Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Zusammenspiel von Virenschutz und Berechtigungen
Die Qualität Ihres Virenschutzes ist nicht zuletzt abhängig von den Berechtigungen, die Sie an Nutzer und Programme vergeben: Auch Programme, die innerhalb eines Internet-Browsers ablaufen, können großen Schaden anrichten.
Die Benutzerverwaltung und die Berechtigungen für den einzelnen Nutzer sind das Herzstück für die Sicherheit sensibler und vertrauenswürdiger bzw. geschäftskritischer Informationen und greifen wie die Räder eines Uhrwerks in die weiteren Sicherheitsmechanismen: Die Benutzerverwaltung regelt zunächst, wer sich unter Verwendung von Benutzername und Passwort überhaupt anmelden darf. Klingt trivial, aber ein Besucher oder die Putzkolonne sollten sich zum Schutz der Firmendaten beispielsweise in der Mittagspause oder am Abend nach Feierabend nicht anmelden und auf sensible bzw. geschäftskritische Daten zugreifen dürfen. Nicht zu vergessen all die Online-Besucher aus dem Internet, die keine Rücksicht auf Ihre Öffnungszeiten nehmen; auch hier greifen Berechtigungen. Dabei geht es nicht nur um Ihre Server mit Programmen und Daten, die in der Regel rund um die Uhr arbeiten. Auch Ihre (Internet-)Router und evtl. Ihre Netzwerkdrucker mit dem eingebauten Web-Interface sind permanent „online“ und verfügen über eine Benutzerverwaltung.
Doch das Zugriffskontrollmanagement dient nicht nur dazu, Datenschutz und Datensicherheit für Ihre kritischen Geschäftsdaten zu erhalten. (Informationen über Authentifikation eines Benutzers und die Vergabe der Rechte finden Sie im Beitrag von Herrn Brandl: Effektive Rechteverwaltung.) Es regelt auch den Zugriff auf die Einstellungen Ihrer Sicherheitssoftware.
Zugriffskontrolle für Virenschutz und Firewall
Stellen Sie sich vor, dass jeder, der sich in Ihrem Netzwerk anmelden kann, auch im Stande ist, nach Belieben die Einstellungen des Virenscanners auf seinem PC zu verändern. Stellen Sie sich weiter vor, dies geschieht, damit ein Mitarbeiter oder eine andere Person sein Smartphone oder einen Datenträger anschließen und beliebige Daten mit dem PC austauschen oder eine mitgebrachte DVD einlegen und Bilder, Videos oder Programme laufen lassen kann. Und wenn Sie davon ausgehen, dass ein Teil Ihrer Mitarbeiter die Anmelde-Information griffbereit notiert hat: Haben Sie dann immer noch das Gefühl, sich auf Ihren Virenscanner oder Ihre Firewall verlassen zu können?
Das Zugriffskontrollmanagement mit Benutzer-Authentifizierung und Berechtigungen dient auch dem Schutz der installierten Sicherheitssoftware. Zu Demonstrationszwecken zeige ich gerne, wie leicht sich ein Virenscanner so einstellen lässt, dass er entweder bestimmte Programme nicht mehr findet oder ganze Verzeichnisse ignoriert, wenn ich administrative Rechte besitze. Aber Vorsicht: Nicht nur der so genannte Administrator kann administrative Rechte besitzen. Es ist lediglich ein Mausklick in der Benutzerverwaltung, die aus einem einfachen Benutzer mit eingeschränkten Rechten den allmächtigen Administrator macht. Nicht der Name ist entscheidend, sondern die Zugehörigkeit zur Gruppe der Administratoren. Ein Mitarbeiter sollte daher für die alltäglichen Aufgaben besser nur über die eingeschränkten Rechte eines Standardkontos verfügen.
Programme verfügen über die Rechte des Benutzers
Nicht jedem Anwender ist klar, dass die von ihm aufgerufenen Programme ebenfalls über die gleichen Rechte verfügen wie er selbst. Dies gilt nicht nur für die Eingabe beispielsweise eines Buchungssatzes oder die Erstellung eines Word-Dokumentes.
Auch Programme, die innerhalb eines Internet-Browsers ablaufen, als Skript oder als Add-In verfügen über diese Rechte. Kurz gesagt: Auf jeder Internetseite können eingebettete Programme liegen, die beim Aufruf der Seite aktiviert werden. Und diese Programme können zum Teil auch lesend und schreibend auf die Daten und Programme des Benutzers zugreifen.
Wer mit administrativen Rechten im Internet unterwegs ist, läuft Gefahr, dass Programme die Einstellungen der Sicherheitssoftware verändern.
Policies und Bios-PW sorgen für einen sicheren Rahmen
Policies sind ergänzende Regeln, die im Betriebssystem eingestellt und für das Unternehmensnetz zentral verwaltet werden können. Auf bequeme Weise lassen sich die Standard-Einstellungen auf Arbeitsplatz-PCs so weit begrenzen, dass viele Risiken ausgeschlossen werden können. Gerne wird unterschätzt, dass bei fehlender Benutzerverwaltung und ohne, bzw. ohne gute, Passwörter auch mal schnell Dokumente oder E‑Mails im Namen des Kollegen oder Chefs geschrieben oder gelesen werden können.
Die Einstellungen und das Passwort im BIOS sorgen dafür, dass der PC nicht von einem externen Medium wie USB-Stick oder Live-DVD gestartet werden kann und damit die Berechtigungen unterlaufen werden.
Effektiver Virenschutz nur mit Passwörtern und Berechtigungen
Passwörter regeln den Zugang zu Programmen und Daten. Wer sich anmeldet, identifiziert sich am PC. Durch die Benutzerverwaltung erhält jeder „seine“ für die Arbeit erforderlichen Berechtigungen bzw. Sperren. Wer über administrative Rechte verfügt, sollte mit seinen Anmelde-Informationen besonders vorsichtig umgehen: Sicherheitsprogramme können manipuliert und Schadsoftware installiert werden. Wer mit solchen Rechten Passwörter am Monitor, unter der Ablage oder in der obersten Schublade ablegt, macht sich selbst zum Sündenbock. Jeder kann dann in seinem Namen Informationen bearbeiten, verändern, löschen oder versenden.
Wer sich nicht anmelden kann, kann den PC oder bestimmte Programme und deren Daten nicht benutzen. Ganz einfach, aber effektiv.
Teil 1: Safety & Security
Teil 2: Komponenten der Sicherheit
Teil 4: Sicherheitslücke Organisation

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare