Worum geht es?
In der Administration oder im Support gibt es immer wieder Fälle, in denen der Einsatz von Hilfsprogrammen notwendig ist oder sich zumindest anbietet, um die Aufgabe sinnvoll zu erledigen. Tools zur Verwaltung von Benutzern, Geräten oder Datenbanken sind hier als Beispiele zu nennen. Aber auch Hilfsmittel zur Analyse und Behebung von Störungen fallen hierunter, wie etwa Netzwerkscanner, Debugger oder Tools zur Speicherverwaltung oder der Beeinflussung von Systemprozessen. Ebenso zu denken ist an Anwendungen mit denen Ver- und Entschlüsselung beeinflusst werden können.
Regelmäßig können solche Anwendungen nur wirksam eingesetzt werden, wenn sie auch unter erhöhten Rechten ausgeführt werden.
In anderen Fällen laufen entsprechende Anwendungen auch dauerhaft und ebenfalls unter erhöhten Rechten, da sie sonst ihren Zweck nicht erfüllen können. Beispiele hierfür sind Anwendungen zum Schutz vor Malware oder auch Tools für automatische Backups.
Werden solche Lösungen nicht fachkundig eingesetzt oder aber unsachgemäß deaktiviert, kann dies schwerwiegende Auswirkungen haben.
Was empfiehlt die ISO 27002?
Zur Absicherung dieses Bereichs schlägt die Norm folgendes vor:
- Die eingesetzten Tools müssen bekannt und genehmigt sein, auch, wenn diese ohne Installation ad-hoc eingesetzt werden sollen oder können. Zudem ist sicherzustellen, dass es sich um nicht manipulierte, authentische Tools handelt. Im Gegenzug sollten alle vorhandenen, aber nicht benötigten Tools deaktiviert oder deinstalliert werden.
- Es muss festgelegt und dokumentiert werden, welche Berechtigungsstufen für den Einsatz eines Dienstprogrammes notwendig und zugewiesen wurden.
- Nach Möglichkeit sollten Dienstprogramme logisch getrennt von Anwendungen eingesetzt werden. Der Einsatz gesonderter Netzwerke nur für die Administration ist sinnvoll.
- Die Verwendung entsprechender Programme muss auf möglichst wenige, vertrauenswürdige und hierzu befugte Nutzer beschränkt werden.
- Eine Verwendung darf nur möglich sein, nachdem sich der Nutzer eindeutig identifiziert hat.
- Jede Verwendung sollte protokolliert werden.
- Nicht zur Nutzung der Dienstprogramme befugte Nutzer dürfen diese nicht beeinflussen können. Hier ist sowohl an die unbefugte Ausführung zu denken, aber auch an die unbefugte Veränderung oder Beendigung eines Dienstprogramms.
- Die Verwendung von Dienstprogrammen darf nicht dazu führen, dass vorgesehene Aufgabentrennungen ausgehebelt werden. Wer auf bestimmte Systeme oder Daten nicht zugreifen darf, dem muss dies auch bei Einsatz von Tools verwehrt bleiben.
Fazit
Der in Kapitel 8.18 der ISO 27002 behandelte Bereich bereitet vielen Organisationen Probleme. Häufig haben deutlich zu viele Benutzer Zugriff auf vorinstallierte Werkzeuge, die sie nicht einsetzen sollten und / oder nicht korrekt bedienen können. Aber auch die Ausführung von nicht installationsbedürftigen Tools ist zu häufig möglich und passiert, wenn auch nur aus Neugier oder Spielerei. In nicht wenigen Organisationen gibt es auch die besonders pflegeintensiven Nutzer, denen dann zur Entlastung der IT-Mitarbeiter irgendwann erhöhte Rechte zugewiesen werden.
Teils entstehen auch Probleme, weil bereits bei der Einrichtung von Dienstprogrammen nicht sauber vorgegangen wird. Typisch ist die Verwendung einer mehrfach eingesetzten oder gar von anderen Personen genutzten Kennung mit pauschal zu hoher Berechtigung auch zum Betrieb des fraglichen Dienstes.
Insbesondere wenn solche IT-Landschaften über die Zeit unkontrolliert gewachsen sind, ist meist die Hilfe eines Profis notwendig. Die möglichst frühzeitige Einbeziehung eines Experten bereits bei Planung und Aufbau kann ebenfalls helfen, später keine Überraschungen zu erleben.