Bundesamt für Sicherheit in der Informationstechnik

G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen

Werden bereits eingeführte Sicherheitsmaßnahmen ( z. B. Klassifizierung von Informationen, Datensicherung, Zutrittskontrolle, Vorgaben für Verhalten bei Notfällen) nicht konsequent umgesetzt und regelmäßig kontrolliert, kann es sein, dass sie nicht wirksam sind oder missachtet werden. Mängel, die bei einer Kontrolle festgestellt werden, lassen sich meist ohne Schaden abstellen. Wenn Verstöße erst anlässlich eines Schadensfalls auffallen, kann oft nicht mehr rechtzeitig und der jeweiligen Situation angemessen reagiert werden.

Darüber hinaus gibt es Sicherheitsmaßnahmen, die nur wirksam sind, wenn Verantwortliche sie kontrollieren. Hierzu zählen beispielsweise Protokollierungsfunktionen, deren Sicherheitseigenschaften erst zum Tragen kommen, wenn die Protokolldaten ausgewertet werden.

Beispiele:

  • Zur Vorbereitung von Straftaten kommt es vor, dass Schließzylinder in Außentüren und Toren von nicht autorisierten Personen ausgetauscht werden. Gerade wenn es sich um Zugänge handelt, die selten genutzt werden oder lediglich als Notausgänge vorgesehen sind, werden diese bei Streifengängen nur in Panikrichtung geprüft. Die Funktionalität der Schließzylinder wird dabei oft vernachlässigt.
  • Die Sicherheitsleitlinie einer Institution schreibt vor, dass die eingesetzten Smartphones nicht "gerootet" werden dürfen bzw. dass kein "Jailbreak" durchgeführt werden darf, da so die Sicherheitseigenschaften des Betriebssystems umgangen werden können. Solche modifizierten Smartphones sind innerhalb einer Institution nicht mehr sicher einsetzbar. Wird diese Vorgabe nicht überprüft, ist es möglich, dass Mitarbeiter mit einem unsicheren Smartphone auf das Netz oder schützenswerte Informationen der Institution zugreifen.
  • In einer Behörde werden einige Unix-Server zur externen Datenkommunikation eingesetzt. Aufgrund der zentralen Bedeutung dieser IT -Systeme sieht das Sicherheitskonzept vor, dass die Unix-Server wöchentlich einer Integritätsprüfung unterworfen werden. Da nicht regelmäßig kontrolliert wird, ob diese Überprüfungen tatsächlich stattfinden, fällt erst bei der Klärung eines Sicherheitsvorfalls auf, dass die IT-Abteilung auf solche Integritätsprüfungen verzichtet hat. Als Grund wurde die mangelhafte personelle Ausstattung der Abteilung genannt.
  • In einem Unternehmen wurde die Rolle des z/OS -Security-Auditors nicht besetzt. Dies hatte zur Folge, dass die Einstellungen im RACF im Laufe der Zeit nicht mehr den Sicherheitsvorgaben des Unternehmens entsprachen. Erst nach einem Produktionsausfall wurde bemerkt, dass einige Anwender mehr Rechte hatten, als sie für ihre Tätigkeit benötigten. Eine für die Produktion wichtige Anwendung war von ihnen versehentlich gestoppt worden.

Stand: 14. EL Stand 2014