Management-Maßnahmen

für Linux-Sicherheit

Abstract

Ohne Datensicherheit besteht in der heutigen Zeit die große Gefahr für Unternehmen, daß der Verlust der Verfügbarkeit, der Vertraulichkeit, der Integrität, der Authentizität und Verbindlichkeit von Daten den unternehmerischen Tätigkeiten im Markt schnell ein Ende setzen. Deshalb müssen auch unter Linux verschiedene Datensicherheitsmaßnahmen implementiert werden, um einen angemessenen Schutz von Daten und Infrastrukturen zu gewährleisten. Solche Maßnahmen beginnen bei der Absicherung der Server, gehen über Antiviren-Software bis hin zu Verschlüsselungssoftware, Firewalls und Virtual Private Networks. Doch bereits mit einfachen Maßnahmen wie die praxisgerechte Konfiguration der Rechtevergabe für Anwender, die konsequente Anwendung der Rechtevergabe für Verzeichnisse, Dateien und das Netzwerk wird bereits die Datensicherheit maßgeblich gesteigert. Hinzu kommen unterstützende Maßnahmen wie die in Linux vorhandenen Funktionalitäten zum Loggen von Vorgängen, dem Auditing von Log-Files und dem Monitoring des Netzwerks. Bedingt durch die Flexibilität und Leistungsfähigkeit von Linux ist es dem Management möglich, an die Unternehmensbedürfnisse individuell angepaßte Sicherheitslösungen zu entwickeln und mit relativ geringen Kosten unternehmensweit zu implementieren.

Egal welches Betriebssystem heute in einem Unternehmen zum Einsatz kommt, es muß durch entsprechende Datensicherheitsmaßnahmen ergänzt werden, um wirkungsvollen Schutz für die Datenbestände bieten zu können. Die Probleme und Sicherheitslücken von Windows füllen ganze Server voll mit Warnhinweisen, Service-Packs, Fix Packs und was noch alles vom Hersteller wie auch von Drittanbietern herausgegeben wird. Der Anbieter aus Redmond war in dem letzten Jahrzehnt ganz klar dominierender Anbieter von Client- und Serverbetriebssystemen am Markt. Diese Dominanz wird aber seit einigen Jahren stetig durch das Open Source Betriebssystem Linux unterhöhlt.

Gerade im Server-Markt kann Linux mit Steigerungsraten aufwarten, die manch ein kommerzieller Anbieter von proprietären Betriebssystemen sich wünschen würde. Was die steigende Popularität von Linux anbelangt, waren die CeBIT und die System 1999 wohl die eindeutigsten Gradmesser. Nie zuvor wurde Linux eine solche Aufmerksamkeit von Seiten der Massenmedien und dem Fachpublikum gewidmet. Namhafte Hersteller von Softwareprodukten wie Datenbanken, Office-Paketen und anderer Anwendersoftware bis hin zu Computerspielen kündigten eine Portierung ihrer Produkte auf die Linuxplattform an oder konnten bereits ein portiertes Produkt der interessierten Öffentlichkeit vorstellen. Damit wurde Linux zu einer sehr attraktiven Plattform für Unternehmen wie auch Endanwender, was sich früher oder später anhand der Marktdurchdringung messen läßt.

Erkenntnisse und Geschäftsprozesse

Die wichtigste Voraussetzung für die Erhöhung der Datensicherheit ist die Erkenntnis, daß Datensicherheit in unserer modernen Welt kein Luxus mehr darstellen darf sondern unbedingt notwendig ist um die Wettbewerbsfähigkeit des Unternehmen langfristig zu erhalten. Die Geschäftsleitung muß erkennen, daß die Datensicherheit heute nicht mehr losgelöst vom Rest des Unternehmens ein notwendiges Übel ist sondern integraler Bestandteil der Geschäftsprozesse sein muß um am Markt überlebensfähig zu bleiben. Es hilft nichts, wenn halbherzig irgendwelche Datensicherheitsmaßnahmen implementiert werden ohne daß diese entsprechend an die Geschäftsprozesse angepaßt werden. Darüber hinaus muß von Seiten der Geschäftsleitung klar erkennbar sein, daß Datensicherheitsmaßnahmen ihre volle Unterstützung haben. Damit wird dem Anwender klar signalisiert, daß Datensicherheit nicht auf die leichte Schulter zu nehmen ist und den Kunden wird damit eine Vertrauensbasis zu dem Unternehmen gegeben.

In unserer heutigen vernetzten Welt stellen Datensicherheitsmaßnahmen letztendlich auch eine soziale Komponenten in Unternehmen dar. Gehen durch mangelhafte Datensicherheitsmaßnahmen Aufträge verloren kann dies Arbeitsplätze kosten.

Restrisiko

Die Erfahrung der letzten Jahre und Jahrzehnte hat gezeigt, daß es kein wirklich sicheres (Betriebs-)System gibt. Jedes funktionierende System verfügt auch über gewisse Unsicherheiten, die man als Restrisiko definiert. Auf Betriebssysteme bezogen bedeutet das, daß der einzelne Anwender oder auch die Unternehmensorganisation sich über dieses Restrisiko Gedanken machen muß.

Es muß dabei im Rahmen eines Sicherheitsaudits festgestellt werden, welche Systeme sich zur Zeit im Einsatz befinden und welche bekannten Risiken diese Systeme in sich bergen. All diese Informationen zusammen genommen definieren das Risiko, dem sich ein Unternehmen durch die Anwendung der Systeme ausgesetzt sieht. Ist dieses Risiko für das Unternhemen überschaubar und akzeptabel, müssen keine weiteren Sicherheitsmaßnahmen implementiert werden.

In der Praxis hat sich aber gezeigt, daß das verbleibenden Risiko als zu hoch eingestuft werden muß und deshalb Sicherheitsmaßnahmen getroffen werden müssen, um das Restrisiko auf ein akzeptables Niveau abzusenken.

Anwenderfreundlichkeit und Sicherheitslücken

Das Problem bei Betriebssystemen ist die Tatsache, daß sie verschiedene Funktionalitäten dem Anwender zur Verfügung stellen müssen, damit dieser seine Arbeit mit dem System verrichten kann, diese Funktionalitäten aber ebenfalls mißbraucht werden können, um auf einem System Schaden anzurichten. Einfachstes Beispiel hierfür ist die Kopierfunktion für Dateien, die ebenfalls von Computerviren und Würmern benutzt wird, um sich weiterzuverbreiten.

Zu diesen Funktionalitäten, die mißbraucht werden können, gesellen sich dann noch verschiedene Sicherheitslücken hinzu, die durch schlechte Programmierung oder schlechte Implementierung entstehen. Viele im Internet erhältliche Exploits zielen auf die Ausnutzung von solchen Sicherheitslücken ab. Dies bedeutet für das Management einer Organisation, daß es bei der Erhöhung der Datensicherheit sowohl auf die normale Funktionalität als auch auf Sicherheitslücken achten muß.

Attraktive Ziele

Je höher der Marktanteil eines Betriebssystems wird, desto wahrscheinlicher wird es auch, daß zunehmend Software mit gewollten Schadensfunktionen, auch Malware genannt, vom Computeruntergrund programmiert wird. Die Vergangenheit hat gezeigt, daß der Computeruntergrund sich überwiegend nur mit Betriebssystemen und Programmen auseinendersetzt, die entsprechend weit verbreitet und gut dokumentiert sind. Zwar hat es auch beim Computeruntergrund immer eine gewisse Zeit gedauert, bis das nötige Wissen gesammelt war, doch früher oder später wurde für fast jede Plattform Malware entwickelt und Sicherheitslücken ausgenutzt. So verfügen Fachleute in ihren Sammlungen z.B. über einige Viren für OS/2, was nicht gerade als eine weit verbreitete Plattform angesehen werden kann. Mit zunehmendem Marktpotential nimmt auch die Herausforderung an den Computeruntergrund zu.

