Back to Top
 
IT-Grundschutz

SYS: IT-Systeme

SYS.1.1 Allgemeiner Server

3 Anforderungen

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN für den Baustein Allgemeiner Server vorrangig umgesetzt werden:

SYS.1.1.A1 Geeignete Aufstellung [Haustechnik]

Server MÜSSEN an Orten betrieben werden, zu denen nur berechtigte Personen Zutritt haben. Server MÜSSEN daher in Rechenzentren, Rechnerräumen oder abschließbaren Serverschränken aufgestellt beziehungsweise eingebaut werden, siehe hierzu die entsprechenden Bausteine. Es MUSS geregelt werden, wer Zutritt zu den Räumen beziehungsweise physischen Zugang auf die Server selbst erhält. Server DÜRFEN NICHT als Arbeitsplatzrechner genutzt werden.

Es MUSS auf eine geeignete räumliche Trennung der Systeme, die gesichert werden sollen, von den sichernden Systemen, etwa Backup-Servern in unterschiedlichen Brandabschnitten, geachtet werden, um die Auswirkungen bei einem physischen Schaden zu begrenzen.

SYS.1.1.A2 Benutzerauthentisierung

Um den Server zu nutzen, MÜSSEN sich die Benutzer gegenüber dem IT-System authentisieren. Sollen hierfür die Benutzer und Administratoren Passwörter verwenden, MÜSSEN sichere Passwörter benutzt werden. Hierfür SOLLTE es eine Passwort-Richtlinie geben. Diese Passwörter MÜSSEN komplex genug sein, geheim gehalten und regelmäßig gewechselt werden.

SYS.1.1.A3 Restriktive Rechtevergabe

Zugriffsrechte auf Dateien, die auf Servern gespeichert sind, MÜSSEN restriktiv vergeben werden. Jeder Benutzer DARF nur auf die Dateien Zugriffsrechte erhalten, die er für seine Aufgabenerfüllung benötigt. Das Zugriffsrecht selbst wiederum MUSS auf die notwendige Zugriffsart beschränkt sein, so ist es zum Beispiel in den seltensten Fällen notwendig, ein Schreibrecht auf Programmdateien zu vergeben.

Es SOLLTE regelmäßig überprüft werden, ob die Berechtigungen, insbesondere für Systemverzeichnisse und -dateien, den Vorgaben der Sicherheitsrichtlinie entsprechen. Auf Systemdateien SOLLTEN möglichst nur die Systemadministratoren Zugriff haben. Der Kreis der zugriffsberechtigten Administratoren SOLLTE möglichst klein gehalten werden. Auch System-Verzeichnisse SOLLTEN nur die notwendigen Privilegien für die Benutzer zur Verfügung stellen

SYS.1.1.A4 Rollentrennung

Es MUSS sichergestellt werden, dass Kennungen mit Administratorrechten nur für Administrationsaufgaben verwendet werden. Für alle Administratoren MÜSSEN zusätzliche Benutzer-Kennungen eingerichtet werden, die nur über die eingeschränkten Rechte verfügen, die die Administratoren zur Aufgabenerfüllung außerhalb der Administration benötigen. Für Arbeiten, die nicht der Administration dienen, MÜSSEN die Administratoren ausschließlich diese Benutzer-Kennungen verwenden. Über die notwendigen Benutzer-Kennungen hinaus SOLLTEN keine weiteren Benutzer auf dem Server angelegt werden.

SYS.1.1.A5 Schutz der Administrationsschnittstellen

Abhängig von der genutzten Zugangsart (lokal, remote oder zentrales Systemmanagement) MÜSSEN geeignete Sicherheitsvorkehrungen getroffen werden. Die zur Administration verwendeten Methoden MÜSSEN in der Sicherheitsrichtlinie festgelegt werden. Die Administration MUSS entsprechend der Sicherheitsrichtlinie durchgeführt werden.

Für die Anmeldung von Benutzern und Diensten am System MÜSSEN Authentisierungsverfahren eingesetzt werden, die dem Schutzbedarf der Server angemessen sind. Dies SOLLTE in besonderem Maße für administrative Zugänge berücksichtigt werden. Soweit möglich, SOLLTE dabei auf zentrale, netzbasierte Authentisierungsdienste zurückgegriffen werden.

Die Administration MUSS über sichere Protokolle erfolgen. Es SOLLTE überlegt werden, alternativ ein eigenes Administrationsnetz einzurichten.