ISO 27001:2005 – Zugriffskontrolle

Verwalten und Überwachen von Benutzerverhalten und Zugriffen

20.08.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz

ISO 27001:2005 dient zur Errichtung eines Managementsystems für Informationssicherheit (ISMS). Die „Zugriffskontrolle“ ist ein Teil des ISMS und hat das Verwalten und Überwachen des Benutzer- und Zugriffsverhaltens zum Thema. Die Norm spricht das Überwachen von Dateizugriffen genauso an, wie die Kontrolle der mobilen Kommunikationsgeräte. Der Artikel beschreibt die wesentlichen Aspekte der ISO-Betrachtungsweise und stellt Bezüge zur Praxis her.

ISO/IEC 27001:2005 besteht insgesamt aus 11 Überwachungsbereichen. Die Zugriffskontrolle ist der 7. Überwachungsbereich aus dem Annex A (§11), der in 7 Kategorien und insgesamt 25 Kontrollzielen unterteilt ist. Kontrollziele stellen die eigentlichen Aufgaben oder Maßnahmen dar.

Wie bei den anderen Überwachungsbereichen, übernimmt die Norm auch hier die Vorgaben aus ISO 17799:2005. Wie schon erwähnt, enthält der Artikel Informationen über die wesentlichen Vorgaben der Norm.

Die Norm schreibt vor, dass gemäß den Geschäfts- und Sicherheitsanforderungen („Schutzbedarfskategorie“, laut Bundesamt für Sicherheit in der Informationstechnik, BSI) eine Kontrolle des Informationszugriffs und der Geschäftsprozesse stattfinden soll.

Im Detail sind folgende Kategorien bestimmt worden:

  • Geschäftliche Anforderungen für Zugriffskontrollen
  • Benutzer-Zugriffsverwaltung
  • Verantwortung der Benutzer
  • Netzwerk-Zugriffskontrolle
  • Betriebssystem-Zugriffskontrolle
  • Zugriffskontrolle für Anwendungen und Informationen
  • Kontrolle für Mobile-Computing und Telearbeit

(1) Geschäftliche Anforderungen für Zugriffskontrollen

Aus den Vorgaben der Norm geht hervor, dass Richtlinien zur Zugriffskontrolle entsprechend den geschäftlichen Anforderungen eingerichtet werden sollten. Logische und physikalische Zugriffskontrollen berücksichtigen sich in diesem Fall gegenseitig.

Zugriffskontrollen – und das ist auch in der Norm angemerkt – sind nicht ohne die IT-Compliance (Annex A, § 15) anwendbar. Und hier liegt in der Praxis das Hauptaugenmerk, da die gesetzlichen Bestimmungen in Deutschland die Arbeitnehmer und Persönlichkeitsrechte sehr stark unterstützen. Empfehlenswert ist der transparente und „lange“ Weg: Unter Ausnutzung der „Organisation der Informationssicherheit“ (Annex A, § 6) wird eine für alle Teilnehmer (rechts-)verbindliche Richtlinie inklusive der IT-Compliance erstellt. Einen möglichen Aufbau einer Organisationsstruktur zeigt Abbildung 1.

(2+3) Benutzer-Zugriffsverwaltung und Verantwortung der Benutzer

Die Benutzer-Zugriffsverwaltung beinhaltet die Benutzeranmeldung, die Rechteverwaltung, die Verwaltung der Benutzerkennwörter und die Überprüfung der Benutzerzugriffsrechte. Unter Rechteverwaltung versteht die Norm Aspekte, wie beispielsweise eindeutige Benutzer- und Gruppen-IDs, die selbstverständlich auch genehmigt und dokumentiert sind. Die Genehmigung erfolgt nach den IT-Sicherheits-Leitlinien, die im Überwachungsbereich „Organisation der Informationssicherheit“ festgelegt worden sind (siehe auch Abbildung 1).

Die Vergabe und Verwendung von Rechten sollte beschränkt und kontrolliert werden. Um dies zu unterstützen, bedarf es auch einem Verständnis seitens des Benutzers, denn die geringe Vergabe oder der Entzug von Rechten wird fälschlicher Weise oft als persönliche Zurückweisung oder als Zeichen schlechter Arbeitsleistung verstanden. Die Vergabe der Privilegien sollte daher in der Arbeitsbeschreibung und in der IT-Sicherheitsschulung schon im Vorfeld angesprochen werden. Ein konkreter Aspekt, der in der Praxis und in der Norm wichtig ist, stellt die Trennung von administrativen und normalen Benutzerprivilegien dar. Ist eine Person normaler Benutzer und „Administrator“ in Personalunion, dann sollte er zwei unterschiedliche Konten verwenden.

Kennwörter bleiben selbstverständlich geheim und sind nur von der betreffenden Person zu verwenden. Diese muss das Kennwort absolut vertraulich behandeln. Die Sicherheitsanforderung gibt die Länge und Art des Kennworts vor. Damit das Kennwort eine bestimmte Länge und Struktur besitzt und auch ab und zu einmal geändert wird (beispielsweise aller drei Monate), gibt es in den meisten Betriebssystemen Einstellungen, die eine Kennwortverwaltung ermöglichen. Derzeitig werden eine Kennwortlänge von 8 Zeichen, die Verwendung von Sonderzeichen sowie Groß- und Kleinschreibung empfohlen. Es versteht sich von selbst, dass die Namen von Familienmitgliedern oder anderen persönlichen Vorlieben (z.B. Haustier, Fußballclub, etc.) nicht zu verwenden sind.