Sicherheit unter Linux

Vielen dürfte die Situation unter Windows hinlänglich bekannt sein. Von normalen Computerviren angefangen über Macro-Viren für Microsoft Office, Trojanern, Backdoors, 32-bit Viren bis hin zu fragwürdigen Funktionalitäten wie Windows Scripting Host stellt Windows wohl derzeit die am meisten angegriffene Betriebssystemplattform dar, für die es auch die meisten dokumentierten Sicherheitslücken und Exploits gibt.

Bei Linux besteht die Gefahr, daß sich die Sache ählich verhalten kann wie man es bereits von Windows her gewohnt ist. Zwar muß auch hier der Computeruntergrund erst eine bestimmte Wissensmenge aufbauen, um dann Malware zu programmieren oder Sicherheitslücken aufdecken und ausnutzen zu können, jedoch ist durch die Open Source Struktur von Linux dieses wohl das bestdokumentierteste Betriebssystem, da nicht nur entsprechend umfangreiche Dokumentationen mit dem Betriebssystem kostenlos mitgeliefert werden (Man-Pages, How-To’s etc.), sondern auch der Sourcecode des Betriebssystems und der Applikationen. Bedingt durch die Strategie der offenen Informationspolitik kann davon ausgegangen werden, daß es schneller geht und vielleicht auch einfacher sein wird, für Linux z.B. Malware zu schreiben. Man könnte damit auch die Veröffentlichung der Systemdokumentation und des Sourcecodes als klarer Nachteil für Linux bewerten.

White Hat Guys

Nimmt man sich dem Bereich der Datensicherheit an, wird man zu der Feststellung gelangen, daß durch das Vorhandensein von Dokumentation und Sourcecode Unternehmen einfacher Abwehrmaßnahmen programmieren und zur Verfügung stellen können. Hier muß nicht mehr langwierig mit Reverse Engineering Methoden gearbeitet werden, um zuerst die grundlegenden Funktionen eines Betriebssystems oder Datenformats zu verstehen, sondern es reicht ein entsprechender Blick in den Sourcecode. Speziell die Offenlegung des Sourcecodes von Linux und seinen Applikationen ermöglicht es Unternehmen genauso wie der weltweiten Programmierergemeinde Sicherheitsapplikationen zu erstellen, die auch höchsten Ansprüchen genügen. Was also im vorigen Abschnitt noch als Nachteil angesehen wurde, wird hier neutralisiert. Die offene Informationspolitik bei Open Source Projekten wie Linux gereicht also beiden Seiten zum Vorteil, womit beide Seiten die gleiche Ausgangsbasis haben.

Linux Marketing

Glaubt man den Aussagen der Marketing-Leute, die versuchen in dem sich entwickelnden Linux-Markt Fuß zu fassen, ist Linux ein sicheres Betriebssystem. Zugegeben, Linux ist äußert betriebsstabil und die Downtime dadurch geringer, auch verfügt Linux in vielen Bereichen über Sicherheitsmaßnahmen, die bei anderen Produkten nicht vorhanden sind oder zusätzlich gekauft werden müssen, doch zur Sicherheit eines Systems tragen mehrere Faktoren bei. Schaut man sich die Sicherheitswarnungen oder die Fehlerlisten und die Bugfixes der großen Linux-Distributionen an, so wird man sehr wohl feststellen können, daß im Linux-Bereich auch nur mit Wasser gekocht wird. Linux verfügt ebenfalls über Programmierfehler und Sicherheitslücken, genauso wie sein Gegenspieler Windows NT. Man muß allerdings der Linux-Gemeinde zugute halten, daß hier eine offene Informationspolitik betrieben wird und die Lösungen für Sicherheitslücken nicht Monate auf sich warten lassen. Wenn also im Zusammenhang mit Linux von höherer Sicherheit die Rede ist, so kann dies vielleicht für die Ausfallsicherheit bzw. die Betriebsstabilität an sich gelten, nicht jedoch für die Sicherheit des gesamten Systems.

