Richtlinien zum Betrieb eines allgemeinen Servers
Diese Richtlinien sollen das generell zu erreichende Sicherheitsniveau für einen allgemeinen Server spezifizieren und grundlegende Festlegungen zum Betrieb eines Servers treffen. Der Leitfaden muss allen Personen und Gruppen, die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt sein und Grundlage für deren Arbeit sein.
Dieser Leitfaden basiert auf dem Einsatz von Servern, wie sie üblicherweise in der Abteilung Serversysteme als Grundlage für Virtualisierungscluster und sonstige Aufgaben der Abteilung betrieben werden. Server mit darüber hinausgehenden Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit benötigen gesonderte Maßnahmen.
Regelungen zur physikalischen Zugriffskontrolle
Ein Server muss grundsätzlich in einem abschließbaren Rechnerraum oder Serverschrank aufgestellt oder eingebaut werden. Für den Zugriff gilt der Leitfaden zur Zugriffs- bzw. Zugangskontrolle.
Regelungen für die Arbeit der Administratoren und Revisoren
Administrationsrechte erhalten nur Mitarbeiterinnen und Mitarbeiter der jeweiligen Organisationseinheiten. Die Rechte sind auf das Maß einzuschränken, das zur Erledigung der Administrationsaufgaben notwendig ist. Die Vergabe von Administrationsrechten ist zu dokumentieren.
Administratoren greifen nur lokal über eine Konsole oder über eine verschlüsselte Verbindung auf Server zu.
Konfigurationsänderungen an Servern sind zu dokumentieren. Dazu zählen auch Software- und Firmewareupdates sowie Hardwareänderungen.
Änderungen der Administrationszugangsmöglichkeiten für Server bedürfen des Vier-Augen-Prinzips durch eine zweite Person der Abteilung Serversysteme.
Vorgaben für die Installation und Grundkonfiguration
Zur Installation eines Servers dürfen nur von Serverhersteller freigegebene und zertifizierte Produkte verwendet werden. Es können beliebige Installationsmedien verwendet werden.
Die Benutzerauthentisierung erfolgt grundsätzlich über den zentralen Verzeichnisdienst der Universität. Sofern es notwendig ist, können auch lokale Administratoren eingerichtet werden. Hierfür sind die persönlichen Administrationskennungen, die im Verzeichnisdienst verwendet werden, herzunehmen.
Alle Administratoren authentisieren sich über den zentralen Verzeichnisdienst. Die Mitarbeiterinnen und Mitarbeiter der IT-Abteilungen haben die Rechte zur Installation, Update und Konfigurationsänderungen an Servern Ihrer Abteilungen und sind entsprechend eng auf die Aufgabe zu beschränken. Keine Person außerhalb der jeweiligen IT-Abteilung darf Rechte zur Installation, Update und Konfigurationsänderungen an Servern besitzen, sofern dies nicht zur gemeinsamen Aufgabenerfüllung notwendig ist.
Vorgaben für zu installierende Softwareprodukte
Auf Servern dürfen nur Softwarepakete installiert werden, die für die Erfüllung der Aufgaben der Organisationseinheit unabdinglich sind. Sofern vorhanden ist auf zertifizierte Produkte anerkannter Hersteller zurückzugreifen. Open Source-Produkte dürfen nur nach sorgfältiger Prüfung eingesetzt werden.
Regelung zur Erstellung und Pflege von Dokumentation
Für jeden Server sind ein IT-Betriebshandbuch und ein IT-Notfallhandbuch gemäß Informationssicherheitsmanagementsystem (ISMS) des IT-Service zu führen. Die Pflege der Dokumente erfolgt gemäß den Vorgaben vom ISMS. Relevante Änderungen werden dort dokumentiert.
Vorgaben für den sicheren Betrieb
Lokale Anmeldungen sind nur für Administratoren aus der IT-Abteilungen zulässig.
Auf einem Server dürfen nur die Netzdienste und Protokolle angeboten werden, die der Server zur Erfüllung seiner Aufgaben unbedingt vorhalten muss. Generell gelten für den Zugriff auf Server die „Regelungen für die Zugriffs- bzw. Zugangskontrolle“.
Der Zugriff auf Server erfolgt für Benutzer, die nicht Administratoren sind, ausschließlich im Rahmen der Nutzung einer Anwendung (wie E-Mail, SharePoint, …). Die zulässige Ressourcennutzung ergibt sich aus der Rolle der Nutzer aus dem Identitymanagement. Administratoren haben Zugriff auf alle Ressourcen eines Servers.
Updates und Sicherheitspatches sind zeitnah einzuspielen. Geeignete Schutzmaßnahmen gegen Schadprogramme sind durchzuführen.
Vorgaben für Passwortnutzung
Kennwörter für Administrationskennungen müssen den Vorgaben des IT-Service für Kennwörter entsprechen. Kennwörter sind regelmäßig zu ändern. Kennwörter müssen in einem „Passwortsafe“ hinterlegt werden.
Herunterfahren von Systemen
Jeder autorisierte Administrator der jeweiligen IT-Abteilung darf Server herunterfahren.
Netzkommunikation und Dienste
Server werden durch eine Firewall, die zwischen Servernetz und Universitätsnetz steht, geschützt. Die Firewall stellt sicher, dass auf einen Server nur mit den Protokollen aus dem Universitätsnetz zugegriffen werden kann, die für die Nutzung der Anwendungen, die auf dem Server betrieben werden, unbedingt notwendig sind. Eine zusätzliche Firewall regelt den Zugang vom Internet zum Universitätsnetz. Der Zugriff auf Server, die nicht vom Internet erreichbar sein müssen, wird bereits dort blockiert.
Auf einem Server dürfen nur die Netzdienste und Protokolle angeboten werden, die der Server zur Erfüllung seiner Aufgaben unbedingt vorhalten muss. Generell gelten für den Zugriff auf Server die „Regelungen für die Zugriffs- bzw. Zugangskontrolle“.
Der Zugriff auf Server erfolgt für Benutzer, die nicht Administratoren sind, ausschließlich im Rahmen der Nutzung einer Anwendung (wie E-Mail, SharePoint, …). Die zulässige Ressourcennutzung ergibt sich aus der Rolle der Nutzer aus dem Identitymanagement. Administratoren haben Zugriff auf alle Ressourcen eines Servers.
Ein Server darf nur auf externe Netzdienste zugreifen können, sofern dies für den Betrieb des Servers oder einer Anwendung unabdinglich ist. Soweit möglich sind administrative Aufgaben über intern zur Verfügung gestellte Netzdienste abzuwickeln. Hierzu zählen beispielsweise Softwareupdates und Virenabwehr.
Sofern es zum Betrieb von Anwendungen notwendig ist, können verteilte Dateisysteme eingesetzt werden.
Verteilte Dateisysteme, bei denen die Nutzdaten unverschlüsselt übertragen werden, sollten nur im internen Netz verwendet werden. Soll ein verteiltes Dateisystem über ein unsicheres Netz hinweg genutzt werden, so muss es durch zusätzliche Maßnahmen (kryptographisch geschütztes VPN, Tunneling) gesichert werden.
Protokollierung
Alle Anmeldevorgänge an einem Server durch Administratoren sind zu protokollieren.
Zugriff auf Logdateien haben nur die Administratoren. Dadurch wird auch gewährleistet, dass personenbezogene Informationen nicht an Unbefugte gelangen.
Zugriffe von Nutzerinnen und Nutzern auf Server finden nur im Rahmen der Nutzung einer Anwendung, die auf dem Server betrieben wird, statt. Sofern es auf rechtlichen Gründen oder zum Zweck der Fehlererkennung und Störungsbeseitigung nötig ist, dürfen diese gespeichert werden.
Logdateien werden gesichert und so lange vorgehalten, wie es das zu erstellende „Datensicherungskonzept“ vorsieht. Personenbezogene Verkehrsdaten von Nutzerinnen und Nutzern dürfen ausschließlich zum Zweck der Fehlererkennung und Störungsbeseitigung gespeichert werden. Sie sind nach angemessener Zeit zu löschen. Sie dürfen nicht in eine Datensicherung eingehen. Für Server, die personenbezogene Daten verarbeiten sind die Vorschriften der DSGVO zu beachten.
Außerbetriebnahme eines Servers
Bei der Außerbetriebnahme eines Servers müssen alles Einstellungen auf Werkseinstellungen zurückgesetzt werden. Alle am Server gespeicherten Nutzerkennungen müssen dabei gelöscht werden.
Festplatten sind analog „BSI M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten“ zu behandeln.
Wird ein Ersatzsystem bereitgestellt, so sind die Punkte aus BSI M 2.319 Migration eines Servers zu beachten.