In punkto Sicherheit und Datenschutz gilt die Aussage, dass es auf die Einstellung ankommt, gleich doppelt. Zum einen beginnt der Datenschutz im Kopf, zum anderen ist die Einstellung der Parameter bei Software und Hardware entscheidend für den Schutz personenbezogener Daten vor Datenverlust, Datendiebstahl und Datenmissbrauch.
Auch wenn sich die Einstellung zum Datenschutz bei Software und Hardware wesentlich einfacher beeinflussen lässt als bei die von Mitarbeitern, können ein Unternehmen niemals sicher sein, dass alle Einstellungen oder Konfigurationen auch so sind und bleiben, wie in den Sicherheitsrichtlinien definiert sowie in Schulung zum Datenschutz den Mitarbeitern vorgeben.
Konfiguration für Sicherheit und Datenschutz entscheidend
Häufig wird die Konfiguration, also die Anpassung von Hardware und Software, als eine einmalige Angelegenheit angesehen. Diese Sicht greift jedoch viel zu kurz, da weder Installationen noch Konfigurationen als abgeschlossen gelten können, sondern diese sich durch mögliche Zusatzmodel, Fehlerbehebungen und Softwareaktualisierungen oder auch angepasste Sicherheitsrichtlinien ändern können und bisweilen sogar müssen. Sie ändert sich aber auch in der täglichen Praxis ohne jede Vorgabe, wenn Benutzer selbst an den Einstellungen „spielen“. Das kann fatal für die Datensicherheit sein.
Fehlerhafte Konfigurationen sind riskant
Tatsächlich sind zahlreiche Sicherheitsverstöße oder Angriffe erst dadurch möglich, dass bei einem IT-System eine falsche Konfiguration vorliegt. Nachdem der Administrator das Setup mit den Ersteinstellungen vorgenommen hat, führt so mancher Benutzer eine Konfigurationsänderung durch, meist unbedacht, mitunter aber auch absichtlich, zum Beispiel weil bestimmte Sicherheitsabfragen der Software lästig erscheinen und einfach abgestellt werden.
Beispiel: Browser-Konfiguration
Fehlkonfigurationen sind in vielen zentralen Anwendungen leicht möglich und haben weit reichende Folgen. Denken Sie nur einmal an einen Webbrowser, der sich zum Beispiel über Datenschutzeinstellungen, Phishing-Filter, Cookie-Manager, Verschlüsselung, Warnmeldungen und automatische Updates absichern lässt. Viele Einstellungen lassen sich jedoch von dem einfachen Benutzer ohne jede Administratorrechte abändern, wenn keine Vorkehrungen getroffen werden.
Wie sich Konfigurationen einfrieren lassen
Ideal wäre es, wenn eine geprüfte Ersteinstellung der Softwareanwendungen einfach fixiert werden könnte, also für Veränderungen durch den Benutzer nicht zugänglich ist. Dies ist aber nur bei solchen Systemen und Anwendungen möglich, die die Auswahl von Optionen und Einstellungen mit Privilegien versehen, die dann zum Beispiel nur der Administrator erhält.
Ein mächtiges Werkzeug für die Konfigurationskontrolle sind die so genannten Gruppenrichtlinien im Active Directory (Windows-Verzeichnisdienst). Damit lassen sich für Benutzer und Gruppen die Konfigurationen aller Anwendungen fixieren, die diesen Verzeichnisdienst unterstützen. Dann ist eine zentrale Kontrolle der Sicherheitseinstellungen möglich.
Konfigurationskontrolle: Änderungen fest- und abstellen
Zudem gibt es spezielle Werkzeuge, die sich dem Audit von Konfigurationsänderungen (Change Audit) verschrieben haben. Diese Lösungen protokollieren die Veränderungen in den Konfigurationsdateien der Anwendungen bei den einzelnen Benutzern.
Abgeglichen werden die Konfigurationen mit den hinterlegten Sicherheitsrichtlinien. Dabei werden nicht nur die Konfigurationsänderungen vermerkt, sondern auch die Verursacher dieser Änderungen. In diesem Kontext sollten Datenschutzbeauftragte allerdings an die besondere Zweckbindung (§ 31 BDSG) der personenbezogenen Daten in diesen Protokollen erinnern.
Change Auditing als Grundlage
Wurden über die Protokolle unerwünschte Änderungen in den Konfigurationen festgestellt, sollten Gegenmaßnahmen wie eine Veränderung der Berechtigungen vorgenommen werden. Change Auditing bildet also die Grundlage für
Nehmen Sie deshalb Maßnahmen wie Change Auditing in Ihr Sicherheits- und Datenschutzkonzept auf und prüfen Sie die in der Checkliste genannten Punkte: