GRUNDLAGEN DER IT SICHERHEIT

In letzter Zeit wurden zahlreiche Abhandlungen über die Sicherheit in der Informationstechnologie veröffentlicht. Viele dieser Veröffentlichungen sind im Grunde korrekt - aber leider mitunter so kompliziert, dass es schwerfällt, ihnen das wirklich Wesentliche zu entnehmen.

Dabei kann IT-Sicherheit auf recht einfache Weise definiert werden:

Sie besteht aus der Schnittmenge ihrer Grundwerte

  • Vertraulichkeit
  • Verfügbarkeit
  • Integrität

Anders ausgedrückt ist IT-Sicherheit die Summe aller Maßnahmen die sicherstellen, dass auf die Systeme eines Unternehmens sowie die in diesen Systemen gespeicherten Daten ausschließlich

  • ein festgelegter Personenkreis
  • zu bestimmten Zeiten
  • auf festgelegte Weise

zugreifen kann und außerdem sichergestellt ist, dass die gespeicherten Daten unverfälscht sind.

Obwohl diese Definition unmissverständlich und unstrittig ist, werden nur in wenigen Unternehmen die notwendigen Maßnahmen konsequent durchgeführt.

Wenn jedoch nicht festgelegt ist, wer (und wie genau) auf bestimmte Daten zugreifen können soll, kann auch nicht definiert werden, wer unter bestimmten Bedingungen keinen Zugriff erhalten soll.

Ein ebenfalls häufig vorkommender Fehler ist die einseitige Konzentration auf bestimmte Sicherheitstechnologien.

Noch immer ist z.B. die Installation von Persönlichen Firewalls auf Arbeitsplatz-PCs üblich. Die Wahrscheinlichkeit eines Schadens im Firmennetzwerk ist in der Folge jedoch (aufgrund des trügerischen Sicherheitsgefühls auf Seiten der Benutzer) häufig größer als vorher.

Ausschließliche Erteilung notwendiger Zugriffsrechte

Wie kann die im Abschnitt IT-Sicherheit dargestellte Definition in der Praxis umgesetzt werden? Legen Sie zuerst fest, wer worauf Zugriff benötigt. Die technische Realisierung wird erst im Nachgang vorgenommen.

Bitte beachten Sie, dass der Zugriff nicht bestimmten Personen erteilt werden sollte. Vielmehr werden Rechte an bestimmte Funktionen innerhalb eines Unternehmens gebunden. Dabei gilt Folgendes:

  • Jede natürliche Person kann mehrere Funktionen innehaben und
  • jede Funktion kann von mehreren Personen eingenommen werden.

Beispiel: Umsetzung in einem kleinen Unternehmen

Im Unternehmen sind neben dem Geschäftsführer noch ein Verkäufer sowie eine Sekretärin tätig. Der Geschäftsführer kümmert sich neben seiner eigentlichen Arbeit auch noch um die Administration aller Computer im Unternehmen und führt demzufolge zwei Funktionen aus

  • Im Rahmen seiner normalen Tätigkeit muss er an seinem Computer E-Mail versenden und empfangen, Buchhaltungsdaten einsehen, Angebote verfassen, Trends mit einer Tabellenkalkulation darstellen können usw.
  • Im Rahmen seiner Administrationstätigkeit ist er für die Installation von Sicherheitsupdates, die Datensicherung, den Schutz aller Computer vor physischer Beschädigung, Diebstahl etc. zuständig

Der Geschäftsführer wird innerhalb eines Tages mitunter beide Funktionen ausüben, jedoch übt er zu einem bestimmten Zeitpunkt immer nur eine dieser Funktionen aus. Es liegt deshalb nahe, dass der Geschäftsführer über zwei Benutzerkonten verfügen sollte. Diesen Konten sollten ausschließlich die für die auszuübende Funktion benötigten Rechte zugewiesen werden.

Diese Strategie (das so genannte Prinzip des notwendigen Wissens, engl: need-to-know principle) ist ein allgemein anerkannter Standard - und wird doch in der Praxis viel zu selten umgesetzt.