| Beschaffung
Im nächsten Schritt muss die Beschaffung der Software und eventuell zusätzlich benötigter Hardware erfolgen. Aufbauend auf Einsatzszenarien sind die Anforderungen an zu beschaffende Produkte zu formulieren und basierend darauf die Auswahl der geeigneten Produkte zu treffen. Mit der Beschaffung dieser Produkte ist dann die Grundlage für die Arbeiten des nächsten Schrittes gelegt.
Umsetzung
Die Benutzer bzw. die Administratoren haben einen wesentlichen Einfluss auf die Sicherheit eines Servers. Vor der tatsächlichen Inbetriebnahme müssen die Benutzer und Administratoren daher für den Umgang bzw. die Nutzung des aufzubauenden Servers geschult werden. Insbesondere für Administratoren empfiehlt sich aufgrund der Komplexität in der Planung und in der Verwaltung eine intensive Schulung. Die Administratoren sollen dabei detaillierte Systemkenntnisse erwerben, so dass eine konsistente und korrekte Systemverwaltung gewährleistet ist. Benutzern sollte insbesondere die Nutzung der verfügbaren Sicherheitsmechanismen vermittelt werden. Hier sind die Maßnahmen des Bausteins B 1.13 Sensibilisierung und Schulung zur Informationssicherheit heranzuziehen.
Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt wurden, kann die Installation und Inbetriebnahme des Servers erfolgen. Dabei sind die folgenden Maßnahmen zu beachten:
- Schon die Installation und Grundkonfiguration eines Servers muss mit besonderer Sorgfalt durchgeführt werden, um schwer reparierbare Fehler von vornherein zu vermeiden. Allgemeine Hinweise hierzu finden sich in M 2.318 Sichere Installation eines Servers und M 4.237 Sichere Grundkonfiguration eines IT-Systems.
Neben den allgemeinen Maßnahmen, die in diesem Baustein beschrieben sind, sind jeweils auch die weitergehenden Maßnahmen, die in den betreffenden Bausteinen für das jeweilige Betriebssystem empfohlen werden, umzusetzen.
- Nach der Installation und Grundkonfiguration der Server müssen gegebenenfalls übergeordnete Verwaltungsstrukturen konfiguriert werden. Dabei kommt unter anderem auch zum Tragen, für welchen Einsatzzweck die einzelnen Server geplant sind, beispielsweise als Dateiserver, Druckserver oder, im Falle von Thin Clients, als Terminalserver. Hier ist insbesondere die Maßnahme M 2.138 Strukturierte Datenhaltung wichtig, um einen kontrollierbaren Betrieb des Servers gewährleisten zu können.
- Nachdem die Installation und Grundkonfiguration des Servers abgeschlossen ist, kann die eigentliche Serversoftware installiert und konfiguriert werden. Die dafür notwendigen Schritte unterscheiden sich je nach Art und Einsatzzweck der Software teilweise erheblich und werden teilweise in eigenen Bausteinen behandelt. Prinzipiell wird empfohlen, für die Installation und Konfiguration der Serversoftware analog wie für die Konfiguration des Betriebssystems selbst vorzugehen:
- Erstellung eines Installationskonzepts
- Falls mehrere Server mit ähnlichen Einsatzgebieten und Konfiguration installiert werden sollen: Erstellen einer Referenzinstallation
- Installation, Grundkonfiguration und Aktualisierung
- Test
Detailliertere Hinweise für die Sicherheit verschiedener Server-Anwendungen finden sich in den Bausteinen der Schicht 5.
Betrieb
Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
- Client-Server-Netze ändern sich sehr häufig. Dabei muss bei jeder Änderung sichergestellt werden, dass die Sicherheit auch nach der Änderung nicht beeinträchtigt wird. Die dabei im Detail zu beachtenden Aspekte sind in den Bausteinen zu den jeweiligen Serverbetriebssystemen enthalten. Dabei ist zu berücksichtigen, dass auch der Entzug von Berechtigungen sowie das Löschen nicht mehr benötigter Datenbestände so geregelt wird, dass durch veraltete Strukturen keine Sicherheitslücken entstehen. Eine wesentliche Hilfe ist dabei eine effiziente, umfassende Systemverwaltung, die sich jederzeit auf aktuelle Informationen über den Zustand des Systems und seiner Rechtestrukturen abstützen kann (siehe dazu M 4.24 Sicherstellung einer konsistenten Systemverwaltung und M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile).
- Ein Mittel im Rahmen der Aufrechterhaltung der Sicherheit eines Servers ist die Überwachung des Systems bzw. seiner Einzelkomponenten. Die hier relevanten Maßnahmen finden sich in M 4.93 Regelmäßige Integritätsprüfung, M 5.8 Regelmäßiger Sicherheitscheck des Netzes und M 5.9 Protokollierung am Server. Dabei spielen auch insbesondere Datenschutzaspekte eine Rolle. Die häufigen Sicherheitslücken der meisten Client-Server-Systeme und die Vielzahl von Angriffen, die sich gegen diese Schwächen richten, fordern von den Administratoren, dass diese sich permanent über den Sicherheitsstatus der Systeme und über neue Bedrohungen informieren (siehe M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems) und rechtzeitig Gegenmaßnahmen einleiten (siehe dazu M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates).
| 