DIE Instanz
zur IT-Sicherheit:


DIE Instanz
zum Datenschutz in Deutschland

DIE Instanz
zum Thema IT Governance 

DIE Instanz
zum Internationalen Datenschutz


Vertraulichkeit ... verhindern von Daten-Spionage 

 

Es sollen nur diejenigen auf Ihre (vertraulichen) Daten (Preislisten, Konstruktionspläne, Kundenlisten, Personaldaten etc.) zugreifen können, denen Sie das ausdrücklich gestatten.

 

Dabei geht es sowohl um Externe (Kunden, Konkurrenten, Hacker, Finanzamt, etc.) aber auch um interne Personen. So sollte z.B. nicht jeder Mitarbeiter Zugriff zu Personaldaten haben. Das wäre auch mit dem Datenschutz gar nicht vereinbar.

 

Alle Fachleute sind sich einig, dass ca. 70 % der Computerkriminalität von eigenen Mitarbeitern begangen wird.

 

Stichworte: Datenklassifizierung, Need-to-know Prinzip, Zutrittkontrolle, Zugangskontrolle, Zugriffskontrolle, Passwort Regeln, Screensaver, Firewalls, Datenverschlüsselung, Laptop-Sicherheit, Funknetze, Intrusion-Detection, Wachsamkeit und Verhalten, Patch-Management, Sicherheit von USB-Sticks und -Platten

 

 

Datenklassifizierung 


Zunächst einmal müssen Sie Ihre Datenbestände klassifizieren. Das lässt sich sehr gut mit dem gesetzlich vorgeschriebenen Verfahrensregister für den Datenschutz kombinieren. Die Klassifizierung sollte mindestens folgende Merkmale für alle Daten festlegen:

Zunächst sollten Sie den Dateneigentümer festlegen - Er ist organisatorisch (nicht technisch) verantwortlich für "seine" Daten. Der Dateneigentümer muss dann für "seine" Daten die Klassifizierung vornehmen.

Der EDV Leiter muss die vom Dateneigentümer vorgegeben Zugriffsrechte zuverlässig realisieren. Die Geheimhaltungsstufe gibt ihm einen Anhaltspunkt, wie viel Aufwand er treiben sollte/muss.

 

 

 

Need-to-know Prinzip  (Notwendigkeit, zu wissen)


Da potentiell jeder Mitarbeiter ein Verräter sein könnte, sollte jeder Mitarbeiter nur Zugriff zu den Daten erhalten, die er zur Ausübung seiner Tätigkeiten braucht. Es verstößt gegen das Need-to-know Prinzip, wenn Zugriff auf bestimmte Daten oder Server nach "Dienstgrad" vergeben werden und damit zur Prestigesache werden. Der Finanzchef braucht z.B. in der Regel keinen Zugriff auf Konstruktionspläne.

Das Befolgen dieses Prinzips reduziert die Möglichkeit, dass ein Mitarbeiter seinen Datenzugriff missbraucht (Kundenadressen an Konkurrenten geben, Gehaltsdaten ausspähen etc.).



Zutrittskontrolle 


Meist sind die Masse der Unternehmensdaten auf Servern gespeichert. Wer physikalisch Zutritt zu diesen Servers hat, kann fast alle Sicherungsmechanismen umgehen (indem er z.B. die Festplatte ausbaut). Daher sollten die Server in einem gesicherten Raum stehen, zu dem nur wenige Personen Zutritt haben (meist EDV Mitarbeiter, Hausmeister und Chef). In großen Unternehmen ist das Rechenzentrum daher über Code-Karten und Sicherheitsschleusen abgesichert. Für Mittelständler tut's auch ein abgeschlossener Raum (Sicherheitsschloss) mit genügend Lüftung/Kühlung. Es gibt auch abschließbare Server-Schränke mit eingebauter Lüftung/Kühlung. Die kann man getrost ins Büro oder den Flur stellen.

Egal wo die Server stehen, überlegen Sie genau, wer einen Schlüssel dazu erhalten soll. Auch hier gilt das Need-to-Know Prinzip.


- zum Seitenanfang -

 

 

Zugangskontrolle


Zum Arbeiten am PC und/oder Server müssen die Mitarbeiter sich zunächst "ausweisen", auch bekannt als Anmelden, Logon oder Login. Das geschieht in der Regel mit einen meist allgemein bekannten Benutzernamen und einem nur dem Mitarbeiter bekannten Passwort.  Andere Möglichkeiten sind z.B. Codekarten, die in ein Lesegerät am PC gesteckt werden oder das RSA SecurID Token, das sich inzwischen als eine Art Standard für für den Zugang zu vertraulichen Systeme über das Internet etabliert hat. Das Token ist etwa halb so groß wie eine Streichholzschachtel und zeigt alle 60 Sekunden eine andere 6-stellige Zahl an. Zur Anmeldung gibt der Benutzer eine nur ihm bekannte 4-stelligen PIN (wie bei der EC-Karte) UND den 6-stelligen SecurID Code ein.

 

Über Benutzername/Passwort oder Karte oder SecurID erhält der Mitarbeiter somit Zugang zum System, d.h. das System weiß, WER sich da angemeldet hat. Damit ist aber noch nicht gesagt, WELCHE DATEN auf dem System er lesen/verändern/erstellen/löschen kann. Lesen Sie dazu den nächsten Abschnitt über Zugriffskontrolle.  


 

Zugriffskontrolle


Über die Zugangskontrolle (voriger Abschnitt) ist der Benutzer "drin". Im Server (oder sogar im PC) gibt es nun sogenannte "Benutzerprofile", aus denen hervorgeht, WER, WAS und u.U. sogar WANN darf. Die Abstufung dieser Rechte ist je nach Systemen sehr unterschiedlich und soll hier nicht weiter vertieft werden. Die Pflege der Benutzerprofile gehört zum Kern der betrieblichen IT-Sicherheit. 

Falsch: Da ruft ein Mitarbeiter den Systemadministrator an: "Ich brauche unbedingt sofort Zugriff zum Verzeichnis xyz". Der Systemadministrator macht das zack-zack und alle sind zufrieden.  Wirklich ?  Von IT-Sicherheit keine Spur !

Oder: um sich die Pflege der  Benutzerprofile zu sparen, erhalten alle Mitarbeiter Zugriff zu allen Daten. Das ist als ob Sie Ihren Safe immer unverschlossen haben. 

Richtig: Nur der Dateneigentümer darf entscheiden, WER, WELCHEN Zugriff zu seinen Daten erhält. Die IT Leute setzen das nur um. In kleinen Unternehmen können diese Rollen in Personalunion bestehen. Und dann sollte der Systemadministrator dokumentieren, auf wessen Anweisung er wann, wem, auf welche Daten Zugriff  gewährt hat. 

Bestehen Sie auf einer E-Mail des Dateneigentümers. Noch besser: führen Sie ein Ticket- oder Workflowsystem ein, in dem alle Anfragen, Genehmigungen und Aktivitäten protokolliert werden.

- zum Seitenanfang -

 

 

Passworte


Es gibt heute Programme, mit denen man Passworte schnell "knacken" kann. (z.B. Cain&Abel oder John the Ripper). Daher sollte Ihr Passwort folgende Eigenschaften aufweisen.

Ein paar Tricks:

 

Tauschen Sie in normalen Worten/Namen Buchstaben gegen Zahlen aus:

(A=4  B=8  E=3  I=1  0=0 (null)) und schreiben Sie z.B. den letzten Buchstaben groß.

"Banane"  wird zu "84n4n3"

"Tesafilm" wird zu "T3s4f1lM"

"Rosemarie"  wird zu "R0s3m4ri3"

 

Schreiben Sie Worte rückwärts:

"Waldsterben" wird zu "NebretsdlaW"

 

Mit diesen Tricks haben wir in einem großen Unternehmen die Anzahl der geknackten Passworte in einem Monat von 50% auf 1% reduziert.

