Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Meldedaten offen im Internet - simple Maßnahmen hätten dies verhindert

NIFIS spricht Empfehlungen zum IT-Grundschutz aus

Meldedaten offen im Internet - simple Maßnahmen hätten dies verhindert

3. Juli 2008, 22:57 Uhr |

Die Nationale Initiative für Informations- und Internetsicherheit NIFIS e.V. reagiert auf die jüngsten Vorfälle bei der Datenschutzverletzung von Behörden und empfiehlt erste einfache Maßnahmen zum IT-Grundschutz. Wichtige Vorbemerkung: Die Verantwortung für die Einhaltung des Datenschutzes liegt beim Betreiber.

Wie das Fernsehmagazin ARD Report aus München am 23. Juni 2008 berichtete, bestanden bei den
Meldeämtern verschiedener Städte und Gemeinden offene Zugänge zu Meldedaten. Der Kennwortschutz war
in diesem Fall nicht gewährleistet und der vermeintlich Schuldige, der Softwarelieferant – schnell
gefunden. Die vorschnelle Schuldzuweisung lenkt jedoch vom eigentlichen Problem ab. Es müsse
festgestellt werden, so die NIFIS, dass die Verantwortung für die Einhaltung des Datenschutzes beim
Betreiber eines Informationssystems liegt, nicht beim Lieferanten.

Aufgrund des aktuellen Beispiels empfiehlt die NIFIS einige grundsätzliche Maßnahmen:

1. Noch vor der ersten Installation sollte ein Konzept für die Verwaltung der Benutzerrechte,
Benutzernamen und Kennwörter erstellt werden, etwa als Teil des Pflichtenhefts.

2. Mit der ersten Übernahme "echter" Daten, auch für Tests und Schulungen, sollte im selben Zug
nur noch mit Benutzernamen und Kennworten nach dem Rechtekonzept gearbeitet werden.

3. Standardbenutzer sollten ab der Installation geändert werden. Verschiedene Systeme haben
dafür verschiedene Vorgehensweisen. Kunden sollten darauf bestehen, dass dies durchgeführt
wird.

4. Lieferanten sollten Systeme nur für den Betrieb übergeben, wenn der Kunde seine eigenen
Kennungen eingegeben hat, und der Startbenutzer entfernt oder inaktiviert wurde.

5. Zugang zu und Nutzung von Informationssystemen trennen und getrennt verwalten:

– in den Aufbau der Verbindung zum Informationssystem, etwa durch Zuordnung eines Schlüssels für
eine gesicherte Verbindung, und

– in die Benutzerverwaltung des eigentlichen Informationssystems.

So kann ein Vier-Augen-Prinzip etabliert werden. Wenn dann an einer Stelle ein Fehler eintritt,
bleibt ein Schutz erhalten.

Mehr zum Thema:

http://llschnuerer.cmpdm.de//sites/cz/kn31566691">Sicherheitslücke gefährdet
Meldedaten von Bürgern

LANline/jos

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
AixpertSoft GmbH

AixpertSoft GmbH
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
Panduit

Panduit

Softing IT Networks GmbH

Softing IT Networks GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH