IT Solution Company
IT-Strategie IT-Knowledge
Translate this page into English X

3.5 Sicherheitskonzept
Bevor man etwas absichern will, muss man wissen, wie man was vor was genau absichern will. Dieses Wie, Was und Wovor definiert man als eine Reihe von Entscheidungen in einem "Sicherheitskonzept" oder in "Sicherheitsrichtlinien".
Dieses Kapitel zeigt, worauf beim Erstellen eines Sicherheitskonzepts geachtet werden muss und stellt dabei ein einfaches Gerüst zur Verfügung.
Was muss geschützt werden?
Als erstes müssen die zu schützenden Objekte identifiziert werden. Dies ist ein sehr wichtiger Teil. Wird nur eine Workstation vergessen, kann schon ein Angriff darauf ein ganzes Netz lahmlegen!
    • Hardware
    • Software
    • Daten
    • Dokumentation
    • Zubehör
Wovor wird geschützt?
Nach der Zusammenstellung der zu schützenden Objekte kann man sich nun überlegen, wovor die Objekte geschützt werden sollten. Grundsätzlich fragt man sich, welche Mitarbeiter welche Zugriffsrechte haben. Dazu definiert man Benutzergruppen:
    • Gäste
    • Aushilfen
    • Mitarbeiter
    • Systemadministrator
    • Service-Personal
    • externe Benutzer
Ein Mitarbeiter kann dabei in keiner Gruppe, einer oder mehreren Benutzergruppen angehören. Gehört er keiner Benutzergruppe an, so hat er keine Zugriffsrechte. Sind Zugriffsrechte verteilt, kann man unterscheiden, ob authorisierte oder nicht authorisierte Zugriffe erfolgen.
Wie gut wird geschützt?
Grundsätzlich unterscheidet man zwischen zwei Denkweisen:
    • Alles, was nicht ausdrücklich erlaubt ist, ist verboten
    • Alles, was nicht ausdrücklich verboten ist, ist erlaubt
Eine 100%ige Sicherheit wird nie erreicht[Murphy]! Man kann aber eine hohe Sicherheit erreichen, wenn die 1. Denkweise angewendet wird und einige Regeln eingehalten werden
Minimale Zugriffsrechte und Datensicht
Nur die zur Erfüllung einer Aufgabe absolut notwendigen Rechte dürfen vergeben werden. Dieses Prinzip verkleinert die Angriffsfläche und begrenzt den Schaden bei gezielten Attacken. Was der Mitarbeiter nicht probiert er auch nicht aus und kann damit keinen unbeabsichtigten Schaden anrichten.
Mehrschichtige Verteidigung:
Man sollte sich nie auf nur einen Schutzmechanismus verlassen. Es müssen Mechanismen eingesetzt werden, die sich gegenseitig unterstützen oder verstärken.
Die Passierstelle:
Die Passierstelle zum geschützten Bereich sollte möglichst eng sein. Zum Beispiel beim Anschluss des Firmennetzes an das Internet verwendet man darum nur eine Schnittstelle. Diese Schnittstelle kann genau überwacht werden. Werden dagegen mehrere Schnittstellen verwendet, kann man sich zuwenig auf die einzelnen konzentrieren und es geschehen schneller Fehler.
Das schwächste Glied:
Eine Kette ist nur so stark wie ihr schwächstes Glied. Dies gilt auch für ein Schutzsystem. Ein Angreifer sucht immer nach dem schwächsten Glied, um so schnell wie möglich die Mauer zu durchbrechen. Deshalb sollte man sich genau überlegen, worauf man sich bei der Überwachung besonders konzentrieren muss.
Zuverlässigkeit:
Es ist bekannt, dass jede Software Fehler hat. Es muss darauf geachtet werden, dass bei einem Softwarefehler ein Angreifer nicht plötzlich Zugang erhält, wo er sonst abgewiesen würde. Es kann sich unter Umständen auch lohnen mehrer Firewallsysteme gestaffelt hintereinander einzusetzen damit nicht beim Auftreten eines Softwarefehlers in einem System die ganze Verteidigung weg ist.
Umfassende Beteiligung:
Jeder Mitarbeiter muss mitmachen wollen und darum für die Sicherheit motiviert werden.
Einfachheit:
Die Sicherheitssysteme sollten einfach und übersichtlich gestaltet werden. Nur so ist es möglich, eine Kontrolle darüber zu haben.
Bsp.: Zwingt man die Benutzer dazu jede Woche ein neues 15stelliges Passwort zu verwenden, werden sie es sicher irgendwo aufschreiben...

abc Information GmbH, Berlin *** Phone: +49 700-ITBROKER ** Impressum ** Contact
Host: IP: 3.235.176.80 User: Date: May 23, 2022, 10:14 pm Agent: CCBot/2.0 (https://commoncrawl.org/faq/)