Immer wieder eine Frage und in der Umsetzung ein Spagat: Wann bekommt wer welche Rechte in IT-Systemen? Neue Mitarbeiter sollen produktiv mitarbeiten, Auszubildende sollen praktisch lernen und auch produktiv mitarbeiten. Gerne geben Ausbilder einfache Standardaufgaben ab. Welche Probleme und Risiken ergeben sich bei welchen Handlungsweisen?<\/p>\n\n\n\n
Wer Rechte hat, kann diese missbrauchen. Ein Missbrauch kann, der seltene Fall, b\u00f6swillig erfolgen. Viel h\u00e4ufiger ist der irrt\u00fcmliche Missbrauch, ein Fehler, ein gut gemeinten falsches Handeln. Ein Auszubildender an einer Drehmaschine kann den Drehmei\u00dfel ins Futter fahren. Die Drehbank hat ggf. nur noch Schrottwert, der Mei\u00dfel wird ggf. aus der Halterung grissen, fliegt durch die Halle und kann einen Menschen schwer verletzen, t\u00f6ten. Der Ausbilder wird daher den Auszubildenen in der ersten Zeit genau anleiten, unterweisen und so lange nicht alleine drehen lassen, bis er sich sicher ist, dass die Maschine beherrscht wird, keine schwerwiegenden Fehler vorkommen.<\/p>\n\n\n\n
In der Finanzbuchhaltung kann falsch verbucht werden, Fehler dort f\u00fchren evtl. zu erheblichem Mehraufwand, ggf. falschen Jahresabschl\u00fcssen, Stafzahlungen. Jeder Ausbilder wird einen Auszubildenen mit den Buchungsregeln sehr vertraut machen, Buchungen gegenpr\u00fcfen, Checks durchf\u00fchren. Finanzwirksame Buchungen, \u00dcberweisungen etc. unterliegen einem Vier-Augen-Prinzip, um Fehler zu vermeiden. Rechte werden sehr granular vergeben. Selbst das Schreddern von Papieroriginalen w\u00e4re kein entg\u00fcltiger Schaden, Duplikat k\u00f6nnten, mit viel Aufwand, beschafft werden.<\/p>\n\n\n\n
Und in der IT? <\/p>\n\n\n\n
To err is human, but to really foul things up you need a computer.<\/p>Paul R. Ehrlich, Biologe<\/cite><\/blockquote>\n\n\n\n
In der IT werden f\u00fcr viele Standardaufgaben sogenannte „erweiterte Rechte“, Administrationsrechte ben\u00f6tigt. \u00dcblicherweise hat ein „Pseudobenutzer“, der „Administrator“, diese Rechte. Die Frage ist nun: arbeitet der Mitarbeiter, der administriert, als Benutzer „Administrator“? <\/p>\n\n\n\n
Die M\u00f6glichkeiten<\/h2>\n\n\n\n
Vorab: Seien Sie sich als Verantwortlicher, stets bewusst: Der Administrator kann, insbesondere in einem kleineren oder mittelst\u00e4ndischen Beitieb, mit einem einzigen Befehl mehr Schaden anrichten, als die Gesch\u00e4ftsf\u00fchrung.<\/p>\n\n\n\n
Generelles Arbeiten als Administrator<\/h3>\n\n\n\n
Fr\u00fcher die verbreiteste Art des Arbeitens in der IT und immer schon die schlechteste Variante: das generelle Arbeiten mit administrativen Rechten. Jeder eingegebene Befehl, jeder Klick wird mit administrativen Rechten durchgef\u00fchrt, jeder Befehl, jeder Klick kann schlimmste Folgen haben. Klickt man auf den Virus, darf dieser sofort alles – auch wenn man in der Mittagspause eigentlich nur beim News-Lesen geklickt hat. Fazit: Nein, so arbeitet man nicht. Wer grunds\u00e4tzlich mit administrativen Rechten ausgestattet ist und damit arbeitet, handelt grob fahrl\u00e4ssig. Ein solches Verhalten ist nicht zu entschuldigen.<\/p>\n\n\n\n
Tempor\u00e4re Nutzung des Administrator-Benutzers<\/h3>\n\n\n\n
Dieses Verhalten ist das im Mittelstand \u00fcbliche Nutzungsverhalten. Der IT-Administrator arbeitet \u00fcblicherweise als „normaler“ Benutzer und wird tempor\u00e4r f\u00fcr jegliche administrative Aufgaben zum globalen Administrator. Zur Zeit, wenn er Administrator ist, besteht ein entsprechend hohes Risiko, es wird „ohne Netz“ gearbeitet, d\u00fcrfen keine Fehler gemacht werden. Soll „nur“ ein neuer Benutzer angelegt werden, k\u00f6nnen auch irrt\u00fcmlich (durch Fehlklicks), alle Benutzer oder Daten gel\u00f6scht werden.<\/p>\n\n\n\n
