M 4.93 Regelmäßige Integritätsprüfung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Eine regelmäßige Kontrolle des Dateisystems auf unerwartete Veränderungen hilft dabei, Inkonsistenzen zu erkennen. Dadurch können auch Angriffe zeitnah entdeckt werden. Sollte tatsächlich ein Angriff vorliegen, ist es wichtig, das Vorgehen des Angreifers zu rekonstruieren. Dies dient einerseits dazu, sicherzustellen, daß die Benutzer nicht auf verfälschte Daten zurückgreifen, andererseits dazu, verborgene Hintertüren zu erkennen, die ein Angreifer für einen späteren Zugriff auf den Rechner installiert haben könnte.

Dazu können Programme genutzt werden, die kryptographische Prüfsummen über einen Großteil der Dateien des Dateisystems berechnen. Unter Unix bieten z. B. das Programm tripwire, welches auch in kostenlosen Versionen verfügbar ist, oder das im Auftrag des BSI entwickelte Tool zur sicheren Unix-Administration (USEIT) diese Funktionalität. Vergleichbare Programme sind auch für das Betriebssystem Windows NT verfügbar. Dabei sollte es auch möglich sein, neben dem Dateisystem die Schlüssel der Registrierung einer Integritätsprüfung zu unterziehen.

tripwire und USEIT können jede Veränderung am Dateisystem feststellen, da die Prüfsummen bei einer Veränderung nicht mehr übereinstimmen. Dabei testen sie nicht nur, ob die Datei modifiziert wurde, auch eine Veränderung der Zugriffsrechte oder ein Löschen mit anschließendem Zurückspielen wird festgestellt. Mit einer speziellen Einstellung kann in den meisten Fällen auch ein nur lesender Zugriff auf die Datei bemerkt werden.

Um zu verhindern, daß das Programm oder die Prüfsummendatei von einem Angreifer verfälscht werden können, sollten sich diese auf einem Datenträger befinden, der wahlweise nur einen lesenden Zugriff gestattet. Allerdings muß die Prüfsummendatei bei Veränderungen am Dateisystem ebenfalls geändert werden, so daß sich bei kleinen Dateisystemen Disketten, bei größeren Wechselplatten empfehlen.

Eine Integritätsprüfung sollte regelmäßig, beispielsweise jede Nacht, durchgeführt werden. Eine Benachrichtigung über das Ergebnis sollte, auch wenn keine Veränderungen festgestellt wurden, automatisch per E-Mail an den Administrator erfolgen.

Ergänzende Kontrollfragen:

• Welche Integritätschecker werden eingesetzt?
• Wie häufig werden die Ergebnisse der Integritätschecker geprüft?
• Wie sind die Prüfsummendatei und das Programm selbst vor Manipulationen gesichert?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.