IT-COMPLIANCE

IT Compliance

2 1

Inhaltsverzeichnis IT-Compliance ................................................................................................................... 5

IT-Compliance

Vorwort .............................................................................................................................. 1

VORWORT

Mit Normen und Regularien auf der sicheren Seite .......................................................... 7 BSI-Grundschutzkataloge ................................................................................................. 7

IT-PCI-Datensicherheitsstandard ..................................................................................... 22

Christian Zander CTO protected-networks.com GmbH

IT-Sicherheit beschäftigt längst nicht mehr ausschließlich Administratoren und IT-Verantwortliche. Zahlreiche Regularien und Normen beeinflussen Prozesse im gesamten Unternehmen – oder sollten es zumindest tun – und das aus einem handfesten Grund: Unternehmen, Verbände und Behörden müssen mit ihrem wertvollsten Gut, ihren Daten, sorgsam umgehen. Und das aus purem Selbstschutz. Denn Imageschäden durch negative Presse, wirtschaftliche Verluste durch Datenmissbrauch oder gar die persönliche Haftung etwa des Aufsichtsrates infolge einer nicht regeltreuen Unternehmensführung sind Konsequenzen, die unbedingt zu vermeiden sind. Was IT-Sicherheit und in diesem Zusammenhang ein InformationssicherheitsManagementsystem (ISMS) bedeutet, welche gängigen Standards und Regularien es gibt und wie diese im gesamten Unternehmen verankert werden können, darüber wollen wir mit dieser Informationsschrift informieren. Denn IT-Sicherheit ist interdisziplinär. Und in diesem Rahmen verstehen wir auch unser Produkt 8MAN. Wir tragen mit 8MAN dazu bei, dass Ihre IT sicherer wird

ISO/IEC 27001 und 27002

IT-Sicherheitsmanagement nach ISO/IEC 27001 und ISO/IEC 27002 ................................ 19

Stephan Brack CEO protected-networks.com GmbH

PCI-DSS-Standard

IT-Grundschutz-Standards nach BSI 100 .......................................................................... 15

BSI-Grundschutz

IT-Grundschutz-Maßnahmen ............................................................................................ 9

IT Compliance

2

3

8MAN Bei Compliance geht es um die Erfüllung staatlicher Gesetze sowie Regeln und Spezifikationen, ethischer und moralischer Grundsätze, Verfahren und Standards, die klar definiert worden sind. Die Erfüllung der Compliance kann sowohl auf Zwang, etwa durch Gesetze als auch auf Freiwilligkeit, etwa bei der Einhaltung von Standards, beruhen. Die Compliance richtet sich an Unternehmen und Institutionen ebenso wie an staatliche bzw. behördliche Einrichtungen. Compliance umfasst dabei die Gesamtheit der Maßnahmen, die das rechtmäßige Verhalten eines Unternehmens, seiner Organe und Mitarbeiter im Hinblick auf die entsprechenden Gebote und Verbote gewährleisten sollen. Diese Vorüberlegung führt direkt zu der Frage, wie eine funktionierende Compliance Organisation aufgebaut und die Einhaltung gesetzlicher und vertraglicher Regelungen innerhalb eines Unternehmens oder einer Behörde sichergestellt werden können. Die Umsetzung eines entsprechenden Konzeptes und die Zertifizierung nach BSI bzw. ISO-Normen kann 8MAN erheblich vereinfachen und beschleunigen.

Unsere Leistungen auf den Punkt gebracht – 8MAN: 1. erleichtert die File-Server, Active-Directory und SharePoint-Administration 2. ermöglicht eine nachvollziehbare Dokumentation aller Rechte und Zugriffe 3. trennt die Diensteverwaltung von der Datenverwaltung 4. unterstützt Ihre Sicherheits-Audits durch konfigurierbare Reports und Grafiken 5. vergibt Zugriffsrechte auch für die Administratoren nach Maß 6. setzt das Need-to-know und das Least-Privilege-Prinzip um 7. stellt sicher, dass Personalveränderungen sofort in der IT umsetzbar sind 8. migriert bei Reorganisationsmaßnahmen den Verzeichnisdienst unkompliziert und schnell

IT Compliance

4

5

IT-COMPLIANCE

In Folge dessen hat sich zur Regelung des Alltagsgeschäftes eine komplexe Compliance-Welt aus vertraglichen Regularien und gesetzlichen Vorschriften entwickelt, vom Corporate Governance Kodex, KonTraG bis zum Aktienrecht. Insbesondere der Umgang mit personenbezogenen Daten in der IT unterliegt in Deutschland über die Datenschutzgesetze einem klaren Regelungskanon. Mittels international gültiger Normen wie etwa ISO/IEC 27001/27002 und nationalen Anforderungskatalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI Grundschutz-Katalog und BSI 100) werden organisatorische und technische Vorgaben für einen sicheren Betrieb der Informationstechnik formuliert. Dennoch ist es in der Praxis schwierig, ein angemessenes Sicherheitsniveau zu erreichen und aufrecht zu erhalten. Sei es aufgrund fehlender personeller Ressourcen, zu knapper Budgets oder schlicht aufgrund der gestiegenen Komplexität der IT-Systeme. Denn informationstechnische Systeme werden zweckoptimiert entwickelt. Sicherheit ist da nur ein Aspekt unter vielen. Durch spezielle Hard- bzw. Software wird diese Sicherheitslücke geschlossen. Antiviren-, Firewall- und Passwortmanagementsoftware sind an Einzelplatz- wie vernetzten Rechnern Standard. In vernetzten IT-Systemen gewinnt „Information Trust Software“ (ITS) an Bedeutung.

Compliance als Leitungsaufgabe Der deutsche Corporate Governance Kodex fordert von den Vorständen börsennotierter Aktiengesellschaften, von KGaA und GmbHs mit Aufsichtsräten, geeignete Maßnahmen zu treffen, mittels derer den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Über den Public Corporate Governance Kodex des Bundes wie auch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hat sich diese Forderung auch auf öffentliche Unternehmen erweitert. Vorstand, Aufsichtsrat und Wirtschaftsprüfer sind für eine funktionierende Compliance Struktur nicht nur verantwortlich, sie können, wie Gerichtsurteile bestätigen, bei Nichtbeachtung auch persönlich haftbar gemacht werden können.

Risikomanagement als Ausweg Risikofelder im Rahmen der Leistungserbringung eines Unternehmens beziehen sich auf die Bereiche Beschaffung, Produktion, Absatz, Betriebsmittel, aber auch auf die elektronische Datenverarbeitung. Die dort entstehenden Risiken müssen über ein Risikofrüherkennungssystem erfasst, dokumentiert und minimiert, wenn nicht sogar abgestellt werden. Im Gegensatz zu externen Risiken sind interne Risiken grundsätzlich beeinflussbar und damit auch der Schaden, den der Abfluss schützenswerter Informationen verursachen kann.

Beispiel 1:

Ein Mitarbeiter wird über eine Fehlberechtigung im IT-Verzeichnisdienst bloßgestellt, Mitarbeiter kündigt, Aus- und Fortbildungsinvestment wie auch Kundenbeziehungen des Mitarbeiters entgehen der Firma, potenziell zu generierender Umsatz entsteht nicht oder verlagert sich zur Konkurrenz.

Beispiel 2:

Dokumente, in denen es um technische Neuentwicklungen geht, werden firmenintern von einem Mitarbeiter ausspioniert. Konkurrenz kann schneller mit vergleichbarem Produkt auf den Markt kommen. Preisgestaltung wird beeinflusst.

Beispiel 3:

Mitarbeiter einer Bank wird gekündigt. Vor seinem Ausscheiden zieht er sich alle ihm zugänglichen Informationen aus dem Firmennetz und verkauft die CD an eine Steuerfahndungsbehörde. Die Kunden verlieren ihr Vertrauen in das Unternehmen.

IT Compliance

IT-Compliance

Informationen – und das heißt heute elektronisch verfügbare Daten – zählen zu den wichtigsten Gütern von Unternehmen und Behörden. Der sichere Umgang mit ihnen ist eine der Grundlagen für ein erfolgreiches Bestehen am Markt. Denn Computerbetrug, Identitätsdiebstahl, Spionage, Sabotage und Distributed-Denial-of-Service-Attacken zählen zu den alltäglichen wie existentiellen Bedrohungen einer Organisation.

6

7

MIT NORMEN UND REGULARIEN AUF DER SICHEREN SEITE Um die IT-Sicherheit zu erhöhen, kann entweder eine individuelle Risikoanalyse erfolgen, die einen hohen Kosten- und Zeitaufwand bedeutet oder den in nationalen und internationalen Normierungen ausgesprochenen Empfehlungen gefolgt werden. Die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben diese Empfehlungen in Maßnahmen umgesetzt. Sie umfassen Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit ‚normalem’ Schutzbedarf.

BSI

8MAN

BSI-Grundschutzkataloge Der BSI-Grundschutzkatalog nennt folgende Anforderungen an IT-Systeme:

8MAN erfüllt diese Anforderungen bei einer sinnvollen, übersichtlichen und konsistenten Gestaltung der Sicherheitsadministration und:

Î Identifikation und Authentisierung Î Rechteverwaltung und -kontrolle Î Rollentrennung zwischen Administrator, Revisor und Benutzer Î Protokollierung der Rechteverletzung Î benutzerfreundliche Oberfläche Î Protokollierung der Administrationstätigkeiten sowie die Unterstützung der Protokollauswertung

bietet eine Managementkonsole, mit der effektiv Rechte nach dem Need-to-know Prinzip und dem Prinzip der geringsten Berechtigung (least privileges) vergeben werden erlaubt, Zugriffsrechte schnell einzurichten und zu löschen vermeidet Rechtekonflikte durch ein an den organisatorischen und geschäftlichen Anforderungen orientiertes Rollenkonzept trennt mittels administrativer Rollen Dienstverwaltung und Datenverwaltung mit unterschiedlichen Verantwortungsbereichen; damit wird die Verwaltung der Verzeichnisdienste von der Verwaltung der Daten getrennt Data-Owner-Funktion gewährleistet die Festlegung der Zugriffsberechtigungen durch die Fachverantwortlichen und damit eine an der Aufgabe orientierte Berechtigung zeigt die Zugriffsrechte der einzelnen Benutzer, der Rechtestruktur wie auch die durchgeführten Änderungen am Verzeichnisdienst übersichtlich an dokumentiert alle Änderungen revisionssicher dank automatisierter Reports protokolliert unerlaubte Zugriffsversuche unkompliziert können sämtliche Vorgänge in den Sicherheitsreport des Auditors einfließen

IT Compliance

BSI-Grundschutz

Der IT-Grundschutz beschreibt mit Hilfe der BSI-Standards 100-1, 100-2, 100-3 und der ITGrundschutz-Kataloge eine Vorgehensweise zum Aufbau und zur Aufrechterhaltung eines Managementsystems für Informationssicherheit (ISMS). Das damit aufgebaute ISMS kann nach ISO/IEC 27001 und ISO/IEC 27002 zertifiziert werden. Diese Normen bilden den international etablierten Standard, der die Anforderungen an das Informationssicherheits-Management eines Unternehmens definiert.

8

9

IT-GRUNDSCHUTZ-MASSNAHMEN Über diese Anforderungen hinaus definiert das BSI in seinen Maßnahmenkatalogen bestimmte Handlungsanweisungen. Sie betreffen die Punkte Infrastruktur (M1), Organisation (M2), Personal (M3), Hardware und Software (M4), Kommunikation (M5) sowie Notfallvorsorge (M6). 8MAN unterstützt sämtliche im Folgenden aufgeführte Punkte des Maßnahmenkatalogs:

8MAN und organisatorische Aufgaben (M2)

Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, IT-Anwendungen oder Daten zu nutzen. Die Zugriffsrechte (zum Beispiel Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt, zum Beispiel Anwenderbetreuung, Arbeitsvorbereitung, Systemprogrammierung, Anwenderentwicklung, Systemadministration, Revision, Datenerfassung, Sachbearbeitung. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie für die Aufgabenwahrnehmung notwendig ist.

* M 2.25 - Dokumentation der Systemkonfiguration Bei einem Netzbetrieb sind die physikalische Netzstruktur und die logische Netzkonfiguration zu dokumentieren. Dazu gehören auch die Zugriffsrechte der einzelnen Benutzer sowie der Stand der Datensicherung. Weiterhin sind die eingesetzten Applikationen und deren Konfiguration sowie die Dateistrukturen auf allen IT-Systemen zu dokumentieren.

* M 2.30 - Regelung für die Einrichtung von Benutzern/Benutzergruppen Regelungen für die Einrichtung von Benutzern/Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufes. (…) Für die Einrichtungsarbeiten im System sollte eine administrative Rolle geschaffen werden. (…) Die zuständigen Administratoren können Benutzer bzw. Benutzergruppen somit nur auf definierte Weise einrichten, und es ist nicht erforderlich ihnen Rechte für andere Administrationsaufgaben zu geben.

* M 2.31 - Dokumentation der zugelassenen Benutzer und Rechteprofile Es muss eine Dokumentation der am IT-System zugelassenen Benutzer, Benutzergruppen und Rechteprofile erfolgen. (…) Die Dokumentation der zugelassenen Benutzer und Rechteprofile sollte regelmäßig, mindestens alle 6 Monate, daraufhin überprüft werden, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht. Die vollständige Dokumentation ist Voraussetzung für Kontrollen der vergebenen Benutzerrechte.

* M 2.63 - Einrichten der Zugriffsrechte Arbeiten an einem IT-System mehrere Benutzer, so muss durch eine ordnungsgemäße Administration der Zugriffsrechte sichergestellt werden, dass die Benutzer das IT-System ausschließlich gemäß ihrer Aufgaben nutzen können. Vorausgesetzt ist dabei, dass von den Fachverantwortlichen die Zugangs- und Zugriffsberechtigungen für die einzelnen Funktionen festgelegt wurden. Anschließend werden die Benutzer des IT-Systems den einzelnen Funktionen zugeordnet. Die Ergebnisse sind schriftlich zu dokumentieren. Der Administrator muss dann das IT-System so konfigurieren, dass diese Benutzer Zugang zum IT-System erhalten und mit den ihnen zugewiesenen Zugriffsrechten nur ihre Aufgaben wahrnehmen können.

IT Compliance

BSI-Grundschutz

Im organisatorischen Bereich (Maßnahmenkatalog 2 – Organisation) geht es nicht nur darum, das angestrebte Sicherheitsniveau zu erreichen, sondern dieses auch dauerhaft zu gewährleisten. Zahlreiche der Vorgaben, über die sich dies realisieren lässt, werden von 8MAN abgedeckt. Die Spanne reicht dabei von der transparenten Festlegung von Richtlinien für die Zugriffskontrolle sowie der Einrichtung von Benutzern und Benutzergruppen über die Planung der Active-DirectoryAdministration bis hin zu dokumentarischen Aufgaben.

10

11

* M 2.199 - Aufrechterhaltung der Informationssicherheit

* M 2.340 - Beachtung rechtlicher Rahmenbedingungen

Im Sicherheitsprozess geht es nicht nur darum, das angestrebte Sicherheitsniveau zu erreichen, sondern dieses auch dauerhaft zu gewährleisten. Um das bestehende Sicherheitsniveau aufrechtzuerhalten und fortlaufend zu verbessern, sollten alle Sicherheitsmaßnahmen regelmäßig überprüft werden. (…) Erkannte Fehler und Schwachstellen müssen zeitnah abgestellt werden.

Bei der Verarbeitung von Informationen sind eine Vielzahl von gesetzlichen oder vertraglichen Rahmenbedingungen zu beachten …. Typische Bereiche der Informationsverarbeitung, die besonderen gesetzlichen Regelungen unterliegen, sind: Schutz personenbezogener Daten,.. Schutz von geistigem Eigentum, ordnungsgemäßer Betrieb von IT-Systemen…. Führungskräfte, welche die rechtliche Verantwortung für die Institution vor Ort tragen, müssen für die Identifizierung und Dokumentation der anzuwendenden gesetzlichen Vorschriften sorgen… Natürlich ist auch jeder einzelne Mitarbeiter und insbesondere das Führungspersonal für die Umsetzung der Regelungen zu rechtlichen Aspekten und für die Überwachung der Einhaltung verantwortlich.

Die Regelungen zur Zugriffs- bzw. Zugangskontrolle müssen den Schutzbedarf der Behörde bzw. des Unternehmens widerspiegeln. Es empfiehlt sich, Standard-Rechteprofile für nutzungsberechtigte Personen aufgrund ihrer Funktionen und Aufgaben festzulegen. Die Benutzerrechte für Zugriffe auf Dateien und Programme müssen abhängig von der jeweiligen Rolle, dem Need-to-Know-Prinzip und der Sensitivität der Daten definiert sein.

* M 2.230 - Planung der Active-Directory-Administration In großen Domänen empfiehlt sich die Delegation administrativer Aufgaben, so dass die administrative Last auf mehrere Administratoren verteilt ist oder ggf. auch eine Rollentrennung umgesetzt werden kann. Die Delegation administrativer Aufgaben erfolgt im Active Directory durch die Vergabe von entsprechenden Zugriffsrechten auf Active-Directory-Objekte für die jeweiligen Administratorengruppen. Dabei erlaubt die Active-Directory-Rechtestruktur eine feingranulare Vergabe von Rechten. (…) Für große Domänen sollte darüber nachgedacht werden, deren Verwaltung mit geeigneten Werkzeugen zu unterstützen.

* M 2.256 - Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-Betrieb Regelmäßige Kontrollen zu folgenden Aspekten sind durchzuführen: Durchführung der vereinbarten Audits, Umsetzungsstand der vereinbarten IT-Sicherheitsmaßnahmen, (…), Rechtezuweisung durch den Dienstleister (Missbrauch von Rechten), (…) Einsatz von Mitarbeitern, die dem Auftraggeber nicht gemeldet wurden, (...) Datensicherung.

* M 2.336 - Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene Die Führung und Lenkung eines Unternehmens oder einer Behörde und die damit verbundenen Leitungsaufgaben beinhalten eine hohe Verantwortung. Diese Verantwortung bezieht sich nicht nur auf den Grad der Zielerreichung wie beispielsweise den Geschäftserfolg, sondern auch auf die Früherkennung und Minimierung von möglichen Risiken für den Betrieb. Dazu gehören neben anderen Risiken auch solche, die aus unzureichender Informationssicherheit entstehen. Es ist Aufgabe der Leitungsebene jeder Institution, diesen Sicherheitsprozesses zu initiieren, zu steuern und zu kontrollieren. (…) Die Geschäftsführung sollte regelmäßig über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit aufgeklärt werden. (…) Anwender sollten in die Umsetzungsplanung von Maßnahmen mit einbezogen werden.

* M 2.339 - Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit Informationssicherheit erfordert ausreichende finanzielle und personelle Ressourcen sowie eine geeignete Ausstattung. (…) Die internen Sicherheitsexperten sind häufig mit ihren Routinetätigkeiten so ausgelastet, dass sie bei neuen Aufgaben oder Entwicklungen nicht alle sicherheitsrelevanten Einflussfaktoren analysieren oder Sicherheitslösungen umsetzen können. (…) Es ist sicherzustellen, dass alle erforderlichen Sicherheitsmaßnahmen umgesetzt werden. (…) Die Erfahrung zeigt, dass die Berufung eines IT-Sicherheitsbeauftragten die effektivste Sicherheitsmaßnahme ist. (…) Typische Probleme des IT-Betriebs (knappes Budget, überlastete Administratoren und eine unstrukturierter oder schlecht gewartete IT-Landschaft) müssen in der Regel gelöst werden, damit die eigentlichen Sicherheitsmaßnahmen wirksam und effizient umgesetzt werden können. (…) Alle Sicherheitsmaßnahmen müssen regelmäßig auf ihre Wirksamkeit und Eignung geprüft werden.

* M 2.360 - Sicherheits-Audits und Berichtswesen bei Speichersystemen Umfang und Häufigkeit von Sicherheitsüberprüfungen auf Speichersystemen werden durch die Daten, die auf dem jeweiligen Speichersystemen verarbeitet werden, bestimmt. (...) Da Speichersysteme komplex zusammengesetzt sein können, müssen Sicherheitsreports relevante Beobachtungen aus verschiedenen Quellen zusammenstellen und bewerten. Die Sicherheitsreports sollten als Informationen für den Auditor verwendet werden. (…) Wichtig ist, dass ein Audit nur zur Feststellung von Tatsachen und nicht zu Ermittlung von Schuldigen dient. (…) Das Resultat eines Audits kann als eine einfache Soll-Ist-Gegenüberstellung gehalten werden.

* M 2.370 - Administration der Berechtigungen unter Windows Server 2003 Bei allen Tätigkeiten und Planungen im Zusammenhang mit dem Einräumen von Berechtigungen sollte immer das Prinzip der geringsten Berechtigungen (englisch: least privileges) gelten. Das müssen nicht immer die absolut minimalen Berechtigungen zum Erfüllen einer spezifischen Aufgabe sein. Vielmehr sollten einem Konto nicht “vorsorglich” weit reichende Berechtigungen eingeräumt werden, sondern es soll nur solche Berechtigungen erhalten, die zur Abdeckung der für das Konto definierten Anforderungen notwendig sind. (…) Eine generelle Schwierigkeit besteht in der Vorhersage der Auswirkungen einer bestimmten Berechtigungskonfiguration. (…) Von den Simulationswerkzeugen sollte bei der Modellierung von Berechtigungen und bei der Administration im laufenden Betrieb intensiv Gebrauch gemacht werden.

* M 2.407 - Planung der Administration von Verzeichnisdiensten Die Administration eines Verzeichnisdienstes erfordert eine sorgfältige Planung. Dabei sollte auf eine ausreichende Trennung der administrativen Aufgaben und der zugehörigen Administratorkonten geachtet werden. Grundsätzlich sollte die Verwaltung des Verzeichnisdienstes selbst von der Verwaltung der Daten im Verzeichnis getrennt werden, indem beispielsweise die administrativen Rollen Dienstverwaltung und Datenverwaltung mit unterschiedlichen Verantwortungsbereichen geschaffen werden. (…) Die Einrichtung einer rollenbasierten Administration und die Möglichkeit der Delegation von Administrationsaufgaben beeinflussen die Sicherheit des Verzeichnisdienstes. (…) Bei sinnvoller, übersichtlicher und konsistenter Gestaltung der Sicherheitsadministration kann gleichzeitig auch eine erhöhte Transparenz und Effizienz geschaffen werden.

* M 2.408 - Planung der Migration von Verzeichnisdiensten Die Migration von Verzeichnisdiensten erfordert eine sorgfältige Planung, da aufgrund der Umstellung Sicherheitslücken entstehen könnten. (…) Nach Abschluss der Migration empfiehlt sich ein Soll-Ist-Vergleich aller Sicherheitseinstellungen, insbesondere der Zugriffsberechtigungen auf den Verzeichnisdienst und die dort abgelegten Daten.

8MAN und Mitarbeiter (M3) Um die Lücke zwischen technologisch realisierten Lösungen und der realen Umsetzung sicherheitsrelevanter Vorgaben in der Praxis zu schließen, räumt das BSI der Information, der Sensibilisierung sowie der Schulung von Mitarbeitern einen hohen Stellenwert ein. 8MAN zeichnet sich durch eine große Transparenz und Praxisnähe bei der Vergabe und dem Management von Zugriffsrechten aus.

IT Compliance

BSI-Grundschutz

* M 2.220 - Richtlinien für die Zugriffs- bzw. Zugangskontrolle

12

13

Es sind sämtliche für den Ausscheidenden eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. (…) Für den Zeitraum zwischen Aussprechen einer Kündigung und dem Weggang kann der Entzug sämtlicher Zugangs-und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot, schützenswerte Räume zu betreten, ausgesprochen werden.

* M 3.27 - Schulung zur Active-Directory-Verwaltung Für die Administration eines Windows-Netzes werden detaillierte Kenntnisse des Active Directory und seiner grundlegenden Konzepte benötigt. Ansonsten kann es leicht zu Fehlkonfigurationen kommen, die erhebliche sicherheitstechnische Auswirkungen haben können. Schulungsinhalte sollten in jedem Fall die folgenden Punkte umfassen und diese erläutern. Active Directory (…, Rechtevergabe, Authentisierung, Gruppenrichtlinien), (…) Rechtevergabe im Active Directory (Vergabe von Zugriffsrechten auf AD-Objekte auf Attributsebene, Vererbung von Zugriffsrechten und Blockade der Vererbung, Mögliche Zugriffsrechte, Delegation von administrativen Aufgaben auf der Ebene einzelner OUs)

8MAN und technologische Aufgaben (M4) Im Bereich der eingesetzten Technologien gelten vonseiten des BSI zahlreiche Empfehlungen (Maßnahmenkatalog 4 – Hard- und Software), die die Basis für die Absicherung der IT-Infrastruktur beschreiben. Bei der eindeutigen und transparenten Vergabe von Berechtigungen für die einzelnen Arbeitsbereiche und Infrastrukturbestandteile sowie beim übergreifenden Management der gesamten Infrastruktur bildet 8MAN die Basis.

Planung des Windows Einsatzes ist auch das Zugriffskonzept für Dateien und Ordner zu entwerfen, durch das die detaillierten Zugriffsrechte festgelegt werden. Dabei sind die organisatorischen und geschäftlichen Anforderungen zu berücksichtigen. Generell empfiehlt es sich, für die Windows Systemdateien restriktive Rechte zu vergeben. (…) Zusätzlich empfiehlt sich im Rahmen des Administrationskonzeptes eine Gewaltenteilung, so dass die administrativen Berechtigungen auf entsprechende Konten aufgeteilt werden.

* M 4.247 - Restriktive Berechtigungsvergabe unter Windows-Client-Betriebssystemen Alle Berechtigungen sind grundsätzlich restriktiv zu vergeben, d.h. die so genannten Need-to-Know bzw. Least-Privilege-Strategien müssen umgesetzt werden. (…) Im Allgemeinen wird empfohlen, die Vergabe von Berechtigungen an einzelne Benutzer zu vermeiden, da dies zu komplexen und unübersichtlichen Strukturen führt, die für eine Fehlkonfiguration anfällig sind. Die Zuweisung der Berechtigungen sollte nach Möglichkeit ausschließlich auf Gruppenbasis erfolgen.

* M 4.309 - Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste Ein Verzeichnisdienst speichert in der Regel sehr viele schützenswerte Informationen einer Institution wie beispielsweise Benutzerdaten. Es ist deshalb unerlässlich, diese Informationen nur ausdrücklich autorisierten Applikationen, Benutzern und Administratoren zugänglich zu machen. (…) Die Administratoren sollten über eine Managementkonsole die Möglichkeit haben, sich diese aktuell gültigen effektiven Rechte auf einzelne Objekte anzeigen zu lassen und sollten diese stichprobenartig kontrollieren. (…) Verzeichnisdienste erlauben eine rollen-und funktionsbasierte Administration. (…) Administrative Aufgaben können delegiert werden, so dass sie von Mitgliedern einer zugewiesenen Benutzergruppe (Administratorengruppe) durchgeführt werden können.

* M 4.24 - Sicherstellung einer konsistenten Systemverwaltung In vielen komplexen IT-Systemen gibt es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. (…) Durch fehlende Beschränkungen ist die Gefahr von Fehlern oder Missbrauch besonders hoch. (…) Durch Aufgabenteilung, Regelungen und Absprachen ist sicherzustellen, dass Administratoren keine inkonsistenten oder unvollständigen Eingriffe vornehmen. (…) Für alle Administratoren sind zusätzliche Benutzer-Kennungen einzurichten, die nur über die eingeschränkten Rechte verfügen, die die Administratoren zu Aufgabenerfüllung außerhalb der Administration benötigen. (…) Alle durchgeführten Änderungen sollten dokumentiert werden, um diese nachvollziehbar zu machen und die Aufgabenteilung zu erleichtern.

