüsselung Die folgenden Fragen sind nur zu beantworten, wenn eine Festplattenverschlüsselung eingesetzt wird: Wird für die Verschlüsselung ein Verfahren nach dem Stand der Technik genutzt? Muss sich der Anwender beim Systemstart authentifizieren (Passwort, Fingerabdruck, etc.), um die Festplatte zu entschlüsseln? Unterstützt das Produkt die Verschlüsselung der gesamten Festplatte, mit Ausnahme des Boot- Sektors und einer gegebenenfalls für den Boot-Loader der Festplattenverschlüsselung erforderlichen Partition? [Optional] Kann bei dem Produkt ein Zweitschlüssel erzeugt werden? 3.6 Backup für mobile APCs Die folgenden Fragen sind nur bei der Integration von mobilen APCs in das bestehende Backup- System zu beantworten. Unterstützt das zentrales Backup-System für lokale Server auch die Datensicherung von mobilen APCs? Berücksichtigt das Backup-System, dass mobile APCs zeitweise nicht oder unter verschiedenen IP- Adressen erreichbar sind? Bietet das Backup-System dem Administrator die Einstellung, dass nur Teile der lokalen Festplatte gesichert werden können? Unterstützt das Backup-System inkrementelle Sicherungen? Kann das Backup-System ohne Beeinträchtigungen der Arbeit des Benutzers ausgeführt werden? Die folgenden Fragen sind nur zu beantworten, wenn die Benutzerdaten von mobilen APCs mit einem Datei-Server synchronisiert werden. Besteht die Möglichkeit, dass die Synchronisation, beim Erkennen einer Verbindung zum Datei-Server automatisch gestartet wird? 16 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe Kann der Anwender die Synchronisation manuell starten? Unterstützt das Synchronisationsprodukt die inkrementelle Synchronisation? Warnt das Produkt den Benutzer, wenn die Dateien auf dem Datei-Server neuer sind als auf dem APC? Bundesamt für Sicherheit in der Informationstechnik 17

ISi-Reihe ISi-Check - Absicherung eines PC-Clients 4 Konfiguration Die Checklisten zur Konfiguration sind vor allem für Administratoren bestimmt, die einen sicheren APC einrichten wollen. Des Weiteren kann die Checkliste von Revisoren eingesetzt werden, um ein bestehendes Netz einer Sicherheitsrevision zu unterziehen. 4.1 Hardware, Firmware und externe Schnittstellen Hardware Sind alle nicht benötigten Hardware-Komponenten und Schnittstellen deaktiviert? O Werden Schnittstellen, die nicht über das Entfernen bzw. Entkoppeln von der Hardware deaktiviert werden können, für die Deaktivierung über BIOS/EFI und betriebssystembasierte Einstellungen vorgemerkt? oder O [hoher Schutzbedarf] Sind alle nicht benötigten Komponenten und Schnittstellen ausgebaut oder entkoppelt? [Variante 5.1.2 A] BIOS/EFI & Firmware Wird die Firmware der APCs nach der Installation auf den aktuellsten Stand gebracht? Wird das BIOS/EFI durch ein Passwort geschützt? Wurde die Startreihenfolge im BIOS/EFI angepasst? Erfolgt der Systemstart von der internen Festplatte? Wurde der Start von Wechselmedien wie CD-ROM oder USB-Massenspeichern deaktiviert? Wurde der Start über das Netz deaktiviert? Ist der Fernzugriff auf das BIOS/EFI des APCs über das Netz deaktiviert oder nicht vorhanden? Externe Schnittstellen & Peripheriegeräten Sind externe Schnittstellen, die nicht ausgebaut wurden, deaktiviert? O Sind diese Schnittstellen im BIOS/EFI deaktiviert und die entsprechenden Treiber im Betriebssystem deinstalliert? oder O Ist ein Programm zur Kontrolle von Schnittstellen und der daran angeschlossenen Peripheriegeräte installiert? [Variante 5.1.1 B] 18 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe 4.2 Betriebssystemkomponenten Betriebssysteminstallation Ist der APC bei der Betriebssystem-Installation vom Netz getrennt? Wurde bei der Installation des Betriebssystems die Auswahl (siehe Abschnitt 2.1) der zu installierenden Komponenten getroffen? Wurde ein Journaling File System als Dateisystem ausgewählt? [hoher Schutzbedarf] Wird die Festplattenverschlüsselung bei der Installation aktiviert? [Variante 5.2.3 A, 5.2.3 B] Betriebssystemkomponenten Wurde das Betriebssystem anhand von Security Hardening Guides der jeweiligen Hersteller minimalisiert? Wurde die aktuelle Version des Security Hardening Guides verwendet? Wurden nicht benötigte Betriebssystemkomponenten deinstalliert bzw. deaktiviert? Wurden nicht benötigte Gerätetreiber deaktiviert? Wurden nicht benötigte Dienste im Betriebssystem deaktiviert? Ist der Speicherausführungsschutz (ESP) aktiviert? Ist die Speicherrandomisierung (ASLR) aktiviert? Ist das automatische Öffnen bzw. Starten von Wechseldatenträgern deaktiviert? Wird die Auslagerungsdatei / Swap-Speicher beim Herunterfahren gelöscht? Ist die automatische Zeitsynchronisierung mit einem zentralen Zeit-Server aktiviert? 4.3 Netzprotokolle und dienste Sind die für ein IP-Netz erforderlichen Grundeinstellungen (IP-Adresse, Netzmaske, Standard- Gateway, Name-Server) konfiguriert? O Werden diese beim Systemstart von einem zentralen DHCP-Server bezogen? oder O Werden diese statisch konfiguriert? Wird das zentrale Sicherheits-Gateway als Standard-Proxy konfiguriert? Bundesamt für Sicherheit in der Informationstechnik 19

ISi-Reihe ISi-Check - Absicherung eines PC-Clients 4.4 Benutzerrechte, verwaltung und authentisierung Benutzerverwaltung Wurden den Benutzern Konten ohne Administratorrechte zugewiesen? Kann nur ein Administrator ein gesperrtes Benutzerkonto wieder freischalten? Wurden ausschließlich Administratoren die Benutzerrechte für Betriebssystem-Aktualisierungsvorgänge zugewiesen? [mobile APCs] Wurde dem Benutzerkonto ein lokales Arbeitsverzeichnis zugewiesen? Die folgenden Fragen sind nur beim Einsatz einer zentralen Benutzerverwaltung zu beantworten: Authentisiert sich der APC gegenüber dem Verzeichnisdienst? Werden die Benutzerrechte in regelmäßigen Abständen zwischen APC und Verzeichnisdienst synchronisiert? Wurden außer dem lokalen Administratorkonto alle anderen lokalen Benutzerkonten gelöscht? Können Benutzer im zentralen Verzeichnis lediglich ihr Kennwort (und evtl. andere persönliche Angaben, wie z. B. Telefonnummer) ändern? Benutzer Authentisierung Werden Anforderungen an Passwörter umgesetzt? Wird die Länge der Passwörter geprüft? Wird die Komplexität der Passwörter überprüft? Müssen die Passwörter in regelmäßigen Abständen geändert werden? Wird die Historie berücksichtigt, d. h. dürfen die letzten Passwörter nicht wiederverwendet werden? Wird das Benutzerkonto nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche automatisch gesperrt? Wird der Bildschirm des APCs nach einer gewissen Inaktivität automatisch gesperrt? Ist zum Aufheben der Bildschirmsperre eine erneute Authentisierung erforderlich? Benutzerrechte Sind die Berechtigungen für Benutzer entsprechend des Berechtigungskonzepts vergeben? 