Bereichsbild
Kontakt
Universitätsrechenzentrum
Stabsstelle IT-Sicherheit
Im Neuenheimer Feld 293
D - 69120 Heidelberg
 
 

Sicherheitsaspekte für Administratoren (System/Rechner)

Rechnersicherheit herstellen
Rechnersicherheit wiederherstellen
Netzsicherheit für Systemadministratoren
Datensicherung
Datenschutz

Auf diesen Seiten sollen Hinweise für Administratoren von Computern gegeben werden, was Sie tun können/sollten, um ihre Rechner bzw. ihre Daten möglichst "sicher" zu behalten.

Rechnersicherheit herstellen

... Wie können Angriffe rechnerseitig verhindert bzw. das Risiko vermindert werden?

  • Nur die benötigten Dienste auf Servern installieren, und bei Workstations und PCs aufpassen, dass nicht "versehentlich" Serverdienste (z. B. peer-to-peer-Netzwerke, File-Sharing) installiert werden.
    Zu den Besonderheiten Client- vs. Serverbetrieb: siehe auch Endnutzer-Info
  • Spyware[NEU]
  • Updates und Patches
    • Aktuelles Betriebssystem, vor allem sicherheitsrelevante Patches
    • Regelmäßige Updates, insbesondere für die Dienste auf einem Server bzw. einer Workstation
    • Für Windows-Updates steht ein Microsoft-Software-Update-Server zur Verfügung
  • Empfang relevanter Security-Hinweise z. B. aus Maillisten der Hersteller, sowohl für Betriebssysteme, als auch für die benutzten/installierten Anwendungen, insbesondere Dienste
  • Clienten-Sicherheit:
  • Vortrag von Michael Nemecky "Linux-Sicherheit im Netzwerk" ( PDF, PS ) in der Netzbeauftragten-Fortbildung
  • Die je 10 größten Bedrohungen für Windows- und Unix-Rechner (http://www.sans.org/top20/)
  • Windows-Server (knapp)
    • Link zu (veraltet: "http://www.microsoft.com/germany/ms/technetdatenbank/overview.asp?siteid=543079") Whitepaper und (veraltet: "http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools.asp") Checklists von Microsoft (ausführlicher)
    • Link zum (veraltet: "http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/windows/windows2000/staysecure/default.asp) Betriebshandbuch zur Sicherheit von Windows 2000 Servern (noch ausführlicher)
  • Logbücher: Richten Sie Logbuch-Dateien ein und schauen Sie dort ab und zu hinein, oder lassen Sie sich auffällige Ereignisse automatisiert melden. Beachten Sie dabei jedoch die Datenschutzbestimmungen.
  • Zugriffkontrolle über das Netz: TCP-Wrapper, Personal-Firewall
  • Entdecken von Eindringversuchen bzw. Eindringen: IDS (Intrusion Detection System, z. B. Snort), Dateikontrolle (z. B. Tripwire)
  • Passwort-Sicherheit: Achten auf verschlüsselte/gehashte Passwortablage/-übermittlung (z.B. /etc/shadow, Verwenden von NTLMv2 statt LM), regelmäßige Passwortänderung
  • Bitte beachten Sie Ihre besonderen Sicherheitsbestimmungen im Klinikbereich. Unser (Uni-) Netz gilt sicherlich als "unsteril".
  • Z.B. steht ein Laptop stets in Gefahr, als "transportabler Virenkoffer" auch das dienstliche Netz zu "verseuchen".
  • Datensicherheit: Dateiverschlüsselung, Dateisystemverschlüsselung
  • Räumliche Sicherheit: Zugriffsschutz auf die Daten durch die Türe des Dienstzimmers/Serverraumes sollte selbstverständlich sein...

     

  • BSI Bundesamt für Sicherheit in der Informationstechnik (IT-Grundschutz-Handbuch etc.)
  • Vulnerablities (veraltet: "http://www.microsoft.com/germany/ms/technetdatenbank/overview.asp?siteid=543079") Whitepaper und (veraltet: "http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools.asp") Checklists (Securityfocus Online)
  • BelWü
  • DFN-CERT
  • CERT
  • Rechtsvorschriften
  • Bücher zum Thema

Rechnersicherheit wiederherstellen

... Wie können Angriffe beim oder nach dem Eindringen in den Rechner identifiziert und beseitigt werden?

Aktuelle Meldungen des RUS-CERT Rus-cert
    • [DV-Recht] BGH: Kein Auskunftsanspruch durch Privatpersonen (2014-07-01)
      Der Bundesgerichtshof hat die Klage einer Privatperson gegen ein Internetportal mit Bewertungsfunktion für Ärzte auf Herausgabe der Anmeldedaten eines Nutzers abgewiesen, der in einer Bewertung falsche Tatsachenbehauptungen aufgestellt hatte. Er stellt klar, dass Privatpersonen auf zivilrechtlichem Weg wegen einer Persönlichkeitsverletzung keinen Anspruch auf die Herausgabe von personenbezogenen Daten bei Betreibern von Telemediendiensten erwerben können. Im Gegenteil ist ein Diensteanbieter "in Ermangelung einer gesetzlichen Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG grundsätzlich nicht befugt, ohne Einwilligung des Nutzers dessen personenbezogene Daten zur Erfüllung eines Auskunftsanspruchs wegen einer Persönlichkeitsrechtsverletzung an den Betroffen" herausgeben. Ein Diensteanbieter darf (bzw. muss) jedoch nach § 14 Abs. 2, § 15 Abs. 5 Satz 4 Telemediengesetz (TMG) auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestands-, Nutzungs- und Abrechnungsdaten erteilen, soweit dies u. a. für Zwecke der Strafverfolgung erforderlich ist.
      Dennoch kann dem Betroffenen ein Unterlassungsanspruch gegen den Dienstebetreiber zustehen: In diesem Fall muss der Diensteanbieter die persönlichkeitsverletzenden Inhalte entfernen.
    • [Microsoft/Windows] Microsoft stellt Patches für neun Schwachstellen bereit (2014-06-13)
      Im Rahmen seines Security Bulletin Summary for June 2014 stellt Microsoft Patches für insgesamt neu Schwachstellen bereit. Die Schwachstellen betreffen Windows, den Internet Explorer, Microsoft Office, Lync, den XML Core Services (MSXML), und Remote Desktop. Die Schwachstellen ermöglichen z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weswegen die rasche Installation der bereitgestellten Patches empfohlen wird.
    • [Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL (2014-06-05)
      Sechs Schwachstellen in OpenSSL der Versionen 0.9.8, 1.0.0 und 1.0.1 können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System (sowohl auf Servers als auch auf Clients) auszuführen, schwache Sitzungsschlüssel in TLS-Sitzungen zu erzwingen, betroffene Installationen in einen unbenutzbaren Zustand zu versetzen oder Daten in bestehende Sitzungen einzuschleusen. Das OpenSSL-Team stellt neue Versionen der verschiedenen Zweige bereit, die die Schwachstellen beheben. Es wird empfohlen, betroffene Installationen umgehend zu aktualisieren. Nach derzeitigem Wissensstand sind Passwörter und/oder Zertifikate nur zu ändern, falls ein betroffenes System erfolgreich angegriffen und kompromittiert wurde (wie dies auch bei jeder anderen Kompromittierung der Fall wäre).
    • [Generic/Flash] Schwachstelle im Adobe Flash Player (2014-04-29)
      Eine Schwachstelle im Adobe Flash Player für Microsoft Windows, Macintosh OS X sowie Linux kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Adobe stellt aktualisierte Versionen des Players, die die Schwachstelle beheben, bereit.
    • [Microsoft/IE] Schwachstelle im Internet Explorer (2014-04-29)
      Eine Schwachstelle im Internet Explorer der Versionen 6 bis 11 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Um die Schwachstelle auszunutzen ist es ausreichend, wenn ein Benutzer eines betroffenen Sytems entsprechend präparierte Inhalte mit dem Browser betrachtet.

Weitere Meldungen unter http://cert.uni-stuttgart.de/

Netzsicherheit

... Fernhalten von Angreifern aus einer Kommunikationsbeziehung), soweit für Rechneradministratoren relevant. (Netzinfrastruktur siehe unter Netzadministrator)

Datensicherung

... gegen Verlust der Daten, i. G. zu Datensicherheit

Datenschutz

... der Bürger vor den Daten

  • Datenschutz, Datenschutz-Beauftragter
  • Datenschutzgesetze
  • Cookies
  • personenbezogene Daten: ab wann ist welche Firewall nötig, wer ist zu informieren etc.
  • Rechtsvorschriften
Verantwortlich: Stabsstelle Sicherheit
Letzte Änderung: 13.11.2013
zum Seitenanfang/up