Userverwaltung

Da Linux als Multiuser-System konzipiert ist, verfügt es über eine entsprechende Userverwaltung mit der Möglichkeit Zugriffsrechte zu beschränken. Im Rahmen der Beschränkung von Zugriffrechten einzelner User wird ebenfalls die Sicherheit des Systems entsprechend erhöht. Ein Computervirus, gestartet unter sehr eingeschränkten Zugriffsrechten eines Users verhungert förmlich auf einem vernünftig verwalteten Linux-System. In der Praxis muß aber oftmals festgestellt werden, daß User sich für die tägliche Arbeit als root auf dem Rechner anmelden. Was man langwierig den Anwendern und den Administratoren unter Windows beigebracht hat, scheint unter Linux schnell wieder in Vergessenheit zu geraten. Ein Computervirus, der mit root-Rechten gestartet wird, hat logischerweise wesentlich mehr Entfaltungsmöglichkeiten und richtet schwereren Schaden an. Auch andere Malware wie Backdoors oder Trojaner stellen mit root-Rechten eine wesentlich schwerwiegendere Gefahr für die Netzwerkumgebung.

Durch eine vernünftige Rechtevergabe an Anwender wird auch sichergestellt, daß der Anwender selbst auf dem System keinen allzu großen bzw. nur lokal begrenzenten Schaden anrichtet. Ob dieser Schaden nun gewollt ist, wie z.B. durch Löschen von wichtigen Systemdateien oder ungewollt durch das Installieren von Software die schwerwiegende Änderungen am System vorzunehmen versucht.

Damit kommt der Userverwaltung mit der Vergabe von entsprechenden Zugriffsrechten eine zentrale Rolle zu, wenn es um Datensicherheitsmanagement unter Linux geht.

Malware

Schaut man sich auf der Windows-Plattform an, was sich dort alles als Malware tummelt, und analysiert man dazu noch die zugrunde gelegte Funktionalität, so wird man feststellen können, daß sowohl Computerviren an sich wie auch der überwiegende Rest der vorhandenen Malware nichts anderes machen, als nur die Funktionalität des Betriebssystems zum Schaden des Anwenders auszunutzen. Eine Großzahl von Malware greift auf keinerlei Sicherheitslücken zu, um funktionsfähig zu sein.

Dies erklärt auch die Existenz von einigen Linux-Viren, auch wenn diese praktisch nicht verbreitet sind. Steckt man das Gebiet etwas weiter, wird man nicht an den Publikationen von Dr. Fred Cohen vorbeikommen, der bereits zu Beginn der 80er Jahre auf UNIX-Systemen den Beweis erbrachte, daß dort selbstreplizierende Software (heute Computerviren genannt) realisierbar ist. Sonstige schädliche Software wie Trojaner oder Backdoors sind auf Linux-Systemen genauso oder ähnlich realisierbar wie unter Windows-Systemen. Shell Scripts können ähnlich mächtig sein wie die bekannten Makroviren von der Windows Plattform. So weist Dr. Cohen bereits 1990 in seinem Buch "Computers Under Attack" darauf hin, daß Shell Script Viren mit weniger als 200 Bytes an Code realisierbar sind.

Auch die Erstellung komplizierterer Viren stellt eigentlich kein Problem dar. Man denke nur an die Möglichkeit eines Melissa-ähnlichen Virus, der eine Sicherheitslücke/Funktionalität in einem weitverbreiteten E-Mail Programm (z.B. pine) ausnutzt, um sich an andere Anwender per E-Mail zu versenden. Oder den bereits vorhandenen Man-Page Virus, der die Möglichkeiten von troff zur Manipulation von Dateien und dem Ausführen von Programmen ausschöpft.

Obwohl unter Linux nur wenige Computerviren bekannt sind und diese praktisch nicht verbreitet sind, sollte ein Antivirenprogramm auf jedem Linux-Computer installiert sein und mit regelmäßigen Updates versehen werden. Auch wenn Computerviren unter Linux heute noch keine Rolle spielen, in den einschlägigen Internetforen wird bereits seit einiger Zeit über Viren- und Wurmkonzepte unter Linux nachgedacht und es ist nur noch eine Frage der Zeit, wann diese Konzepte in die Realität umgesetzt werden. Gerade in den letzten Monaten konnten verschiedene erfolgreiche Wurm-Angriffe auf Linux verzeichnet werden wo sich der Wurm weltweit verbreitete, also als "In-The-Wild" galt. Entsprechende Warnungen wurden von den Herstellern von Antiviren-Software an ihre Kunden herausgegeben.

Anti-Viren-Software unter Linux

Immer mehr Hersteller portieren ihre Anti-Viren-Software auch auf die Linux Plattform. Lösungen sind also mittlerweile verfügbar. Interessanterweise argumentieren viele Systemadministratoren mit dem Hinweis auf die wenigen bekannten Linux-Viren, daß ein Einsatz von Anti-Viren-Software sich noch nicht lohnt. Dabei wird ganz vergessen, daß in einem heterogenen Netzwerk in dem Linux als Server eingesetzt wird, auch infizierte Windows-Dateien auf einem Linux-Computer zwischengespeichert und weiterkopiert werden können. Deshalb kann auch unter Linux nicht auf den Einsatz von Anti-Viren-Software verzichtet werden, wenn es im Moment auch nur darum geht Viren der DOS/Windows-Platform zu finden.

Eine gute und herstellerunabhängige Informationsquelle zum Thema Antivirensoftware findet man im Internet unter www.av-test.de.

Absicherung der Rechner

Generell sollten Computer auch durch Prüfsummenprogramme geschützt werden.

Als Prüfsummenprogramm empfiehlt sich unter Linux das Programm Tripwire. Prüfsummenprogramme berechnen für jede Datei eine individuelle Prüfsumme. Wird auch nur ein Bit in der Datei verändert, ändert sich auch die Prüfsumme. Diese Änderung zwischen abgespeicherter und neu berechneter Prüfsumme erlaubt es Systemadministratoren, z.B. Neuinstallationen bzw. Deinstallationen auf ihre ordnungsgemäße Durchführung hin zu überprüfen. Im Falle von technischen Problemen stehen durch den Einsatz von Tripwire dem Administrator auch Möglichkeiten zur Verfügung, um gezielt nach den Ursachen suchen zu können. Außerdem können durch Prüfsummenprogramme auch Softwareanomalien wie Computerviren und Trojanische Pferde entdeckt werden.

Sicherungskopien

Die wirksamste Waffe gegen Datenverlust und Computerviren stellen regelmäßige Sicherheitskopien dar. Um Sicherheitskopien sinnvoll anlegen und verwalten zu können, ist es dringend ratsam eine Richtlinie für Sicherungskopien auszuarbeiten. Es gibt Open Source Lösungen für Linux, die bei der Erstellung und praktischen Umsetzung einer solchen Richtline behilflich sind. Meist handelt es sich dabei um eine Funktionalität, die bereits in Backup-Software integriert ist. Als sinnvoll hat sich in der Praxis erwiesen, Datenbestände immer zentral auf Servern zu speichern und diese Server über Nacht automatisch durch eine Sicherungskopie abzusichern.

Sicherheitslücken

Wie bereits zuvor angesprochen, verfügt auch Linux über Sicherheitslücken. Dies kann nicht ausbleiben, ist es doch allgemein nicht möglich eine System zu entwickeln, welches 100% sicher ist und auch noch funktioniert. Zwar verfügt Linux über den Vorteil, daß neu entdeckte Sicherheitslücken schnell (binnen weniger Stunden oder Tage) von der internationalen Programmierergemeinde wieder geschlossen werden, trotzdem kann man das Vorhandensein von bisher nicht entdeckten Sicherheitslücken nie ganz ausschließen. Denkt man an Würmer (Worms) fällt einem sofort der Internet-Worm ein, der in den späten 80er Jahren weltweit Computer binnen Stunden lahmgelegt hat. Das alles dank einer Sicherheitslücke in dem Programm sendmail. Dies ist zwar ein altes aber treffendes Beispiel für Malware, die eine Sicherheitslücke ausnutzt und dabei weltweit großen Schaden anrichtet.

