Zusam­men­spiel von Viren­schutz und Berech­ti­gungen

Die Qua­lität Ihres Viren­schutzes ist nicht zuletzt abhängig von den Berech­ti­gungen, die Sie an Nutzer und Pro­gramme ver­geben: Auch Pro­gramme, die innerhalb eines Internet-Browsers ablaufen, können großen Schaden anrichten.

Die Benut­zer­ver­waltung und die Berech­ti­gungen für den ein­zelnen Nutzer sind das Herz­stück für die Sicherheit sen­sibler und ver­trau­ens­wür­diger bzw. geschäfts­kri­ti­scher Infor­ma­tionen und greifen wie die Räder eines Uhr­werks in die wei­teren Sicher­heits­me­cha­nismen: Die Benut­zer­ver­waltung regelt zunächst, wer sich unter Ver­wendung von Benut­zername und Passwort über­haupt anmelden darf. Klingt trivial, aber ein Besucher oder die Putz­ko­lonne sollten sich zum Schutz der Fir­men­daten bei­spiels­weise in der Mit­tags­pause oder am Abend nach Fei­er­abend nicht anmelden und auf sen­sible bzw. geschäfts­kri­tische Daten zugreifen dürfen. Nicht zu ver­gessen all die Online-Besucher aus dem Internet, die keine Rück­sicht auf Ihre Öff­nungs­zeiten nehmen; auch hier greifen Berech­ti­gungen. Dabei geht es nicht nur um Ihre Server mit Pro­grammen und Daten, die in der Regel rund um die Uhr arbeiten. Auch Ihre (Internet-)Router und evtl. Ihre Netz­werk­drucker mit dem ein­ge­bauten Web-Interface sind per­manent „online“ und ver­fügen über eine Benut­zer­ver­waltung.
Doch das  Zugriffs­kon­troll­ma­nagement dient nicht nur dazu, Daten­schutz und Daten­si­cherheit für Ihre kri­ti­schen Geschäfts­daten zu erhalten. (Infor­ma­tionen über Authen­ti­fi­kation eines Benutzers und die Vergabe der Rechte finden Sie im Beitrag von Herrn Brandl: Effektive Rech­te­ver­waltung.) Es regelt auch den Zugriff auf die Ein­stel­lungen Ihrer Sicher­heits­software.

Zugriffs­kon­trolle für Viren­schutz und Firewall
Stellen Sie sich vor, dass jeder, der sich in Ihrem Netzwerk anmelden kann, auch im Stande ist, nach Belieben die Ein­stel­lungen des Viren­scanners auf seinem PC zu ver­ändern. Stellen Sie sich weiter vor, dies geschieht, damit ein Mit­ar­beiter oder eine andere Person sein Smart­phone oder einen Daten­träger anschließen und beliebige Daten mit dem PC aus­tau­schen oder eine mit­ge­brachte DVD ein­legen und Bilder, Videos oder Pro­gramme laufen lassen kann. Und wenn Sie davon aus­gehen, dass ein Teil Ihrer Mit­ar­beiter die Anmelde-Infor­­mation griff­bereit notiert hat: Haben Sie dann immer noch das Gefühl, sich auf Ihren Viren­scanner oder Ihre Firewall ver­lassen zu können?
Das Zugriffs­kon­troll­ma­nagement mit Benutzer-Authen­­ti­­fi­­zierung und Berech­ti­gungen dient auch dem Schutz der instal­lierten Sicher­heits­software. Zu Demons­tra­ti­ons­zwecken zeige ich gerne, wie leicht sich ein Viren­scanner so ein­stellen lässt, dass er ent­weder bestimmte Pro­gramme nicht mehr findet oder ganze Ver­zeich­nisse igno­riert, wenn ich admi­nis­trative Rechte besitze. Aber Vor­sicht: Nicht nur der so genannte Admi­nis­trator kann admi­nis­trative Rechte besitzen. Es ist lediglich ein Maus­klick in der Benut­zer­ver­waltung, die aus einem ein­fachen Benutzer mit ein­ge­schränkten Rechten den all­mäch­tigen Admi­nis­trator macht. Nicht der Name ist ent­scheidend, sondern die Zuge­hö­rigkeit zur Gruppe der Admi­nis­tra­toren. Ein Mit­ar­beiter sollte daher für die all­täg­lichen Auf­gaben besser nur über die ein­ge­schränkten Rechte eines Stan­dard­kontos ver­fügen.

Pro­gramme ver­fügen über die Rechte des Benutzers
Nicht jedem Anwender ist klar, dass die von ihm auf­ge­ru­fenen Pro­gramme eben­falls über die gleichen Rechte ver­fügen wie er selbst. Dies gilt nicht nur für die Eingabe bei­spiels­weise eines Buchungs­satzes oder die Erstellung eines Word-Doku­­mentes.
Auch Pro­gramme, die innerhalb eines Internet-Browsers ablaufen, als Skript oder als Add-In ver­fügen über diese Rechte. Kurz gesagt: Auf jeder Inter­net­seite können ein­ge­bettete Pro­gramme liegen, die beim Aufruf der Seite akti­viert werden. Und diese Pro­gramme können zum Teil auch lesend und schreibend auf die Daten und Pro­gramme des Benutzers zugreifen.
Wer mit admi­nis­tra­tiven Rechten im Internet unterwegs ist, läuft Gefahr, dass Pro­gramme die Ein­stel­lungen der Sicher­heits­software ver­ändern.

Policies und Bios-PW sorgen für einen sicheren Rahmen
Policies sind ergän­zende Regeln, die im Betriebs­system ein­ge­stellt und für das Unter­neh­mensnetz zentral ver­waltet werden können. Auf bequeme Weise lassen sich die Standard-Ein­stel­­lungen auf Arbeits­­platz-PCs so weit begrenzen, dass viele Risiken aus­ge­schlossen werden können. Gerne wird unter­schätzt, dass bei feh­lender Benut­zer­ver­waltung und ohne, bzw. ohne gute, Pass­wörter auch mal schnell Doku­mente oder E‑Mails im Namen des Kol­legen oder Chefs geschrieben oder gelesen werden können.
Die Ein­stel­lungen und das Passwort im BIOS sorgen dafür, dass der PC nicht von einem externen Medium wie USB-Stick oder Live-DVD gestartet werden kann und damit die Berech­ti­gungen unter­laufen werden.

Effek­tiver Viren­schutz nur mit Pass­wörtern und Berech­ti­gungen
Pass­wörter regeln den Zugang zu Pro­grammen und Daten. Wer sich anmeldet, iden­ti­fi­ziert sich am PC. Durch die Benut­zer­ver­waltung erhält jeder „seine“ für die Arbeit erfor­der­lichen Berech­ti­gungen bzw. Sperren. Wer über admi­nis­trative Rechte verfügt, sollte mit seinen Anmelde-Infor­­ma­­tionen besonders vor­sichtig umgehen: Sicher­heits­pro­gramme können mani­pu­liert und Schad­software instal­liert werden. Wer mit solchen Rechten Pass­wörter am Monitor, unter der Ablage oder in der obersten Schublade ablegt, macht sich selbst zum Sün­denbock. Jeder kann dann in seinem Namen Infor­ma­tionen bear­beiten, ver­ändern, löschen oder ver­senden.
Wer sich nicht anmelden kann, kann den PC oder bestimmte Pro­gramme und deren Daten nicht benutzen. Ganz einfach, aber effektiv.

Teil 1: Safety & Security

Teil 2: Kom­po­nenten der Sicherheit

Teil 4: Sicher­heits­lücke Orga­ni­sation

Bild:  © Michael Krause / pixelio.de