G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
Nach der Einführung von Maßnahmen, die der Sicherheit der IT dienen (z. B. Datensicherung, Zutrittskontrolle, Vorgaben für Verhalten bei Notfällen), müssen diese auch konsequent umgesetzt werden. Finden keine oder nur unzureichende Kontrollen der Sicherheitsmaßnahmen statt, wird weder deren Missachtung noch ihre effektive Wirksamkeit festgestellt. Eine rechtzeitige und der jeweiligen Situation angemessene Reaktion wird dadurch verhindert.
Darüber hinaus gibt es Sicherheitsmaßnahmen, die nur mit der Durchführung entsprechender Kontrollen ihre Wirkung entfalten. Hierzu zählen beispielsweise Protokollierungsfunktionen, deren Sicherheitseigenschaften erst mit der Auswertung der Protokolldaten zum Tragen kommen.
Beispiele:
- Zur Vorbereitung von Straftaten kommt es vor, dass Schließzylinder in Außentüren und Toren von nicht autorisierten Personen ausgetauscht werden. Gerade wenn es sich um Zugänge handelt, die selten genutzt werden oder lediglich als Notausgänge vorgesehen sind, werden diese bei Streifengängen nur in Panikrichtung geprüft. Die Funktionalität der Schließzylinder wird dabei oft vernachlässigt.
- In einer Behörde werden einige Unix-Server zur externen Datenkommunikation eingesetzt. Aufgrund der zentralen Bedeutung dieser IT-Systeme sieht das IT-Sicherheitskonzept vor, dass die Unix-Server wöchentlich einer Integritätsprüfung unterworfen werden. Da diese Überprüfungen nicht regelmäßig nachgehalten werden, fällt erst bei der Klärung eines Sicherheitsvorfalls auf, dass die IT-Abteilung auf solche Integritätsprüfungen verzichtet hat. Als Grund wurde die mangelhafte personelle Ausstattung der Abteilung genannt.
- In einem Unternehmen wurde die Rolle des z/OS-Security-Auditors nicht besetzt. Dies hatte zur Folge, dass die Einstellungen im RACF im Laufe der Zeit nicht mehr den Sicherheitsvorgaben des Unternehmens entsprachen. Erst nach einem Produktionsausfall wurde bemerkt, dass einige Anwender mehr Rechte hatten, als sie für ihre Tätigkeit benötigten. Eine für die Produktion wichtige Anwendung war von ihnen versehentlich gestoppt worden.