IT-Systeme für ein wirksames ISMS – Zugriffs-­ und Zutrittsregulierung

Data Privacy von Chantal Nußbaum

freepik.com

Eine Vielzahl an Elementen und Maßnahmen bilden in der Summe ein wirksames ISMS. In diesem Beitrag erfahren Sie, welche Systeme für die Zugriffs-­ und Zutrittsregulierung sinnvoll sind.

Ein wirksames Informationssicherheitsmanagementsystem (ISMS) umfasst sowohl technische als auch organisatorische Elemente zur Wahrung der elementaren Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Das Zusammenspiel dieser Elemente ist damit entscheidend für ein umfassendes Sicherheitsmanagement und eine erfolgreiche Sicherheitsstrategie. Auch im Kontext der NIS2-Richtlinie wird uns immer wieder die Frage gestellt, welche Systeme für ein wirksames ISMS sinnvoll sind. Eines können wir vorneweg nehmen: Der Werkzeugkasten ist voll und vielfältig.

Dies ist der erste Beitrag unserer Blogpostreihe zum Thema „IT-Systeme für ein wirksames ISMS“ und befasst sich maßgeblich mit dem Thema Zugriffs- und Zutrittsregulierung.

Alle Systeme auf einen Blick

Sofern ein Standard wie die ISO 27001, ein TISAX® Assessment, die NIS2-Richtlinie oder der IT-Grundschutz umgesetzt werden soll, so sehen wir folgende Systeme für die Zugriffs- und Zutrittsregulierung als „Must-do“ an, um die Konformität zu erlangen.

Zugriffs-­ und Zutrittsregulierung

 

Benutzer- und Berechtigungsverwaltung – Active Directory / Fileserver

Eine Benutzer- und Berechtigungsverwaltung hilft, unerwünschte Zugriffe zu verhindern und die Sicherheit von Datenbeständen und Ressourcen zu gewährleisten. Zudem unterstützt eine entsprechende Verwaltung,  Kontrolle über die Zugriffe auf Daten sicherzustellen, damit ausschließlich autorisierte Personen darauf zugreifen können (Need-to-know-Prinzip). Als Beispiel für eine Fileserver-Software führen wir Samba als Netzwerklösung für Dateien an. Samba übernimmt dabei die Rolle des Primary Domain Controllers (PDC), die zentrale Authentifizierung und die Bereitstellung der Datenbestände und Profile für Windows-Arbeitsplätze. Inzwischen ist auch die Bereitstellung der Datenbestände für Macintosh und LINUX über das CIFS-Protokoll kein Problem mehr. Damit ist es möglich, unter Windows, Macintosh und Linux auf die gleichen Datenbestände zuzugreifen.

Schutz vor unbefugter Offenlegung von Daten – Kryptographische Verschlüsselung

Die Verwendung von kryptographischer Verschlüsselungsmethoden bei mindestens mobilen Endgeräten wie Laptops ist eine wichtige Sicherheitsmaßnahme, um sowohl Unternehmensdaten als auch personenbezogene Daten zu schützen. Selbst wenn ein Angreifer Zugang zum Laptop erhält, wird durch die Verschlüsselung sichergestellt, dass nur autorisierte Benutzer Zugriff erhalten. Ohne den passenden Schlüssel wird ein Zugriff unmöglich. Dadurch kann sowohl ein IT-Sicherheitsvorfall als auch ein Datenschutzvorfall vermieden werden.

Auch im Bereich der Datenübermittlung im Internet werden kryptographische Verfahren eingesetzt. Für eine seriöse und sichere Webseite ein Must-do. Dies gelingt mit sogenannten SSL-Zertifikaten (auch x.509-Zertifikate). SSL steht für „Secure-Sockets-Layer“ und verschlüsselt die Kommunikation von Daten, die von Ihrem Computer zu einem Server transportiert werden. Ein SSL-Zertifikat ist ein kryptografischer, digitaler Schlüssel. Ist das Zertifikat auf einem Webserver installiert, wird die verschlüsselung aktiviert.
Es sorgt für eine sichere Verbindung von einem Webserver zu einem Browser eines Benutzers.

Zutrittskontrolle und Alarmanlage

Eine Alarmanlage kann dazu beitragen, das Risiko eines Einbruchs oder anderer Sicherheitsverletzungen zu verringern, indem sie potenzielle Eindringlinge abschreckt, einen Alarm auslöst oder automatisch die Polizei oder den Wachdienst alarmiert. Hier gibt es zahlreiche Anbieter. Aus unserer Sicht ist es bei der Evaluierung essentiell zu erfahren, wo die Daten gespeichert werden und wer auf diese Zugriff hat, ob es eine Anbindung an die nächste Polizeistelle gibt.

Ebenso kann durch eine solche Anlage der Zutritt in die Räumlichkeiten unterbunden beziehungsweise das Zutrittsrecht einzelner Personen durchgesetzt werden. Ebenso wird hierdurch protokolliert, wer sich zu fraglichen Zeiten innerhalb der Räumichkeiten aufgehalten hat.