* M 4.41 - Einsatz angemessener Sicherheitsprodukte für IT-Systeme IT-Systeme sollten die folgenden Sicherheitseigenschaften besitzen: (…) Rechteverwaltung und -kontrolle, Rollentrennung zwischen Administrator und Benutzer, (…) benutzerfreundliche Oberfläche zur Erhöhung der Akzeptanz, (…) aussagekräftige und nachvollziehbare Dokumentation für Administrator und Benutzer, (…) Rollentrennung zwischen Administrator, Revisor und Benutzer, Protokollierung von Administrationstätigkeiten, (…) Unterstützung der Protokollauswertung durch konfigurierbare Filterfunktion, (…)

* M 4.135 - Restriktive Vergabe von Zugriffsrechten auf Systemdateien Auf Systemdateien sollten möglichst nur die Systemadministratoren Zugriff haben. Der Kreis der zugriffsberechtigten Administratoren sollte möglichst klein gehalten werden. Auch Verzeichnisse dürfen nur die notwendigen Privilegien für die Benutzer zur Verfügung stellen. Die Vergabe von Zugriffsrechten auf Systemdateien sollte grundsätzlich restriktiv erfolgen. (…) Die Integrität aller Systemdateien und -verzeichnisse sowie die Korrektheit der Zugriffsrechte sollten nach Möglichkeit regelmäßig verifiziert werden.

* M 4.312 - Überwachung von Verzeichnisdiensten Um den Sicherheitszustand eines Systems nachvollziehen zu können, ist es notwendig, dieses kontinuierlich zu überwachen. Dafür sollten unter anderem die Sicherheitseinstellungen und die Protokolldateien eines Servers regelmäßig überprüft werden. Ziel einer solchen Überwachung ist es, Verstöße gegen die geltenden Sicherheitsvorschriften zu entdecken, bestehende Sicherheitslücken aufzudecken oder Fehlkonfigurationen, die zu Sicherheitslücken führen können, zu erkennen.

8MAN und das Netzwerk (M5) Bei den empfohlenen Maßnahmen des BSI zur Netzwerkkommunikation (Maßnahmenkatalog 5 - Kommunikation) nimmt die restriktive Vergabe von Zugriffsrechten auf Dateien des Servers einen wesentlichen Part ein. Quintessenz: Es muss sichergestellt sein, dass jeder Benutzer nur auf die Dateien ein Zugriffsrecht erhält, die er für seine Aufgabenerfüllung benötigt. Damit wird 8MAN zum geeigneten Werkzeug, um auch den folgenden Punkt umzusetzen:

* M 5.10 - Restriktive Rechtevergabe Zugriffsrechte auf Dateien, die auf der Festplatte des Netz-Servers gespeichert sind, müssen restriktiv vergeben werden. Jeder Benutzer erhält nur auf die Dateien ein Zugriffsrecht, die er für seine Aufgabenerfüllung benötigt. Das Zugriffsrecht selbst wiederum wird auf die notwendige Zugriffsart beschränkt. (…) Zugriffsrechte auf höchster Ebene (Volume-Ebene) sollten nur sehr eingeschränkt erteilt werden.

* M 4.149 - Datei- und Freigabeberechtigungen unter Windows Im Rahmen der Rechtevererbung ist es möglich, dass Rechte eines Ordners an Dateien und/oder Unterordner weitergereicht werden, so dass eine einfache Möglichkeit besteht, die Zugriffsberechtigungen in einem ganzen Teildaten-Dateibaum durch die Änderung an einer Stelle zu wechseln. (…) Im Rahmen der

IT Compliance

BSI-Grundschutz

* M 3.6 - Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern

14

15

IT-GRUNDSCHUTZ-STANDARDS BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Das BSI greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die Informationssicherheit in Behörden oder Unternehmen sind und für die sich national oder international sinnvolle und zweckmäßige Herangehensweisen etabliert haben. BSI-Standards dienen zur fachlichen Unterstützung von Anwendern der Informationstechnik. Behörden und Unternehmen können die Empfehlungen des BSI nutzen und an ihre eigenen Anforderungen anpassen. Dies erleichtert die sichere Nutzung von Informationstechnik. Die BSI-Standards zeigen, wodurch genau die Informationssicherheit verbessert werden kann. Vier Standards hat das BSI definiert: ÎBSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) ÎBSI-Standard 100-2: IT-Grundschutz-Vorgehensweise ÎBSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

BSI-Grundschutz

ÎBSI-Standard 100-4: Notfallmanagement

BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Der BSI-Standard 100-1 definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards der ISO/IEC 2700x-Familie wie beispielsweise ISO/IEC 27002 (früher ISO 17799).

8MAN und der BSI Standard 100-1 Benutzer- und Berechtigungsmanagement kann ab einer gewissen Organisationsgröße kaum ohne technische Hilfsmittel umgesetzt werden. Änderungen in Geschäftsprozessen oder Organisationsstrukturen haben immer Auswirkungen auf das Benutzer- und Berechtigungsmanagement. Mit einem informationstechnisch unterstützten Benutzer- und Berechtigungsmanagement kann man eine sofortige Folgenabschätzung bzgl. durchgeführter Änderungen bei Berechtigungen durchführen; ein nicht zu unterschätzender Vorteil, wenn man auf sensible oder sicherheitsrelevante Daten berechtigt und ansonsten nicht weiß, wer alles bereits darauf berechtigt ist. So kann man Daten in Verzeichnissen, die für eine definierte Entscheidungsebene vorbehalten sind, vor dem ungewollten Zugriff durch andere Mitarbeiter besser schützen. Das ermöglicht 8MAN.

IT Compliance

16

17

Diese IT-Grundschutz-Vorgehensweise beschreibt, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut werden kann, mit Fokus auf das Sicherheitsmanagement und den Aufbau der entsprechenden Organisationsstrukturen. Sie zeigt, wie Sicherheitsmaßnahmen ausgewählt werden können und was bei der Umsetzung zu beachten ist. Auch die Frage, wie die Informationssicherheit im laufenden Betrieb aufrechterhalten und verbessert werden kann, wird beantwortet.

8MAN und der BSI-Standard 100-2 8MAN greift an vielen Stellen an einem Sicherheitsmanagement ein. Etwa beim Punkt “Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit“. Hier schafft ein Berechtigungsmanagement-System, das eindeutig alle Rechte und Rechteveränderungen mittels Reports anzeigt, Sicherheit. Welche Veränderungen stattgefunden haben, ob es unberechtigte Zugriffe bzw. Zugriffsversuche gegeben hat, ob die gewollte Struktur auch der tatsächlichen entspricht, d.h. die geplante Maßnahme korrekt umgesetzt wurde, kann mit 8MAN problemlos dargestellt werden. In jedem Sicherheitssystem kommt dem IT-Sicherheitsbeauftragten eine herausgehobene Stellung zu. In der Realität aber wird diese Rolle oft vom Administrator übernommen und, entgegen der BSI Empfehlung, nicht als Stabsstelle eingerichtet. Diese Personalunion kann dazu führen, dass jemand als IT-Sicherheitsbeauftragter Einspruch gegen Entscheidungen einlegen müsste, die ihm sein Leben als Administrator wesentlich erleichtern würden oder die gar von seinem Fachvorgesetzten stark favorisiert werden. Ein Vorteil von 8MAN ist, dass er einfach in jedes bestehende System implementierbar ist und eine saubere Berechtigungsstruktur mit einem geringen finanziellen und personellen Aufwand ermöglicht. Seine Funktionalitäten ermöglichen es, mit geringem Ressourceneinsatz – gerade auch im Vergleich zu Identity-Management-Systemen – und durch Rollentrennung zwischen IT-Abteilung und Fachabteilung, die IT zu entlasten. Im Hinblick auf die vom BSI geforderte Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen kann 8MAN detailgenaue Ergebnisse liefern – die auch in Audits einfließen können.

BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Die IT-Grundschutz-Kataloge enthalten Standard-Sicherheitsmaßnahmen für normale Sicherheitsanforderungen. Die Frage ist, wie mit Bereichen umzugehen ist, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen – und das mit möglichst wenig zusätzlichem Aufwand. Beispielhaft seien hier aufgeführt: Patentdaten, Lizenzdaten, Kalkulationsdaten, Projektdaten, Konzeptdaten, Personaldaten, Sozialdaten, Krankendaten, Polizeidaten. Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit den IT-Grundschutz-Maßnahmen arbeiten und möglichst nahtlos eine Risikoanalyse anschließen möchten.

8MAN und der BSI-Standard 100-3 Auch und gerade bei kritischen Daten ist ein effektives Berechtigungsmanagement unersetzlich. Setzt man als gegeben voraus, dass in einem Unternehmen 80 Prozent allgemeine Daten, 10 Prozent sensible Daten und 10 Prozent systemkritische Daten gespeichert werden, so stellt das Klassifizieren der Informationen eine nicht zu unterschätzende Herausforderung dar. Dank des Data-Owner-Konzeptes von 8MAN können in den Fachabteilungen selbst die Daten klassifiziert werden – wenn gewünscht mit einer automatischen Autorisierunganfrage an den Administrator.

BSI-Standard 100-4: Notfallmanagement Dieser Standard zeigt einen systematischen Weg auf, um ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen und so die Kontinuität des Geschäftsbetriebs sicherzustellen. Ein Notfallmanagement soll die Ausfallsicherheit erhöhen und die Institution auf Notfälle und Krisen adäquat vorbereiten, damit die wichtigsten Geschäftsprozesse schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern.

8MAN und der BSI-Standard 100-4 Ein IT-gestütztes Benutzer- und Berechtigungsverfahren ermöglicht eine redundante Lösung, bei der ggf. auch im Notfall alle Benutzer- und Berechtigungsstrukturen ohne Aufwand sofort wieder hergestellt werden können. Hinzu kommt, dass diese ggf. sofort den organisatorischen und anderen besonderen Bedürfnissen eines Notfalls angepasst werden kann – das ermöglicht 8MAN.

IT Compliance

BSI-Grundschutz

BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise

18

19

IT-SICHERHEITSMANAGEMENT ISO/IEC 27001-Zertifizierungen auf der Basis von IT-Grundschutz geben Behörden und Unternehmen die Möglichkeit, ihre Bemühungen um Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik nach innen und außen zu dokumentieren. Die Norm ISO/IEC 27001 legt die Anforderungen für das Festlegen, Umsetzen, Durchführen, Überwachen, Überprüfen, Instandhalten und Verbessern eines dokumentierten Informationssicherheits-Managementsystems (ISMS) im Kontext der allgemeinen Geschäftsrisiken von Organisationen (z.B. Unternehmen, Behörden, Vereine) fest. Die Norm ISO/IEC 27002 stellt einen Leitfaden für das Informationssicherheits-Management dar. In detaillierten Informationen zu allen mit der Informationssicherheit in Kontext stehenden Prozessen einer Organisation schlägt der Leitfaden Maßnahmen sowie Anleitungen zur Umsetzung der Maßnahmen vor und gibt weitere nützliche Informationen.

8MAN und ISO/IEC 27001/27002

ISO/IEC 27001 und 27002

8MAN unterstützt als Information Trust Software die in der ISO/IEC 27001 formulierten Anforderungen an ein ISMS. Die Software ermöglicht die Umsetzung von ISMS-Leitlinien, Maßnahmen und Prozessen im Bereich Verzeichnisdienste, indem sie Schwachstellen wie Rekursionen oder Fehlberechtigungen sichtbar macht. Zudem werden Sicherheitsverstöße erkennbar, etwa unberechtigte Zugriffe auf Dateien und Verzeichnisse. Damit werden die Umsetzung der ISMS-Leitlinien, Maßnahmen und Prozesse im Bereich Verzeichnisdienste überwacht und überprüft. Zudem unterstützt 8MAN interne ISMS-Audits im Bereich der Verzeichnisdienste, indem es Mängel dokumentiert.

IT Compliance

20

21 c) Berechtigungen sollten eindeutig definiert und dokumentiert werden.

Es sollte für alle Informationssysteme und Dienste eine formale Benutzerregistrierung und Deregistrierung zur Vergabe und Rücknahme von Zugangsberechtigungen geben.

Alle Verantwortlichkeiten für Informationssicherheit sollten eindeutig definiert sein.

6.1.8 Unabhängige Überprüfung der Informationssicherheit Der Ansatz einer Organisation zur Handhabung und Umsetzung der Informationssicherheit (…) sollte in regelmäßigen Zeitabständen oder nach wesentlichen Änderungen (…) von unabhängiger Seite überprüft werden.

6.2.1 Identifizierung von Risiken in Zusammenhang mit externen Mitarbeitern Die Risiken für Informationen und Informationsverarbeitende Einrichtungen der Organisation, die durch Geschäftsprozesse unter Beteiligung Externer verursacht werden, sollten identifiziert und angemessene Maßnahmen umgesetzt werden, bevor diesen Zugriff gewährt wird.

8.3.3 Zurücknahme von Zugangsrechten Die Zugangsrechte aller Angestellten, Auftragnehmer und Drittbenutzer zu Informationen und informationsverarbeitenden Einrichtungen sollten zurückgenommen werden, wenn ihre Anstellung, Vertrag oder Vereinbarung endet, oder bei Veränderungen angepasst werden.

10.7.3 Umgang mit Informationen Verfahren für den Umgang mit und die Speicherung von Informationen sollten etabliert werden, um diese Informationen vor unerlaubter Veröffentlichung oder Missbrauch zu schützen.

10.10.1 Auditprotokolle Es sollten Auditprotokolle erstellt werden, in denen Benutzeraktivitäten, Fehler und Informationssicherheitsvorfälle festgehalten werden. (…)

10.10.4 Administrator- und Betreiberprotokolle Aktivitäten von Systemadministratoren und Betreibern sollten protokolliert werden.

11.2.1 Benutzerregistrierung

Die Ergebnisse der unabhängigen Überprüfung sollten aufgezeichnet und dem Management berichtet werden, das die Überprüfung veranlasst hat. Diese Aufzeichnungen sollten aktuell gehalten werden.

