Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

2010-09: Mut zur Beschränkung

Wenn von Beschränkung von Benutzerrechten und Logging die Rede ist, geschieht das meinst unter dem Aspekt, absichtliche Veränderungen durch Nutzer zu verhindern. Ein reelles Anliegen. Doch fast noch nützlicher sind diese Maßnahmen, um User oder auch Experten vor unabsichtlichen Eingriffen zu schützen.

„Benutzerrechte müssen beschränkt werden“. So lautet eine der Grundregeln in der Informationssicherheit. Was sich so despotisch anhört, hat seinen Sinn, nämlich zu verhindern, dass Unberechtigte keinen Schaden anrichten können. Erster Gedanke sind hierbei Würmer oder Viren, die das Unternehmensnetzwerk verseuchen, weil etwa unter Windows jeder als „Administrator“ unterwegs ist. Oder der Mitarbeiter, der die Gehaltslisten der Buchhaltung ausspäht. Es geht also um Verbote.

Nur wenige denken bei der Forderung an selbst auferlegte Beschränkung. Ich bin ein Fan davon. Denn: Wohin ich nicht darf, dort kann ich nichts (unbeabsichtigt) anstellen. Und wenn dort etwas liegt, was mich nichts angeht, was soll ich dann dort? Unsere Nachbarn sperren ihre Wohnungstür immer zweimal zu. Das soll mir recht sein, denn dann kommen sie auch nicht auf den Gedanken, ich würde ihnen Geld aus dem Portemonnaie klauen. Ebenso im Firmennetz! Wenn etwas mit Daten passiert, auf die ich keinen Zugriff habe, kann mir auch schlecht jemand vorwerfen, ich wäre schuld! Also nehmt mir ruhig diese (Benutzer-) Rechte!

Auch dem Logging haftet eher der Odeur des Ausspähens, der Überwachung und Kontrolle an, nämlich zu überprüfen, ob Benutzer absichtlich Eingriffe und Veränderungen vornehmen. Dabei ist auch hier meiner Meinung nach ein anderer Aspekt viel wichtiger: Durch die Log-Dateien lassen sich etwas Fehlersituationen frühzeitig erkennen und mir hat ein sorgfältiges Logging in einem Projekt schon einmal „das Leben gerettet“:

Ich musste in einer unübersichtlichen Datenbank Einträge ändern. Leider war nicht nur die Datenbank unübersichtlich, sondern auch das Webinterface dafür. Und – schwupps – hatte ich Daten in einem Bereich geändert, in dem ich weder etwas zu suchen hatte, noch Zugriff hätte haben sollen. Am nächsten Tag stand der Herr dieser Daten vor mir – was war mir das peinlich. Gerade einmal eine Woche im Projekt und so ein Fauxpas.

Es war also bei den Benutzerrechten kräftig geschlampt worden. Glücklicherweise hatte jemand bei der Datenbank an anderer Stelle zuverlässig und gut entwickelt: Alle meine Änderungen waren geloggt und so konnte ich meine unbeabsichtigten Änderungen korrigieren. Der Frieden im Projektteam wieder hergestellt.

Es kann also durchaus auch nützlich sein, die eigene vermeintliche Wichtigkeit mal zurückzustellen.