article

Eine der wichtigsten Grundlagen der der Informatiksicherheit ist die Art und Weise wie auf Ressourcen zugegriffen werden kann, und wie diese Ressourcen durch die Zugriffsmechanismen geschützt werden. Es ist wichtig zu verstehen, dass es sich bei Zugriffskontrolle sich nicht nur primär um technische Hilfmittel handelt, sondern das Gebiet der Zugriffkontrolle weiter gefasst wird. Das Ziel der Zugriffkontrolle ist die Sicherstellung der Integrität, Vetraulichkeit und Verfügbarkeit von Informationen.

Allgemein kann die Prinzipien der Zugriffskontrolle in folgende Kategorien eingeteilt werden.

  • Administrative Zugriffskontrolle
  • Physikalische Zugriffskontrolle
  • Technische Zugriffskontrolle

Die Aufteilung der dieser drei gebiete wird als komplementär angesehen, dass heisst dass sich die Gebiete durch ein Schichtenmodell beschreiben lassen, wobei sich die einzelnen Schichten komplementär ergänzen.

Administrative Zugriffskontrolle

Die Administrativen Kontrollen stehen zuoberst in der Hierarchie. Sie beschreiben wie eine Organisation mit dem Zugriff auf ihre Informationen umgehen will. Aspekte der Zugriffkontrolle auf dieser Ebene sind:

Sicherheitsvorschriften und Prozeduren

  • Die Sicherheitsvorschrift kann Vorgaben an die Zugriffskontrolle machen, muss dies aber nicht zwingend. Zur Erstellung der Sicherheitsvorschriften muss eine Organisation feststellen, welche Informationen schützenswert sind und natürlich welchen finanziellen Wert nun so eine Ressource hat (als beispiel das Rezept für Coca-Cola). Weiterhin werden die Sicherheitsvorschrift auch durch regulatorische Vorgaben (Datenschutzgesetz, Bankgeheimnis etc..) geprägt. Je nach Branche in welcher die Organisation aggiert kommen Patentschutz, IP (Intelectual Property) oder ähnliches dazu.

Ein weiterer Aspekt ist die Zugriffkontrolle für die Mitarbeiter

  • Welche Rollen getrennt werden müssen (4-Augen Prinzip, Seperation of Duty)
  • Welche Rollen und Personen Zugriff auf welche Informationen besitzen.
  • Welche Eigenschaften diese Personen erfüllen müssen um den Zugang zu erhalten.
  • Wie diese Eigenschaften regelmässig verifiziert werden können.
  • Wie einer Person die Rechte wieder entzogen werden können.

Die Kontrollstruktur einer Organisation

  • Wer kontrolliert welche Daten auf Integrität.
  • Welche Indikatoren können zur Steuerung verwendet werden
  • Wer ist für welche Aktionen in einer Organisation verantwortlich.

Die Testbarkeit der Zugriffskontrollen

  • Wie die spezifizierten Kontrollen verifziert werden können (Audit)

Physikalische Zugriffskontrolle

Bei der Physikalischen Zugriffskontrolle handelt es sich um Zugriffskontrollen welche durch physikalische Massnahmen eingefordert werden kann. Darunter versteht mann die Zugriffskontrolle wie:

  • Aufbau und Architektur der Gebäude in Bezug auf Zugangskontrolle
  • Schlösser oder Biometrische Zugangskontrolle zu Räumen (Serverräume, Tresore)
  • Kandalaber, Flutlicht, Alarmanlagen oder Videoüberwachung.
  • Schutzdienst, Wachhunde, Zäune etc..

Es ist anzumerken das die physikalische Aufteilung eines Netzwerkes auch zu Physikalischen Zugriffskontrolle angerechnte werden kann, da eine physikalisch räumliche Teilung eines Netzwerkes erfolgt, welches den Zugriff auf (potentiell vetrauliche) Informationen erlaubt. Wenn das Backup eines Systems in einem Brandsicheren Tresor verwahrt wird, handelt es sich auch um eine Physikalische Kontrolle, nähmlich um den Zugriffschutz vor Feuer und Diebstahl.

Technische Zugriffskontrolle

Bei dem Gebiet der technischen Zugriffskontrolle, manchmal auch logische Zugriffkontrolle genannt, handlet es sich um die Restriktion des Zugriffes durch Software und Hardware. Dabei handelt es sich um Komponeten von Betriebssysteme, Software Applikationen, Netzwerkgeräte oder Protokolle.

Dies geschieht mittels Autorisierung und Vergabe von Zugriffsrechten. Die Kontrolle wird normalerweise über Passworte, die Gewährung von Privilegien oder das Bereitstellen von Attributen erreicht (vgl Dateiattribute). Es müssen dazu 3 Fragen beantwortet werden:

  • Körnigkeit: Was ist die kleinste schützbare Einheit? Eine Datei oder eine Menge von Dateien?
  • Operationen: Zwischen welchen Operationen (Lesen, Schreiben, Löschen, Ausführen, usw.) kann bei der Vergabe von Rechten unterschieden werden?
  • Zugang: Wie wird die Autorisierung durchgeführt? Gängige Methoden nach erfolgreicher Authentifizierung sind: Vergabe einer Benutzerkennung und Zuordnung zu einer Benutzerklasse.

Alternativen Die zur Zugriffskontrolle notwendigen Informationen könnten in einer Zugriffsmatrix abgelegt sein. Zugriffsmatrizen sind jedoch für eine Implementierung ungeeignet, da sie sehr gross sind und i.a. dünn besetzt sind. Eine Alternative könnte eine Tripelliste sein, bei der es für jedes vergebene Recht eines Benutzers auf ein Objekt einen Eintrag gibt. IT-Sicherheit

Access control

 

This article is licensed under the GNU Free Documentation License. It uses material from the "Zugriffskontrolle".

Home Pageartsbusinesscomputersgameshealthhospitalshomekids & teensnewsphysiciansrecreationreferenceregionalscienceshoppingsocietysportsworld