Gewaltenteilung in der IT-Sicherheit

Heute mal ein Beispiel, wie man IT-Sicherheit nicht planen sollte:

“Hoher Schutzbedarf” bezüglich Vertraulichkeit ist bei Daten eigener Mitarbeiter fast immer gegeben. Die Daten von Kollegen/Chefs sind meistens interessanter als die von Lieschen Müller aus Hintertupfingen. Im konkreten Fall sollte der Zugriff auf diese speziellen Daten zudem auf absolute Ausnahmefälle begrenzt werden. Deswegen wurde für diese kritischen Daten ein Regelungvorschlag erarbeitet und mit großem Brimbamborium vorgestellt:

Die Daten werden ausschließlich auf einem zentralen System gespeichert Der Zugang wird durch eine achtstellige Zahl gesichert, davon werden je vier Ziffern bei Organisationseinheit A und B hinterlegt.

Der Grundgedanke, ein Vier-Augen-Prinzip auch technisch abzusichern ist ja ganz löblich. Aber die Speicherung auf dem Zentralen Server sorgt für zusätzliche Risiken (Kumulationeffekt). Wurde ja bei ELENA und Vorratsdatenspeicherung reichlich öffentlich diskutiert ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK