M 4.1 Paßwortschutz für PC und Server
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Benutzer
Der Paßwortschutz eines IT-Systems soll gewährleisten, daß nur solche
Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine
entsprechende Berechtigung nachweisen. Unmittelbar nach dem Einschalten des
IT-Systems muß der Berechtigungsnachweis erfolgen. Kann der Benutzer die
erforderliche Berechtigung nicht nachweisen, so verhindert der Paßwortschutz
den Zugriff auf das IT-System.
Realisiert werden kann der Paßwortschutz an einem IT-System auf verschiedene
Weise:
- Die meisten BIOS-Varianten bieten die Installation eines Boot-Paßwortes an.
Bei Fehleingaben wird der Bootvorgang nicht fortgesetzt. Ein BIOS-Paßwort ist
nicht schwer zu überwinden, schützt aber vor Zufallstätern, sollte also
zumindest überall da eingestzt werden, wo keine besseren
Zugriffsschutzmechanismen vorhanden sind (siehe auch M
4.84 Nutzung der BIOS-Sicherheitsmechanismen).
- Gute Betriebssysteme enthalten bereits Zugriffsschutzmechanismen. In den
meisten Fällen müssen diese aber noch aktiviert werden, beispielsweise durch
die Vergabe von Paßwörtern für alle Benutzer. Näheres hierzu findet sich in den
betriebssystemspezifischen Bausteinen.
- Es wird Zusatzhardware oder -software installiert, die vor dem eigentlichen
Start des Rechners ein Paßwort abfragt und bei falscher Paßworteingabe die
weitere Nutzung des IT-Systems verhindert.
Für den Umgang mit Paßwörtern sind die Hinweise in M
2.11 Regelung des Paßwortgebrauchs zu beachten, insbesondere ist das
Paßwort regelmäßig zu ändern.
Ergänzende Kontrollfragen:
- Ist auf den betroffenen Rechnern ein Paßwortschutz installiert?
- Welche BIOS- Sicherheitsmechanismen sind aktiviert?
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000
.