Organisatorische und technische Maßnahmen

16.11.1990

Um Manipulationen verhindern und DV-Sicherheit gewährleisten zu können, sind geeignete Analyseverfahren einzuführen.

Bei der Maßnahmenplanung stellt die Umsetzung der Sicherheitsaspekte in ein Analysekonzept den ersten Schritt dar. Zu beachten ist hierbei, daß die EDV trotz ihrer Bedeutung, den hohen Investitionskosten und dem erforderlichen Organisationsaufwand nur ein Instrument des Unternehmens zur Erreichung des übergeordneten Ziels ist. Die EDV und die Sicherheitsaspekte dürfen bei der Umsetzung nicht aus dem Gesamtzusammenhang gerissen werden. Das Analysekonzept bildet dazu die Grundlage. Hierzu ein Beispiel aus DDIS *:

Die Schwachstellenanalyse beschreibt die aufgetretenen und möglichen Störungen. Sie dient zugleich als Test der vorhandenen Maßnahmen. Alle erkennbaren Fehler- und Mißbrauchsmöglichkeiten werden systematisch für das Sicherheits-Management aufbereitet.

Vor allem die nachfolgenden Punkte sind sorgfältig zu analysieren, da von ihnen die größten Gefahren ausgehen:

- Bedienungsfehler (Fehler bei der Geräte- oder Programmbedienung),

- System- oder Geräteausfall (wie oft, wann, wo?),

- Fehler in Programmen (Test? Wann, wo, durch wen?),

- Datenübertragungsverlust (Lauschangriff, physikalische Störung),

- Terminals oder Mikros in den Fachabteilungen, - Datenmanipulationen an System- und Anwendungsprogrammen,

- Änderungen an Programmen,

- Programmnutzung oder Kopieren (unbefugt?),

- Datenzugriff (Zugriffsprofile, Verschlüsselung?),

- Zugangskontrollen (Bereichs- und Geräteeinteilung),

- Sabotage (zum Beispiel durch Computerviren),

- Spionage durch die Konkurrenz,

- Versicherungen und die damit verbundene Gefahr sich über- oder unterzuversichern.

Die aufgedeckten Schwach. stellen sind zu eliminieren, wobei der Kosten-Nutzen-Effekt beachtet werden sollte.

Maßnahmenvorschläge zur Datensicherheit

1 Aufwand und Schutzzweck

Wurden die technischen und organisatorischen Maßnahmen getroffen, um Datenschutz und Datensicherung zu gewährleisten? Stehen die bisher getroffenen Maßnahmen bezüglich des Aufwandes in einem angemessenen Verhältnis zum Schutzzweck?

2 Zugangskontrolle

Wurden technische und organisatorische Maßnahmen getroffen, die ausschließlich befugten Personen den Zugang zu DV-Anlagen gewähren?

Maßnahmen:

- Einteilung in Sicherheitsbereiche,

- Einführung eines Zugangskontrollsystems (Ausweissystem, biometrisches System),

- Einführung von Zugangsberechtigungs-Regeln,

- Aufzeichnung des Zu- und Abgangs (Anwesenheitskontrolle),

- Alarmanlagensicherung und Bereichsüberwachung durch ein Bewachungsunternehmen,

- Closed-Shop-Betrieb und Türsicherungen (besondere Schließsysteme),

- Regelungen für die Schlüsselvergabe,

- Personal Computer nicht an allgemein zugänglichen Plätzen aufstellend

- Sperren des PCs durch Hard- und Softwaremaßnahmen,

- Aufbewahrung der PCs in Sicherheitsschränken.

3 Abgangskontrolle

Wurden technische und organisatorische Lösungen gefunden, um alle in der DV tätigen Personen zu hindern, Speichermedien jeglicher Art (Belege, Karteien, Disketten, Magnetplatten und -bänder, Formulare, Listings, etc.) mit Daten ohne Erlaubnis der Verantwortlichen zu entfernen?

Maßnahmen:

- Automatische und anonyme Datenträgerverwaltung,

- protokollierte Archivverwaltung,

- Festlegung der Personen, die berechtigt sind, Informationsträger zu nutzen,

- Einrichtung eines gesicherten Archivs, das allen Angriffen von außen standhält (Gas, Strahlung, Feuer),

- Verschluß von zu sicherndem Material in Datensicherungsschränken,

- überwachte Vernichtung von Datenträgern,

- automatische Vernichtung von Datenträgern ohne manuelle Einwirkung,

-Vier-Augen-Kontrolle, Kopierkontrolle (externe Mitarbeiter),

- physikalische Löschung freigegebener Dateien.

4 Speicherkontrolle

Sind technische und organisatorische Maßnahmen getroffen, um die unberechtigte Übertragung von Daten (durch Datenträger) in das Speichermedium, die unbefugte (geistige) Aufnahme (Kenntnis) von Daten sowie die inhaltliche Veränderung oder das Unkenntlichmachen gespeicherter Daten zu verhindern?

Maßnahmen:

- Berechtigungsprüfungen für die Dateneingabe durch Einführung von Benutzercodes und Zugriffsregelungen,

- Kontrolle der Dateiorganisation und -benutzung sowie der Revisionsunterlagen (zum Beispiel Verarbeitungsprotokoll),

- Festlegung der Befugnisse zur Eingabe, Kenntnisnahme, Veränderung und Löschung von Daten,

- Einsatz kryptographischer Verfahren und intelligenter Chip-Karten.

5 Benutzerkontrolle

Ist durch technische und organisatorische Lösungen gewährleistet, daß nur Berechtigte im Unternehmen (innerhalb der speichernden Stelle oder zwischen Auftragnehmer und Auftraggeber) DV-Systeme zur Übermittlung Daten benutzen (mittels Geräten und Programmen gespeicherte Daten weiter- oder bekanntgeben, Datenabruf durch Dritte)?