Für ein vernünftiges Datensicherheitsmanagement bleibt es unverzichtbar, sich Informationsquellen zu bedienen die entsprechende Warnmeldungen über entdeckte Sicherheitslücken herausgeben. Dazu sollte der Hersteller der eingesetzten Linux-Distribution genauso zählen wie die Warnhinweise vom Computer Emergency Response Team CERT.

Abhärten des Betriebssystems

Um es einem Angreifer generell schwieriger zu machen, sollte nicht mit den Default-Installationen von Linux-Distributionen gearbeitet werden. Hier werden standardmäßig zuviel unnötige und auch mißbrauchsfähige Tools, sowie viele potentielle Sicherheitslücken aus Gründen der Usability mitinstalliert. Sowohl SuSE als auch Red Hat bieten zur Verbesserung der Datensicherheit sogenannte Hardening-Scripte an, mit denen eine installierte Linux-Distribution auf Sicherheitsprobleme hin untersucht wird. Diese Scripte erlauben dann auch das automatische ”Härten” des Betriebssystems. Die nicht benötigten Tools werden deinstalliert bzw. sicherheitsbedenkliche Konfigurationen werden entsprechend abgeändert.

Internet-Connectivity

Welches andere Betriebssystem wäre geeigneter um die unterschiedlichsten Internet-Lösungen zu realisieren als Linux? Angefangen von FTP- und Web-Servern über Firewalls und E-Mail-Server bis hin zu Virtual Private Networks kann jede gewünschte Lösung mit Open Source Mitteln realisiert werden.

Gerade im Bereich der Internet-Connectivity muß auf die Sicherheit der Systeme geachtet werden. Wird hier nicht mit der nötigen Konsequenz gearbeitet, kann über den unsicheren Anschluß an das Internet die gesamte Rechnerinfratruktur des Unternehmens kompromittiert werden.

Firewalls

Im Gegensatz zu anderen weitverbreiteten Betriebssystemen sind in Linux bereits verschiedene Firewall-Funktionalitäten integriert. Darüber hinaus gibt es verschiedene Tools zum Erstellen kompletter Firewalls mit unterschiedlichen Leistungsmerkmalen. Auch hier kann eine Realisation durch den Einsatz von Open Source Lösungen einfach und preiswert durchgeführt werden. Wer ein All-Inclusive Paket möchte kann auch eine schlüsselfertige Linux Firewall bei zahlreichen Anbietern kaufen.

Gerade für die Administration einer Firewall gilt, daß man hier das Ohr am Puls der Sicherheitshinweise haben muß. Für kleine und mittlere Unternehmen empfiehlt sich die Administration der Firewall an entsprechende Fachunternehmen auszulagern.

Virtual Private Networks

Um das Abhören von Datenkanälen wirksam zu unterbinden, kommen heute Virtual Private Networks zum Einsatz. Diese Virtual Private Networks sorgen für eine verschlüsselte Übermittlung der Daten, schützen damit die Daten vor Manipulation oder Vertraulichkeitsverlust und authentifizieren die bestehende Verbindung zwischen zwei Computern, die über das Internet miteinander verbunden sind.

Eine Open Source Lösung für ein VPN ist die IPSEC-Implementierung Free S/WAN für Linux (http://www.xs4all.nl/~freeswan/). IPSEC steht für Internet Protocol SECurity, der von der Internet Engineering Task Force (IETF) als VPN-Standard entwickelt wurde. Mit IPSec steht ein allgemein verbindlicher, herstellerübergreifender Standard zur Verfügung, der den Datenaustausch zwischen unterschiedlichen Security Gateways im Rahmen einer VPN-Lösung regelt. Die zu verwendeten Protokolle im Rahmen des IPSec-Standards müssen folgende Aufgaben bewerkstelligen:

Authentifikation der Kommunikationspartner
Integrität der Informationen
Verschlüsselung der Informationen
Massnahmen gegen Replay-Angriffe
Schlüsselmanagement

Die Open-Source-Lösung Free S/WAN ist beliebig einzusetzen und unterliegt keiner Exportkontrolle oder -beschränkung. Mit Free SWAN können verschlüsselte End-to-End Verbindungen zwischen zwei Clients oder auch Site-to-Site Verbindungen zwischen zwei Security-Gateways realisiert werden.

