Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.93 Regelmäßige Integritätsprüfung - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.93 Regelmäßige Integritätsprüfung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Eine regelmäßige Kontrolle des Dateisystems auf unerwartete Veränderungen hilft dabei, Inkonsistenzen zu erkennen. Dadurch können auch Angriffe zeitnah entdeckt werden. Sollte tatsächlich ein Angriff vorliegen, ist es wichtig, das Vorgehen des Angreifers zu rekonstruieren. Dies dient einerseits dazu, sicherzustellen, dass die Benutzer nicht auf verfälschte Daten zurückgreifen, andererseits dazu, verborgene Hintertüren zu erkennen, die ein Angreifer für einen späteren Zugriff auf den Rechner installiert haben könnte.

Dazu können Programme genutzt werden, die kryptographische Prüfsummen über einen Großteil der Dateien des Dateisystems berechnen. Unter Unix bieten z. B. Programme wie tripwire oder aide diese Funktionalität. Vergleichbare Programme sind auch für alle anderen verbreiteten Betriebssysteme verfügbar, z.B. für Windows 2000 / Windows XP das Tool "File Checksum Integrity Verifier" (FCIV.EXE), das von Microsoft im Internet kostenlos zur Verfügung gestellt wird.

Tripwire und ähnliche Programme können jede Veränderung am Dateisystem feststellen, da die Prüfsummen bei einer Veränderung nicht mehr übereinstimmen. Dabei testen sie meist nicht nur, ob die Datei selbst modifiziert wurde, sondern auch eine Veränderung der Zugriffsrechte oder ein Löschen mit anschließendem Zurückspielen wird festgestellt. Mit einer speziellen Einstellung kann in vielen Fällen auch ein nur lesender Zugriff auf die Datei bemerkt werden.

Neben dem Dateisystem sollte es auch möglich sein, weitere wichtige Elemente der Systemkonfiguration (beispielsweise unter Windows die Registry) einer Integritätsprüfung zu unterziehen.

Um zu verhindern, dass das Programm oder die Prüfsummendatei von einem Angreifer verfälscht werden können, sollten sich diese auf einem Datenträger befinden, der wahlweise nur einen lesenden Zugriff gestattet. Allerdings muss die Prüfsummendatei bei Veränderungen am Dateisystem ebenfalls geändert werden, so dass sich bei kleinen Dateisystemen Disketten, bei größeren Wechselplatten empfehlen.

Eine Integritätsprüfung sollte regelmäßig, beispielsweise jede Nacht, durchgeführt werden. Eine Benachrichtigung über das Ergebnis sollte, auch wenn keine Veränderungen festgestellt wurden, automatisch per E-Mail an den Administrator erfolgen.

Ergänzende Kontrollfragen: