IT-Sicherheit: Tipps zur Abwehr interner Angriffe
Der Mitarbeiter als Feind
Angriffe von Insidern nehmen immer mehr zu. Da Mitarbeiter meist leichter auf kritische Informationen zugreifen können als Externe, sind solche Angriffe oft kostspieliger. CA zeigt, wie sie sich verhindern lassen.
Durch externe Angriffe entstehen Firmen in den USA im Schnitt Kosten in Höhe von 56.000 Dollar. Interne Attacken kosten dagegen mehr als zwei Millionen Dollar. Diese Zahlen hat das »US National Reconnaissance Office« (NRO) veröffentlicht. An die 72 Prozent aller Unternehmen schätzen interne Sicherheitsbedrohungen als genauso schwerwiegend ein wie externe. Dies geht aus der Studie »The InfoPro´s Information Security Study« vom Februar 2006 hervor.
Die Befolgung von Sicherheitsrichtlinien durch Mitarbeiter sehen IT-Verantwortliche an zweiter Stelle der Herausforderungen, die sie in den nächsten zwölf Monaten zu bewältigen haben. Das stellt die Beratungsfirma IDC in ihrem Bericht »Worldwide Outbound Content Compliance 2005 – 2009 Forecast and Analysis: IT Security Turns Inside Out« fest. IT-Verantwortliche stehen vor der Frage, wie sie dieser kostspieligen und wachsenden Sicherheitsbedrohung Herr werden können.
Hier einige Tipps, mit deren Hilfe Sie der Bedrohung »von innen« begegnen können:
• Ein Unternehmen sollte Sicherheitsrichtlinien für Dokumente und Prozesse entwickeln und diese dann in automatischen Routinen abbilden. Nur so lässt sich erreichen, dass die Prozesse transparent sind, weiterentwickelt werden und effizient umgesetzt werden.
• Der Administrator sollte in Absprache mit der Personalabteilung sicherstellen, dass »alte« Nutzerkonten sofort gesperrt und gelöscht werden. Dies stellt sicher, dass ein Mitarbeiter keinen Zugriff auf interne Informationen erhält, sobald er das Unternehmen verlassen hat.
• Der IT-Verantwortliche sollte alle drei Monate die Zugriffsrechte überprüfen. Das automatische Ablaufen von Nutzungsrechten vereinfacht es, die wechselnden Verantwortlichkeiten und Nutzungsrechte entsprechend umzusetzen.
• Mitarbeiter müssen die Sicherheitsrichtlinien kennen und sich darüber klar sein, welche Auswirkungen ein Nichtbefolgen der Sicherheitsrichtlinien hat. Passwörter sollten beispielsweise nie notiert oder gemeinsam genutzt werden.
• Der IT-Verantwortliche sollte den IT-Nutzern im Rahmen ihrer Tätigkeit nur so viele Rechte wie nötig einräumen. Finanz- und Kundeninformationen dürfen beispielsweise nur wenigen zugänglich sein. Diese Rechte müssen regelmäßig überprüft und an die Rollen der jeweiligen Nutzer nach Funktion und Arbeitstätigkeit angepasst werden.
• Der Administrator sollte außerdem Regelungen für wirksame Passwörter einrichten. Leicht zu erratende Passwörter sind tunlichst zu vermeiden. Wenn möglich, strengere Formen der Authentifizierung wie etwa Token oder Smartcards zum Zug kommen. Er sollte dabei niemals gemeinschaftliche Administrator- Passwörter zulassen.
• Nur Einzelne dürfen Administratorrechte für bestimmte Systeme erhalten. Wechselt oder verlässt der Systemadministrator das Unternehmen muss sein Rechte-Konto sofort gesperrt werden.
• Eine gegenseitige Kontrolle der Berechtigungen für das IT-System ist notwendig. Das schließt mit ein, die Zuständigkeiten für Sicherheitsrichtlinien zu trennen. Wer beispielsweise Änderungen genehmigt, sollte diese nicht im System umsetzen dürfen.
• Das Sicherheitssystem muss überprüfbar sein. Im Problemfall kann der Administrator so über das Protokoll nachvollziehen, wer das System gefährdet. Alle administrativen Änderungen sollten protokolliert werden und so aufbewahrt sein, dass Systemadministratoren sie nicht ändern können.
• Der Administrator sollte dafür sorgen, dass er mit einem einzigen Blick den Status des Sicherheitssystems erfassen kann. Manchmal sind Sicherheitsprobleme nicht ohne Wissen um die gegenseitige Abhängigkeit unterschiedlicher Systeme zu erkennen
• Schließlich sollte der IT-Administrator die Nutzer nicht unnötig mit komplexen Sicherheitsverfahren belasten. Weder Dutzende von Passwörtern noch permanente Änderungen der Passwörter sind nötig. Das verleitet Mitarbeiter nur dazu, die Sicherheitsverfahren zu umgehen.
Armin Stephan, Security-Experte bei CA
Weitere Informationen im Internet unter:
