30. April 2009 - Gewaltenteilung

So regeln Sie die zwiespältige Rolle der Administratoren im Datenschutz

Die Systemadministratoren sind wichtige Partner für Sie bei der Implementierung des Sicherheits- und Datenschutz-Konzepts. So setzen Sie den Zugriffsschutz im Netzwerk um. Doch die umfassenden Rechte der Administratoren sind auch ein Sicherheitsrisiko. Vielen Unternehmen ist dies bewusst, doch es tun nur wenige etwas dagegen. Prüfen Sie deshalb die Möglichkeiten der Gewaltenteilung bei der Administration.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Die Verwaltung und Pflege der zahlreichen IT-Systeme in einem Unternehmen oder in einer Behörde ist eine anspruchsvolle Aufgabe, bei der vieles schief gehen kann.

Aus Unwissenheit könnten so manche Systemeinstellungen vorgenommen werden, die personenbezogene Daten in Gefahr bringen.

Zentrale Administration bringt Sicherheit

Gut, dass es in den meisten Fällen einen verantwortlichen Systemadministrator gibt, der die Benutzer anlegt, mit Rechten versieht, Benutzerkonten auch wieder löscht, Protokolle auswertet und Fehlermeldungen nachgeht.

Zentralisierung nimmt weiter zu

Der zentrale Administrator ist ein Erfolgsmodell, so dass viele Betriebe versuchen, möglichst sämtliche Anwendungen über einen zentralen Zugang verwalten zu lassen.

Betriebssysteme, Datenbanken, Fachapplikationen und Kommunikationseinrichtungen werden ebenso von den Systemadministratoren technisch betreut wie die Sicherheitslösungen, die das interne Netzwerk gegen externe Bedrohungen abschotten sollen.

Mehr zum Thema „Aministratoren und Datenschutz

Administration birgt aber auch Gefahren

Doch wer schützt eigentlich das Netzwerk vor den internen Gefahren? Auch die Administratoren, werden Sie jetzt vielleicht sagen.

Doch die Systemadministratoren zählen selbst zu den größten internen Sicherheitsrisiken.

Es würde vielen Administratoren nicht gerecht werden, wenn man sagen würde, da wird der Bock zum Gärtner gemacht. Dennoch können die zentrale Stellung und der oftmals uneingeschränkte Zugriff der Administratoren Sie als Datenschutzbeauftragten nicht ruhig lassen.

Wahrscheinlich haben Sie sich auch bereits mit den zugehörigen Risiken befasst, doch eine Lösung ist nicht so einfach.

Der Staat macht es vor

Das Zauberwort heißt hierbei Gewaltenteilung, die sich auch im Staatswesen immer wieder bewährt.

Es darf keine Rolle im Netzwerk geben, die sich selbst kontrolliert und sich die eigenen Rechte vergibt.

Technische und fachliche Trennung

Der erste Schritt einer datenschutz-freundlichen Gewaltenteilung in der Systemadministration ist die technische und fachliche Unterteilung der Administrationsaufgaben.

Es sollte also einen technischen und einen fachlichen Administrator geben, für Datenbanken genauso wie für Fachanwendungen. Auswertungen, die aus technischer Sicht nicht erforderlich sind, darf dann ein technischer Administrator auch nicht durchführen.

Sicherheit braucht Sonderstellung

Auch die Sicherheitsanwendungen sollten aus der rein technischen Administration genommen werden, denn diese Applikationen könnten bei der Kontrolle der Administratoren und bei der Aufdeckung eines möglichen Missbrauchs helfen.

Nun werden Sie zu Recht Einwände erheben. Denn kleinere Betriebe können es sich nicht leisten, eine Vielzahl an Administratoren zu haben.

Und wer kontrolliert zum Beispiel den Sicherheitsadministrator, wenn dieser den technischen Administrator überwachen soll?

Zentrale Administration, aber verteilte Sicherheit

Deshalb liegt die Lösung auch nicht der Bildung einer langen Kette von Administratoren, die sich gegenseitig versuchen zu kontrollieren, sondern in einer Verteilung der Sicherheitsaufgaben und in der Definition von sogenannten begrenzten Administratoren.

Masterschlüssel nicht in einer Hand

Die verteilte Sicherheit aus Sicht des Datenschutzes bedeutet insbesondere, dass der Administrator keinen Masterschlüssel haben sollte, um alle verschlüsselten Dateien im Unternehmen entschlüsseln zu können.

Gibt es einen Master, um eine Abhilfe gegen vergessliche Benutzer zu haben, sollte der Masterschlüssel nur so zu entschlüsseln sein, dass mindestens der technische Administrator und der Sicherheitsadministrator oder der Datenschutzbeauftragte involviert werden müssen.

Und in der Praxis?

Das ist zum Beispiel so möglich, dass der Sicherheitsadministrator (oder bei kleineren Betrieben der Datenschutzbeauftragte) den Hardware-Token zur Entschlüsselung aufbewahrt, ohne den der technische Administrator nicht an den Masterschlüssel gelangen kann.

Umgekehrt hat der Sicherheitsadministrator zum Beispiel keinen Zugriff auf die verschlüsselten Dateien. Beide Administratorrollen sind also in sich begrenzt.

Administration braucht Transparenz

Begrenzte Administratoren können datenschutzrelevante Aufgaben also nur gemeinsam lösen. Wer genau welchen Schritt dabei vollzogen hat, sollte über eindeutige Administratorenzugänge und eine entsprechende Protokollierung erkennbar sein.

Einen gemeinsamen Administratorzugang sollten die begrenzten Administratoren also nicht haben, sonst könnte es im Fall eines Datenmissbrauchs sehr schwierig werden, den Verantwortlichen zu finden.

Daten brauchen Verschlüsselung

Neben der Transparenz bei der Administration ist die Verschlüsselung der personenbezogenen Daten unabdingbar, denn dann reicht das reine Zugriffsrecht nicht aus, um Daten zu missbrauchen.

Fazit
Wenn also die personenbezogenen Daten mit entsprechender Stärke verschlüsselt werden, ein Masterschlüssel nicht existiert oder nach Vier-Augen-Prinzip geschützt wird und alle Administrationsaufgaben automatisch und manipulationssicher protokolliert werden, bleibt der Administrator einer der wichtigsten Partner des Datenschutzbeauftragten und wird nicht selbst zum potenziellen Datenrisiko.

 

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln