Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

it-sec:clientconfig [2016/08/31 09:57] (aktuell)
chrboett angelegt
Zeile 1: Zeile 1:
 +====== Empfehlung zur Einrichtung und Konfiguration von Clients ======
 +
 +Institute und Einrichtungen dürfen IT selbst betreiben und sind daher auch in der Lage und in der Pflicht, die Arbeitsplatzrechner und sonstigen Clients in ihrem Bereich einzurichten und zu pflegen. Es wird empfohlen, dass dies nach den hier aufgeführten Grundsätzen erfolgt, natürlich unter Berücksichtigung der Erfordernisse des jeweiligen Instituts bzw. Einrichtung.
 +
 +===== Grundsatzüberlegungen =====
 +
 +**IT-Sicherheit ist keine Sache der einmaligen Einrichtung,​ es ist ein laufender Prozess.** Daher muss man sich immer wieder fragen:
 +  * Welche Folgen hätte es, wenn die Daten von diesem Gerät in fremde Hände gelangen würden und welche Maßnahmen kann ich treffen, um dies zu verhindern?
 +  * Welche Konsequenzen hätte es, wenn wichtige Daten auf diesem Gerät verändert würden, sei es durch böse Absicht oder auch durch technische Fehler und was kann man dagegen tun?
 +  * Was würde geschehen, wenn dieses Gerät plötzlich ausfiele und wie kann ich dem vorbeugen bzw. die Folgen vermindern?
 +  * Welche Folgen hätte ein „katastrophales Ereignis“ (beispielsweise ein Feuer, Wasserschaden,​ …) – müssen die Daten auf diesem Gerät also beispielsweise außerhalb des Gebäudes gelagert werden?
 +
 +===== Maßnahmen =====
 +
 +==== Backup ====
 +Sofern die Daten dieses Geräts erhaltenswert sind bzw. überhaupt lokal Daten gespeichert werden, muss ein Backup eingerichtet werden. Dies kann bei auf verschiedene Arten geschehen ​  
 +  * **Lokale externe Festplatte/​USB Stick/ …**: dies ist eine sehr unsichere Methode, da die Festplatte typischerweise am Rechner angeschlossen bleibt und dann im Zweifelsfalle ebenfalls von Virenbefall o.ä. betroffen ist oder zumindest im gleichen Raum verbleibt und dann keinen Schutz vor Datenverlust durch Diebstahl, Wasser, Feuer etc bietet.
 +   <​note warning>​Ein solches „Backup“ ist allenfalls die Anfertigung einer Sicherheitskopie (zu einem undefinierten Zeitpunkt in einem undefinierten Zustand!) – insbesondere gibt es keine definierte Wiederherstellung,​ keine Versionierung,​ keine Absicherung gegen katastrophale Ereignisse
 +</​note>  ​
 +  * **Backup auf ein eigenes NAS mittels Push-Backup (Client initiiert das Backup)**: diese Sicherungsstufe ist ebenfalls nur graduell besser, da auch ein NAS Laufwerk typischerweise ständig als Netzwerklaufwerk verbunden bleibt und dann auch von Virenbefall,​ Ransomware etc befallen werden kann bzw. die befallenen oder zwangs-verschlüsselten Dateien dann in das Backup gepusht werden. Sofern das NAS physisch in einem anderen Raum oder Gebäude untergebracht ist, bietet diese Variante immerhin Schutz gegen Diebstahl, Brand und Wassereinbruch.
 +  * **Lokale Backup-Lösung (Pull-Prinzip vom Backup-Server aus)**: der Betrieb einer lokalen Backup/​Restore-Lösung (mit welchen Medien auch immer, Bandlaufwerke o.ä.) ist eine sichere Alternative,​ sofern das Backup dem Stand der Technik entsprechend eingerichtet ist (z.B. mehrere Versionen, Restore-Tests,​ …) erfordert aber eine Verwaltung der Backup-Medien ​ und auch eine geregelte externe Lagerung; zudem ist diese Lösung vergleichsweise teuer.
 +  * **Nutzung des zentralen Backups gemäß Pos. 3103 des Dienstleistungskatalogs des GITZ**: für Institute und Einrichtungen die sicherste und bequemste Lösung eines geordneten und verfügbaren Backups
 +
 +In allen Fällen muss darauf geachtet werden, dass nicht nur ein geordnetes und regelmäßiges Backup erfolgt, sondern auch immer wieder überprüft und geübt wird, dass auch ein Restore der Daten reibungslos funktioniert.
 +Welche Backup-Lösung für den Einzelfall angemessen ist, entscheidet der zuständige DV Koordinator eigenverantwortlich.
 +
 +==== Virenschutz ====
 +
 +Selbstverständlich müssen die Endgeräte ausreichend gegen Viren- und Malwarebefall geschützt sein. Die eingesetzten Produkte und Signaturdatenbanken müssen regelmäßig updated werden, Signaturdatenbanken täglich (oder auch öfter, sofern der Anbieter häufigere Updates bereitstellt).
 +
 +==== Verschlüsselung ====
 +
 +Es wird empfohlen, wichtige Daten verschlüsselt zu speichern, insbesondere sollten Notebooks mit beispielsweise Bitlocker verschlüsselt werden. Außerdem sollten – sofern der Einsatz von eigenen Geräten wie Smartphones für dienstliche Zwecke erlaubt ist – auch auf diesen Geräten die dienstlichen Daten verschlüsselt abgelegt werden, wenn sie denn überhaupt dort gespeichert werden. Dies gilt natürlich auch für dienstliche E-Mails und deren Anhänge. Sicherer ist es, dort keine dienstlichen Daten zu speichern und allenfalls Browser-Online- Zugänge zu nutzen.
 +
 +Siehe dazu die entsprechenden Empfehlungen zu Verschlüsselung.
 +
 +==== Updates ​ ====
 +
 +Für Endgeräte ohne Spezialsoftware ist es empfehlenswert,​ die vom Betriebssystemhersteller angebotenen Sicherheitsupdates vollautomatisch einspielen zu lassen. In Fällen, wo dies nicht sinnvoll ist (Spezialsoftware,​ Server, keine permanente Netzverbindung,​ …), muss der Administrator dies zeitnah nach Erscheinen der Updates manuell tun. 
 +
 +Weiterhin ist es dringend empfehlenswert,​ auch alle weiteren Updates für Betriebssystem und Anwendungssoftware möglichst zeitnah, ggf. nach Überprüfung der Funktionalität,​ einzuspielen. Technische Angriffe nutzen häufig veraltete Funktionen und Versionen diverser Anwendungssoftware aus, das generelle Risiko wird vermindert durch möglichst aktuelle Software.
 +
 +==== Weniger ist mehr ====
 +
 +Auch wenn es für den Anwender bequemer ist, einfach „alles“ auf dem Endgerät installiert zu haben, so ist es doch zu empfehlen, bei der Einrichtung zunächst nur einen Grundstock an benötigten Programmen zu installieren und weitere Software nur bei Bedarf nachzuinstallieren.
 +
 +Sofern es möglich ist, einen „Standardrechner“ zu definieren, vereinfacht der Einsatz einer „maßgeschneiderten“ Installation (z.B. per Installations-Image oder auch Script, je nach Betriebssystem) die Installation und sorgt gleichzeitig für ein definiertes Anfangs-Sicherheitsniveau.
 +
 +Außerdem sollten alle nicht benötigten Dienste, die von außen erreichbar sind, abgeschaltet werden. Was nicht erreichbar ist, kann auch nicht gehackt werden.
 +
 +==== Cloud-Nutzung und Storage ====
 +
 +Aus IT-Sicherheitssicht ist es dringend zu empfehlen, nur die vom GITZ angebotenen oder ggf. vom Institut oder Einrichtung selbst betriebenen Cloud-Dienste zu verwenden und keinesfalls „öffentliche“ Dienste wie Google Drive, OneDrive, DropBox, Amazon Cloud etc. 
 +
 +Das GITZ bietet hierzu im Dienstleistungskatalog u.a. die Positionen 3104 (Cloud Storage), 4201 (Groupware),​ 3102 (File Services), 4205 (Webserver),​ 4207 (Webhosting) an.
 +
 +==== Nutzerkonten ====
 +
 +Es sollten nur die Nutzerkonten eingerichtet werden, die auch tatsächlich gebraucht werden. Ein reguläres Arbeiten mit Administrator bzw. root Rechten ist zu vermeiden, dies sollte nur erfolgen, wenn es notwendig ist.
 +
 +==== Bildschirmsperre ====
 +
 +Es sollte gewährleistet sein, dass eine Bildschirmsperre (mit Passwort oder anderem Schutz) eingerichtet ist. Je nach Einsatzzweck kann es sinnvoll sein, dass sich der Bildschirm nach einer bestimmten Zeit automatisch sperrt. ​
 +
 +===== Weitergehende Informationen =====
 +
 +Insbesondere auf den Seiten des **Bundesamts für Sicherheit in der Informationstechnik (BSI)** finden sich viele weitergehende,​ konkrete und ausführliche Informationen zur Konfiguration von Endgeräten vielen weiteren Themen rund um IT-Sicherheit.
 +
 +Besonders hingewiesen sei auf die folgenden Seiten bzw. Dokumente:
 +  * [[https://​www.bsi.bund.de/​DE/​Themen/​ITGrundschutz/​ITGrundschutzUeberblick/​LeitfadenInformationssicherheit/​leitfaden_node.html]] ​
 +  * [[https://​www.bsi.bund.de/​SharedDocs/​Downloads/​DE/​BSI/​Grundschutz/​Download/​GoldeneRegeln.html]] ​
 +  * [[https://​www.bsi-fuer-buerger.de/​SharedDocs/​Downloads/​DE/​BSIFB/​Publikationen/​BSI-E-CS_001.pdf?​__blob=publicationFile&​v=2]] ​
 +  * [[https://​www.bsi-fuer-buerger.de/​SharedDocs/​Downloads/​DE/​BSIFB/​Publikationen/​BSIe009_Ubuntu.pdf?​__blob=publicationFile&​v=1]] ​
 +  * [[https://​www.bsi-fuer-buerger.de/​SharedDocs/​Downloads/​DE/​BSIFB/​Publikationen/​BSIe010-Mac_OS_X_Mountain_Lion.pdf?​__blob=publicationFile&​v=1]] ​
 +  * [[https://​www.bsi-fuer-buerger.de/​BSIFB/​DE/​Service/​Checklisten/​Massnahmen_gegen_Internetangriffe.html]] ​
 +  * [[https://​www.bsi-fuer-buerger.de/​BSIFB/​DE/​Service/​Checklisten/​checklisten_node.html]] ​
 +
 +==== Phishing ====
 +
 +Ärger haben auch die Unternehmen,​ in deren Namen die Betrüger auftreten. Denn sie erleiden oft einen Image-Schaden. Phishing zu bekämpfen ist schwer, da sich die gefälschten von den echten Seiten kaum unterscheiden und somit viele Nutzer sich täuschen lassen. In einigen Ländern haben sich viele Firmen bereits zur **Anti-Phishing Working Group** [[http://​www.antiphishing.org/​]] zusammengetan. Auf ihrer Internetseite kann man Phishing-Mails melden und nachlesen, welche schon bekannt sind. In Deutschland hat sich eine neue interdisziplinäre Vereinigung aus Wissenschaftlern der Ruhr-Universität Bochum des Phishing-Problems angenommen. Die "​**Arbeitsgruppe Identitätsmissbrauch im Internet**"​ (A-I3) stellt auf ihrem Online-Portal [[https://​www.a-i3.org/​]] nicht nur aktuelle Informationen zu Themen der IT-Sicherheit bereit, sondern auch konkrete Hilfestellungen und Tools.
  
it-sec/clientconfig.txt · Zuletzt geändert: 2016/08/31 09:57 von chrboett
Gau-IT-Zentrum