Bericht
7. Fachanwendungsspezifische Schadensszenarien
An dieser Stelle wird die Möglichkeit geboten, bisher nicht einzuordnende Schadensszenarien, die auf die individuelle Fachanwendung einwirken können, zu beschreiben. Auch hier muss darauf eingegangen werden, inwieweit die Vertraulichkeit, Integrität und Verfügbarkeit der Daten unter diesem Schadensszenario leiden können.
Einordnung in die Schutzbedarfskategorien nach IT-Grundschutzhandbuch Anhand der aufgeführten Schadensszenarien und der Was-wäre-wenn-Fragen entsteht ein Bild der möglichen Bedrohungen und Schäden für Daten, Informationen und IT-Anwendung. Die Fachanwendungen sind nun bezüglich der möglichen Konsequenzen in die Schutzbedarfskategorien nach IT-Grundschutzhandbuch einzuordnen.
Um die Schutzbedarfskategorien "niedrig bis mittel", "hoch" und "sehr hoch" voneinander abgrenzen zu können, bietet das IT-Grundschutzhandbuch (Kapitel 2.2; Stand Anfang 2004) zur Orientierung eine Bewertungshilfe, die die Aspekte Vertraulichkeit, Integrität und Verfügbarkeit einzeln betrachtet.
Der Verantwortliche für die IT-Anwendung hat zu entscheiden, bei welchen möglichen Bedrohungen und Schäden hinsichtlich der Schutzgüter Vertraulichkeit, Integrität und Verfügbarkeit (Was-wäre-wenn-Fragenkatalog aus Kapitel 2) mit welchen möglichen Konsequenzen (Schutzbedarfskategorie gemäß Bewertungshilfe aus Kapitel 3) zu rechnen ist.
Begründungen
Die Entscheidungen sind zu begründen.
Schutzbedarfsfeststellung
Hinsichtlich der Schutzgüter Vertraulichkeit, Integrität und Verfügbarkeit ist jeweils der Schutzbedarf nach dem Maximumprinzip festzustellen.
Des Weiteren hat die Schutzbedarfsfeststellung der IT-Anwendung ebenfalls nach dem Maximumprinzip (nach dem maximalen Wert aus der Einstufung von Vertraulichkeit, Integrität und Verfügbarkeit) zu erfolgen.
Abschließend ist der sich für das IT-System aus den untersuchten IT-Anwendungen abgeleitete maximale Schutzbedarf festzulegen (Tabelle 2).
Abhängigkeiten zwischen IT-Anwendungen Des Weiteren sind Abhängigkeiten zwischen IT-Anwendungen, beispielsweise zur Bürokommunikation oder E-Mail aufzuführen.
Bewertung und weitere Vorgehensweise
Um den Schutzbedarf eines IT-Systems und der Kommunikationsverbindungen festzustellen, müssen zunächst diejenigen IT-Anwendungen, die in direktem Zusammenhang mit diesen stehen, nach den vorangegangenen Aspekten einer Schutzbedarfsanalyse unterzogen werden.
Für die Ermittlung des Schutzbedarfs von IT-Systemen und Kommunikationsverbindungen müssen nun die möglichen Schäden der relevanten IT-Anwendungen in ihrer Gesamtheit sowie unter Berücksichtigung von Abhängigkeiten betrachtet werden.
Für diese Bewertung werden herangezogen:
Maximum-Prinzip
Im Wesentlichen bestimmt der Schaden bzw. die Summe der Schäden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems.
Kumulationseffekte
Durch Häufung von mehreren Schäden auf einem IT-System kann ein insgesamt höherer Gesamtschaden entstehen.
Verteilungseffekte
Ein hoher Schutzbedarf einer IT-Anwendung überträgt sich nicht auf ein IT-System, wenn nur unwesentliche Teile der IT-Anwendung auf dem IT-System laufen.
Die abschließende Schutzbedarfsfeststellung der IT-Systeme obliegt der Zuständigkeit der Ressorts.
Problemfall Organisations-Administrator
In meinem 31. Tätigkeitsbericht, Ziff. 12.2 habe ich von der Einführung des Active Directory im Netz der hessischen Landesverwaltung berichtet. Besondere Aufmerksamkeit erhielten die mit der Funktion des Organisations-Administrators verbundenen Zugriffsmöglichkeiten in dem Windows-2000-Netz. Im laufenden Betrieb und bei der Erweiterung des Netzes haben sich Probleme mit dem Konzept zur Kontrolle des Organisations-Administrators ergeben.
