Zehn mal zehn goldene IT-Regeln, Teil I

4. Physischen Zugriff reglementieren

Sobald ein Angreifer an die Hardware des Servers gelangt, hat er die Kontrolle über das System schon so gut wie übernommen. Mit wenigen Tools und ein bisschen Geschick kann er sich Accounts anlegen oder die Daten ausspähen.

Dementsprechend sollten Sie wirksame Maßnahmen ergreifen, die den physischen Zugriff auf die Server nur autorisiertem Personal ermöglichen. Dazu gehören abschließbare Server-Räume und -Schränke und gegebenenfalls ein wirksamer Eindringlingsalarm.

5. Auditing

Überprüfen Sie regelmäßig die Rechtestruktur der Server. Hat plötzlich ein Mitarbeiter Berechtigungen, die er gar nicht haben sollte? Ist plötzlich eine Ressource frei verfügbar, die es eigentlich gar nicht sein sollte?

6. Changemanagement

Eine häufige Quelle für Fehler bei der Rechtevergabe ist ein unzureichendes Verfahren bei Änderungen im Personal. Scheidet ein Mitarbeiter aus oder wechselt er die Abteilung, bleiben oft alte Logins oder Berechtigungen bestehen, weil nicht sorgfältig genug geprüft wird. Im Falle einer Änderung bei den Mitarbeitern sollten Sie anhand einer Checkliste alle nicht mehr benötigten Rechte entziehen und nur noch die in der neuen Rolle erforderlichen zugestehen. Diese Checkliste ist natürlich bei Änderungen in der IT-Struktur anzupassen.