Bundesamt für Sicherheit in der Informationstechnik

Springe direkt zu:

M 6.106 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Der teilweise oder komplette Ausfall eines Verzeichnisdienstes hat in der Regel gravierende Auswirkungen auf die Arbeitsmöglichkeiten von Benutzern. Bei Ausfall eines Verzeichnisdienst-Servers können beispielsweise keine Server-basierten Aktionen mehr ausgeführt werden. Im Rahmen der Notfallvorsorge ist daher ein Konzept zu entwerfen, wie die Folgen eines Ausfalls von Verzeichnisdienst-Komponenten minimiert werden können und welche Aktivitäten im Falle eines Ausfalls durchzuführen sind.

Folgende Aspekte müssen dabei berücksichtigt werden:

  • Die Notfallplanung für das Verzeichnisdienst-System muss in den existierenden Notfallplan integriert werden (siehe Baustein B 1.3 Notfallmanagement ).
  • Durch einen Systemausfall kann es auch zu Datenverlusten kommen. Daher ist ein Konzept für die Datensicherung der Verzeichnisdatenbank zu erstellen, das in das bisherige Backup-Konzept integriert werden kann oder dieses ablöst. Weitere Hinweise hierzu finden sich in Baustein B 1.4 Datensicherungskonzept sowie in Maßnahme M 6.107 Erstellung von Datensicherungen für Verzeichnisdienste .
  • Werden von wichtigen Informationen und Dateien Replikate auf mehreren Servern angelegt, so kann beim Ausfall einzelner Verzeichnisdienst-Server auf diese Replikate zugegriffen werden. Über die Replikationsmechanismen von Verzeichnisdiensten ist es möglich, Benutzern eine jeweils räumlich nahe Replik von Daten zur Verfügung zu stellen, um so gute Zugriffszeiten und eine hohe Verfügbarkeit der Server zu erreichen (siehe M 2.409 Planung der Partitionierung und Replikation im Verzeichnisdienst ).
  • Ein Verzeichnisdienst bietet die Möglichkeit, die Verzeichnisdatenbank auf mehrere Verzeichnisdienst-Server zu verteilen (partitionieren), so dass jeder Server nur einen Teil der Daten hält. Bei Ausfall eines Verzeichnisdienst-Servers ist somit nur die dort gespeicherte Partition des Verzeichnisses betroffen (siehe M 2.409 Planung der Partitionierung und Replikation im Verzeichnisdienst ). Bei der Erstellung eines Notfallplans muss darauf geachtet werden, dass alle Partitionen einer Verzeichnisdienst-Installation berücksichtigt werden.
  • Die gesamte Systemkonfiguration der Verzeichnisdienst-Komponenten ist zu dokumentieren. Alle Aufgaben zur Wiederherstellung des Systems müssen so beschrieben werden, dass sie im Notfall auch von Personal durchgeführt werden können, das keine detaillierten Kenntnisse der vorher vorhandenen Systemkonfiguration hat.
  • Durch die Notfallplanung muss sichergestellt sein, dass im Notfall entsprechend geschultes Personal zur Verfügung steht.
  • Es muss ein Wiederanlaufplan erstellt werden, der einen geregelten Neustart des Verzeichnisdienst-Systems gewährleistet.
  • Die Notfallplanung muss die Besonderheiten wichtiger Verzeichnisdienst-Server in Betracht ziehen und darauf eingerichtet sein.

Im Rahmen der Notfallvorsorge sollten unterschiedliche Szenarien betrachtet werden, in denen das Verzeichnisdienst-System oder Teile davon kompromittiert werden. Für diese Szenarien sollte im Notfallplan möglichst präzise beschrieben werden, wie jeweils zu reagieren ist und welche Aktionen auszuführen sind. Die Reaktionen sollten regelmäßig geübt werden.

Die rechtzeitige Notfallplanung mit vorgegebenen Handlungsanweisungen, die auch durch Personen durchgeführt werden können, die nicht mit der Systemadministration vertraut sind, kann im Schadensfall die Auswirkungen abmildern. Es ist zu beachten, dass die entsprechenden Dokumente für die Notfallsituation wichtige und schützenswerte Informationen beinhalten, so dass diese geschützt aufbewahrt werden müssen. Trotzdem müssen die berechtigten Personen im Notfall darauf zugreifen können.

Im Einzelnen sollten mindestens die folgenden Notfallsituationen betrachtet werden:

Angriffe

Werden Angriffe auf einen Verzeichnisdienst, beispielsweise durch die Ausweitung der Benutzerrechte, aufgedeckt, kann ohne detaillierte Sicherheitsanalysen nicht davon ausgegangen werden, dass das Löschen des verursachenden Kontos die betroffenen Systeme wieder in einen sicheren Stand bringt. Es muss vielmehr in Betracht gezogen werden, dass Änderungen an der Systemkonfiguration durchgeführt oder Schadprogramme (z. B. Backdoors, Trojanische Pferde) installiert wurden.

Um zuverlässig mögliche Schadprogramme zu entfernen, wird eine komplette Wiederherstellung der betroffenen Verzeichnisdienst-Komponenten empfohlen, so dass eine vertrauenswürdige Basis sichergestellt ist. Hierfür sind die erstellten Datensicherungen zu verwenden, aber auch die Aufzeichnungen über die genaue Konfiguration und die Sicherheitsrichtlinien des Verzeichnisdienstes. Darüber hinaus sind zumindest alle Konten mit erweiterten Rechten (insbesondere die der Administratorengruppen) auf deren Gruppenzugehörigkeit zu prüfen und umgehend mit neuen Passwörtern zu versehen, um die Erfolgschancen von Folge-Angriffen zu minimieren. Bei den Benutzerkonten sollten ebenfalls die Passwörter geändert werden. Des Weiteren ist eine Ursachenforschung zu betreiben und deren Ergebnisse und Erfahrungen in die bestehenden Sicherheitskonzepte zu übernehmen.

Diebstahl

Bei Diebstahl von Verzeichnisdienst-Komponenten sind umgehend alle bestehenden Konten, insbesondere die mit erweiterten Rechten, mit neuen Passwörtern zu versehen. Des Weiteren ist auch hier eine ausführliche Sicherheitsanalyse und Ursachenforschung notwendig und auf Basis dieser Ergebnisse vor allem eine umfassende Anpassung der Infrastruktur-Sicherheitsvorkehrungen. Im Zweifelsfall sollte die komplette Verzeichnisdienst-Gesamtstruktur neu aufgesetzt werden.

Sowohl im Falle eines Angriffes als auch bei einem erfolgten Diebstahl sind die verantwortlichen Personen über die verbesserten Sicherheitskonzepte in Kenntnis zu setzen und zu deren Einhaltung anzuhalten.

Fehlkonfigurationen

Fehlkonfigurationen im Bereich der Systemadministration können sich im weiteren Verlauf negativ auf die Gesamtstruktur eines Verzeichnisdienstes auswirken. Die Verzeichnisdienst-Systeme sollten regelmäßig auf Fehlkonfigurationen untersucht werden. Sobald solche entdeckt werden, muss deren Ausmaß bewertet werden und mit Korrekturmaßnahmen begonnen werden.

Die notwendigen Änderungen für die Behebung der Konfigurationsfehler können je nach Ausprägung direkt vorgenommen werden oder aber bei umfangreicheren Problemen durch Rückspielen aktueller System-Datensicherungen bis hin zur Neueinrichtung des Systems. Kann die Auswirkung oder die Ursache der Fehlkonfiguration nicht zweifelsfrei ermittelt werden, so wird eine Wiederherstellung des Verzeichnisdienstes mit einem vertrauenswürdigen Stand empfohlen.

Damit gleiche Probleme in Zukunft vermieden werden, sind die Sicherheitsrichtlinien zu prüfen und bei Bedarf anzupassen. Des Weiteren ist die Vorgehensweise innerhalb des Testnetzes und der Produktivumgebung zu analysieren, um durch die im Testnetz gesammelten Erfahrungen die Ausfallzeiten und Fehlkonfigurationen im Produktivnetz auf ein Minimum reduzieren zu können.

Ausfälle durch Höhere Gewalt

Durch Gefährdungen aufgrund von höherer Gewalt, z. B. Erdbeben, Überschwemmung, Feuer, Sturmschäden, Kabelbeschädigungen, kann die Verfügbarkeit des Verzeichnisdienstes negativ beeinflusst werden. Hier sind angemessene Maßnahmen zur Erhöhung der Verfügbarkeit zu überlegen, wie beispielsweise redundante Kommunikationsverbindungen oder IT-Systeme.

Prüffragen:

  • Wurde eine bedarfsgerechte Notfall-Planung für Verzeichnisdienste durchgeführt?

  • Liegen Notfallpläne für den Ausfall wichtiger Verzeichnisdienst-Systeme vor?

  • Wurden alle Notfall-Prozeduren für Verzeichnisdienst-Komponenten dokumentiert?

Stand: 13. EL Stand 2013

© Bundesamt für Sicherheit in der Informationstechnik