Organisatorischer Rahmen
Im Jahr 2001 wurde durch den Landesautomationsausschuss beschlossen, eine Netzwerk-Infrastruktur auf Basis des Active Directory der Fa. Microsoft in der Landesverwaltung einzuführen. (s. 31. Tätigkeitsbericht, Ziff. 12.2)
Seit Anfang 2002 werden in einer Fachgruppe „Active Directory" (FAD) Konzepte zur Planung und zum Betrieb der hessenweiten Active Directory Struktur erarbeitet. Diese werden dem Entscheidungsgremium Active Directory (EGAD) zur Beschlussfassung vorgelegt. Die Geschäftsstelle Active Directory (GAD) bereitet die Konzepte vor und setzt sie um. Änderungen und Ergänzungen zu bestehenden Konzepten und Dokumenten müssen als Änderungsanträge über die GAD eingebracht werden. Sie werden in der FAD diskutiert, ggf. geändert und müssen dann vom EGAD beschlossen werden.
Einer der ersten und wesentlichsten Beschlüsse betraf die Netz- und Domänenstruktur. In Hessen hat man sich entschieden, die „Forest-Root-Domäne" nur als Klammer für die darunter liegenden Domänen zu nutzen. Sie wird nur soweit genutzt, wie es für die Funktionsfähigkeit des Netzes erforderlich ist. Als Konsequenz können gerade die sicherheitsrelevanten Aktionen der Organisations-Administratoren und Schema-Administratoren auf ein Minimum reduziert werden. In meinem 31. Tätigkeitsbericht, Ziff. 12.2 hatte ich mit der Funktion Organisations-Administrator verbundene Risiken skizziert.
... Domänen sind das grundlegende Strukturelement für das AD. Die Domäne bildet grundsätzlich eine Grenze bezüglich der Sicherheit und der Administration. Innerhalb einer Domäne haben die Domänenadministratoren weitgehende Zugriffsrechte beziehungsweise können sich die Rechte verschaffen. Rechte in einer anderen, auch hierarchisch untergeordneten Domäne, sind damit nicht verbunden. Sie müssen explizit vergeben werden.
Eine Ausnahme von dieser Regel bilden die Organisations-Administratoren. Das sind die Domänenadministratoren der so genannten Forest-Root-Domäne, der ersten Domäne, die in einem Windows-2000-Netzwerk angelegt wird. Diese Administratoren haben umfassenden Zugriff im gesamten Netzwerk oder können sich den Zugriff verschaffen.
...
In dem Dokument „Sicherheitsaspekte zur Kontrolle der Gesamtstruktur und der Einsatzkontrolle von Organisations- und Schema-Administratoren" (Version 0.9 Stand 15.07.2002) wurde die Vorgehensweise festgelegt, mit der dieser Problematik begegnet wird. In dem Dokument sind die Maßnahmen beschrieben, mit denen der Gebrauch der zugehörigen Kennungen kontrolliert wird. Eine Maßnahme sah vor, dass mindestens drei befugte Personen anwesend sein müssen, um mit den Kennungen arbeiten zu können.
Sicherheitsaspekte zur Kontrolle der Gesamtstruktur und der Einsatzkontrolle von Organisations- und SchemaAdministratoren ..... Sicherung der Organisations- und Schema-Administratoren-Accounts
Die Arbeitsgruppe hat für den Einsatz des Organisations- und des Schema-Administrators eine Reihe von Regeln aufgestellt, mit denen eine effektive Handhabung und zum anderen auch ein optimaler Schutz gewährleistet werden kann.
... Kein einzelner Anwender kennt das Kennwort dieser beiden Administratoren. Stattdessen wird ein Mehraugenpasswort eingesetzt, von dem drei Anwender jeweils nur einen Teil des Kennworts kennen..... ...
Erfahrungen im laufenden Betrieb
Bis Mitte 2003 stellte sich heraus, dass die im Konzept festgelegte Vorgehensweise im täglichen Betrieb aufwändig war und oft nicht umgesetzt wurde. Entgegen den ursprünglichen Vorstellungen wurde die Funktion des OrganisationsAdministrators häufig benötigt, um z. B. neue Standorte anzulegen, die Replikation zu überwachen, DHCP-Server zu autorisieren oder die domänenübergreifenden Fehleranalyse durchzuführen. Gerade in der laufenden Aufbauphase waren diese Aktivitäten unvermeidlich und mussten zeitnah durchgeführt werden.