DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Zugriff ver­weigert

 

 

Innerhalb vieler deut­scher Unter­nehmen wird ein äußerst tole­ranter Umgang mit internen Daten kul­ti­viert: Alles für alle zugänglich. Nicht so gut für Com­pliance und Daten­schutz würde ich sagen und emp­fehle ein effek­tives Rech­tema­nagement.

 

Laut der Studie „IT-Sicher­heitslage im Mit­tel­stand 2011“ des Vereins Deutschland sicher im Netz e.V. (DsiN) ver­nach­läs­sigen noch immer viele Mit­tel­ständler das Thema IT-Sicherheit in ihren Unter­nehmen. Drin­gender Hand­lungs­bedarf besteht laut der Studie hin­sichtlich der Anfor­de­rungen an rechts­kon­formes Ver­halten (Com­pliance). Ins­be­sondere bei der Regelung von Zugriffs­rechten bestehen noch immer große Defizite im Mit­tel­stand. Erste Stich­proben für 2012 bestä­tigen den Hand­lungs­bedarf. 

Gespräche mit Freunden und Bekannten ver­voll­stän­digen dieses Bild. So spielen zum Bei­spiel ein Benut­zername und Passwort (User-Account) und/oder ein­ge­schränkte Zugriffs­rechte meist eine unter­ge­ordnete Rolle. Aus prak­ti­schen Gründen kann jeder auf alle Daten und Anwen­dungen zugreifen, Sys­tem­ein­stel­lungen vor­nehmen und Pro­gramme de/installieren.

Diese Hand­lungs­weise ist für Unter­nehmen fahr­lässig und stellt ein sehr hohes exis­ten­ti­elles Risiko dar. Was ist z.B. wenn jede Person (Mit­ar­beiter, aber auch Kunden, Lie­fe­ranten, Hand­werker etc.) jederzeit alle Daten des Unter­nehmens kopieren, löschen oder unbe­merkt mit­nehmen kann? Oder wenn die Daten von der eigenen Lohn­ab­teilung für jeden ein­sehbar sind? Welche Folgen hat es für das Unter­nehmen, wenn Kun­den­daten oder geschäfts­kri­ti­sches Know-how im Internet kur­sieren? Wie kann im Ernstfall nach­ge­wiesen werden, wer wann was wo getan hat?

Daten­schutz und Daten­si­cherheit fordern Rechte- und Zugriffs­kon­trollen ein
Daten­schutz und Daten­si­cherheit fordern für per­so­nen­be­zogene Daten ein Rechte- und Zugriffs­kon­troll­ma­nagement. So soll jeder Mit­ar­beiter sich nur unter seiner eigenen Kennung (User-ID) und seinem Passwort im IT-System anmelden (Authen­ti­fi­zierung) können und auto­ma­tisch nur die Berech­ti­gungen für seine Pro­gramme, Lauf­werke und Daten zuge­wiesen bekommen, die er im Rahmen seiner Aufgabe benötigt.  Die Pass­wort­vergabe erfolgt nach den aktu­ellen Emp­feh­lungen zur Bildung sicherer Pass­wörter. Siehe dazu den Beitrag von Frau Böhme (Sicheres Passwort). Dies redu­ziert das Risiko von Fehl­be­die­nungen, Stö­rungen oder unbe­merktem Wis­sens­ab­fluss. Die Aktionen der Nutzer im Netzwerk sind doku­men­tiert und nach­voll­ziehbar.

Was ist zu tun?
Erster Schritt ist die Vergabe einer ein­deu­tigen pass­wort­ge­schützten User-ID, mit der sich Mit­ar­beiter am PC anmelden müssen. So wird sicher­ge­stellt, dass jeder Mit­ar­beiter im IT-System ein­deutig authen­ti­fi­ziert werden kann. Vor­aus­setzung ist natürlich, dass jeder Mit­ar­beiter seine Zugangs­daten geheim hält. D.h. Pass­wörter nicht öffentlich zu machen oder keine anderen Mit­ar­beiter am eigenen PC arbeiten zu lassen.
Bei Unter­nehmen mit hohem Schutz­bedarf, etwa in For­schung und Ent­wicklung oder bei der Ver­ar­beitung von per­so­nen­be­zo­genen Daten, ist eine Absi­cherung des PCs mittels einer zusätz­lichen Kom­po­nente (z. B. SmartCard) zu emp­fehlen. Zur Sicherheit sollte ergänzend sicher­ge­stellt sein, dass die IT-Systeme nicht von einer DVD oder USB (externe Fest­platte etc.) gestartet werden können.
Zweiter Schritt ist die Vergabe von Zugriffs­rechten. Dies kann, je nach Größe eines Unter­nehmens, fol­gen­der­maßen erfolgen:

