Fachartikel

Die acht Gebote des Datenschutzes: Zutrittskontrolle (2)

Bei einem genauen Blick in die Unternehmen kommen häufig eklatante Verstöße gegen den Datenschutz zu Tage. Im ersten Teil unserer Artikelserie haben wir uns mit den Anforderungen der Zutrittskontrolle befasst, die den physischen Zutritt zu Datenverarbeitungsanlagen regelt. Im zweiten Teil betrachten wir die Gebote der Zugriffskontrolle im Bereich Identifikation und Authentifizierung gegenüber EDV-Systemen.
Ein weiteres Gebot des Datenschutzes lautet: Du sollst nicht begehren Deines Nächsten Server
Im Rahmen der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ist durch eine funktionierende Zugangskontrolle zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Dies verlangt das Bundesdatenschutzgesetz (BDSG) in Nr. 2 der Anlage zu § 9 Satz 1. Die Gewährleistung, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, fällt hingegen in den Regelungsbereich der Zugriffskontrolle – Nr.3 der Anlage zu § 9 Satz 1 BDSG.

Das 2. Gebot: Zugangskontrolle für EDV-Systeme
Unbefugten ist der Zugang zu EDV-Systemen zu verwehren. Im Gegensatz zur Zutrittskontrolle geht es hier nicht um den physischen Zutritt zu, sondern um das Eindringen in beziehungsweise die Nutzung von EDV-Systemen durch unbefugte Personen. Hierbei ist im Rahmen der Authentifizierung zwischen "internen" und "externen" Mitarbeitern sowie dem Schutz der entsprechenden Zugänge zu unterscheiden.

IT-Dienstleister – offene Ports als Achillesferse
Grundsätzlich sollten Sie Remote-Zugänge zu Datenbanken äußerst restriktiv handhaben. Ist ein solcher Remote-Zugriff nicht zwingend notwendig, so ist dieser zu unterbinden. Oftmals mangelt es in Unternehmen auch an klaren Prozessen, wie sich Wartungsmitarbeiter von IT-Dienstleistern bei Remote-Zugriffen authentifizieren, welche Mindestverschlüsselung für bestehende Zugänge verwendet und wie durchgeführte Arbeiten protokolliert werden.

Soweit erforderlich, öffnen Sie Wartungszugänge und die entsprechenden Ports nur bei Bedarf sowie nach erfolgreicher Authentifizierung und schließen Sie diese nach Abschluss der Wartungsarbeiten wieder. Dadurch verhindern Sie, dass nach außen hin offene Verbindungen bestehen bleiben, die zwar nur zeitweise benötigt werden, aber dauerhaft ein erhebliches Sicherheitsrisiko für die IT darstellen. Für besonders sicherheitsrelevante Systeme können auch getrennte Netzbereiche oder sogar Stand-Alone-Systeme, also vom Netzwerk komplett losgelöste Systeme, sinnvoll sein. Zudem ist in Zeiten steigender Industriespionage auch für mittelständische Betriebe die Nutzung von Intrusion Detection und Prevention-Systemen sinnvoll, um verdächtige Netzwerkaktivitäten zu identifizieren und automatisch entsprechende Gegenmaßnahmen zu treffen. Dadurch werden nicht nur personenbezogene Daten, sondern auch die Unternehmensinterna geschützt.

Kombination aus Passwort und Token
Soweit Unternehmen erhöhte Sicherheitsanforderungen an Zugangskontrollen stellen, ist zu prüfen, ob Zugänge über eine klassische Authentifizierung mit Benutzername und Passwort (Merkmal: Wissen) genügen oder darüber hinaus nicht auch der Einsatz von Chipkarten oder Token (Merkmal: Besitz) sinnvoll ist. Denn eine solche Kombination der Merkmale Besitz und Wissen gewährleistet meist einen erhöhten Schutz für Zugänge. Hierbei sollten Sie beachten, dass die Ausgabe und der Entzug von Logins sowie Token dokumentiert und Regelungen zum Umgang mit Passwörtern und Zugangsmitteln (Chipkarte, Token) getroffen werden müssen.

Daneben sind soweit umsetzbar technische Passwortvorgaben einzuführen. Hierzu zählen Passwortmindestlänge, Passwortkomplexität, Zwangswechsel für Passwörter nach beispielsweise 90 Tagen sowie eine Passworthistorie. Nähere Informationen hierzu liefert Punkt M 2.11 in den BSI IT-Grundschutz-Katalogen [1]. Weitere mögliche Maßnahmen sind

  • Authentifizierung von Nutzern über Zertifikate
  • Sperrung von Nutzerkonten nach dreimaliger Falscheingabe samt genutzter IP-Adresse (bei Wartungszugängen)
  •  Protokollierung von Zugriffen beziehungsweise Zugriffsversuchen und deren regelmäßige Auswertung
  • Netzwerkseitig ist zu unterbinden, dass sich eine Benutzerkennung mehrmals im Netzwerk anmelden kann
  • Nutzung von Antivirensoftware auf Clients und regelmäßige Aktualisierung
  • Nutzung von Firewalls
  • Bootschutz über externe Schnittstellen (CD/DVD-Laufwerke oder USB-Ports)
  • Nutzung sicherer Übertragungstechniken (etwa IPSEC)
Bei der Zugangskontrolle ist neben der Einbindung der IT im Onboarding-Prozess insbesondere auch ein funktionierender Offboarding-Prozess erforderlich, um eine zeitnahe Deaktivierung externer Zugänge zu gewährleisten. Immer wieder finden sich in Unternehmen offene VPN-Zugänge ausgeschiedener Mitarbeiter, was ein erhebliches Sicherheitsrisiko darstellt. Auch seit Jahren ungenutzte, aber weiterhin aktive Wählzugänge sind in vielen Unternehmen in Vergessenheit geraten und deshalb ist auch an deren Sperrung zu denken. Grundsätzlich ist überdies empfehlenswert, ungenutzte Zugänge nach sechsmonatiger Inaktivität "präventiv" zu sperren.




                                                Seite 1 von 2                     Nächste Seite>>


14.05.2012/Giovanni Brugugnone/dr/ln

Nachrichten

Unter Beschuss [11.08.2022]

VMware hat seinen achten jährlichen "Global Incident Response Threat Report" veröffentlicht. Der zeigt, dass sich IT-Verantwortliche in Zeiten von Pandemien, Burnout und geopolitisch motivierten Cyberangriffen auch mit neuen Bedrohungen wie Deepfake-Attacken konfrontiert sehen. [mehr]

Mobile Passwörter [10.08.2022]

In seiner neuen Version unterstützt der Passwortmanager 1Password nun auch iOS und Android. Damit bietet die nächste Generation der Anwendung mehr Funktionsgleichheit zwischen der Desktop- und der Mobil-App. Das Update will nahtlose Sicherheit für unterwegs mit sich bringen und es noch einfacher machen, persönliche Daten unabhängig vom Gerät zu schützen. Gleichzeitig verspricht der Hersteller eine verbesserte Benutzerfreundlichkeit. [mehr]

Wissen schützt [2.08.2022]

Tipps & Tools

Intensivseminar "Office 365 bereitstellen und absichern" in München oder online [8.08.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Die Veranstaltung findet Ende September in München statt – parallel dazu können Sie auch online teilnehmen. [mehr]

Studie: Unternehmen geben zu viel für Cloudservices aus [5.07.2022]

Couchbase hat die Kosten, die Unternehmen jährlich für ihre Cloudnutzung bezahlen, näher untersucht. Unter anderem aufgrund unflexibler Preisgestaltung und unzureichender Managementtools ermittelte die Studie unnötige Mehrkosten um etwa 35 Prozent. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen