M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Datenschutzbeauftragte, Verantwortliche der einzelnen IT-Anwendungen

Verantwortlich für Umsetzung: Beschaffungsstelle, Administrator

Für den DOS-PC mit mehreren Benutzern ist der Einsatz eines PC-Sicherheitsproduktes vorzusehen. Für die Beschaffung eines Produktes oder für die Überprüfung schon im Einsatz befindlicher Produkte kann folgende Mindestfunktionalität als Maßstab genutzt werden. Mit ihr soll erreicht werden, daß

• nur autorisierte Personen den PC benutzen können,
• die Benutzer auf die Daten nur in der Weise zugreifen können, die sie zur Aufgabenerfüllung benötigen,
• Unregelmäßigkeiten und Manipulationsversuche erkennbar werden.

• Identifikation und Authentisierung des Administrators und der Benutzer. Es sollte eine Sperre des Systems nach 3 fehlerhaften Authentisierungsversuchen stattfinden, die nur der Administrator zurücksetzen kann. Wird ein Paßwort verwendet, sollte das Paßwort mindestens sechs Stellen umfassen und verschlüsselt im System gespeichert werden.
• Rechteverwaltung und -kontrolle auf Festplatten und Dateien, wobei zumindest zwischen lesendem und schreibendem Zugriff unterschieden werden soll.
• Rollentrennung zwischen Administrator und Benutzer . Nur der Administrator kann Rechte zuweisen oder entziehen.
• Protokollierung der Vorgänge Anmelden, Abmelden und Rechteverletzung sollte möglich sein.
• Kein Systemzugriff auf Betriebssystemebene (DOS) darf für Benutzer möglich sein.
• Bildschirmsperre nach zeitweiser Inaktivität der Tastatur oder Maus und Reaktivierung mittels Identifikation und Authentisierung.
• Boot-Schutz soll verhindern, daß der PC unbefugt von Diskette gebootet werden kann.

Zusätzliche Forderungen an das PC-Sicherheitsprodukt:

• Benutzerfreundliche Oberfläche zur Erhöhung der Akzeptanz.
• Aussagekräftige und nachvollziehbare Dokumentation für Administrator und Benutzer.

• Rollentrennung zwischen Administrator, Revisor und Benutzer; nur der Administrator kann Rechte zuweisen oder entziehen und nur der Revisor hat Zugriff auf die Protokolldaten,
• Protokollierung von Administrationstätigkeiten,
• Unterstützung der Protokollauswertung durch konfigurierbare Filterfunktionen,
• Verschlüsselung der Datenbestände mit einem geeigneten Verschlüsselungsalgorithmus und in einer Weise, daß ein Datenverlust bei Fehlfunktion (Stromausfall, Abbruch des Vorgangs) systemseitig abgefangen wird.

Eine Übersicht über PC-Sicherheitsprodukte und deren Funktionalitäten ist als BSI Schrift 7101 erhältlich. Die vom BSI zertifizierten IT-Produkte und -Systeme können der BSI Schrift 7148 entnommen werden.

Übergangslösung:

Sollte eine kurzfristige Beschaffung bzw. ein zügiger Einsatz eines solchen PC-Sicherheitsproduktes nicht möglich sein und haben die PC-Benutzer dieses PC keine gemeinsamen Daten, kann als Übergangslösung ein Verschlüsselungsprodukt eingesetzt werden. Mit diesem Produkt muß jeder Benutzer zu Beginn der Arbeit die ihm zugeordneten Daten entschlüsseln und bei Beendigung der Arbeit wieder verschlüsseln. Damit kann sichergestellt werden, daß die Vertraulichkeit der Daten gewahrt bleibt, jedoch wird nicht verhindert, daß die verschlüsselten Daten manipuliert werden können. Die Manipulation der Daten wird im allgemeinen bei der Entschlüsselung erkannt, da sich nicht sinnvolle Daten ergeben.

Für den Bereich der öffentlichen Verwaltung kann das BSI für den Einsatz auf stationären und tragbaren PCs ein Offline-Verschlüsselungsprogramm unter gewissen Randbedingungen zur Verfügung stellen, daß den Sicherheitsanforderungen im Bereich des mittleren Schutzbedarfs genügt. Ein Anforderungsvordruck befindet sich im Teil Hilfsmittel des vorliegenden ITGrundschutzhandbuchs.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .