Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
07.07.2008 01:00
Meldedaten offen im Internet - NIFIS empfiehlt einfache Maßnahmen zum IT-Grundschutz
Frankfurt, 3 Juli 2008 - Die Nationale Initiative für Informations- und Internetsicherheit NIFIS e.V. reagiert auf die jüngsten Vorfälle bei der Datenschutz-Verletzung von Behörden und empfiehlt erste einfache Maßnahmen zum IT-Grundschutz.
Die Verantwortung für die Einhaltung des Datenschutzes liegt beim Betreiber
Wie das Fernsehmagazin ARD Report aus München am 23. Juni 2008 berichtete, bestanden bei den Meldeämtern verschiedener Städte und Gemeinden offene Zugänge zu Meldedaten. Der Passwortschutz war in diesem Fall nicht gewährleistet und der vermeintlich Schuldige, der Softwarelieferant – schnell gefunden. Die vorschnelle Schuldzuweisung lenkt jedoch vom eigentlichen Problem ab. Es muss festgestellt werden, dass die Verantwortung für die Einhaltung des Datenschutzes beim Betreiber eines Informationssystems liegt, nicht beim Lieferanten.
Praktische Empfehlungen
Aufgrund des aktuellen Beispiels empfiehlt die NIFIS ein paar grundsätzliche Maßnahmen:
- Noch vor der ersten Installation sollte ein Konzept für die Verwaltung der Benutzerrechte, Benutzernamen und Kennworte erstellt werden, etwa als Teil des Pflichtenhefts.
- Mit der ersten Übernahme "echter" Daten, auch für Tests und Schulungen, sollte im selben Zug nur noch mit Benutzernamen und Kennworten nach dem Rechtekonzept gearbeitet werden.
- Standardbenutzer sollten ab der Installation geändert werden. Verschiedene Systeme haben dafür verschiedene Vorgehensweisen. Kunden sollten darauf bestehen, dass dies durchgeführt wird.
- Lieferanten sollten Systeme nur für den Betrieb übergeben, wenn der Kunde seine eigenen Kennungen eingegeben hat, und der Startbenutzer entfernt oder inaktiviert wurde.
- Zugang zu und Nutzung von Informationssystemen trennen und getrennt verwalten:
- in den Aufbau der Verbindung zum Informationssystem, etwa durch Zuordnung eines Schlüssel für eine gesicherte Verbindung.
- in die Benutzerverwaltung des eigentlichen Informationssystems.
So kann ein Vier-Augen-Prinzip installiert werden. Wenn dann an einer Stelle ein Fehler eintritt, bleibt ein Schutz erhalten.
Es ist das Anliegen der NIFIS, durch solche Hinweise die Sicherheit von Internet und Informationssystemen durch eigene Initiative zu verbessern.
Hier erhalten Sie ausfühliche Informationen zum IT-Grundschutz
NIFIS WarnhinweiseNews
- NIFIS gibt Positionspapier zur Erarbeitung einer prototypischen eIDAS 2.0- konformen Infrastruktur...
- Sichere Verschlüsselung (Ende-zu-Ende) in Gefahr, Office 365 sicher einsetzen
- NIFIS wendet sich in offenem Brief an Dorothee Bär gegen das Ende der privaten Datenverschlüsselung...
- Virtuelle Verhandlungen vor Gericht
- Cyber Security Fairevent in Dortmund 4./5.3.2020
NIFIS jetzt auch bei Twitter
Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
Dienst des Monats
