Wer überwacht denn die Kontrolleure?

Unternehmen müssen heute für die Integrität ihrer Daten gerade stehen. Doch wie können sie garantieren, dass kein Administrator mit Superuser-Rechten Daten manipuliert und anschliessend alle Spuren gründlich verwischt hat?

» Von Oliver Desch, 20.04.2007 08:55. Letztes Update, 20.04.2007 08:58.

Oliver Desch ist Leiter technischer Vertrieb DACH bei Balabit IT Security in München.

Vertrauen ist gut, Kontrolle ist besser. Über dieses Zitat streiten sich die Geister: Die einen unken, Kontrolle sei ein Motivationskiller und somit kontraproduktiv. Andere hingegen sind überzeugt, dass nichts besser hilft, Fehler zu vermeiden, als die gegenseitige Kontrolle. Zur Bestätigung dieser Theorie wird das tägliche Leben zitiert. Etwa die Tatsache, dass sich das «Vier-Augen-Prinzip» im Cockpit von Verkehrsflugzeugen bewährt hat, um Katastrophen durch menschliches Versagen so weit irgend möglich zu verhindern. Doch unabhängig davon, welche Stellung man persönlich in dieser Diskussion bezieht: Manchmal hat ein Unternehmen gar keine andere Wahl, als das Handeln seiner Mitarbeiter in besonders sensiblen Bereichen zu kontrollieren - auch wenn es ihnen vertraut. Dies trifft im besonderen Masse auf Sicherheitsexperten mit Administratorrechten zu.

Super-User und Sarbanes-Oxley

Jede IT-Abteilung braucht einen oder mehrere Administratoren. Diese sind im Gegensatz zu den «normalen» Benutzern mit so genannten Superuser-Rechten ausgestattet, welche ihnen beliebige Änderungen an allen IT-Systemen ermöglichen. Natürlich benötigen sie diese Rechte auch, um ihre Arbeit effizient erledigen zu können. Andererseits befähigen die Superuser-Rechte die Administratoren, vertrauliche Daten auf sensiblen Systemen zu manipulieren. Und Administratoren können anschliessend auch alle Spuren tilgen, die sie bei ihren Manipulationen hinterlassen haben. Eine Krux, welche gerade das Management eines Unternehmens in grosse Verlegenheit bringen kann.

So muss beispielsweise der Finanzvorstand eines amerikanischen, börsennotierten Unternehmens entsprechend dem Sarbanes-Oxley-Act (SOX) nachweisen, dass seine Finanzdaten akkurat sind und nicht in irgendeiner Weise modifiziert wurden. Andere regulative Vorschriften, wie der Health Insurance Portability and Accountability Act (HIPAA) aus der Gesundheitsbranche oder der Payment Card Industry Data Security Standard (PCI), machen ähnliche Vorgaben zum Schutz persönlicher Daten oder von Kreditkarteninformationen. Doch während legitime Veränderungen von Finanzdaten, etwa durch die Buchhaltungsabteilung, in aller Regel revisionssicher von den entsprechenden ERP-Anwendungen protokolliert werden, sieht es bei den Administratoren anders aus. Die entsprechende kriminelle Energie, das nötige Fachwissen und Superuser-Rechte vorausgesetzt, können sie beispielsweise Bilanzdaten direkt in der Datenbank verändern - ohne dass die ERP-Anwendung dies mitbekommt. Anschliessend säubern sie noch die Protokolle des Datenbankservers, und schon gibt es keine Hinweise mehr darauf, dass Zahlen manipuliert wurden. Dabei müssen die Übeltäter nicht einmal aus den eigenen Reihen stammen. Denn im Zuge des Outsourcings lagern viele Unternehmen die Administration einzelner IT-Bereiche an externe Dienstleister aus und geben so die Entscheidung über das verantwortliche Personal aus der Hand.

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.