Maßnahmen:

- Kontrolle und Festlegung des berechtigten Personenkreises (Benutzerprofil),

- verschlossene Datenerfassungseinheit,

- Abfrage der Berechtigung innerhalb der Verarbeitung,

- Kontrolle der Sitzungsprotokolle, Revision.

6 Zugriffskontrolle

Sind Maßnahmen getroffen, die sicherstellen, daß die Nutzungsberechtigten eines DV-Systems durch Geräte und Programme nur gemäß Vorgabe auf zugewiesene Daten (Berechtigung zum Zugriff auf Daten) zugreifen können?

Maßnahmen:

- Festlegung und Kontrolle der automatischen Zugriffsrechte,

- Funktionsberechtigungskontrolle (Lesen, Ändern, Löschen),

- Absicherung und Kontrolle des Zugriffs, Revision,

- Installation von Identifizierungsschlüsseln und von Ausweislesern am Bildschirm-Arbeitsplatz,

- Kontrolle der Zugriffsberechtigung auf Satz- beziehungsweise Feldebene.

7 übermittlungskontrolle

Ist mittels entsprechender Maßnahmen sichergestellt, daß durch Verfahrens- oder Ablaufdokumentation überprüft und festgestellt werden kann, an wen (Personen oder Stellen außer der speichernden Stelle) Daten, durch DV-Geräte und Programme übermittelt (weitergeben, bekanntgeben, zum Abruf oder zur Einsichtnahme bereitgehalten) wurden?

Maßnahmen:

- Dokumentation und Festlegung der Stellen, an die übermittelt werden kann und darf,

- Protokollierung der Wählverbindungen und der Abruf- und Übermittlungsaktivitäten sowie der Übertragungswege,

- Aufzeichnung aller unbefugten Abruf- oder Übermittlungsversuche und Nachprüfung durch eine Kontrollinstanz.

8 Eingabekontrolle

Sind technische und organisatorische Maßnahmen durch das Unternehmen getroffen, um im nachhinein feststellen und überprüfen zu können (anhand von Protokollen), von welcher Person beziehungsweise Abteilung zu welchem Zeitpunkt welche Daten über welches Medium eingegeben wurden?

Maßnahmen:

- Nachprüfbarkeit und Dokumentation der Eingabeprogramme,

- Eingabeerlaubnis prüfen durch Identifizierung und Authentifizierung des Eingebenden und Aufzeichnung von Benutzungsdaten,

- Festlegung von Eingabebefugnissen.

9 Auftragskontrolle

Wird durch technische und organisatorische Lösungen des Unternehmens gewährleistet, daß Daten nur im Auftrag und entsprechend einer schriftlichen Regelung zwischen Auftragnehmer und Auftraggeber verarbeitet werden?

Maßnahmen:

- Klare Vertragsgestaltung und -ausführung zwischen den Parteien,

- Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten,

- Protokollierung und Kontrolle der Arbeitsergebnisse, Revision,

- sporadische Kontrolle des Auftragnehmers.

10 Transportkontrolle

Ist durch das Unternehmen sichergestellt, daß bei der Übermittlung von Daten und dem Transport von Speichermedien diese von Unbefugten weder gelesen noch verändert oder gelöscht werden können?

Maßnahmen:

- Sicherungsmaßnahmen bei Übermittlung oder Transport,

- Einteilung der für Übermittlung oder Transport Befugten,

- Regelungen für die Versandart und Festlegung des Transportweges,

- Duplizieren der Datenträger und Verschlüsselung der Daten.

11 Organisationskontrolle

Sind durch das Unternehmen alle Möglichkeiten moderner Organisationsformen verwirklicht, um den Mißbrauch bei der Verarbeitung von Daten soweit wie möglich auszuschließen? Maßnahmen:

- Funktionstrennung und Abwicklungsregelungen,

- Einsatz von Entscheidungstabellen und Netzplantechnik, - Dokumentation aller Verfahren und Verfahrensschritte, - Schulung des Personals in Sicherheitsfragen, - Regelungen bezüglich Programmierung, System- und Programmprüfung,

- Dokumentation aller Richtlinien,

- zentrale Beschaffung und Kontrolle von Hard- und Software im PC-Bereich,

- Festlegung der zugelassenen Software (PC-Bereich)

- genaue Prüfung der Berechtigung zur Datenübermittlung in den oder aus dem Hostrechner,

- Dokumentation der Benutzerrechte,

- Dokumentation des Netzes (Host - PC).

Aktuelle Technologie-Themen:

Aktuelle Artikel im Überblick:

Aktuelle Artikel im Überblick:

Aktuelle Management-Themen:

Aktuelle Karriere-Themen:

Events

Aktuelle Podcasts im Überblick:

Aktuelle Webcasts im Überblick:

Aktuelles aus den Hot Topics auf COMPUTERWOCHE: -Anzeige-

Archiv

Organisatorische und technische Maßnahmen

Aktuelle Technologie-Themen:

Aktuelle Artikel im Überblick:

Aktuelle Artikel im Überblick:

Aktuelle Management-Themen:

Aktuelle Karriere-Themen:

Events

Aktuelle Podcasts im Überblick:

Aktuelle Webcasts im Überblick:

Aktuelles aus den Hot Topics auf COMPUTERWOCHE: -Anzeige-

Aktuelle Technologie-Themen:

Aktuelle Management-Themen:

Aktuelle Karriere-Themen:

Archiv

Per E-Mail versenden

Artikel als PDF kaufen

Über den Autor