Die zunehmende Vernetzung elektronischer Geschäftsprozesse und der Einsatz mobiler Lösungen begünstigen Angriffsaktivitäten. Eventuelle Lücken der IT-Sicherheit können schnell zu Geschäftsrisiken werden und erhebliche finanzielle Verluste und Wettbewerbsnachteile nach sich ziehen. Die Statistik weist eine steigende Computerkriminalität auf.
Gefahr von ‚innen'
Aber es geht nicht nur um externe Systemattacken. Die Anzahl der internen wird oft unterschätzt - Risiken, die von den eigenen Mitarbeitern ausgehen. Nach einer Studie der "Nationalen Initiative für IT-Sicherheit" haben hier mehr als die Hälfte der Sicherheitsvorfälle ihre Ursache im eigenen Unternehmen.
Zur Vermeidung unbewusster Sicherheitsverstöße tragen Schulung und Information der Mitarbeiter bei. Neben der Ursachenfindung für mögliche bewusste Angriffe - z.B. bei mangelnder Motivation, Konflikten, usw. - ist die Vermeidung von Sicherheitsrisiken auf technischer Ebene ebenso erforderlich.
Oft ist das eine Gratwanderung für den Administrator. Zum Einen soll der Benutzer die Netzwerkressourcen und Applikationen uneingeschränkt nutzen können. Schnell kann nämlich sonst die Motivation sinken, wenn man während der Arbeit allzu oft mit "Zugriff-verweigert"-Meldungen konfrontiert wird.
Auf der anderen Seite steht die gezielte Berechtigungssteuerung, so dass nicht mehr als für den Mitarbeiter notwendige Bereiche zugreifbar sind.
Berechtigung statt Restriktion
Hierfür ist eine übergreifende Planung der Berechtigungen wichtiger, als jede Applikation und jede Netzwerkfreigabe von vornherein mit den maximalen Einschränkungen auszustatten. Stufenkonzepte, die das Netzwerk und seine Daten in unterschiedliche Sicherheitszonen ordnen, haben sich bewährt. So kann der Fokus der Sicherheitsarbeit auf die wichtigen Bereiche gelenkt werden. Diese Unterteilung ist weniger eine Aufgabe der Administration, als eine auf Führungsebene vorzunehmende Priorisierung. Werte pro Datensatz in Euro, die der Bedeutung der jeweiligen Daten für das Unternehmen entsprechen, können beispielsweise dafür als Basis heran gezogen werden. Ausnahmslos alle Unternehmensdaten sind aufzunehmen.
Erst nach der Aufteilung des Netzwerks bzw. der Unternehmensdaten in verschiedene Sicherheitszonen gilt es dann, entsprechende Berechtigungskonzepte auf administrativer Ebene zu entwickeln.
Den Stammdaten eines ERP-Systems im Unternehmensnetzwerk wird naturgemäß eine hohen Sicherheitsstufe zugeordnet. Bei Einsatz der Branchenlösung BAU financials ist es z.B. möglich, Berechtigungen für definierte Benutzergruppen auf jedes einzelne Objekt in der Datenbank zu vergeben. Auch Dateninhalte von Stammdaten (Abrechnungskreise, Personenkonten, Kostenstellen, Geräte...) können separat berechtigt werden. Allerdings sollte der Zugriff auf die Datenbank natürlich ebenfalls besonders geschützt werden.
Wohlüberlegte Konzepte sparen später Zeit
Viele Dinge sind zu bedenken. Am Beispiel von Windows-Berechtigungen nachfolgend zwei wichtige Punkte, die - wenn sie im Vorfeld der Realisierung festgelegt worden sind - viel zeitliches Einsparpotential bei der täglichen Arbeit bieten. Die im Voraus investierte Zeit amortisiert sich später leicht.
- Werden Netzwerke von mehreren Administratoren betreut, sind als Handlungsgrundlage von Anfang an Konventionen zu definieren. Sonst kann sich das Sprichwort von den vielen Köchen, die einen Brei verderben, schnell bewahrheiten. Diese Festlegungen betreffen die Benennung von Benutzeraccounts, Computerkonten, Gruppen u.a.m. So schafft beispielsweise die einheitliche Benennung aller Benutzerobjekte Übersicht. Sollen später Einstellungen für alle Benutzer mit Scripts geändert werden, ist die besonders vorteilhaft.
Accounts, hinter denen kein realer Benutzer steckt (z.B. Dienstebenutzer, Testbenutzer, usw.) könnten mit einem Präfix beginnen: "SvcArcserve", oder "TstMeyer". So ist leicht erkennbar, um welche Art Benutzeraccount es sich im Einzelfall handelt.
Und noch ein Tipp, der viel Zeit spart: Warum ein bestimmter Benutzer denn z.B. Zugriff auf die Briefe der Geschäftsleitung hat oder warum der Druckversuch auf dem neuen Laserdrucker mit der Meldung "Zugriff verweigert" quittiert wird, kann einen Administrator lange unnötig beschäftigen. Wie aber berechtigt man denn nun am besten Benutzer im Netzwerk? D.h., wie lassen sich Verzeichnisfreigaben oder Ressourcen, wie z.B. Drucker berechtigen?
- Auch hier sollte in enger Abstimmung mit allen Administratoren (interne wie externe) gemeinsam festgelegt werden, wie das geschieht. Bewährt hat sich im Windows-Umfeld A-G-DL-P, das A(ccount)-G(lobal)-D(omain)L(okal)-Permission-Prinzip. Es basiert auf einer immer identischen Verschachtelung. Neue Benutzer können so leicht nachvollziehbar berechtigt werden. Im Fehlerfall ist die Ursache schnell gefunden.
Die angeführten Beispiele sind nur ein kleiner Auszug langjähriger Experten- Erfahrungswerte.
Fazit
Durchdachter Datenschutz setzt Planung voraus. Konzeptionen, die das gesamte Unternehmen betreffen. Hierbei ist der Blick vor allem auf die Daten zu lenken, die wirklich schützenswert sind. Insbesondere ist zu berücksichtigen, dass der Großteil aller Sicherheitsvorfälle interne Ursachen hat. Der Schutz des Netzwerks sollte deshalb nicht an den Unternehmenstoren aufhören.
Durchgängige, einheitliche Berechtigungsstrukturen sparen den Administratoren viel Zeit. Wichtig ist, zu Anfang nichts ‚über das Knie brechen zu wollen'. Es ist besser, Zeit in Planung zu investieren, um später möglichst effizient arbeiten zu können. Gebaute Häuser reißt man schließlich nicht so schnell ab.
Hat Ihr Netz Optimierungsbedarf?
Die Spezialisten der Nemetschek Bausoftware GmbH helfen gern bei der Analyse und beraten ausführlich zum Thema Optimierungsmöglichkeiten im Active Directory. Auch individuelle Schulungen vor Ort sind möglich.
Autor: Michael Böttjer, Nemetschek Bausoftware GmbH
Weitere Informationen --> www.bausoftware.de
Gefahr von ‚innen'
Aber es geht nicht nur um externe Systemattacken. Die Anzahl der internen wird oft unterschätzt - Risiken, die von den eigenen Mitarbeitern ausgehen. Nach einer Studie der "Nationalen Initiative für IT-Sicherheit" haben hier mehr als die Hälfte der Sicherheitsvorfälle ihre Ursache im eigenen Unternehmen.
Zur Vermeidung unbewusster Sicherheitsverstöße tragen Schulung und Information der Mitarbeiter bei. Neben der Ursachenfindung für mögliche bewusste Angriffe - z.B. bei mangelnder Motivation, Konflikten, usw. - ist die Vermeidung von Sicherheitsrisiken auf technischer Ebene ebenso erforderlich.
Oft ist das eine Gratwanderung für den Administrator. Zum Einen soll der Benutzer die Netzwerkressourcen und Applikationen uneingeschränkt nutzen können. Schnell kann nämlich sonst die Motivation sinken, wenn man während der Arbeit allzu oft mit "Zugriff-verweigert"-Meldungen konfrontiert wird.
Auf der anderen Seite steht die gezielte Berechtigungssteuerung, so dass nicht mehr als für den Mitarbeiter notwendige Bereiche zugreifbar sind.
Berechtigung statt Restriktion
Hierfür ist eine übergreifende Planung der Berechtigungen wichtiger, als jede Applikation und jede Netzwerkfreigabe von vornherein mit den maximalen Einschränkungen auszustatten. Stufenkonzepte, die das Netzwerk und seine Daten in unterschiedliche Sicherheitszonen ordnen, haben sich bewährt. So kann der Fokus der Sicherheitsarbeit auf die wichtigen Bereiche gelenkt werden. Diese Unterteilung ist weniger eine Aufgabe der Administration, als eine auf Führungsebene vorzunehmende Priorisierung. Werte pro Datensatz in Euro, die der Bedeutung der jeweiligen Daten für das Unternehmen entsprechen, können beispielsweise dafür als Basis heran gezogen werden. Ausnahmslos alle Unternehmensdaten sind aufzunehmen.
Erst nach der Aufteilung des Netzwerks bzw. der Unternehmensdaten in verschiedene Sicherheitszonen gilt es dann, entsprechende Berechtigungskonzepte auf administrativer Ebene zu entwickeln.
Den Stammdaten eines ERP-Systems im Unternehmensnetzwerk wird naturgemäß eine hohen Sicherheitsstufe zugeordnet. Bei Einsatz der Branchenlösung BAU financials ist es z.B. möglich, Berechtigungen für definierte Benutzergruppen auf jedes einzelne Objekt in der Datenbank zu vergeben. Auch Dateninhalte von Stammdaten (Abrechnungskreise, Personenkonten, Kostenstellen, Geräte...) können separat berechtigt werden. Allerdings sollte der Zugriff auf die Datenbank natürlich ebenfalls besonders geschützt werden.
Wohlüberlegte Konzepte sparen später Zeit
Viele Dinge sind zu bedenken. Am Beispiel von Windows-Berechtigungen nachfolgend zwei wichtige Punkte, die - wenn sie im Vorfeld der Realisierung festgelegt worden sind - viel zeitliches Einsparpotential bei der täglichen Arbeit bieten. Die im Voraus investierte Zeit amortisiert sich später leicht.
- Werden Netzwerke von mehreren Administratoren betreut, sind als Handlungsgrundlage von Anfang an Konventionen zu definieren. Sonst kann sich das Sprichwort von den vielen Köchen, die einen Brei verderben, schnell bewahrheiten. Diese Festlegungen betreffen die Benennung von Benutzeraccounts, Computerkonten, Gruppen u.a.m. So schafft beispielsweise die einheitliche Benennung aller Benutzerobjekte Übersicht. Sollen später Einstellungen für alle Benutzer mit Scripts geändert werden, ist die besonders vorteilhaft.
Accounts, hinter denen kein realer Benutzer steckt (z.B. Dienstebenutzer, Testbenutzer, usw.) könnten mit einem Präfix beginnen: "SvcArcserve", oder "TstMeyer". So ist leicht erkennbar, um welche Art Benutzeraccount es sich im Einzelfall handelt.
Und noch ein Tipp, der viel Zeit spart: Warum ein bestimmter Benutzer denn z.B. Zugriff auf die Briefe der Geschäftsleitung hat oder warum der Druckversuch auf dem neuen Laserdrucker mit der Meldung "Zugriff verweigert" quittiert wird, kann einen Administrator lange unnötig beschäftigen. Wie aber berechtigt man denn nun am besten Benutzer im Netzwerk? D.h., wie lassen sich Verzeichnisfreigaben oder Ressourcen, wie z.B. Drucker berechtigen?
- Auch hier sollte in enger Abstimmung mit allen Administratoren (interne wie externe) gemeinsam festgelegt werden, wie das geschieht. Bewährt hat sich im Windows-Umfeld A-G-DL-P, das A(ccount)-G(lobal)-D(omain)L(okal)-Permission-Prinzip. Es basiert auf einer immer identischen Verschachtelung. Neue Benutzer können so leicht nachvollziehbar berechtigt werden. Im Fehlerfall ist die Ursache schnell gefunden.
Die angeführten Beispiele sind nur ein kleiner Auszug langjähriger Experten- Erfahrungswerte.
Fazit
Durchdachter Datenschutz setzt Planung voraus. Konzeptionen, die das gesamte Unternehmen betreffen. Hierbei ist der Blick vor allem auf die Daten zu lenken, die wirklich schützenswert sind. Insbesondere ist zu berücksichtigen, dass der Großteil aller Sicherheitsvorfälle interne Ursachen hat. Der Schutz des Netzwerks sollte deshalb nicht an den Unternehmenstoren aufhören.
Durchgängige, einheitliche Berechtigungsstrukturen sparen den Administratoren viel Zeit. Wichtig ist, zu Anfang nichts ‚über das Knie brechen zu wollen'. Es ist besser, Zeit in Planung zu investieren, um später möglichst effizient arbeiten zu können. Gebaute Häuser reißt man schließlich nicht so schnell ab.
Hat Ihr Netz Optimierungsbedarf?
Die Spezialisten der Nemetschek Bausoftware GmbH helfen gern bei der Analyse und beraten ausführlich zum Thema Optimierungsmöglichkeiten im Active Directory. Auch individuelle Schulungen vor Ort sind möglich.
Autor: Michael Böttjer, Nemetschek Bausoftware GmbH
Weitere Informationen --> www.bausoftware.de
