Springe zum Hauptinhalt

2010-09: Mut zur Beschränkung

„Be­nut­zer­rech­te müs­sen be­schränkt wer­den“. So lau­tet ei­ne der Grund­re­geln in der In­for­ma­ti­ons­si­cher­heit. Was sich so des­po­tisch an­hör­t, hat sei­nen Sinn, näm­lich zu ver­hin­dern, dass Un­be­rech­tig­te kei­nen Scha­den an­rich­ten kön­nen. Ers­ter Ge­dan­ke sind hier­bei Wür­mer oder Vi­ren, die das Un­ter­neh­mens­netz­werk ver­seu­chen, weil et­wa un­ter Win­dows je­der als „Ad­mi­nis­tra­tor“ un­ter­wegs ist. Oder der Mit­a­r­bei­ter, der die Ge­halts­lis­ten der Buch­hal­tung aus­späht. Es geht al­so um Ver­bo­te.

Nur we­ni­ge den­ken bei der For­de­rung an selbst auf­er­leg­te Be­schrän­kung. Ich bin ein Fan da­von. Denn: Wo­hin ich nicht dar­f, dort kann ich nichts (un­be­ab­sich­tig­t) an­stel­len. Und wenn dort et­was lieg­t, was mich nichts an­geht, was soll ich dann dor­t? Un­se­re Nach­barn sper­ren ih­re Woh­nungs­tür im­mer zwei­mal zu. Das soll mir recht sein, denn dann kom­men sie auch nicht auf den Ge­dan­ken, ich wür­de ih­nen Geld aus dem Por­te­mon­naie klau­en. Eben­so im Fir­men­netz! Wenn et­was mit Da­ten pas­sier­t, auf die ich kei­nen Zu­griff ha­be, kann mir auch schlecht je­mand vor­wer­fen, ich wä­re schuld! Al­so nehmt mir ru­hig die­se (Be­nut­zer­-) Rech­te!

Auch dem Log­ging haf­tet eher der Odeur des Aus­spä­hens, der Über­wa­chung und Kon­trol­le an, näm­lich zu über­prü­fen, ob Be­nut­zer ab­sicht­lich Ein­grif­fe und Ver­än­de­run­gen vor­neh­men. Da­bei ist auch hier mei­ner Mei­nung nach ein an­de­rer Aspekt viel wich­ti­ger: Durch die Lo­g­-­Da­tei­en las­sen sich et­was Feh­ler­si­tua­ti­o­nen früh­zei­tig er­ken­nen und mir hat ein sorg­fäl­ti­ges Log­ging in ei­nem Pro­jekt schon ein­mal „das Le­ben ge­ret­tet“:

Ich muss­te in ei­ner un­über­sicht­li­chen Da­ten­bank Ein­trä­ge än­dern. Lei­der war nicht nur die Da­ten­bank un­über­sicht­lich, son­dern auch das We­b­in­ter­face da­für. Und – schwupps – hat­te ich Da­ten in ei­nem Be­reich ge­än­der­t, in dem ich we­der et­was zu su­chen hat­te, noch Zu­griff hät­te ha­ben sol­len. Am nächs­ten Tag stand der Herr die­ser Da­ten vor mir – was war mir das pein­lich. Ge­ra­de ein­mal ei­ne Wo­che im Pro­jekt und so ein Faux­pas.

Es war al­so bei den Be­nut­zer­rech­ten kräf­tig ge­schlampt wor­den. Glü­ck­li­cher­wei­se hat­te je­mand bei der Da­ten­bank an an­de­rer Stel­le zu­ver­läs­sig und gut ent­wi­ckel­t: Al­le mei­ne Än­de­run­gen wa­ren ge­loggt und so konn­te ich mei­ne un­be­ab­sich­tig­ten Än­de­run­gen kor­ri­gie­ren. Der Frie­den im Pro­jekt­team wie­der her­ge­stell­t.

Es kann al­so durch­aus auch nütz­lich sein, die ei­ge­ne ver­meint­li­che Wich­tig­keit mal zu­rück­zu­stel­len.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de