Viele Internet-Provider bieten ihren Kunden heute VPN-Funktionalität an. Durch diese Dienstleistung sind auch kleine und mittlere Unternehmen in der Lage, in den Genuß von VPN zu kommen ohne dabei entsprechendes Fachwissen im Unternehmen aufbauen zu müssen.

Datensicherheitskonzept

Egal mit welchem Betreibsystem gearbeitet wird, ein Unternehmen sollte ein Datenschutzkonzept ausarbeiten, welches auf die individuellen Bedürfnisse des Unternehmens abgestimmt ist und optimalen Schutz bei optimaler Kosteneffektivität gewährleistet. Gerade durch die Transparenz von Linux sind hier kosteneffektive Maßnahmen möglich wie sie unter proprietären Betriebssystem kaum vorstellbar sind. Innerhalb dieses Datenschutzkonzeptes sind die einzelnen Maßnahmen zur Vorbeugung und für den Ernstfall definiert.

Ein Datenschutzkonzept sollte

1. bestmöglichsten Schutz unter ökonomischen Aspekten
2. bei geringster Störung des Arbeitsalltags bieten, und darüber hinaus auch noch
3. an das Unternehmen und seine Bedürfnisse individuell angepaßt sein.

Da diese Datenschutzkonzepte individuell für die Unternehmensbedürfnisse erstellt werden, sollen nachfolgend die wichtigsten Faktoren aufgezählt werden, die in einem solchen Lösungskonzept unbedingt berücksichtigt sein sollen. Von der richtigen Implementierung dieser Faktoren in einer unternehmensweit gültigen Datensicherheitsrichtlinie und der entsprechenden Auswahl und Anpassung von Produktlösungen wird der Erfolg der gesamten Sicherheitsmaßnahme abhängig sein.

Anwenderschulung

Die Basis aller Datensicherheitsbemühungen sollte eine fundierte Schulung des Anwenders sein. Das primäre Problem bei Datenpannen ist in der Regel eine mangelhafte oder nicht vorhandene Ausbildung der Anwender im Bereich der Datensicherheit. Ohne konsequente Schulung der Benutzer wird sich in diesem Bereich auch mittelfristig nichts ändern, denn Datenschutzsysteme sind oftmals nur so gut wie der Computeranwender, der die Datensicherheitsmaßnahmen durchführen soll. Ein User, der zum Thema Datensicherheit und die dazu verwendeten Systeme nicht ausgebildet wurde, wird die Systeme nicht oder falsch einsetzen und die Resultate falsch interpretieren. Mit schlecht ausgebildeten Anwendern ist kein vernünftiger und wirksamer Datenschutz zu betreiben. Es sollte dem betreffenden Mitarbeiter ebenfalls klar gemacht werden, daß es auch in seinem Interesse ist, wenn Unternehmensdaten optimal geschützt sind.

System-Revision

Computer, die in einer Unternehmensstruktur als Mission Critical einzustufen sind, sollten einer regelmäßigen Systemrevision unterzogen werden. Die Systemrevision ist dabei unter Datensicherheitsgesichtspunkten durchzuführen. Im Rahmen einer Revision können dann auch neue Software-Updates eingespielt werden bzw. Software-Wartungen vorgenommen werden. Auch für die Systemrevision gilt, daß es für kleine und mittelständige Unternehmen kostengünstiger sein kann diese Aufgabe an einen externen Dienstleister zu übertragen.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.