Gemäß der Philosophie des PDCA-Lebenszyklusmodells (siehe Abbildung 2) sollte auch die Benutzer-Zugriffsverwaltung regelmäßig überwacht und überprüft werden. Gerade das Benutzerverhalten sieht in der Wirklichkeit oft ganz anders aus: Da ist zum Beispiel das Administrator-Kennwort das bestgehütete öffentliche Geheimnis und ein Computer wird nicht gesperrt, wenn der Anwender seinen Arbeitsplatz kurzzeitig verlässt.

(4) Netzwerk-Zugriffskontrolle

ISO 27001:2005 schreibt vor, internen und externen Netzwerkzugriff von Personen und Anwendungen zu kontrollieren. Der Maßnahmenkatalog sieht vor, dass Anwender nur auf diejenigen Dienste Zugriff nehmen dürfen, auf denen sie eine autorisierte Benutzung erteilt bekommen haben. Die liegt dann vor, wenn ein Benutzer sich mittels eines Kontos an einer Organisationsstruktur, wie beispielswiese einer Active Directory-Domäne anmeldet. Ähnliches gilt auch für Benutzer aus VPNs, die sich noch zusätzlich über eine verschlüsselte Leitung verbinden und optional über einen speziellen Anmeldeserver (z.B. RADIUS-Server) autorisieren. Innerhalb von Netzwerken sorgen Router, Switches und Firewalls für eine Netzwerksegmentierung und Abtrennung.

Sicherheitsmaßnahmen in Form eines Perimeternetzwerks (auch demilitarisierte Zone (DMZ) genannt) helfen eine Anbindung an das Internet oder fremde Netzwerke sicher zu gestalten. Eine weitere Maßnahme ist der Einsatz eines Proxy-Servers für ein sicheres Surfen im Internet. Firewalls und Proxy-Server besitzen die Fähigkeit, Datenverkehr zu filtern und Zieladressen in Log-Dateien zu speichern. Eine Überwachung dieser Geräte ist hinsichtlich der IT-Sicherheit überaus sinnvoll. Bei der Durchsetzung der Norm in Deutschland ist allerdings ein juristisch ausgeklügelter Arbeitsvertrag bzw. Firmensicherheitsrichtlinie notwendig.

(5) Betriebssystem-Zugriffskontrolle

Ziel von Hackern, Viren und anderem schädlichen Programmcode ist der Zugriff auf das Betriebssystem. Neben der hier notwendigen Benutzer-Zugriffsverwaltung sind sichere Anmeldemethoden und deren Überwachung wichtig. Es kann beispielsweise eine Überwachung eingerichtet werden, die ein Benutzerkonto bei drei falschen Kennwörtern sperrt. Immer wenn Mitarbeiter namentlich überwacht werden, muss auch hier das deutsche Recht beachtet werden.

(6) Zugriffskontrolle für Anwendungen und Informationen

Ziel ist es, Anwendungen und Informationen (z.B. in Datenbanken) vor unbefugtem Zugriff zu schützen. Schutzmaßnahmen sind die Verwendung von Zugriffsberechtigungen (Lesen, Ändern, Löschen, usw.), die bei Microsoft Windows auf Freigabe-Ebene (Share) oder auf Dateisystem-Ebene (für NTFS) gesetzt werden können. Andere Betriebssysteme, wie Novell Netware, MacOS oder Linux besitzen ähnliche Möglichkeiten. Falls Anwendungen durch ein Benutzerkonto (Dienstkonto) gestartet werden, sind die Privilegien und der Zugriff der Anwendung zu protokollieren. Generell sollte die Anwendung nur dann mit administrativen Privilegien laufen, wenn es unbedingt notwendig ist. Falls ein hoher Sicherheitsgrad erforderlich ist, sollte unbedingt an eine Isolation von Anwendungen und Systemen gedacht werden.

(7) Kontrolle für Mobile-Computing und Telearbeit

Aus unserer mobilen Informationsgesellschaft sind Notebooks, Palmtops, Laptops, Smart Cards und Mobiltelefone nicht mehr weg zu denken. Auch die kleinen Geräte besitzen komplexe Betriebssysteme, mit denen sich Mails und andere Dateien speichern lassen. Durch diverse Funkstandards können sie untereinander oder per Internet kommunizieren. Sind Computergeräte in festen Standorten mit umfangreichen Sicherungen versehen, wie Firewalls, Intrusion Detection Systeme, Verschlüsselungstechniken und Proxy-Servern, so fehlen diese sehr oft in den mobilen Geräten.

Generell besitzen Funkverbindungen immer einen höheren Risikofaktor als auf Kabel basierende, da es nur eine Frage der Zeit ist, wann der Zugangscode gehackt wird. Bei Funk-Standards, wie Microsoft Bluetooth fehlen Sicherungen oft gänzlich. Es sei ebenfalls erwähnt, dass auch ein ganz normales Telefongespräch nicht sicher ist und ausspioniert werden kann. ISO 27001:2005 beschreibt in seinen Zielen einen Schutz der mobilen Geräte, der adäquat zu den Standgeräten sein sollte.

Fazit

Das Überwachen von Benutzerverhalten und Netzwerken ist ein überaus wichtiger Baustein in einem ISMS. Da die gesetzlichen Bestimmungen in den Ländern sehr verschieden sind, kann die Norm nur Hinweise auf einen umfassenden Schutz geben. Damit nicht Orwells „Big Brother“ jeden IT-Benutzer penetrant überwacht, sind im Vorfeld der Kontrollmaßnahmen umfangreiche IT-Sicherheitsrichtlinien zu verfassen. Die Richtlinien müssen dem Sicherheitsbedürfnis entsprechen. Sie sollten anschließend in das Sicherheitsbewusstsein der Mitarbeiter einfließen, denn nur so kann auf breiter Basis ein Schutzschild wirksam sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2006889 / Standards)