Security Policy

Veröffentlicht am von

Die Security Policy (Sicherheitspolitik) eines Unternehmens soll definieren, wie ein Computernetzwerk zu benutzen ist. Sie sollte festgelegt werden, bevor es an die Erstellung und Umsetzung eines Sicherheitskonzepts geht, das wiederum festlegt wie das Netzwerk zu schützen ist.

Die Sicherheitspolitik richtet sich an alle Benutzer eines Netzwerks und sollte daher für jedermann leicht verständlich und möglichst allgemein gehalten sein. Jedoch sollte darauf geachtet werden, dass eine zu allgemein gehaltene Fassung der Security Policy zu Missverständnissen führen kann. Es sollte im betrieblichen Umfeld also ein Weg gefunden werden, die Sicherheitspolitik zwar allgemein zu gestalten, dabei aber so wenig Interpretationsspielraum wie möglich zu lassen.

Zuerst sollte ein entsprechender Soll-Zustand festgelegt werden. In wie weit dieser realsierbar ist, sollte zunächst nicht im Vordergrund stehen. Später kann die Sicherheitspolitik, falls notwendig, immer noch angepasst und unter Umständen restriktiver gefasst werden, wenn es sich abzeichnet, dass sie zu großzügig ist und durch das Sicherheitskonzept nicht abgesichert werden kann.

Grundsätzlich gibt es zwei unterschiedliche Betrachtungsweisen bei der Formulierung einer Security Policy:

  • restriktiv: Alles, was nicht ausdrücklich erlaubt wurde, ist verboten.
  • permissiv: Alles, was nicht ausdrücklich verboten wurde, ist erlaubt.

Nach Möglichkeit ist die restriktivere Methode der permissiveren vorzuziehen, denn ein Fehler führt bei ihr eher dazu, dass zu viel verboten ist. Die permissivere Methode scheint zwar leichter umsetzbar, besitzt allerdings wesentlich mehr Gefahrenpotential. Bequemlichkeit und Sicherheit sind leider zwei gegenläufige Interessen.

Die Sicherheitspolitik legt fest was erlaubt ist. Es wird im Rahmen eines IT-Sicherheitsplans überlegt, welcher Schutz notwendig ist und wie er durch ein entsprechendes Sicherheitskonzept zu realsieren ist. Wird die Security Policy übergangen, kann dadurch (im schlimmsten Fall) der komplette Schutz ausgehebelt werden. Sie ist demnach mehr als nur eine Richtlinie, sondern vielmehr eine verbindliche Norm.

Innerhalb der Security Policy können z.B. folgende Regelungen festgehalten werden:

  • Welche Rechte haben die Benutzer auf ihren Clients? Dürfen sie z.B. selbst Programme installieren?
  • Wann und wie werden Backups angelegt? Welcher Datenverlust ist noch tolerierbar?
  • Welche Internetdienste dürfen von den Mitarbeitern genutzt werden?
  • Welche Software ist Standardmäßig auf den Clients installiert?
  • Wo müssen Dateien gespeichert werden? Lokal auf den einzelnen Clients oder auf einem Server im entsprechenden Home-Verzeichnis?
  • usw. …

Einen Großteil der Regelungen die in der Security Policy festgehalten sind betreffen selbstverständlich auch das Verhalten der Mitarbeiter. Daher sollte die Sicherheitspolitik auch innerhalb des Unternehmens bekannt gemacht werden. Ebenfalls wichtig ist es, um die Akzeptanz der hauseigenen Sicherheitspolitik zu stärken, zu erklären warum gewisse Dinge erlaubt sind und welche nicht. Geschieht dies nicht besteht die Möglichkeit, dass der Laie dies zu schnell als reine Gängelung und Willkür des Administrators auffassen könnte.

Nähere Informationen über Security Policys können auch auf der Seite des BSI (Bundesamt für Sicherheit in der Informationstechnik) nachgelesen werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.