:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
NTFS-Sicherheit verstehen Auf die Berechtigung kommt es an
NTFS-Berechtigungen sind ein mächtiges Tool zur Beschränkung von Zugriffsrechten, aber gleichzeitig auch ein großes Sicherheitsrisiko bei Fehlkonfigurationen. Schnell kann man im Wirrwarr der Berechtigungen den Überblick verlieren zeigen Ihnen hier deshalb kurz und kompakt wie Sie die Übersicht behalten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
Für Firmenanwender ist der Hauptvorteil von NTFS gegenüber dem älteren, aber immer noch unterstützten FAT die Tatsache, dass Berechtigungen für Benutzer und Gruppen vergeben werden können. Eine solche Berechtigung (wie etwa „Ändern“ „Zulassen“ bei Dokument „example.doc“) gilt sowohl für lokale Benutzer, die vor dem Computer sitzen, als auch für Remote-Benutzer, die per Netzwerk auf den Rechner zugreifen.
Wegweiser durch die NTFS-Berechtigungen
Es gibt folgende NTFS-Berechtigungen:
- Lesen: erlaubt, eine Datei zu lesen
- Lesen, Ausführen: enthält „Lesen“ plus die Möglichkeit, Programme zu starten
- Schreiben: enthält „Lesen“ plus die Möglichkeit, die Datei zu überschreiben und/oder ihre Attribute zu ändern
- Ordnerinhalt auflisten: erlaubt, den Inhalt eines Ordners zu sehen
- Ändern: enthält „Lesen, Ausführen“ und „Schreiben“ plus die Möglichkeit, die Datei zu löschen!
- Vollzugriff: enthält „Ändern“ plus die Möglichkeit, den Besitz der Datei zu übernehmen und ihre Berechtigungen neu zu setzen
Zusätzlich gibt es noch 14 weitere, sehr spezielle Berechtigungen wie „Erweiterte Attribute schreiben“ oder „Unterordner und Dateien löschen“, die über die Schaltfläche „Erweitert“ im Reiter „Sicherheit“ der „Eigenschaften“ einer Datei oder eines Ordners zugänglich sind.
Alle Berechtigungen können auf „Zulassen“ oder „Verweigern“ stehen oder unkonfiguriert sein. Was das genau bedeutet, zeigt das folgende Beispiel.
Effektive Berechtigungen kontrollieren
Gustav Eder ist Mitglied der Gruppe Marketing und der Gruppe Geschäftsleitung. Als Marketing-Mitglied hat er Lesezugriff auf den Ordner „Verlautbarungen der Geschäftsleitung“, als Geschäftsleitungs-Mitglied sogar Schreibzugriff. Es gilt immer die umfangreichere „Zulassen“-Berechtigung, also hier Schreibzugriff.
Ausnahme: Hat Gustav Eder persönlich oder als Gruppenmitglied irgendwo eine Verweigern-Berechtigung, dann hat diese vor allem anderen Vorrang. Ist Gustav Eder also Mitglied der Gruppe „Fristlos entlassene Mitarbeiter“ mit „Vollzugriff“ „verweigern“, erhält er gar keinen Zugriff.
Welche Berechtigungen für Gustav Eder auf „example.doc“ gelten, hängt von mehreren Faktoren ab: Es muss beachtet werden, welche Berechtigungen für ihn persönlich und für alle Gruppen gelten, in denen er Mitglied ist. Zudem muss diese Prüfung nicht nur für die Datei selbst durchgeführt werden, sondern auch für alle darüber liegenden Ordner, denn NTFS-Berechtigungen werden im Regelfall die Ordnerhierarchie hinab vererbt. Dies wird schnell unübersichtlich.
Daher bietet Windows Server 2003 die Möglichkeit, die effektiven Berechtigungen für eine Datei bzw. einen Ordner anzusehen: Im „Sicherheit“-Reiter in den „Eigenschaften“ gibt es eine „Erweitert“-Schaltfläche, die zu einem neuen Dialog führt. Der bietet einen Reiter „Effektive Berechtigungen“, der nach Wahl eines Benutzers oder einer Gruppe genau anzeigt, welche Berechtigungen gelten.
Freigabe-Berechtigungen und NTFS-Berechtigungen
Wer über das Netzwerk auf einen freigegebenen NTFS-Ordner zugreift, für den gelten nicht nur die NTFS-Berechtigungen, sondern auch die Freigabe-Berechtigungen. Bei Freigaben gibt es nur die drei Berechtigungen „Lesen“, „Ändern“ und „Vollzugriff“. Die Schwierigkeit bei der Kombination von Freigabe- und NTFS-Berechtigungen ist, dass stets die restriktivere Variante gilt: Hat also Gustav Eder auf „example.doc“ „Ändern“ als NTFS-Berechtigung und „Lesen“ als Freigabe-Berechtigungen, dann kann er die Datei über das Netzwerk nicht löschen. (Er könnte sie jedoch sehr wohl löschen, wenn er sich zu dem entsprechenden Rechner begibt und sich lokal anmeldet).
Ein weiteres Problem ist, dass es keine Möglichkeit gibt, sich die effektiven Berechtigungen anzusehen, die als Kombination aus Freigaben- und NTFS-Berechtigung entstehen. Im Problemfall steht dem Administrator also mitunter eine lästige Fehlersuche bevor.
NTFS-Berechtigungen und andere Betriebssysteme
NTFS ist kein Dateisystem, das Daten schützt. Es stellt lediglich dem Betriebssystem, das auf die NTFS-Dateien zugreift, die Möglichkeit zur Verfügung, die Daten zu schützen. Windows XP und Windows Server 2003 tun das und verweigern Benutzern bestimmte Aktionen, sofern nicht entsprechende Berechtigungen in der Zugriffskontrollliste der Datei oder des Ordners vermerkt sind.
Andere Betriebssystem scheren sich nicht um die Zugriffskontrolllisten und geben einfach Zugriff auf die Dateien. Das ist deswegen problemlos möglich, weil NTFS seine Daten standardmäßig nicht verschlüsselt.
Das heißt für den Administrator zweierlei: Erstens muss bei gefährdeten Daten unbedingt die NTFS-Verschlüsselung aktiviert werden, damit diese auch dann sicher bleiben, wenn der Computer in die falschen Hände gerät. Zweitens kann er sich diese NTFS-Lücke auch selbst zu Nutze machen und im Problemfall – das Notebook eines Mitarbeiters, der im Unfrieden die Firma verließ – mit einer geeigneten Linux-Live-CD die Daten auslesen. Empfehlenswert ist hier beispielsweise das Inside Security Rescue Toolkit (INSERT).
Artikelfiles und Artikellinks
(ID:2001553)
:quality(80)/p7i.vogel.de/wcms/7d/3f/7d3fb91a74a93f9016cf0e18dc3612cf/0127058198v1.jpeg "Mit dem Tool BulkFolderLocker lassen sich Ordner vor unbefugtem Zugriff schützen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")