Heute erscheint der 2. Teil unserer Serie „Tom und der Datenschutz“. Wurde im ersten Teil die Zutrittskontrolle näher betrachtet, wird heute das Augenmerk auf die Zugangskontrolle gelegt.

Was ist das Ziel der Zugangskontrolle?

Durch eine effektive Zugangskontrolle soll verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Sprich, hat ein Unbefugter die Hürde des verbotenen Zutritts überwunden und hat es beispielsweise bis in das Bürogebäude geschafft, in dem Unternehmensclients stehen, oder hatte er gar keine Hürde zu überwinden, da er selbst Angestellter der Firma ist, soll ihm durch Zugangskontrollmaßnahmen der Zugang zu Datenverarbeitungssystemen verwehrt werden, für die er keine Berechtigung besitzt.

Welche Maßnahmen zählen zur Zugangskontrolle?

Um eine missbräuchliche Nutzung von Daten zu verhindern, sollen Datenverarbeitungssysteme idealerweise zunächst nur von berechtigten Mitarbeitern genutzt werden können. Erreicht wird dies z.B. durch die Vergabe von individualisierten Benutzerkennungen, die Erstellung und Umsetzung eines Berechtigungskonzepts auf System- und Netzwerkebene, der Auswahl eines geeigneten Authentisierungsverfahrens, die Sicherstellung von Passwortanforderungen durch die Erstellung einer Passwortrichtlinie, durch die Einrichtung einer automatischen Bildschirmsperrung, die Einrichtung von Vertretungsregelungen etc.

Authentisierungsmöglichkeiten

Bei der Authentisierung eines Nutzers gegenüber dem System kann zwischen drei Faktoren unterschieden werden:

  • Wissen
  • Besitz
  • Sein

Authentisierung: Wissen

Bei der Nutzung dieses Faktors, der die gängigste Authentisierungsform ist, werden beispielsweise Passwörter und Pins verwendet. Im Alltag birgt die Verwendung von Passwörtern eine hohe Anfälligkeit:  Wer kennt das nicht, häufig werden triviale (Jesus, Mama, 123456, qwert123) oder leicht zu erratende (Geburtsdatum, Hochzeitsdatum etc.) Passwörter verwendet. Die Auswahl und Verwendung solcher Passwörter kann durch die Einrichtung einer Passwortrichtlinie verhindert werden. Eine Passwortrichtlinie ist eine (technische) Vorgabe, wie ein Passwort auszusehen hat und wie es zu verwenden ist.

Beispiel einer Passwortrichtlinie:

  • Mindestlänge: 8 Zeichen
  • Maximalalter: 90 – 180 Tage
  • Historie: 10 Einträge
  • Minimalalter: 7 Tage
  • Zahlen, Sonderzeichen, Klein- und Großbuchstaben
  • Keine Trivialkennwörter
  • Sperrung nach fünf Fehlauthentisierungen

Widerstand gegen eine solche Passwortrichtlinie lässt sich manchmal durch eine mathematische Beispielrechnung mindern: Werden für ein 6-stelliges Passwort nur Kleinbuchstaben verwendet, ergeben sich 266 = 308.915.776 Möglichkeiten. Um solch ein Passwort zu knacken braucht ein Computerprogramm, das 10.000 Varianten pro Sekunde testen kann ca. 8,5 Stunden. Verfügt das Passwort hingegen über 8 Stellen, bestehend aus Zahlen sowie Groß- und Kleinbuchstaben, ergeben sich 628 = 218.340.105.584.896 Möglichkeiten (Faktor 706.794). Bei der gleichen Rechnergeschwindigkeit dauert es nun 692 Jahre, um alle Möglichkeiten auszurechnen. Daneben kann die Benutzung von Programmen zur Passwortgenerierung und –verwaltung (z.B. KeePass) sowie der Einsatz von Passwortkarten Erleichterung bei der Verwaltung von Passwörtern bieten.

Authentisierung: Besitz

Bei der Authentisierung durch Besitz muss der User im Besitz von etwas sein. Typische Beispiele sind:

  • RFID-, Chip-, Smart- oder Magnetkarten z.B. mit Zertifikat
  • USB-Dongle
  • Time-Based-One-Time-Password (z.B. RSA-Token, Google Authenticator)
  • I/mTAN-Liste

Authentisierung: Sein

Hierunter werden alle biometrischen Merkmale wie Fingerabdruck, Iris-Scan, Sprachanalyse, Herzschlagmuster, Venenmuster etc. subsummiert.

Eine Authentisierung kann sicherer gestaltet werden, wenn mehr als ein Authentisierungsfaktor abgefragt wird. Man spricht dann von einer Mehrfaktorauthentisierung. Ein bekanntes Beispiel für die 2-Faktor-Authentisierung ist der Geldautomat: Um hier Geld abzuheben sind Bankkarte (Besitz) und PIN (Wissen) erforderlich.

Neben den Zugangskontrollen an den einzelnen Arbeitsplätzen oder zentralen Systemen ist eine Zugangskontrolle auf Netzewerkebene ebenso wichtig. Hier spielen Netzsegmentierung und der Einsatz von Firewalls eine große Rolle, um die Erreichbarkeit von Systemen einzuschränken und das Schadenspotenzial zu senken.

Firewalls können beispielsweise eingesetzt werden um folgenden Risiken entgegen zu wirken:

  • Verbindungsaufbau von außen aber auch innerhalb eines Unternehmensnetzwerks
  • Unkontrollierter Zugang zu wichtigen Systemen

Die Reihe „Tom und der Datenschutz“ wird in Kürze mit einem Artikel über die Zugriffskontrolle fortgeführt.

| | |