Elektronische oder mechanische Schließanlage

Um einen kontrollierten Zugang zum Unternehmensgebäude umzusetzen und externe Personen von unbefugtem Zutritt abzuhalten, ist eine funktionierende Schließanlage essentiell. Wichtig dabei: Schließkreise müssen so gestaltet sein, dass auch hier das Need-to-know-Prinzip umgesetzt wird. Mitarbeiter sollen nur zu den Räumen Zutritt erhalten, die für ihre Arbeit erforderlich sind. Die Überwachung der Ausgabe und der Einzug von Schlüsseln und Berechtigungen ist ebenfalls unerlässlich. Unabhängig davon, ob es sich um eine mechanische oder um eine elektronische Schließanlage handelt, müssen Unternehmen einen Überblick über die Vergabe ihrer Schlüssel und/ oder Transponderberechtigungen haben. Durch die Implementierung eines Schließsystems kann ein Unternehmen auch die Anforderungen der Gesetze und Vorschriften erfüllen, die den Schutz von persönlichen Daten und das Verbot unbefugten Zugriffs auf sensible Informationen regeln.

Sichere Verwaltung von Passwörter mit einem Passwortmanager

Mitarbeiter tragen wesentlich zur aktiven Sicherheitsstrategie und dem Schutz des Unternehmens bei. Sichere Passwörter sind dabei ein Aspekt, bei dem Mitarbeiter mitwirken, sensible Daten vor unbefugtem Zugriff zu schützen. Nur wenn Mitarbeitern bewusst ist, wie sichere Passwörter gesetzt werden, kann ein wirksamer Schutz entstehen. Oftmals ist die Verwaltung von unzähligen Passwörtern ein Knackpunkt. Hier kann ein Passwortmanager helfen. Auch die Durchsetzung einer zentral hinterlegten Passwortrichtlinie hilft ungemein das Sicherheitsniveau zu erhalten und sicher zu stellen.

Passwortgeschützte Bildschirmsperre

Richten Sie eine passwortgeschützte Bildschirmsperre ein. Nutzen Sie diese konsequent – auch dann, wenn der Arbeitsplatz „nur mal kurz“ verlassen wird. Am besten ist eine automatische Bildschirmsperre, die sich nach kurzer Inaktivität von selbst einschaltet. Die IT kann die Bildschirmsperre für alle Nutzer auch erzwingen oder bei der Vergabe direkt einrichten.

Drucker, der per PIN oder Passwort Druckaufträge auslöst

Ein Drucker mit einer PIN- oder Passwort-Authentifizierung ermöglicht es, dass nur autorisierte Personen Druckaufträge auslösen können. Dies bietet eine zusätzliche Schutzschicht gegen unbefugten Zugriff und Missbrauch des Druckgeräts. Durch die Einführung einer PIN oder eines Passworts kann sichergestellt werden, dass nur vertrauenswürdige Personen Zugang zu den Druckaufträgen und damit auch zu sensiblen Informationen erhalten. Achten Sie beim Kauf eines solchen Druckers, dass oben genannte Funktionalitäten bestehen. Auch muss die Übermittlung der Druckaufträge in verschlüsselter Weise erfolgen. Nachweise dafür muss der Druckerhersteller liefern können.

Fazit

Wirksame Zugangs- und Zugriffsregelungen sind entscheidend für den Schutz von Unternehmensdaten und -systemen, um unbefugten Zugriff zu verhindern. Durch die Implementierung robuster Zugangs- und Zugriffsregelungen können Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten und Systeme schützen und gleichzeitig  Geschäftsprozesse unterstützen.

Mit den oben genannten IT-Systemen lassen sich Zugriffs- und Zugangsregelungen effektiv umsetzen, wenn die Systeme richtig eingesetzt und entsprechend überwacht werden. Nur wenn auch die dahinter liegenden Prozesse funktionieren, ist ein wirksamer Schutz möglich. Es gibt weitere Systeme, die für die Zugangs- und Zugriffsregelung eingesetzt werden können. Um geeignete Systeme zu identifizieren, ist es hilfreich, vorab zu ermitteln, welche Anforderungen ein Unternehmen hat und welchen normativen oder speziellen gesetzlichen Anforderungen es gegebenenfalls unterliegt.

Bleiben Sie auf dem Laufenden: Der nächste Beitrag unserer Blogpostreihe befasst sich mit dem Thema Überwachung und Sicherheit.

Gerne unterstützen wir Sie bei der Implementierung eines effizienten und umfassenden Informationssicherheitsmanagementsystems (ISMS) für Ihr Unternehmen und den aufgeführten Systeme. Wir beraten Sie gerne in allen Fragen rund um das Thema IT und wie Sie Ihr Unternehmen resilient gegen Cyberangriffe machen. Unser erfahrenes Team steht Ihnen mit seinem Know-how zur Verfügung.

 

Jetzt Kontakt
aufnehmen!

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Datenschutzerklärung

Unsere Kontaktdaten: +49 711 / 489083 - 0

Facebook Instagram

Was ist die Summe aus 5 und 3?
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Latest Blog News

Effiziente Verteilung von VMs in Proxmox VE – ProxLB

Sicher, anonym, gesetzeskonform: Warum eine externe Hinweisgebermeldestelle unverzichtbar ist

ETES Produkte sind zertifiziert „Made in Germany“


phone_red +49 711 / 48 90 83 - 0

mail_red Kontaktformular

Bürozeiten:
Mo. - Fr.: 9:00 - 18:00 Uhr

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Chantal Nußbaum

Simon Jung

Planung, Realisierung, Wartung und Support sämtlicher Systeme Ihrer individuellen IT-Infrastruktur ist das Fachgebiet seines Teams.

Simon Jung

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.

Christian Gleich