Geschrieben am 22.08.2019 von:
Wenn Sie sich mit Informationssicherheit in irgendeiner Form beschäftigen, stoßen Sie immer wieder auf die gleichen Begriffe, mit denen Sie vertraut sein sollten. Wie können die Begriffe Zutritt, Zugang und Zugriff voneinander abgegrenzt werden? TOM erklärt! Ab heute nun jeden dritten Donnerstag im Monat.
Am Anfang steht der Zutritt
„Du kommst hier nicht rein“ – ein freundlicher Herr am Eingang macht deutlich, wie er Ihr Begehr um Einlass findet. Dieser Türsteher ist eine Maßnahme der Zutrittskontrolle, denn er regelt (notfalls auch mit vollem Körpereinsatz), wer hineinkommt und wer nicht. Systeme zur Informationsverarbeitung werden geschützt, indem Sie erst gar nicht in deren Nähe kommen. Objektschutz, Perimeterschutz (im einfachsten Fall: ein Zaun), aber auch Schließsysteme, Alarmanlagen, (ab)geschlossene Türen – all das sind Maßnahmen der Zutrittskontrolle. Auch organisatorisch muss hier eingegriffen werden – Fenster sind zu schließen, sicherheitsrelevante Türen (wie die Tür zum Serverraum) dürfen nicht verkeilt werden.
Wir sind im Gebäude – und was passiert nun?
Sobald die Hürde des Zutritts hinter Ihnen liegt, geht es darum, ob Sie Zugang erlangen. Zugang zu was? Zugang zu Systemen zur Informationsverarbeitung. Informationen können auch in analoger Form vorliegen (vulgo: auf Papier). Diese sind sie natürlich ebenfalls zu schützen. Leere Schreibtische, keine herumliegenden Unterlagen – all das dient der Informationssicherheit. Ein beliebtes „Leck“ sind Drucker – gerne wird gedruckt. Aber wenn die Ausdrucke nicht sofort abgeholt werden, kann sie jeder mitnehmen oder einfach einsehen. Der Zugang zu Informationen kann in diesem Fall etwa geschützt werden, indem Sie sich am Drucker nochmals anmelden müssen, bevor Ihr Dokument gedruckt wird. Ihre individuelle Benutzerkennung dient der Informationssicherheit. Ihr Passwort ebenso – hoffentlich ist es sicher und nicht so simpel gestrickt, dass es einfach zu erraten ist.
Ein nicht gesperrter Computer in einem unbeaufsichtigten Büro? Zugang!
Eine Netzwerkdose, an die man einfach ein Gerät anschließen kann und dann im Netz ist? Zugang!
Ungesichertes WLAN? Zugang!
Unterlagen in der Papiertonne? Zugang!
Das letzte Bollwerk der Absicherung
Sie sind ins Gebäude gelangt und haben Zugang zu einem Computer. Das muss nicht unberechtigt geschehen, es kann alles seine Ordnung haben. Dennoch gibt es eine weitere Ebene bei der Absicherung von Informationen – den Zugriffsschutz. Durch verschiedene Berechtigungsebenen wird sichergestellt, dass Sie nur das sehen, was Sie auch sehen dürfen. Nur die berechtigten Sachbearbeiter der Personalabteilung dürfen die Personaldaten sehen und bearbeiten. Der Ordner der Geschäftsführung ist auch nur für diese freigegeben. Wer was wann abgerufen hat, ist zu protokollieren.
Auch beim Zugriffsschutz kann viel schiefgehen. Um ihn ausreichend umzusetzen, müssen Sie eventuell für bestimmte Speicherbereiche ein separates Passwort eingeben oder sich bei einzelnen Anwendungen nochmal anmelden. Wenn Sie nicht alles dürfen, ist das keine Schikane – es ist einfach notwendig, um Informationen zu schützen.