Richtlinien zum Betrieb eines allgemeinen Servers
Diese Richtlinien sollen das generell zu erreichende Sicherheitsniveau für einen allgemeinen Server spezifizieren und grundlegende Festlegungen zum Betrieb eines Servers treffen. Der Leitfaden muss allen Personen und Gruppen, die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt sein und Grundlage für deren Arbeit sein.
Dieser Leitfaden basiert auf dem Einsatz von Servern, wie sie üblicherweise in der Abteilung Serversysteme als Grundlage für Virtualisierungscluster und sonstige Aufgaben der Abteilung betrieben werden. Server mit darüber hinausgehenden Anforderungen an Vertraulichkeit, Integrit?t und Verfügbarkeit ben?tigen gesonderte Ma?nahmen.
Regelungen zur physikalischen Zugriffskontrolle
Ein Server muss grunds?tzlich in einem abschlie?baren Rechnerraum oder Serverschrank aufgestellt oder eingebaut werden. Für den Zugriff gilt der Leitfaden zur Zugriffs- bzw. Zugangskontrolle.
Regelungen für die Arbeit der Administratoren und Revisoren
Administrationsrechte erhalten nur Mitarbeiterinnen und Mitarbeiter der jeweiligen Organisationseinheiten. Die Rechte sind auf das Ma? einzuschr?nken, das zur Erledigung der Administrationsaufgaben notwendig ist. Die Vergabe von Administrationsrechten ist zu dokumentieren.
Administratoren greifen nur lokal über eine Konsole oder über eine verschlüsselte Verbindung auf Server zu.
Konfigurations?nderungen an Servern sind zu dokumentieren. Dazu z?hlen auch Software- und Firmewareupdates sowie Hardware?nderungen.
?nderungen der Administrationszugangsm?glichkeiten für Server bedürfen des Vier-Augen-Prinzips durch eine zweite Person der Abteilung Serversysteme.
Vorgaben für die Installation und Grundkonfiguration
Zur Installation eines Servers dürfen nur von Serverhersteller freigegebene und zertifizierte Produkte verwendet werden. Es k?nnen beliebige Installationsmedien verwendet werden.
Die Benutzerauthentisierung erfolgt grunds?tzlich über den zentralen Verzeichnisdienst der Universit?t. Sofern es notwendig ist, k?nnen auch lokale Administratoren eingerichtet werden. Hierfür sind die pers?nlichen Administrationskennungen, die im Verzeichnisdienst verwendet werden, herzunehmen.
Alle Administratoren authentisieren sich über den zentralen Verzeichnisdienst. Die Mitarbeiterinnen und Mitarbeiter der IT-Abteilungen haben die Rechte zur Installation, Update und Konfigurations?nderungen an Servern Ihrer Abteilungen und sind entsprechend eng auf die Aufgabe zu beschr?nken. Keine Person au?erhalb der jeweiligen IT-Abteilung darf Rechte zur Installation, Update und Konfigurations?nderungen an Servern besitzen, sofern dies nicht zur gemeinsamen Aufgabenerfüllung notwendig ist.
Vorgaben für zu installierende Softwareprodukte
Auf Servern dürfen nur Softwarepakete installiert werden, die für die Erfüllung der Aufgaben der Organisationseinheit unabdinglich sind. Sofern vorhanden ist auf zertifizierte Produkte anerkannter Hersteller zurückzugreifen. Open Source-Produkte dürfen nur nach sorgf?ltiger Prüfung eingesetzt werden.
Regelung zur Erstellung und Pflege von Dokumentation
Für jeden Server sind ein IT-Betriebshandbuch und ein IT-Notfallhandbuch gem?? Informationssicherheitsmanagementsystem (ISMS) des IT-Service zu führen. Die Pflege der Dokumente erfolgt gem?? den Vorgaben vom ISMS. Relevante ?nderungen werden dort dokumentiert.
Vorgaben für den sicheren Betrieb
Lokale Anmeldungen sind nur für Administratoren aus der IT-Abteilungen zul?ssig.
Auf einem Server dürfen nur die Netzdienste und Protokolle angeboten werden, die der Server zur Erfüllung seiner Aufgaben unbedingt vorhalten muss. Generell gelten für den Zugriff auf Server die ?Regelungen für die Zugriffs- bzw. Zugangskontrolle“.
Der Zugriff auf Server erfolgt für Benutzer, die nicht Administratoren sind, ausschlie?lich im Rahmen der Nutzung einer Anwendung (wie E-Mail, SharePoint, …). Die zul?ssige Ressourcennutzung ergibt sich aus der Rolle der Nutzer aus dem Identitymanagement. Administratoren haben Zugriff auf alle Ressourcen eines Servers.
Updates und Sicherheitspatches sind zeitnah einzuspielen. Geeignete Schutzma?nahmen gegen Schadprogramme sind durchzuführen.
Vorgaben für Passwortnutzung
Kennw?rter für Administrationskennungen müssen den Vorgaben des IT-Service für Kennw?rter entsprechen. Kennw?rter sind regelm??ig zu ?ndern. Kennw?rter müssen in einem ?Passwortsafe“ hinterlegt werden.
Herunterfahren von Systemen
Jeder autorisierte Administrator der jeweiligen IT-Abteilung darf Server herunterfahren.
Netzkommunikation und Dienste
Server werden durch eine Firewall, die zwischen Servernetz und Universit?tsnetz steht, geschützt. Die Firewall stellt sicher, dass auf einen Server nur mit den Protokollen aus dem Universit?tsnetz zugegriffen werden kann, die für die Nutzung der Anwendungen, die auf dem Server betrieben werden, unbedingt notwendig sind. Eine zus?tzliche Firewall regelt den Zugang vom Internet zum Universit?tsnetz. Der Zugriff auf Server, die nicht vom Internet erreichbar sein müssen, wird bereits dort blockiert.
Auf einem Server dürfen nur die Netzdienste und Protokolle angeboten werden, die der Server zur Erfüllung seiner Aufgaben unbedingt vorhalten muss. Generell gelten für den Zugriff auf Server die ?Regelungen für die Zugriffs- bzw. Zugangskontrolle“.
Der Zugriff auf Server erfolgt für Benutzer, die nicht Administratoren sind, ausschlie?lich im Rahmen der Nutzung einer Anwendung (wie E-Mail, SharePoint, …). Die zul?ssige Ressourcennutzung ergibt sich aus der Rolle der Nutzer aus dem Identitymanagement. Administratoren haben Zugriff auf alle Ressourcen eines Servers.
Ein Server darf nur auf externe Netzdienste zugreifen k?nnen, sofern dies für den Betrieb des Servers oder einer Anwendung unabdinglich ist. Soweit m?glich sind administrative Aufgaben über intern zur Verfügung gestellte Netzdienste abzuwickeln. Hierzu z?hlen beispielsweise Softwareupdates und Virenabwehr.
Sofern es zum Betrieb von Anwendungen notwendig ist, k?nnen verteilte Dateisysteme eingesetzt werden.
Verteilte Dateisysteme, bei denen die Nutzdaten unverschlüsselt übertragen werden, sollten nur im internen Netz verwendet werden. Soll ein verteiltes Dateisystem über ein unsicheres Netz hinweg genutzt werden, so muss es durch zus?tzliche Ma?nahmen (kryptographisch geschütztes VPN, Tunneling) gesichert werden.
Protokollierung
Alle Anmeldevorg?nge an einem Server durch Administratoren sind zu protokollieren.
Zugriff auf Logdateien haben nur die Administratoren. Dadurch wird auch gew?hrleistet, dass personenbezogene Informationen nicht an Unbefugte gelangen.
Zugriffe von Nutzerinnen und Nutzern auf Server finden nur im Rahmen der Nutzung einer Anwendung, die auf dem Server betrieben wird, statt. Sofern es auf rechtlichen Gründen oder zum Zweck der Fehlererkennung und St?rungsbeseitigung n?tig ist, dürfen diese gespeichert werden.
Logdateien werden gesichert und so lange vorgehalten, wie es das zu erstellende ?Datensicherungskonzept“ vorsieht. Personenbezogene Verkehrsdaten von Nutzerinnen und Nutzern dürfen ausschlie?lich zum Zweck der Fehlererkennung und St?rungsbeseitigung gespeichert werden. Sie sind nach angemessener Zeit zu l?schen. Sie dürfen nicht in eine Datensicherung eingehen. Für Server, die personenbezogene Daten verarbeiten sind die Vorschriften der DSGVO zu beachten.
Au?erbetriebnahme eines Servers
Bei der Au?erbetriebnahme eines Servers müssen alles Einstellungen auf Werkseinstellungen zurückgesetzt werden. Alle am Server gespeicherten Nutzerkennungen müssen dabei gel?scht werden.
Festplatten sind analog ?BSI M 2.167 Auswahl geeigneter Verfahren zur L?schung oder Vernichtung von Daten“ zu behandeln.
Wird ein Ersatzsystem bereitgestellt, so sind die Punkte aus BSI M 2.319 Migration eines Servers zu beachten.