M 4.135 Restriktive Vergabe von Zugriffsrechten auf Systemdateien
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
Systemdateien bzw. -verzeichnisse sind Dateien und Verzeichnisse, für die der Administrator zuständig ist. Diese sind entweder für alle Benutzer von Bedeutung oder sie dienen Administrationszwecken.
Auf Systemdateien sollten möglichst nur die Systemadministratoren Zugriff haben. Der Kreis der zugriffsberechtigten Administratoren sollte möglichst klein gehalten werden. Auch Verzeichnisse dürfen nur die notwendigen Privilegien für die Benutzer zur Verfügung stellen. Die Vergabe von Zugriffsrechten auf Systemdateien sollte grundsätzlich restriktiv und nur in Übereinstimmung mit den hausinternen Sicherheitsrichtlinien erfolgen (siehe auch M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle).
Systemdateien sollten getrennt von Applikationsdaten und Benutzerdateien gespeichert werden (siehe auch M 2.138 Strukturierte Datenhaltung). Dies sorgt für eine bessere Übersicht und erleichtert auch die Durchführung von Datensicherungen und die Sicherstellung des korrekten Zugriffsschutzes.
Der Zugriff auf Systemdateien sollte immer protokolliert werden. Überflüssige, also nicht benötigte Systemdateien sollten vom System entfernt werden, damit sie nicht für Angriffe missbraucht werden können und auch nicht ständig auf Integrität kontrolliert werden müssen.
Bei der restriktiven Vergabe von Zugriffsrechten reicht es nicht aus, nur die Rechte eines Programms zu überprüfen. Zusätzlich muss auch die Rechtevergabe aller Programme überprüft werden, die von diesem Programm aus aufgerufen werden.
Die Integrität aller Systemdateien und -verzeichnisse, sowie die Korrektheit der Zugriffsrechte sollte nach Möglichkeit regelmäßig verifiziert werden. Für viele Betriebssysteme gibt es dafür Tools, mit denen solche Prüfungen schnell und zuverlässig durchgeführt werden können.
Ergänzende Kontrollfragen:
- Wird die Rechtevergabe auf Systemdateien regelmäßig überprüft?
- Gibt es Tools oder Listen, anhand derer diese Überprüfungen durchgeführt werden?