Tempor\u00e4re Rechteerh\u00f6hung<\/h3>\n\n\n\n
Sehr vergleichbar ist die tempor\u00e4re Rechererh\u00f6hung. F\u00fcr die konkrete T\u00e4tigkeit und nur f\u00fcr diese werden Rechte tempor\u00e4r erh\u00f6ht und danach sofort wieder herunter gestuft. Im Beispiel w\u00fcrde also bei jedem Schritt einzeln von den Systemen gefragt, ob die Rechte erh\u00f6ht werden sollen: zwei Klicks, zwei Nachfragen, aufw\u00e4ndiger aber sicherer. Im Zeitpunkt der tempor\u00e4ren Recherh\u00f6hung kann jedoch wieder alles, nicht nur die geplante Aufgabe, gemacht werden.<\/p>\n\n\n\n
Beschr\u00e4nkte Maximalrechte mit tempor\u00e4rer Rechterh\u00f6hung<\/h3>\n\n\n\n
Der Datenschutz und die Grundregeln der IT-Sicherheit erfordern „eigentlich“ dieses Vorgehen: Es sind im konkreten Fall nur genau die Rechte vorhanden, die zur Aufgabenerf\u00fcllung erforderlich sind. Soll ein Adminisator einen neuen Benutzer anlegen, so hat er genau die daf\u00fcr notwendigen Rechte, nicht mehr. Wenn er sich verklickt, wird also evtl. der neue Benutzer falsch angelegt, mehr kann jedoch nicht passieren.<\/p>\n\n\n\n
In er Praxis ist eine solche Umsetzung jedoch sehr aufw\u00e4ndig und daher problematisch: Der Administrator muss, ggf. zu unterschiedichen Zeitpunkten, sowohl Benutzer anlegen als auch l\u00f6schen. Sollen hierf\u00fcr daher unterschiedliche Rechteerh\u00f6hungen definiert werden oder doch nur die eine, die Rechteerh\u00f6hung zur Benutzerverwaltung? Und wie sieht es aus, wenn der Adminisrator auch andere Administrationsaufgaben wahrnimmt? Wird er dann ggf. doch zum „Universaladministrator“? In der Praxis ist also der zus\u00e4tzliche Verwaltungsaufwand gegen das Risiko, Fehler zu machen, abzuw\u00e4gen.<\/p>\n\n\n\n
Der zweite, der dritte und der vierte Teil<\/h2>\n\n\n\n
Im zweiten Teil erfahren Sie, wie Rechte grunds\u00e4tzlich sinnvollerweise beim Einsatz von Auszubildenden, Praktikanten etc. vergeben werden k\u00f6nnen, im dritten Teil wird beschrieben, wie wir in der ima konkret vorgehen. Der vierte Teil richtet sich dann an Auszubildende und Praktikanten, Sie erfahren, was Sie bei einer Ausbildung oder einem Praktikum bei uns erwartet.<\/p>\n","protected":false},"excerpt":{"rendered":"
Immer wieder eine Frage und in der Umsetzung ein Spagat: Wann bekommt wer welche Rechte in IT-Systemen? Neue Mitarbeiter sollen produktiv mitarbeiten, Auszubildende sollen praktisch lernen und auch produktiv mitarbeiten. Gerne geben Ausbilder einfache Standardaufgaben ab. Welche Probleme und Risiken ergeben sich bei welchen Handlungsweisen? Wer Rechte hat, kann diese missbrauchen. Ein Missbrauch kann, der […]<\/p>\n","protected":false},"author":2,"featured_media":1938,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1935","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/1935","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/comments?post=1935"}],"version-history":[{"count":2,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/1935\/revisions"}],"predecessor-version":[{"id":1937,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/1935\/revisions\/1937"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/media\/1938"}],"wp:attachment":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/media?parent=1935"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/categories?post=1935"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/tags?post=1935"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}