Ändern Sie Ihr Passwort mindestens einmal im Jahr, denn irgendwann hat es sich doch herumgesprochen.

Das Passwort darf nur dem Mitarbeiter bekannt sein. Bitte auch keinem Kollegen verraten (z.B. für die Urlaubsvertretung). Auch den IT Mitarbeiter sollten Sie Ihr Passwort nicht preisgeben. Sollten Sie Ihr Passwort dennoch einmal versehentlich oder in einer Notsituation verraten haben, dann ändern Sie es bitte sofort.

Und schließlich - bitte das Passwort nicht unter der Tastatur oder sonst wo frei zugänglich notieren. 

Ich persönlich verwende einen Password Safe – eine Software, in dem alle meine Passworte verschlüsselt eingetragen sind. Ich brauche mir nur noch das Passwort des Safes zu merken. Das Programm ist kostenlos.

Ein sicherheitsbewusster Systemadministrator wird die "Passwort-Policy" zumindest so einstellen, das die minimale Passwort-Länge auf  8 steht und nach 12 Monaten eine Passwort-Änderung erzwungen wird. Windows ab 2000 bietet darüber hinaus weitere Möglichkeiten, Passworte abzusichern.

Mit Zusatzprogrammen Passwort Policy Enforcer (PPE) wird ein Passwort schon bei der erstmaligen Vergabe auf "Crackbarkeit" geprüft. PPE wird nur auf dem Domain-Controller installiert und ist damit ganz schnell realisierbar.  

 

 - zum Seitenanfang -  

 

Screen-Saver  


Wenn Sie Ihren Arbeitsplatz (Toilette, Mittagspause, Meeting) kann jedermann an Ihren PC und dort unter Ihrem Namen in vertraulichen Daten rumstöbern oder diese verändern/löschen. Sie sollten daher eine Bildschirmschoner mit Passwortschutz aktivieren. Empfehlenswert ist eine Einstellung von 5-10 Minuten. Normaler Benutzer dürfen den Bildschirmschoner nicht ausschalten können (Kann der Systemadministrator in den Windows Security Policies einstellen). Verantwortungsbewusste Mitarbeiter aktivieren den Bildschirmschoner selber wenn Sie den Arbeitsplatz verlassen ( Strg-Alt-Entf  und dann <Return>).



Firewalls


Jeder, der  eine Internet-Verbindung hat, muss damit rechnen, dass er von Hackern angegriffen wird. Auch wenn Sie nur vorübergehend ins Internet gehen (z.B. durch ISDN-Einwahl), werden sie i.d.R. schon nach ca. 30 Minuten über sogenannte Port-Scans angegriffen. Damit prüfen Hacker, wo bei Ihrem Rechner ein potentielles Schlupfloch existiert. Hat er ein solches Schlupfloch gefunden, attackiert er ganz gezielt. Es gibt inzwischen "Roboter", die pausenlos alle Internet-Adressen nach solchen "Verwundbarkeiten" absuchen.

Wer keine Firewall hat, handelt grob fahrlässig. Das muss nicht teuer sein.

Im Wesentlichen definiert eine Firewall, welche (externen) Netzwerkadressen über welche Ports und Protokolle auf Ihr Firmen-Netzwerk oder Ihren privaten PC zugreifen dürfen. Getreu dem Motto: "was nicht ausdrücklich erlaubt ist, ist verboten." 

Die heute üblichen DSL Router haben ein eingebaute Firewall und sichern Ihr privates oder Firmennetz effektiv gegen das Internet ab.

Bedenkens Sie aber, dass auch innerhalb Ihres privaten Netzes (Hotel, Hotsport etc.) Gefahren durch Virus-infizierte PCs oder kriminell veranlagte Mitarbeiter bestehen.

Eine "Personal Firewall" auf jedem PC ist daher unverzichtbar.

Windows XP/Vista/7/8 haben eine eingebaute Firewall - die ist völlig ausreichend - unbedingt aktivieren.

Der Schutz von Firmennetzen ist etwas komplexer und kann hier nicht erschöpfend behandelt werden. Jedes seriöse Systemhaus kann Ihnen das heute einrichten - es gibt Lösungen für jede Firmengröße, die nicht unbedingt teuer sein müssen.

Übrigens: 2001 hat ein US-Gericht eine Behörde angewiesen, ihren Internetzugang abzuschalten, da mangels Firewall die persönlichen Daten der Bürger nicht ausreichend geschützt waren.  

Die Firewall wird überschätzt

Einfache Firewalls (z.B. in DSL Routern) schützten nur gegen unerwünschte Attacken von außen. Programme auf Ihrem PC (Trojaner), die unerwünscht eine Verbindung ins Internet aufbauen, können nur durch vollwertige Firewalls geblockt werden.
Vista, Windows-7/8, Linux und Mac-OS haben solche vollwertigen Firewalls eingebaut; die Konfiguration ist aber nicht immer ganz trivial und somit für den Laien meist unbrauchbar. 
Firewalls schützen übrigens nicht gegen Viren und bösartigen Web-Seiten.


Die beste Firewall ist der gesunde Menschenverstand
- installieren Sie nur Software von vertrauenswürdigen Quellen (Computerzeitschriften, bekannte Hersteller, Sourceforge).

 

- zum Seitenanfang -

 

Datenverschlüsselung


E-Mail Verschlüsselung

E-Mails über das Internet sind leicht abzufangen und von Unbefugten zu lesen. Oft werden E-Mail auch versehentlich an den falsche Adressaten geschickt. Versenden Sie also vertrauliche Daten niemals unverschlüsselt über das Internet.

Zur Email Verschlüsselung gibt es im Wesentlichen 3 Möglichkeiten:

PGP - Kommerziellen Produkt, ca. 150€ pro Arbeitsplatz.

GPG - Kostenlose OPenSource Variante von PGP, voll kompatibel zu PGP.  

Für die beiden obigen generieren sie die Schlüssel selber und müssen diese manuell mit Ihren Mailpartnern austauschen. Zudem muss Ihr Email Partner natürlich auch PGP oder GPG installiert haben.

Sie haben allerdings KEINE Möglichkeit die Identität des Email Absender zu prüfen. 

S/Mime - ist in Outlook, Outlook Express, Thunderbird und so ziemlich allen E-Mail Programmen bereits integriert. 

Als Schlüssel brauchen Sie ein x.509 Zertifikat. Zertifikate gibt z.B. bei Symantec und GlobalSign.

Zusätzlich zur Verschlüsselung bietet S/Mime die Möglichkeit eine Email digital zu signieren und damit deren Herkunft verbindlich zu prüfen. Die x.509 Zertifikate sehen dazu 4 Vertrauensstufen vor:

 

Class-1    hier wird nur die Email Adresse selber geprüft. Das ist schon ein guter Schutz gegen "getürkte" Email-Adressen.

 

Class-2    hier wird bestätigt, welche Firma sich hinter dem "@" Zeichen verbirgt. Also bei blabla@huddel-und-brassel.de wird bestätigt, wer sich hinter "huddel-und-brassel.de"  verbirgt.

 

Class-3    hier wird die Person bestätigt, der die Email Adresse gehört. Dazu muss diese Person sich per PostIdent ausweisen.

 

Class-4    auch qualifiziertes Zertifikat genannt, ist wie Class-3 aber auf einer Smartcard und kann als rechtsverbindliche digital Unterschrift nach den Signaturgesetz verwendet werden.

 

Ich ziehe S/Mime mit x.509 Zertifikat vor, da diese Software bereits überall installiert ist und ich so sicher bin, dass mein Email Partner darüber verfügt. Außerdem eröffnet sich mir die Möglichkeit der digitalen Unterschrift wie oben beschrieben.

 

 

Alternativen zur Email Verschlüsselung

Email Verschlüsselung setzt voraus, dass beide Partner sich auf ein Verfahren einigen und Zertifikate austauschen. Das gestaltet sich oft schwierig bis unmöglich. 

