Der erste Schritt in Richtung Datensicherheit ist sicherzustellen, dass nur befugte Personen Zugriff darauf haben. Diese Zugriffskontrolle beschränkt sich nicht nur auf elektronische Wege, sondern beginnt bereits an der Eingangstür zum Unternehmen. Doc Storage erklärt die logischen und physischen Methoden.
Teil 2 unserer Serie zu Daten- oder Speichersicherheit: Es mag profan klingen aber die Datensicherheit beginnt bei der Zugriffskontrolle. Diese schließt logische wie auch physische Methoden mit ein. Wie immer sind nicht alle Zugriffskontrollmethoden für alle Zwecke gleich gut geeignet. Doc Storage erklärt die jeweiligen Vor- und Nachteile.
Antwort Doc Storage:
In bestimmten Momenten benötigen Benutzer Zugriff auf Informationen in einem Netzlaufwerk, verfügen allerdings nicht über die nötigen Zugriffsrechte, um die gewünschten Dateien zu öffnen oder gar zu ändern. Dies passiert meistens in ungünstigen Momenten, und der Anwender muss sich an den Administrator wenden, welcher ihnen dann die entsprechenden Rechte gibt – oder eben aus bestimmten Gründen verweigert. In vielen Fällen kommen dann Diskussionen auf, warum der Anwender nicht einfach einen umfassenden Zugriff auf bestimmte Informationen auf einem Laufwerk oder in einem Ordner haben kann, um auf entsprechende Dateien zugreifen zu können.
Die Antwort verweist dann größtenteils darauf, ein Ticket beim Helpdesk zu eröffnen, über welches dann eine entsprechende Überprüfung der Benutzerrechte ausgelöst und im besten Fall dann der Zugriff genehmigt wird. Oder eben auch nicht. In jedem Fall kommt es zu Diskussionen, weil der Benutzer sich durch diese Prozesse gegängelt fühlt, es für unnötig hält, bestimmte Formulare auszufüllen, und nicht die Geduld aufbringt, auf die Lösung des Tickets zu warten.
Aber, so nervig dies auch alles für beide Seiten erscheinen mag, es gibt sehr gute Gründe, warum eine solche Zugriffskontrolle hier ins Spiel kommt.
Eine Zugangskontrolle besteht darin, den Benutzer zu identifizieren, der eine bestimmte Arbeit ausführt, ihn anhand des Ausweises (oder anderer ausgegebener ID-Karten) zu authentifizieren und ihm dann ausschließlich das Öffnen einer Tür oder eines Rechners zu ermöglichen, der für die Ausführung dieser Arbeit benötigt wird. In der EDV adaptiert man diese Kontrolle als die Erteilung einer individuellen Erlaubnis zum Arbeiten in einem Netzwerk mit Hilfe eines Benutzernamens und eines Passwortes. Diese gewähren den Zugriff auf Dateien, Verzeichnisse, Rechner oder Speichersysteme oder eben auf bestimmte Anwendungen, welche ein Anwender benötigt, um eine Aufgabe zu erledigen.
Wie können also einem Benutzer die korrekten Berechtigungen gegeben werden, um die individuellen Aufgaben zu erledigen? Hier kommen nun Zutrittskontrollmodelle ins Spiel.
Obligatorische Zugriffskontrolle (MAC)
Dieses MAC-Modell (Mandatory Access Control) gewährt nur dem Besitzer oder Systemverwalter die Zugriffskontrollen. Hier hat der Endbenutzer keinerlei Kontrolle über die Zuteilung von Privilegien. Mit dieser Zugriffskontrolle sind zwei Sicherheitskonzepte verbunden: Biba und Bell-LaPadula. Während das Biba-Modell sich auf die Integrität von Informationen bezieht, konzentriert sich das Bell-LaPadula-Modell auf deren Vertraulichkeit. Unter Biba kann ein Benutzer mit niedrigerer Freigabestufe Informationen auf höherer Ebene lesen (auch »Nachlesen« genannt), während ein Benutzer mit höherer Freigabestufe auch für niedrigere Freigaben schreiben kann (»Aufschreiben«). Dieses Konzept wird typischerweise in Umgebungen verwendet, in denen Mitarbeiter auf niedrigeren Ebenen Informationen auf höheren Ebenen lesen können sollen, allerdings nur beispielsweise Führungskräfte schreiben sollen, um die Mitarbeiter »darunter« zu informieren.
Im Bell-LaPadula-Modell dagegen kann ein Benutzer auf einer höheren Ebene lediglich auf seiner und höheren Ebenen schreiben, aber alle niedrigeren Stufen lesen kann (»herunterlesen«). Bell-LaPadula wurde vor allem für militärische oder hochsichere industrielle Umgebungen entwickelt, in denen ein Benutzer, der nicht über die passende Freigabestufe verfügt und bestimmte Informationen nicht kennen darf, diese nicht öffnen kann. In früheren Konzepten war dieses Modell mit einem Nummerierungssystem verbunden, in welchem zum Beispiel Akten eine Ebene und Mitarbeitern ebenfalls eine Ebene zugewiesen wurde. Hat hier eine Datei Ebene 100, eine andere Datei Ebene 200, und der Anwender Ebene 150 hat, so kann dieser zwar auf die Datei mit Ebene 100, jedoch nicht auf diejenige mit Ebene 200 zugreifen. Dies ist somit die schärfste Zugriffskontrolle, die es in logischen Umgebungen gibt. Sie wird unter anderem in Militär- und Regierungsumgebungen angewendet, wobei dort anstelle des oben erläuterten Nummerierungssystems Klassifikationen wie »Geheim«, »Streng geheim« oder »Unklassifiziert« verwendet werden.
Zugriffskontrolle nach Ermessen (DAC)
Die Zugriffskontrolle nach Ermessen (DAC, Discretionary Access Control) ist das am wenigsten restriktive Modell in diesem Bereich. Es ermöglicht eine individuelle vollständige Kontrolle über alle Objekte, die ein Anwender besitzt. Hinzu kommen alle Anwendungen, die diesen Objekten zugeordnet sind. DAC eröffnet allerdings zwei große Schwächen: Erstens gibt es dem Anwender die umfassende Kontrolle, Sicherheitseinstellungen für andere festzulegen. Dies kann dazu führen, dass Anwender an höhere Berechtigungen gelangen, als sie eigentlich aufgrund ihrer Position oder Wissensstufe sollten. Zweitens – und dies ist wesentlich gefährlicher – werden Berechtigungen, die ein bestimmter Anwender besitzt, auf andere Programme vererbt, wenn er diese ausführt. So lässt sich beispielsweise Malware ausführen, welche dann potenziell hochrangige Privilegien ausnutzt, die ein Anwender besitzt.
Rollenbasierte Zugriffskontrolle (RBAC)
Das RBAC-Modell (Role Based Access Control) verwendet eine Zugriffssteuerung basierend auf der Position, die ein Anwender in einem Unternehmen oder einer Organisation einnimmt. Anstatt also jemandem Berechtigungen als Sicherheitsverwalter zuzuweisen, sind dieser Position bereits bestimmte Berechtigungen zugewiesen. Im Wesentlichen benötigt der Benutzer dann also nur Zugriff auf das entsprechende Profil. Dieses Modell erleichtert dem Administrator das Leben nicht unerheblich. Das große Problem ist hier allerdings, dass es einen anderen Weges bedarf, wenn jemand Zugriff auf weitere, nicht zu seinem Profil gehörige Dateien benötigt. Des weiteren könnten Administratoren anderer Organisationen Zugriff auf Dateien erhalten, für die sie nicht autorisiert sind.
Regelbasierte Zugriffskontrolle (RB-RBAC)
Rule-Based-Access-Control (RB-RBAC) weist Benutzern basierend auf vom Administrator definierten Kriterien dynamisch Rollen zu. Sollte ein Benutzer beispielsweise nur zu bestimmten Zeiten auf Dateien zugreifen dürfen, wäre diese regelbasierte Zugriffskontrolle das Mittel der Wahl. Diese zusätzlichen »Regeln« müssen vom Administrator in Form von gewissen Codes in die Umgebung »programmiert« werden, anstatt wie in anderen Umgebungen lediglich »Kästchen anzukreuzen«.
Attributbasierte Zugriffskontrolle (ABAC)
Das ABAC-Modell (Attribute Based Access Control) wird meist als eine detailliertere Form der RBAC angesehen. Von den RBAC-Modellen sind dann mehrere erforderlich, um Zugriff zu erhalten. Attribute werden Subjekten, dem Objekten, Aktionen Umgebungen zugeordnet. So greift ein Benutzer (das Subjekt) auf den Datensatz (das Objekt) eines Kunden zu, um die enthaltenen Informationen auszulesen (Aktion). Dies geschieht von seinem Rechner aus während einer bestimmten Zeit (Umgebung). Dies ermöglicht im Vergleich zu einem rollenbasierten Ansatz eine bessere Feinabstimmung der Zugriffskontrollen. So könnte der Zugriff basierend auf der Umgebung (einer bestimmten Zeit) oder Aktion (Löschen von Datensätzen oder ähnliches) verweigert werden. Allerdings kann es schwieriger sein, diese Steuerelemente logisch zu koordinieren.
Risikobasierte Zugriffskontrolle
Hierbei handelt es sich um ein dynamisches Modell, welches den Zugriff auf Basis eines bewerteten Risikos bestimmt, das mit einer bestimmten Transaktion verbunden ist. Dies wird häufig bei der Anmeldung eines Benutzers und einer damit verbundenen Analyse des Risikoprofils verwendet. Sollte das Gerät, das für die Anmeldung verwendet wird, nicht bekannt sein, erhöht dies das Risiko, eine weitere Authentifizierung zu benötigen. Falls eine Aktion stattfindet, die als risikoreich eingestuft wird, sollte dies ebenfalls risikobasierte Eingaben auslösen. Dies kann beispielsweise der Versuch sein, Bankinformationen zu aktualisieren. Umfragen in diesem Bereich zeigen, dass risikobasierte Kontrollen für Anwender weniger »lästig« sind als andere Formen der Authentifizierung. So seien Zwei-Faktor-Authentifizierungen deutlich umständlicher in der Anwendung und unnötig komplexer im Vergleich zu den getesteten risikobasierten Authentifizierungen.
Logische Zugriffssteuerungsmethoden
Logische Zugriffskontrollen erfolgen über Zugriffskontrolllisten (Access Control Lists, ACL), Gruppenrichtlinien, Passworte und Beschränkungen für Benutzerkonten.
Zugriffssteuerungslisten sind Berechtigungen, die an ein Objekt (Datei) angehängt sind. Diese überprüft ein System, um die Kontrolle über dieses Objekt dann zuzulassen oder eben zu verweigern. Mögliche Berechtigungen reichen von Vollzugriff über Nur-Lesen bis hin zur Zugriffsverweigerung. Bei verschiedenen Betriebssystemen heißen die Einträge in den ACL ACE (Access Control Entry) und lassen sich über vier Angaben konfigurieren. Eine Sicherheitskennung (Security ID, SID), eine Zugriffsmaske, eine Definition für bestimmte ausführbare Operationen, und (meist) ein weiterer Satz von Definitionen, welche ererbte Berechtigungen für das Objekt bestimmen.
ACL bieten also eine detaillierte Zugriffskontrolle für Objekte. Sie werden jedoch schnell umständlich, wenn häufig Änderungen vorgenommen oder es viele Objekte zu verwalten gibt. In manchen Betriebssystemen lassen sich zusätzlich Gruppenrichtlinien einrichten. Diese ermöglichen eine generische Verwaltung der Zugriffskontrolle in einem Netzwerk, das Verzeichnisdienste verwendet. Damit entfällt die Notwendigkeit, die Zugriffskontrolle an jedem Rechner einzeln zu konfigurieren. Diese Einstellungen werden in Gruppenrichtlinienobjekten (Group Policy Objects, GPO) festgehalten. Allerdings ist es mit aktuellen Mitteln durchaus möglich, diese Gruppenrichtlinien zu umgehen.
Passworte sind die üblichsten logischen Zugangskontrollen. Sie sollten allerdings schwer zu erlangen und nicht schlußzufolgern sein, um ein gutes Maß an Zugriffskontrolle zu bieten. Lässt sich ein Passwort leicht erraten, oder wird ein Eintrag aus einem gängigen Wörterbuch verwendet, können diese mit bestimmten Angriffsarten leicht zu erlangen sein. Gängige Ansicht ist, dass Passworte umso schwerer zu erlangen sind, je mehr Zeichen diese enthalten. Des Weiteren sollten Sonderzeichen enthalten sein. Allerdings muss immer bedacht werden, dass ein Benutzer sich auch noch an sein Passwort erinnern können muss. Eine Zwei-Faktor-Authentifizierung macht die Passworteingabe noch sicherer, vor allem wenn man bedenkt, dass das Auffinden von Passwörtern heute nur noch Sekunden dauern kann.
Natürlich sollte auch sichergestellt sein, dass auf allen Systemen, Servern wie Arbeitsstationen, regelmäßig Software-Updates zum Schließen von bekannten Sicherheitslücken durchgeführt werden. Nicht mehr verwendete Benutzerkonten müssen gelöscht werden. Am Rechner selbst muss das BIOS mindestens passwortgeschützt sein, am besten mit biometrischen Abfragen. Ein Rechner sollte sich nur und ausschließlich von der Festplatte starten lassen, nicht von den USB- oder anderen externen Anschlüssen.
Kontobeschränkungen sind eine weitere Zugriffssteuerungs-Methode. Die beiden am häufigsten verwendeten Kontobeschränkungen sind zeitliche und ein Ablauf der Gültigkeit. Zeitliche Beschränkungen stellen sicher, dass Benutzer nur in bestimmten Zeiträumen Zugriff auf bestimmte Daten haben. Hiermit können Administratoren beispielsweise Datensätze nachts ohne externe Störung oder Sperrung durch andere Anwender aktualisieren. Kontoabläufe stellen sicher, dass ungenutzte Konten nicht mehr nutzbar sind. So können diese nicht mehr von Unberechtigten verwendet werden.
Arten der physischen Zugangskontrolle
Hier werden, wie der Name schon sagt, physische Barrieren verwendet, um unbefugte Benutzer am Zugriff auf bestimmte Systeme zu hindern. Hierzu gehört die Sicherung von Rechnern durch Sicherung des Zuganges zu bestimmten Räumlichkeiten, in denen die Bedieneinheit des Rechners steht. Daneben können Zugangsprotokolle in Papierform, Videoüberwachung, Personenvereinzeler und in extremen Situationen »Mantraps« verwendet werden. Die Sicherung des eigentlichen Rechners besteht in der Deaktivierung von Hardware, um Schaden durch verwendbare USB-Anschlüsse, optische Laufwerke oder den Zugang zum BIOS zu vermeiden. Auch dies verringert allerdings lediglich die Möglichkeit, Schad-Software auf ein System zu laden, welche sich dann in Folge auf andere Teile eines Netzwerks ausbreitet.
Mechanische Sicherung von Türen kann sehr einfach über Riegelschlösser mit Schlüsseln, Chiffrierschlösser oder physische Token erfolgen. Riegelschlösser entsprechen den klassischen Sicherungen mit Schlüsseln, Chiffrierschlösser gewähren nur Zugang, wenn man eine (zusätzliche) Zahlenkombination zum Entriegeln kennt. Physische Token bestehen meist aus einem Ausweis, der entweder über einen programmierten Magnetstreifen oder über Radiofrequenz-Identifikationsmodul (RFID) verfügt. Mit Hilfe der auf beiden Medien gespeicherten Informationen können dann Türen geöffnet werden.
Zugangsprotokolle in Papierform sind vielerorts noch für die physische Sicherheit in Gebrauch. Hier werden Benutzer mit Name, Firma, Telefonnummer, Ein- und Ausganszeit, nötigenfalls mit der Abgabe eines Personalausweises oder einer anderen ID-Möglichkeit festgehalten. Auch möglicherweise begleitende Personen lassen sich so erfassen. Damit ergänzen korrekt ausgefüllte Zugangsprotokolle in Papierform die Videoüberwachung.
Videoüberwachung, das nächste Level
Videoüberwachungssysteme ermöglichen die Aufzeichnung von Personen, die entweder eine Sicherheitskontrolle passieren oder sich in besonders sensiblen Bereichen aufhalten. Neben den eigentlichen Bildern werden auch Datum und Uhrzeit erfasst. Eine Komponente der Videoüberwachung kann auch in Mantraps Verwendung finden. Diese Mantraps heben die »einfache« Türsicherheit auf die nächste Ebene. Diese Technologie wird vor allem in Militär- und Regierungsumgebungen zum Zugang in Hochsicherheitsbereiche verwendet. Nach dem Vorzeigen eines Ausweises oder einer anderen Legitimation betritt eine Person hier einen kleinen Zwischenraum, dessen Tür sich dann schließt. Nur wenn die Daten der Person in einer externen Überprüfung als gültig erkannt werden, öffnet sich die zweite Tür und ermöglicht den Zutritt zum eigentlichen Sicherheitsbereich. Sollten die Daten als nicht gültig erweisen, hat die Person keine Möglichkeit zu entkommen.
Zugriffskontrolle: Maßnahmen einführen & durchhalten
Es gibt sechs Zugangskontrollmodelle und verschiedene logische bzw. physische Methoden in diesem Bereich. Kein Zugangskontrollmodell allein ist perfekt oder schützt vor allen Bedrohungen. Allerdings kann nur derjenige Angreifer und Kriminelle abschrecken und abhalten, der auch konkrete Schutzmaßnahmen einführt – und durchhält. Der schlimmsten Feinde dieser Implementierungen sind Nachlässigkeit, Bequemlichkeit und Vergesslichkeit. Deshalb gehören alle Maßnahmen in diesem Bereich unter die zentrale Kontrolle eines Security-Officers oder einer ähnlich hoch angesiedelten Position, alle müssen in fortlaufende Prozesse eingebunden sein und vor allem – alle müssen nach ISO jederzeit auditierbar sein. Jaja, ich weiß, jetzt rollt sich bei vielen schon wieder beides zusammen – Augenbrauen und Fußnägel…
Gruß
Doc Storage
Weiterführende Links
- Doc Storage: Unterschied zwischen Daten- und Speichersicherheit
- Doc Storage: Vor-/Nachteile von Scale-up- & Scale-Out-Infrastrukturen
- Doc Storage: Problemfall Datenmigration
- Doc Storage: Energieverbrauch in mittleren Rechenzentren reduzieren
- Doc Storage: Storage: Edge-Computing gehört die Zukunft