  • Vergabe von User-Rechten:

Bei klei­neren Unter­nehmen kann die Vergabe von User-Rechten anhand der Standard-Benut­­zer­­konten in den Betriebs­sys­temen schon aus­rei­chend sein. Alle Mit­ar­beiter, außer dem Sys­tem­ver­ant­wort­lichen, werden mit dem Kon­totyp „Standard“ angelegt. Zusätz­liche Rechte-Ein­­schrän­­kungen für Zugriffe auf Lauf­werks­ver­zeich­nisse, Anwen­dungen etc. werden je User fest­gelegt. Nur der/die Systemverantwortliche/n erhält/erhalten das Benut­zer­konto „Admi­nis­trator“. 
Die User-Rechte der Mit­ar­beiter sind nur mit den not­wen­digsten Sys­tem­rechten aus­zu­statten. So sollte z. B. die Instal­lation von Software (u. a. ein Internet-Software-Download; privat mit­ge­brachte Software-“Helfer”) am pro­duk­tiven System für einen Sach­be­ar­beiter nicht möglich sein.
Um Betriebs­aus­fälle und Daten­verlust zu ver­meiden, sollten nur eine eng begrenzte Anzahl an qua­li­fi­zierten Per­sonen (z. B. ein Sys­tem­ad­mi­nis­trator) Admi­­nis­­trator-Rechte erhalten. Mit Admi­­nis­­trator-Rechten können wichtige System- oder Sicher­heits­ein­stel­lungen, Pro­gramm­in­stal­la­tionen und ‑deinstal­la­tionen bewusst oder unbe­wusst von jedem ver­ändert werden. Ver­steckte Viren & Co auf Inter­net­seiten können dadurch z. B. unbe­merkt aus dem Internet den lokalen Viren­scanner und die Firewall mani­pu­lieren, da sie die Rechte des Users nutzen. Siehe hierzu den Beitrag von Herrn Feuchter (Viren­scanner winken durch).

  • Vergabe von Grup­pen­rechten:

Je größer das Unter­nehmen ist, desto schneller stößt die Vergabe von User-Rechten an Grenzen. Mit jeder Ver­än­derung wächst die Unüber­sicht­lichkeit und eine effektive Kon­trolle wird immer schwie­riger.
Emp­feh­lenswert ist hier für die ver­schie­denen Auf­ga­ben­ge­biete soge­nannte Benut­zer­gruppen (oder auch: Rollen) anzu­legen. Je Gruppe werden bestimmte Berech­ti­gungen zusam­men­ge­fasst. Bei­spiels­weise beinhaltet die Gruppe „Finanz­buch­haltung“ alle erfor­der­lichen Rechte, die ein Mit­ar­beiter in der Finanz­buch­haltung benötigt. Jeder Mit­ar­beiter der Finanz­buch­haltung wird dann dieser Gruppe zuge­ordnet. Ein Mit­ar­beiter mit wei­teren Zustän­dig­keiten wird dem­entspre­chend in meh­reren Gruppen auf­ge­nommen.
Die Anzahl der Gruppen sollte über­schaubar bleiben und deren Beschreibung klar ver­ständlich und nach­voll­ziehbar sein. Die Ein­teilung der Gruppen ist deshalb eine wichtige orga­ni­sa­to­rische Maß­nahme die im Vorfeld gemeinsam mit den Auf­ga­ben­ver­ant­wort­lichen erar­beitet werden muss.
Die Vergabe von Grup­pen­rechten hat den Vorteil, dass Ver­än­de­rungen in den Zustän­dig­keiten oder in den Geschäfts­pro­zessen an jeweils einer Stelle aktua­li­siert und doku­men­tiert werden.

Nach­hal­tigkeit
Die Umsetzung eines effek­tiven Rechte- und Zugriffs­ma­nage­ments  erfordert neben den tech­ni­schen Vor­aus­set­zungen eine klare orga­ni­sa­to­rische Ver­ant­wortung und ein fachlich qua­li­fi­ziertes Per­sonal.
Ebenso müssen alle Mit­ar­beiter hin­sichtlich des Umgangs mit ver­trau­lichen Daten oder zur Ein­haltung der Sicher­heits­be­stim­mungen laufend geschult bzw. ange­halten werden.

Weitere Infos zum Thema finden Sie hier:

Bild: © Erich Westendarp / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Brandl, DATEV eG

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kom­mu­ni­kation und Ver­marktung des Bereichs IT-Lösungen und Security ist er ver­ant­wortlich für den DATEV Sicher­heits­check und DATEV-Ansprech­partner für das Hand­lungs­ver­sprechen „Start­hilfe Sicherheit für den Mit­tel­stand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicher­heits­mo­nitore „Sicher­heitslage im Mit­tel­stand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.