Eine simple Alternative ist es, alle vertraulichen Daten in eine (oder mehrere) Datei(en) zu packen, diese Datei zu verschlüsseln und als Angang der Email beizugügen. Der Empfänger braucht dann nur das passende Entschlüsselungsprogram und das Password. Ein gutes und kostenloses Program zu diesdem Zweck ist AxCrypt


MS Office Dokumente ab Version 2007 können auch wirksam verschlüsselt werden - aber nur im Office 2007 Format (also docx, xlsx, pptx). De Verschlüsselung der älteren Versionen ist in wenigen Minuten knackbar.

PDF Dateien können direkt verschlüsselt werden und eignen sich damit hervorragend zur Austausch vertraulicher Schriftsätze. Die meisten PDF Generatoren beherschen das heute, z.B. http://www.pdfforge.org/ (kostenlos).


- zum Seitenanfang -

 

 

Laptop und PC Verschlüsselung 


Laptops stellen in manchen Firmen über 50% der PC Arbeitsplätze. Die Geräte haben heute Festplattenkapazitäten mit denen Sie einen Grossteil der Firmendaten (oder gar Alle) immer mit sich führen können. Für manche Mitarbeiter ist das heute unverzichtbar geworden.

Und wenn Sie den Laptop verlieren oder das Gerät gestohlen wird ? Der Dieb hat dann alle Ihre Daten und kann sie in Ruhe auswerten.

Falls die Daten auf dem Laptop für Sie einen Wert darstellen, empfehle ich dringend, die Festplatte zu verschlüsseln. Grosse Firmen setzen in der Regel auf das Produkt McAfee Endpoint Encryption (früher bekannt als Safeboot), da es sich zentral administrieren lässt. Sie geben beim Booten einmalig das Passwort an - danach ist SafeBoot völlig unsichtbar und transparent.

 

Kleinen Firmen und Privatleuten empfehle ich das kostenlose Open Source Produkt Truecrypt. Es ist ganz ausgezeichnet und steht in Sicherheit und Komfort den kommerziellen Produkten in nichts nach. Es fehlt einzig die zentrale Administrierbarkeit.

Achtung! Truecrypt hat sein Produkt eingestellt - die näheren Umstände sind noch völlig unklar. 

Die wahrscheinlichsten Gründe:

- Die Entwickler haben einfach keine Lust mehr, diese komplexe Software zu pflegen.

- Die NSA hat die Entwickler gezwungen, eine Hintertüre einzubauen - das will man nicht mitmachen.

Die Security Community geht aber davon aus, dass die Software bis zur Version 7.1a weiterhin sicher ist. 

Man findet sie zur Zeit z.B. auf http://truecrypt.ch

Bitte auf keinen Fall die Version 7.2 installieren - die kann nur noch ENTschlüsseln aber nicht mehr VERschlüsseln.


Da PC's immer kleiner werden und eben auch gestohlen werden sollten Sie auch diese verschlüsseln.

Es gibt keinen Grund, eine PC Platte nicht zu verschlüsseln !

 

 

Sicherheit von USB-Sticks und -Platten 


Es ist schon praktisch, Daten per Stick oder USB Platte von einem PC zum anderen zu transportieren. Auch zur Datensicherung sind USB Platten eine sehr gute Lösung.  Die Probleme sind die gleichen wie oben beim Laptop beschrieben. Eine robuste und preiswerte Lösung ist die Verschlüsselung mit Truecrypt oder Sie verwenden hardware-verschlüsselte Memory Sticks.

Vorsicht! hier wird viel Murks angeboten. Wir haben 20 Geräte getestet und die Folgenden als wirklich sicher bewertet:

Ironkey, Kingston DataTraveler Vault - Privacy EditionSafestick, Integral Crypto Drive FIPS-197

 
 

Funknetze / Funk-LAN (WLAN)


Es ist heute mit relative geringem Aufwand möglich, in alle kommerziell angebotenen Funknetze einzudringen. 
Ein Funk-LAN ist eine ungesicherter Einstiegspunkt in Ihr Firmen-Netz, mit einem Internet-Anschluss gleichzusetzen.
Wenn Sie also ein solchen Funk-LAN einrichten (z.B. Schulungs-Netze),  sollten Sie es (wie das Internet) über eine Firewall von Ihrem eigentlichen Unternehmensnetz trennen.
Wenn Sie Funknetze einsetzen, dann aktivieren Sie auf jeden Fall die WPA-2 Verschlüsselung und schalten Sie den SSID-Broadcast aus. So verhindern Sie zumindest, das vorbeifahrende „Schnüffler“ Ihr WLAN entdecken. Das „War-Driving“ genannte Aufspüren von Funknetzen ist inzwischen ein weit verbreiteter Sport. Falls Sie nicht zu viele WLAN Teilnehmer haben schalten Sie auch den MAC Filter ein. Damit muss jeder PC mit seiner MAC Adresse ausdrücklich dem Funk Router bekannt gemacht werden. Andere kommen erst gar nicht rein. Für Familien und Kleinbetriebe sehr zu empfehlen. Ab einer bestimmten Firmengrösse wird der Verwaltungsausfwand zu hoch.
 
   

Intrusion Detection


Über Sensoren können Sie feststellen, ob in Ihrem Firmen-Netz "merkwürdige" Dinge passieren. Insbesondere Hacker die die Firewall überwunden, aber auch Mitarbeiter, die "ungewöhnliche" Aktivitäten im Netz haben, werden aufgespürt. Ebenso können "verdächtige" Datenveränderungen erkannt werden. Das Thema Intrusion Detection ist sehr komplex und macht im der Regel nur als vollständige Dienstleistung Sinn. Das Ganze ist recht teuer und nur bei entsprechenden Sicherheitsbedürfnissen zu rechtfertigen.
Mit dem Open Source Packet SNORT auf Linux Basis können Sie ein eigenes Überwachungssystem aufsetzen - Eine regelmäßige Auswertung der Protokolle (mind. wöchentlich - besser täglich) durch eine Fachmann ist allerdings auch hier Vorraussetzung für den Erfolg.

Achtung - Hier sind in der Regel Datenschutz und Arbeitsrecht tangiert - unbedingt den Datenschutzbeauftragten und Betriebsrat (wenn vorhanden) einbeziehen !

 

Wachsamkeit und Verhalten


Aufklärung, Sensibilisierung und Wachsamkeit der Mitarbeiter ist die kostengünstigste und dennoch mit Abstand effektivste Methode, die Vertraulichkeit Ihrer Daten zu gewährleisten.
Wenn Mitarbeiter z.B. vertrauliche Daten per Email an Kunden, Kollegen, Lieferanten senden, dann nützen Firewall, Intrusion Detection etc. recht wenig. 

Ein paar Empfehlungen für ALLE Mitarbeiter:
Denken Sie daran: Es gibt keine Firewall gegen Dummheit
 
Proaktives Handeln / Patch Management
 
Get secure....
Zunächst einmal müssen Sie Ihre System auf einem Minimalstandard bringen – das BSI hat hierzu einige hervorragende Dokumente.
 
Stay secure....
Jedes Jahr bring alleine Microsoft 50-70 Security Patches heraus, um Sicherheitslücken zu schließen.  Wenn Sie Ihre Systeme sicher halten wollen, müssen Sie diese Updates installieren. Schalten Sie daher unbedingt die automatische Update Funktion in Windows und Linux ein ein.
 
- zum Seitenanfang -
 
 

© 2001-2014 Hanns J. Proenen, Lohmar. Der Text ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Bilder - auch auszugsweise - ohne vorherige schriftliche Genehmigung von Hanns J. Proenen ist strafbar. Das gilt insbesondere für die Vervielfältigung, Verwendung in Kursunterlagen oder elektronischen Systemen.  


Stand: 6. Juni 2014