20 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe O Können Benutzer nicht die Dateien anderer Benutzer lesen bzw. modifizieren, oder in den Verzeichnissen anderer Benutzer neue Dateien ablegen? oder O Kann im Rahmen des Berechtigungskonzepts Benutzern der lesende und auch schreibende Zugriff auf Dateien und Verzeichnisse anderer Benutzer gewährt werden, wenn es die Zusammenarbeit verschiedener Benutzer erfordert? Können ausschließlich Administratoren schreibend auf Systemdateien zugreifen? 4.5 Anwendungen Sind alle Im- und Exportfilter von Anwendungen auf die in der Institution festgelegten Standards (siehe Abschnitt 2.1) reduziert? Wurden alle nicht benötigten Autostartanwendungen deaktiviert oder entfernt? Wurden nicht benötigte benutzerübergreifende Systemstartprogramme deaktiviert oder entfernt? Wurden nicht benötigte zeitgesteuerte Anwendungen (Tasks) deaktiviert oder entfernt? Sind alle nicht benötigten Anwendungen, welche bei der Benutzeranmeldung ausgeführte werden, deaktiviert oder entfernt? Wurde bei allen Anwendungen das zentrale Sicherheits-Gateway als Standard-Proxy konfiguriert? Werden erstmalig Aktualisierungen für alle installierten Anwendungen des APCs durchgeführt? O Werden Updates über die zentrale Software-Verteilung installiert? oder O Werden Updates über das Netz bezogen und deren Installation vom Administrator initiiert? [Variante 5.1.1 I] Virenschutzprogramm Werden gefundene Schadprogramme protokolliert? [Optional] Werden die Protokolldaten des Virenschutzprogrammes an den zentralen Logging- Server weitergeleitet? Wird der aktive Benutzer über erkannte Schadprogramme informiert? Werden infizierten Dateien unter Quarantäne gestellt oder bereinigt? Wird ein On Access Scanning (lesend & schreibend) für alle Programme durchgeführt? Werden alle Datenträgern untersucht? Werden lokale Festplatten geprüft? Bundesamt für Sicherheit in der Informationstechnik 21

ISi-Reihe ISi-Check - Absicherung eines PC-Clients Werden Wechselmedien wie USB-Speichermedien und CDs/DVDs geprüft? Wird ein On Demand Scanning der gesamten Festplatte regelmäßig, mindestens 1x pro Woche, durchgeführt? Wird der Status der Erkennungsmuster (Virensignaturen) an das zentrale Management-System des Produktes gemeldet, sofern dieses vorhanden ist? Personal Firewall Werden nur zugelassene eingehende Verbindungen erlaubt? Ist die für die Netz-Konfiguration erforderliche DHCP-Kommunikation erlaubt, falls DHCP verwendet wird? Sind Wartungszugriffe durch den Administrator erlaubt? Sind Zugriffe von den Management-Systemen für Monitoring, Software-Verteilung und Benutzerverwaltung auf den APC erlaubt? Werden alle weiteren eingehenden Verbindungen geblockt? Werden nur zugelassene ausgehende Verbindungen erlaubt, beispielsweise: Sind DHCP-Anfragen erlaubt, falls DHCP verwendet wird? Ist die Kommunikation vom lokalen Netzwerkdateisystem-Dienst zum Datei-Server erlaubt? Sind Zugriffe des lokalen Druckdienstes des Betriebssystems auf den Druck-Server erlaubt? Sind Zugriffe des Dienstes zur Betriebssystemaktualisierung auf den lokalen Update-Server oder über den Proxy des Sicherheits-Gateways auf Update-Server beim Betriebssystemhersteller erlaubt? Sind Zugriffe des Virenschutzprogramms auf den zentralen Management-Server erlaubt, sofern dieser vorhanden ist? Sind Zugriffe der Personal Firewall auf den zentralen Management-Server erlaubt, sofern dieser vorhanden ist? Ist die Kommunikation vom lokalen Protokollierungsdienst zum zentralen Logging-Server erlaubt, sofern dieser vorhanden ist? Sind Zugriffe des Dienstes zur Benutzeranmeldung auf den zentralen Verzeichnisdienst erlaubt? Sind Zugriffe des Dienstes zur Software-Verteilung auf den zentralen Software-Paket-Server erlaubt? Sind Zugriffe des E-Mail- und Kalenderprogramms auf den E-Mail/Kalender-Server erlaubt? Sind Internet-Zugriffe von Anwendungen zur Anwendungsaktualisierung über den Proxy-Server des Sicherheits-Gateways freigegeben? Werden abgehende Verbindungen vom Browser ins Internet nur über das Sicherheits-Gateway gestattet? 22 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe Werden weitere abgehende Verbindungen geblockt? [mobiler APC] Ist die Kommunikation vom lokalen VPN-Client des Laptops zur Anmeldung über das Sicherheits-Gateway gemäß [ISi-Fern] freigegeben? Werden abgelehnte Verbindungen protokolliert? [Optional] Werden die Protokolldaten der Personal Firewall an den zentralen Logging-Server weitergeleitet? [mobiler APC] Werden bei der Personal Firewall unterschiedliche Profile für das interne und das externe Netz konfiguriert? Wird jede ankommende Kommunikation unterbunden, wenn sich der mobile APC in einem externen Netz befindet? Werden abgehende Verbindungen auf den Aufbau des Virtual Private Networks und die eventuell erforderliche Anmeldung an öffentlichen WLAN Access Points beschränkt, wenn sich der mobile APC in einem externen Netz befindet? Gerätekontrolle Ist die Gerätekontrolle aktiv? O Sind nicht benötigte Gerätetreiber deinstalliert/deaktiviert? oder O Wird ein Produkt zur Gerätekontrolle eingesetzt? [Variante 5.1.1 B] oder O [hoher Schutzbedarf] Werden Wechseldatenträger mit Hardware-Schreibschutz genutzt? [Variante 5.1.1 C] oder O [hoher Schutzbedarf] Sind am APC keine Wechseldatenträger zugelassen? [Variante 5.1.1 D] oder O [hoher Schutzbedarf] Wird eine Wechseldatenschleuse eingesetzt? [Variante 5.1.1 E] oder O [hohe Vertraulichkeit] Werden alle Wechseldatenträger verschlüsselt? [Variante 5.2.3 C] Integritätsprüfung [Optional] Wird beim Einsatz einer Integritätsprüfung ein Referenzzustand erfasst, um spätere Prüfungen mit diesem zu vergleichen? Ausführungskontrolle Wird die Ausführung von Programmen reglementiert? O Unterbindet die Ausführungskontrolle das Schreiben in Verzeichnissen, aus denen der Anwender Anwendungen starten kann? oder O [hoher Schutzbedarf] Unterbindet die Ausführungskontrolle den Start von Anwendungsprogrammen aus Verzeichnissen, auf die der Anwender schreibend zugreifen kann? [Variante 5.1.1 A] Bundesamt für Sicherheit in der Informationstechnik 23

ISi-Reihe ISi-Check - Absicherung eines PC-Clients Virtualisierung Wurden die Konfigurationen der Sicherheitskomponenten auch in der Virtualisierungslösung umgesetzt? Die folgenden Fragen sind nur beim Einsatz eines virtuellen, isolierten APCs [Variante 5.1.1 M] zu beantworten: Wurde auf die Installation der Gast-Erweiterungen in der virtuellen Maschine verzichtet? Ist das Kopieren und Einfügen zwischen Gast und Wirt deaktiviert? Sind gemeinsame Festplatten von Gast und Wirt deaktiviert? Kann nur der Administrator die Konfiguration der virtuellen Maschine ändern? Kann der Benutzer die virtuelle Maschine lediglich herunterfahren und nicht in den Ruhezustand versetzen? Kann der Benutzer keine neuen virtuellen Maschinen erzeugen? Wird die virtuelle Maschine beim Herunterfahren zurückgesetzt? Sonderfall Backup für mobile APCs [mobiler APC] Wurde das Backup für mobile APCs konfiguriert? O Wurde die Sicherung des APCs über VPN zu einem zentralen Backup-System konfiguriert? oder O Wurde die Sicherung der Daten und Dokumente des Benutzers automatisch über VPN mit dem Datei-Server im internen Netz konfiguriert? oder O Wurden dem Benutzer die notwendigen Rechte gegeben, um manuelle Sicherung über VPN auf dem Datei-Server im internen Netz der Institution zu erstellen? oder O Haben die Benutzer die Möglichkeit Daten manuell auf Wechselmedien zu sichern? [Variante 5.4.2 A] 4.6 Funktionsprüfung Wurde nach der Installation ein Funktionstest des APC durchgeführt? Ist die Anmeldung als Benutzer und als Administrator möglich? Werden alle Netzlaufwerke auf dem zentralen Datei-Server eingebunden? Funktionieren alle Anwendungen, insbesondere die Kommunikation zu den dazu gehörenden Server- -Systemen und die Druckfunktion? Ist der Internetzugang über das Sicherheits-Gateway möglich? 24 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe Kann das Betriebssystem durch den Administrator aktualisiert werden? Können die Anwendungsprogramme durch den Administrator aktualisiert werden? Werden nicht erlaubte Verbindungen an der Personal Firewall blockiert und protokolliert? Bundesamt für Sicherheit in der Informationstechnik 25

ISi-Reihe ISi-Check - Absicherung eines PC-Clients 5 Betrieb Die Checklisten zum sicheren Betrieb sind vor allem für Administratoren bestimmt. Mit den Kontrollfragen in diesem Abschnitt wird die korrekte Umsetzung regelmäßiger betrieblicher Tätigkeiten überprüft. Die Anforderungen an den sicheren Betrieb der APC-Architektur setzen eine sichere Anbindung des lokalen Netzes an das Internet voraus [ISi-LANA]. Darüber hinaus sind allgemeine IT-Grundschutzmaßnahmen umzusetzen [ITGSK]. 5.1 Aktualisierungen Wird für alle Komponenten (Firmware, Betriebssystem, Anwendungen) regelmäßig überprüft, ob Aktualisierungen vorhanden sind? Werden neue Anwendungen und Aktualisierungen vor dem Ausrollen getestet? Werden Aktualisierungen vor dem Ausrollen auf einem Test-APC getestet? Wird geprüft, ob die Aktualisierungen mit den Sicherheitskomponenten des APCs kompatibel sind? Wurden durch die Aktualisierung reaktivierte Schnittstellen oder Treiber erneut deaktiviert? Wurden durch die Aktualisierung wiederhergestellte Komponenten des Betriebssystems/der Anwendung erneut deinstalliert? Wurde das Kommunikationsverhalten der Anwendung erneut ermittelt? Wurde festgestellt, dass die benötigten Kommunikationsverbindungen der Anwendungen dem Sicherheitskonzept entsprechen? Wurden die nötigen Kommunikationsverbindungen an der Personal Firewall freigeschaltet? Werden Aktualisierungen vor dem Ausrollen an eine kleine Gruppe von Pilotbenutzern getestet? Wird das Testverfahren für kritische Aktualisierungen abgekürzt? Wird kontrolliert, ob alle APCs aktualisiert wurden? 5.2 Ereignisprotokollierung Wird bei Protokolleinträgen ein Zeitstempel, der Name des meldenden APCs, der Auslöser (z. B. ein Dienst, ein Prozess, eine Benutzer-Kennung oder eine andere Betriebssystem-Komponente) und eine Beschreibung des Ereignisses gespeichert? Werden alle sicherheitsrelevanten Ereignisse überwacht? Fehlgeschlagene Benutzerauthentisierung? 26 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe Erfolgreiche Benutzerauthentisierung? Abgelehnte Zugriffe auf Dateien? Fehlgeschlagene Anmeldung als Administratoren? Erfolgreiche Anmeldung als Administrator? Erfolgreiche Zugriffe über das Netz auf den APC? Start von Anwendungen mit Administratorrechten? Fehlgeschlagene oder fehlerhafte Aktualisierungen des APCs? Erfolgreiche Aktualisierung des APCs? Abgelehnte abgehende Verbindungen? Unterbundene Programmstarts? Anschluss von unzulässigen Geräten an den APC? Erkannte Schadprogramme? Lese- und Schreibfehler auf der Festplatte oder im Hauptspeicher? Starten und Abschalten des APCs? Starten und Beenden von Systemdiensten? Wenig Speicherplatz auf der Festplatte vorhanden? Werden die Logfiles regelmäßig ausgewertet und die Ereignisse korreliert? O Erfolgt die Kontrolle der protokollierten Ereignisse auf den jeweiligen zentralen Mangement-Servern der eingesetzten Produkte? oder O Erfolgt die Kontrolle der protokollierten Ereignisse auf dem zentralen Logging-Server? oder O Erfolgen das Logging und die Auswertung der Protokolldaten lokal? [Variante 5.1.1 K] Ist festgelegt, wie auf Ereignisse reagiert wird? 5.3 Benutzerverwaltung Wird die Benutzerverwaltung bei organisatorischen Änderungen angepasst? Wird bei Eintritt eines neuen Mitarbeiters im Unternehmen ein neues Benutzerkonto angelegt? Werden die Berechtigungen und Gruppenzugehörigkeit entsprechend den Dienstaufgaben zugewiesen? Bundesamt für Sicherheit in der Informationstechnik 27

ISi-Reihe ISi-Check - Absicherung eines PC-Clients Werden die Berechtigungen und Gruppenzugehörigkeit angepasst, wenn sich die Dienstaufgaben eines Mitarbeiters ändern? Wird das Benutzerkonto bei längerer Abwesenheit (Krankheit, Urlaub) des Mitarbeiters deaktiviert und bei Rückkehr wieder aktiviert? Wird das Benutzerkonto umgehend gesperrt, wenn ein Mitarbeiter das Unternehmen verlässt? Müssen Benutzer ihre Kennwörter regelmäßig ändern? 5.4 Anwendungen Virenschutzprogramm Wird die Aktualität der Erkennungsmuster (Virensignaturen) täglich überprüft? Wird überprüft, ob auch die verwendete Engine aktuell ist? Werden regelmäßig durch den Administrator On Demand Scans der APCs durchgeführt, falls dies nicht zeitgesteuert erfolgt? Werden durch den Administrator On Demand Scans der APCs durchgeführt, falls der Hersteller des Virenschutzprogramms kritische Updates bereitgestellt hat? Verschlüsselung Ist sichergestellt, dass die Daten auch bei Verlust eines Schlüssels verfügbar bleiben? O Wird ein Recovery-Schlüssel hinterlegt (z. B. im Verzeichnisdienst)? oder O Wird ein Recovery-Medium (z. B. USB-Stick) vorgehalten? oder O Wird der Schlüssel des Anwenders an einem sicheren Ort (z. B. in einem Safe) hinterlegt und aktuell gehalten (neuen Schlüssel bei Änderung hinterlegen)? oder O Wird ein Zweitschlüssel für Administratoren oder Vorgesetzte auf der Festplatte vorgehalten? 5.5 Organisatorische Maßnahmen Schulung von Benutzern Werden die Mitarbeiter regelmäßig geschult, wie sie sicher mit dem APC umgehen? Werden die Mitarbeiter regelmäßig geschult, welche Sicherheitsrisiken und aktuelle Bedrohungen bestehen? Werden die Mitarbeiter geschult, wie sie bei einem Vorfall oder Verdachtsmomenten reagieren müssen? (siehe [ITGSK] B 1.8 Behandlung von Sicherheitsvorfällen) 28 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check - Absicherung eines PC-Clients ISi-Reihe Transport und Sichtkontrolle Wird in regelmäßigen Abständen eine Sichtkontrolle auf unautorisierte zusätzliche Hardware- Komponenten durchgeführt? [hohe Vertraulichkeit] Werden APCs während des unbeaufsichtigten Transports versiegelt? [Variante 5.3.3 A] [hoher Schutzbedarf] Werden die Festplatten der APCs vor der Übergabe an das Wartungspersonal entfernt? [Variante 5.2.3 E] Entsorgung eines APCs Wurde das TPM reinitialisiert und damit alle darin gespeicherten Schlüssel gelöscht? Wurde das BIOS/EFI-Passwort zunächst mit einem Standardpasswort überschrieben und dann deaktiviert? Wurden die Festplatten und Wechseldatenträger O sicher gelöscht? oder O [hoher Schutzbedarf] physikalisch zerstört? [Variante 5.2.3 F] Wurden die freigewordenen Lizenzen wieder in den Firmen Pool übertragen? Wurde der APC aus dem Verzeichnisdienst und den anderen zentralen Management-Servern gelöscht? Wurden Authentifizierungsinformationen des APCs (wie z. B. Zertifikate) invalidiert? 5.6 Mobile APCs Wird die Aktualität des Backups regelmäßig kontrolliert? Wird die Vollständigkeit des Backups kontrolliert? Werden die Protokolldaten lokal gespeichert? Werden die Protokolldaten bei einer bestehenden VPN-Verbindung zum Logging-Server weitergeleitet? Bundesamt für Sicherheit in der Informationstechnik 29

ISi-Reihe ISi-Check - Absicherung eines PC-Clients 6 Literaturverzeichnis [ISi-Client] [ITGSK] [ISi-LANA] [ISi-E] [ISi-Fern] [ISi-Web-Client] [ISi-Mail-Client] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Schriftenreihe zur Internet-Sicherheit: Absicherung eines Client-PCs, 2011, https://www.bsi.bund.de/contentbsi/themen/internet_sicherheit/client/isiclient.html Bundesamt für Sicherheit in der Informationstechnik (BSI), IT- Grundschutzkataloge, Stand 2010, http://www.bsi.bund.de/gshb/ Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Schriftenreihe zur Internet-Sicherheit: Sichere Anbindung lokaler Netze an das Internet, 2007, https://www.bsi.bund.de/contentbsi/themen/internet_sicherheit/netze/internetan bindung/isi-lana.html Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI Schriftenreihe zur Internet-Sicherheit: Einführung, Grundlagen, Vorgehensweise, 2011, https://www.bsi.bund.de/de/themen/internetsicherheit/uebersicht/ablaufp lan/ablaufplan_node.html Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI Schriftenreihe zur Internet-Sicherheit: Sicherer Fernzugriff auf lokale Netze, 2010, https://www.bsi.bund.de/contentbsi/themen/internet_sicherheit/remotese rvices/dokumente/isi-fern-doc.html Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI Schriftenreihe zur Internet-Sicherheit: Sichere Nutzung von Web- Angeboten, 2008, https://www.bsi.bund.de/contentbsi/themen/internet_sicherheit/www/w ebclient/isi-web-client.html Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI Schriftenreihe zur Internet-Sicherheit: Sichere Nutzung von E-Mail, 2009, https://www.bsi.bund.de/contentbsi/themen/internet_sicherheit/email/e MailClient/isi-mail-client.html 30 Bundesamt für Sicherheit in der Informationstechnik