11.2.2 Verwaltung von Sonderrechten Die Zuweisung und Benutzung von Sonderrechten sollte eingeschränkt und kontrolliert stattfinden.

Die Identifizierung der Risiken im Zusammenhang mit Externen sollten die folgenden Punkte mitberücksichtigen: (…) d) die notwendigen Maßnahmen zum Schutz derjenigen Informationen, die für Externe nicht zugänglich sein sollen;

11.2.4 Überprüfung von Benutzerberechtigungen Benutzerberechtigungen sollten regelmäßig, unter Anwendung eines formalen Prozesses, durch das Management überprüft werden.

Die Zugangsrechte (…) sollten reduziert oder zurückgenommen werden, bevor die Anstellung endet oder sich ändert; (...)

b) Einschränkung des Zugriffs, um Zugriff durch Unbefugte zu verhindern; (…) g) Beschränkung der Verteilung von Daten auf ein Minimum;

Auditprotokolle sollten, (…), die folgenden Elemente beinhalten: a) Benutzerkennung b) Datum, Uhrzeit, Details von wichtigen Ereignissen (…) c) Rechnernamen oder Ort d) Aufzeichnungen von erfolgreichen und zurückgewiesenen Systemzugriffsversuchen; e) Aufzeichnungen von erfolgreichen und zurückgewiesenen Zugriffen auf Daten und auf andere Ressourcen; f) Änderungen der Systemkonfiguration; g) Verwendung von Berechtigungen; (…) i) Dateien, auf die zugegriffen wurde, und die Art des Zugriffs; j) Netzadressen und Protokolle a) die Zeit zu der ein Ereignis stattfand; b) Informationen über das Ereignis oder das Versagen; c) welches Benutzerkonto und welcher Administrator oder Betreiber beteiligt war;

12.5.4 Ungewollte Preisgabe von Informationen Gelegenheiten für eine ungewollte Preisgabe von Informationen sollten vermieden werden.

15.1.4 Datenschutz und Vertraulichkeit von personenbezogenen Informationen Datenschutz und Vertraulichkeit sollten sichergestellt werden, wie in einschlägigen Gesetzen, Vorschriften und ggf. Vertragsklauseln gefordert.

15.1.5 Verhinderung des Missbrauchs von Informationsverarbeitenden Einrichtungen Benutzer sollten davon abgehalten werden, Informationsverarbeitende Einrichtungen zu nicht genehmigten Zwecken zu benutzen.

b) Überprüfung, dass der Benutzer durch den Systemeigentümer zur Benutzung des Systems oder des Dienstes befugt wurde; (…) c) Überprüfung, dass der Grad der erteilten Zugriffsberechtigungen dem Aufgabengebiet entspricht (…). h) unverzüglicher Entzug oder Sperrung von Benutzerrechten von Benutzern, die ihre Rolle in der Organisation gewechselt oder die Organisation verlassen haben; (…).

f) Sonderrechte sollten einer von der normalen Benutzerkennung für den Alltagsgebrauch getrennten Benutzerkennung zugewiesen werden; a) Benutzerberechtigungen sollten in regelmäßigen Intervallen, z.B. alle 6 Monate und nach jeder Veränderung des Benutzers wie Beförderung, Rückstufung oder Kündigung kontrolliert werden; b) die Zugangsberechtigungen sollten kontrolliert und neu zugeordnet werden, wenn dieser von einer Stelle auf eine andere Stelle innerhalb der Organisation wechselt; c) Genehmigungen für spezielle Sonderzugangsrechte sollten in kürzeren Intervallen kontrolliert werden, z.B. alle 3 Monate; die Zuordnung von Sonderberechtigungen sollte in regelmäßigen Intervallen kontrolliert werden, um so sicherzustellen, dass keine unbefugten Sonderrechte behalten werden; e) Änderungen an Benutzerkonten mit Sonderberechtigungen sollten als regelmäßige Kontrolle aufgezeichnet werden.

d) regelmäßige Überwachung von Mitarbeiterund Systemaktivitäten, wo dies unter der gültigen Gesetzgebung oder Regulierung möglich ist;

(…) Angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Informationen sollten umgesetzt werden.

(…) Jeglicher Gebrauch dieser Einrichtungen für geschäftsfremde Zwecke ohne Genehmigung des Managements oder für nicht genehmigte Zwecke sollte als missbräuchliche Benutzung der Einrichtungen angesehen werden. Falls nicht genehmigte Aktivtäten durch Überwachung oder andere Mittel entdeckt werden, sollten diese dem jeweils zuständigen Manager zur Kenntnis gebracht werden, der dann geeignete Disziplinarmaßnahmen oder rechtliche Schritte in Betracht zieht.

IT Compliance

ISO/IEC 27001 und 27002

6.1.3 Zuweisung der Verantwortlichkeiten für Informationssicherheit

22

23

IT-PCI-DATENSICHERHEITSSTANDARD Der PCI-Security Standards Council hat den Datensicherheitsstandard (DSS) entwickelt, um die Datensicherheit von elektronischen Bezahlkarten zu verbessern und die Akzeptanz von Payment Cards mittels einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu erhöhen. Der PCI-DSS gilt für jeden, der an der Verarbeitung von Zahlungskarten beteiligt ist – einschließlich Vertragsunternehmen, EDV-Dienstleister, abrechnenden Stellen, Kartenemittenten und Dienstleister sowie alle Organisationen, die Daten von Karteninhabern speichern, verarbeiten oder übertragen. Der PCI-DSS ersetzt keine Gesetze, behördlichen Regulierungen oder andere Bestimmungen.

Anforderung 8: Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff

8.5.4 Sofortige Deaktivierung des Zugriffs ehemaliger Benutzer.

Durch die Zuweisung einer eindeutigen Kennung (ID) zu jeder Person mit Zugriff ist jede(r) Einzelne uneingeschränkt für die eigenen Handlungen verantwortlich. Wenn ein solches System der Verantwortlichkeit implementiert ist, können Maßnahmen an wichtigen Daten und Systemen nur von bekannten und autorisierten Benutzern vorgenommen werden, und sämtliche Maßnahmen lassen sich auf den jeweiligen Initiator zurückführen.

PCI-DSS und 8MAN Von den insgesamt 12 Anforderungskategorien des PCI-Datensicherheitsstandards erfüllt 8MAN vor allem die Anforderungen an die „Implementierung starker Zugriffskontrollmaßnahmen“, um eine PCI-DSS-Konformität zu erreichen. Aber auch im Bereich „Regelmäßige Überwachung und regelmäßiges Testen von Netzwerken“ sowie „Befolgung einer Informationssicherheits-Richtlinie“ unterstützt 8MAN die Forderungen des PCI-Security Standards Council.

Implementierung starker Zugriffskontrollmaßnahmen Anforderung 7: Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf

7.1.1 Beschränkung von Zugriffsrechten für Benutzernamen auf Mindestberechtigungen, die zum Ausüben von tätigkeitsbezogenen Verpflichtungen erforderlich sind.

Um zu gewährleisten, dass nur autorisierte Mitarbeiter auf kritische Daten zugreifen können, müssen Systeme und Prozesse implementiert sein, die den Zugriff anhand des Informationsbedarfs und gemäß Zuständigkeiten beschränken.

7.1.2 Die Zuweisung von Berechtigungen basiert auf der Tätigkeitsklassifizierung und -funktion einzelner Mitarbeiter.

Anforderung 10: Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten Protokollierungssysteme und die Möglichkeit, Benutzeraktivitäten nachzuverfolgen, sind wichtige Elemente bei dem Versuch, eine Zugriffsschutzverletzung zu verhindern oder aufzuspüren bzw. deren Auswirkungen so gering wie möglich zu halten. Durch Protokolle in den verschiedenen Umgebungen kann die Ursache von Problemen schnell gefunden werden. Außerdem können Warnmeldungen ausgegeben und Analysen erstellt werden. Die Ursache für eine Sicherheitsverletzung lässt sich ohne Protokolle der Systemaktivität nur sehr schwer oder sogar gar nicht ermitteln.

10.2 Implementierung automatisierter Audit-Trails für alle Systemkomponenten zur Rekonstruktion der folgenden Ereignisse: 10.2.1 Alle individuellen Zugriffe auf Karteninhaberdaten. 10.2.2 Alle von einer Einzelperson mit Rootoder Administratorrechten vorgenommene Aktionen.

7.1.4 Implementierung eines automatisierten Zugriffskontrollsystems. 7.2 Festlegen eines Zugriffskontrollsystems für Systemkomponenten mit mehreren Benutzern, das den Zugriff anhand des Informationsbedarfs eines Benutzers einschränkt und auf „Alle ablehnen“ gesetzt ist, sofern der Zugriff nicht ausdrücklich zugelassen wird; Dieses Zugriffskontrollsystem muss Folgendes umfassen: 7.2.1 Abdeckung aller Systemkomponenten 7.2.2 Zuweisung von Berechtigungen zu einzelnen Personen anhand der Tätigkeitsklassifizierung und -funktion. 7.2.3 Standardeinstellung „Alle ablehnen“ Hinweis: Einige Zugriffskontrollsysteme sind standardmäßig auf „Alle zulassen“ gesetzt und lassen dementsprechend den Zugriff zu, bis eine Regel erstellt wird, die den Zugriff ausdrücklich ablehnt.

Befolgung einer Informationssicherheits-Richtlinie Anforderung 12: Befolgung einer Informationssicherheits-Richtlinie für das gesamte Personal. Eine strenge Sicherheitsrichtlinie gibt den Takt für die gesamte Stelle vor und dient dem Personal als Richtschnur dazu, was von ihm verlangt wird. Alle Mitarbeiter sollten sich darüber im Klaren sein, dass Daten Gefahren ausgesetzt sind und dass sie für deren Schutz verantwortlich sind.

12.5 Managementverantwortung in folgenden Bereichen werden einer Einzelperson oder einem Team zugewiesen: 12.5.4 Verwalten der Benutzerkonten, einschließlich Ergänzungen, Löschungen und Änderungen. 12.5.5 Überwachen und Kontrollieren des gesamten Datenzugriffs.

Der Begriff „Mitarbeiter“ bezieht sich hierbei auf Voll- und Teilzeitmitarbeiter, temporäre Mitarbeiter, Subunternehmer und Berater, die am Standort der jeweiligen Stelle „ansässig“ sind oder anderweitig Zugriff auf die Karteninhaberdaten-Umgebung haben.

IT Compliance

PCI-DSS-Standard

„Informationsbedarf“ besteht, wenn Zugriffsrechte nur auf die minimale Menge an Daten und Berechtigungen erteilt werden, die zum Ausüben einer Tätigkeit erforderlich sind.

7.1.3 Voraussetzung ist eine dokumentierte Genehmigung durch autorisierte Parteien, in der die erforderlichen Berechtigungen angegeben sind.

Regelmäßige Überwachung und regelmäßiges Testen von Netzwerken

24

25

„Für uns war die Wahl von 8MAN genau richtig,“ ist der EDV-Leiter überzeugt. „Wir haben in kürzester Zeit die gewünschte Übersicht über die Rechtestruktur im Dateisystem und konnten dadurch unser Sicherheitsniveau nochmals deutlich steigern.“ Meinolf Zimmermann, EDV-Leiter der Stadt Höxter

“Durch die hohe Transparenz, die durchgängige Standardisierung und die umfangreichen Reports profitieren wir sowohl bei der Servicequalität als auch bei der Sicherheit von dieser Lösung. Quasi nebenbei werden wir auch noch entlastet - mit 8MAN benötigen wir rund 30 Minuten weniger pro Berechtigungsvergabe. Unser Fazit daher: Gerade der Austausch mit Unternehmen, die andere Lösungen zum Berechtigungsmanagement nutzen, überzeugt uns immer wieder davon, die richtige Entscheidung getroffen zu haben.” John-Asmus Burmester, Geschäftsführer der MPC IT Services

„Das Tool ist so intuitiv – ich denke, den meisten Datenverantwortlichen kann man innerhalb von zehn Minuten zeigen, wie es geht.“ Jörg Kundler, Leiter der Business-IT Deutsche Flugsicherung

„Uns ist das deutlich bessere Reporting der Ist-Berechtigungen im AD wichtig. Die Standardauswertungen von Microsoft liefern für unsere Zwecke nicht genügend Details und sind manuell aufwändig. (…) Wir setzen 8MAN an vier deutschen Standorten und zusätzlich in Österreich und Tschechien ein, weil wir damit langfristig Zeit und Kosten sparen. Es gibt Einzelfälle, bei denen der Aufwand des Administrators für einen detaillierten Berechtigungsreport zwei Tage dauerte, mit 8MAN benötigen wir zwei Stunden, inklusive Aufbereitung.“ Stefan Brüggemann, Leiter Worldwide IT-Operations Atotech Deutschland GmbH

Über uns: „Wir müssen immer wieder Berichte für verschiedene Audits erstellen, beispielsweise für das Bundesamt für Sicherheit in der Informationstechnik oder zu Datenschutzbestimmungen. In der Vergangenheit war es unverhältnismäßig aufwändig, geforderte Informationen zu erhalten.“ Nikolaus Ziegelbauer, Administrator im Landratsamt Ostalbkreis

protected-networks.com wurde in Berlin im Jahr 2009 gegründet und entwickelt 8MAN, eine integrierte Softwarelösung für die Verwaltung von Zugriffsrechten in Windows Umgebungen.

www.8man.com

Deutschland (Hauptsitz)

UK

USA

protected-networks.com GmbH

protected-networks.com

8MAN USA, Inc.

Alt-Moabit 73 10555 Berlin

1 Stanhope Gate Camberley, Surrey, GU15 3DW

Tel. +49 (0) 30 390 63 45 - 0 Fax +49 (0) 30 390 63 45 - 51

+44 (0) 1276 919 989

+1 (855) TRY-8MAN

[email protected] www.protected-networks.com

[email protected]

[email protected]

IT Compliance

08/2012 IT Compliance