M 2.300 Sichere Außerbetriebnahme oder Ersatz von Komponenten eines Sicherheitsgateways
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Administrator
Sollen Komponenten des Sicherheitsgateway außer Betrieb genommen oder ersetzt werden, so müssen von den Geräten alle sicherheitsrelevanten Informationen gelöscht werden. Dies gilt besonders dann, wenn die Komponenten ausgesondert und an Dritte weitergegeben (beispielsweise verkauft) werden oder wenn ein Gerät im Rahmen eines Garantieaustausches oder einer Reparatur an den Hersteller oder eine Service-Firma übergeben wird, aber selbst dann, wenn die Geräte intern weiter verwendet oder verschrottet werden.
Je nach Einsatzzweck der Komponenten können beispielsweise folgende Informationen und Daten auf den Geräten gespeichert sein:
- Konfigurationsdateien, aus denen Informationen über die Netzstruktur der Organisation (wie IP-Adressen, Routing-Tabellen, SNMP-Community Strings, Access-Control-Lists oder ähnliches) entnommen werden können
- Passwortdateien
- Protokolldateien, die sicherheitsrelevante Informationen oder personenbezogene Daten enthalten
- Benutzerdaten, beispielsweise aus Web-Cache- oder E-Mail-Spool-Verzeichnissen
- potentiell gefährliche Dateien (Schadsoftware) aus "Quarantäne-Verzeichnissen"
- Zertifikate und Schlüssel (etwa SSL-Zertifikate bei SSL-Proxies oder Schlüssel für den Zugang per SSH)
Wegen der Sensibilität dieser Informationen ist darauf zu achten, dass die Dateien vor der Außerbetriebnahme oder dem Austausch defekter oder veralteter Geräte gelöscht beziehungsweise unlesbar gemacht werden. Nach dem Löschen der Daten muss überprüft werden, ob das Löschen auch erfolgreich war. Die Vorgehensweise hängt dabei stark von der Art und vom Verwendungszweck des Gerätes ab. In der Sicherheitsrichtlinie für das Sicherheitsgateway sollten hierfür entsprechende Verantwortlichkeiten definiert werden.
Die entsprechenden Dateien sind je nach Gerät und Einsatzzweck eventuell in mehreren unterschiedlichen Verzeichnissen gespeichert, beispielsweise befinden sich bei ALGs die verschiedenen Konfigurationsdateien meist an anderen Stellen als die Cache-Dateien, Spool- oder Quarantäneverzeichnisse. Vor der Außerbetriebnahme sollte daher geklärt werden, welche sicherheitsrelevanten Dateien an welchen Stellen gespeichert sind.
Bei "normalen" Rechnern, die als Komponenten des Sicherheitsgateway eingesetzt waren, sollten die Festplatten mit einem geeigneten Tool so gelöscht werden, dass keine Wiederherstellung der Dateien mehr möglich ist. Die kann beispielsweise dadurch geschehen, dass der Rechner von einem externen Boot-Medium gestartet wird und die Festplatten mit Zufallsdaten überschrieben werden. Dabei ist es empfehlenswert, den Überschreibvorgang mehrfach zu wiederholen.
Bei Appliances hängt die Vorgehensweise davon ab, ob in dem Gerät eine Festplatte eingebaut ist oder ob die Daten in einem nichtflüchtigen Speicher gespeichert werden. Oft bieten die Geräte eine "Factory-Reset" Option, mit der sämtliche Konfigurationseinstellungen auf die Werte des Auslieferungszustands zurückgesetzt werden können. Auch nach dem Ausführen eines "Factory-Reset" sollte überprüft werden, ob die Daten wirklich gelöscht beziehungsweise zurückgesetzt wurden oder ob bestimmte Daten oder Dateien noch vorhanden sind.
Sind auf dem Gerät besonders sicherheitskritische Informationen gespeichert und kann nicht mit hinreichender Sicherheit gewährleistet werden, dass die Daten wirklich gelöscht sind, so kann es erforderlich sein, die Speicherbausteine oder Festplatten physisch zu zerstören bzw. unbrauchbar zu machen.
Neben den Informationen, die auf dem Gerät selbst gespeichert sind sollte auch überprüft werden, ob auf den Backup-Medien sensitive Informationen enthalten sind. Falls es nicht aus anderen Gründen (beispielsweise Archivierung, Aufbewahrungspflicht aufgrund gesetzlicher Regelungen) erforderlich ist, die Backup-Medien aufzubewahren, so sollten die Medien nach der Außerbetriebnahme des Gerätes ebenfalls gelöscht werden.
Oft sind die Komponenten des Sicherheitsgateways von außen mit IP-Adressen, Hostnamen oder sonstigen technischen Informationen beschriftet. Auch diese Beschriftungen sollten vor der Entsorgung entfernt werden.
Ergänzende Kontrollfragen:
- Ist die sichere Entsorgung von Geräten in der Sicherheitsrichtlinie für das Sicherheitsgateway berücksichtigt?
- Werden Konfigurationsdateien und Log-Dateien vor der Entsorgung sicher gelöscht bzw. unlesbar gemacht?
- Wird die Beschriftung von den Geräten vor der Entsorgung entfernt?