Netz & Telekom

Security-Kolumne von Dr. Wöhrl

Ohne Zutrittsschutz kein Zugriffsschutz

Aus MONITOR 5/2006

Vertrauen ist gut - Kontrolle ist besser! Eine wichtige, aber auch umstrittene Aussage. Informationssicherheit basiert auf einer Reihe von Kontrollmechanismen, auf der anderen Seite entsteht der "Gläserne Mensch".

Bei vielen Securityprojekten begegnen wir der (positiv zu wertenden) Meinung, dass man den Mitarbeitern vertrauen kann. Leider zeigt eine Studie der IDC, dass 80% der erfolgreichen Angriffe von innen kommen, also durch (oder über) Mitarbeiter (so genannten Authorized-Malicous-Users).

Es muss daher auch innerhalb eines Betriebes ein Securitykonzept entstehen, das den Zutritt und Zugriff zu kritischen Daten eindeutig regelt. Dieser Zutritt kann logisch (etwa per LOGIN) oder physisch (zum Beispiel spezieller Zugangsschutz zum Computerraum) erfolgen. Der unerwünschte Zugriff auf schützenswerte Daten könnte aber beispielsweise auch über frei herumliegende Backups passieren.

Wie man sieht - eine Frage der Organisation!

In diesem Zusammenhang ist ein ausgewogener Mittelweg an Sicherheitsmaßnahmen zu wählen, grafisch dargestellt im "3-Bein der Security":

Die Basis bilden die "K-Pläne" (den operativen Teil bilden die "Policies"), die zu alten Zeiten "Katastrophenpläne" genannt wurden. Die neue Interpretation trifft mit "Kontinuitäts-Planung" das Ziel eindeutig genauer, nämlich einen Betrieb - ohne Unterbrechung durch Gefahren - erfolgreich weiterzuführen ("Business-Continuity-Planing").

Auf der Seite des Hardwareschutzes gibt es eine Reihe chip- oder token-basierender Lösungen, im Bereich der Software sei nur PGP "Pretty-Good-Privacy" oder das freie Kryptotool "Truecrypt" erwähnt.

Wie die letzten Artikel dieser Kolumne gezeigt haben - eine Firewall hilft keinesfalls gegen einen Keyghost und auch Securitychecks mit NESSUS sind nur ein Teil eines gesicherten Einsatzes der IT-Infrastruktur. Doch den Unternehmen wird zunehmend bewusst, dass es mit dem Ankauf "der EDV" alleine nicht getan ist - Gefahren drohen von überall!

Sollten Sie Fragen zum beschriebenen Thema oder allgemein zu Securityfragen haben, senden Sie eine kurze E- Mail an die Redaktion.

Im nächsten Monat widme ich mich dem Thema: "SPOOFING - das Grundproblem im Internet?"

Dr. Manfred Wöhrl, ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger. Manfred.Woehrl@rics.at

Sie haben Security-Probleme - Fragen Sie Dr.Wöhrl

Sollten Sie Fragen zum Thema Security-Organisation haben, senden Sie eine kurze E-Mail an die MONITOR-Redaktion, troger@monitor.co.at, wir leiten Ihre E-Mail gerne an Dr. Manfred Wöhrl weiter.

drucken

Security-Kolumne

Security Kolumne von Dr. Manfred Wöhr | Dr. Manfred Wöhrl ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger.