Wenn Sie schon einmal beim Wischen, Putzen, Aufräumen und Sortieren in Wohnung, Haus, Garage und Keller sind, sollten Sie vor PC, Tablet, Notebook und Smartphone nicht Halt machen. Der Beginn des Frühlings ist die perfekte Gelegenheit, auch hier einmal für Ordnung zu sorgen. Ausmisten, Flicken, Aktualisieren - was genau zum digitalen Frühjahrsputz gehört, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Folgenden für Sie zusammengestellt.
Tipps für den digitalen Frühjahrsputz 2016
Löschen, was nicht mehr gebraucht wird
Wie in der realen Welt gilt es zu Beginn der Aufräumaktion, unnötige Gegenstände in den Müll zu werfen. In der virtuellen Welt sind das nicht mehr genutzte Programme oder Apps, die man entfernen kann. Dabei sollte man sich die Frage stellen, welche Daten wirklich noch benötigt werden und welche gelöscht werden können.
Keine (unnötigen) Spuren im Internet hinterlassen
Genau so wichtig wie das Ausmisten auf den eigenen Festplatten ist das Beseitigen von überflüssigen Online-Daten. Dazu gehören auch nicht verwendete Nutzerkonten von sozialen Netzwerken oder Shopping-Seiten, die gelöscht werden können.
Alle Daten sicher an ihrem Platz
Erstellen Sie regelmäßig Backups. Nutzen Sie den Frühjahrsputz, um zu kontrollieren, dass alle Daten gesichert sind und keine wichtigen Inhalte verloren gehen. Überprüfen Sie auch Ihr Backup auf Wiederherstellbarkeit.
Neue Passwörter, aber sicher
Der Frühjahrsputz ist ein guter Anlass, mit der nötigen Sorgfalt auch Passwörter zu überprüfen und sachgerecht zu verändern. Dabei gilt es auch an Zugangsdaten zu denken, die man sonst nicht im Blick hat, wie WLAN-/Router-Passwort, Nutzerkonten am PC und im Internet.
Programme aktualisieren
Prüfen Sie, ob tatsächlich die aktuellste Software auf Ihrem Gerät installiert und die automatische Aktualisierung aktiviert ist. Jede veraltete Software bietet Einfallsmöglichkeiten für schädliche Viren. Deshalb bieten Hersteller regelmäßig Patches an, die Sicherheitslücken schließen und Verbesserungen integrieren.
Wer hat auf was Zugriff?
Nicht jeder sollte auf alles zugreifen können. Insbesondere Kinder sollten keinen Zugang zu Filmen für Erwachsene oder den Kontodaten der Eltern besitzen. Seit dem letzten Frühjahrsputz kann sich hier einiges getan haben – er ist immerhin ein Jahr her. Höchste Zeit für eine Überprüfung der Nutzerkonten auf Ihrem PC. Welche Verwaltungsrechte haben Ihre Kinder und auf welche Dateien können sie zugreifen? Haben Sie einen Gäste-Zugang eingerichtet? Wer hat Zugangsberechtigungen zu Ihrem WLAN?
Ausmisten - aber mit System
Wie in der realen Welt gilt es zu Beginn der Aufräumaktion, unnötige Gegenstände in den Müll zu werfen. In der virtuellen Welt sind das nicht mehr genutzte Programme oder Apps, die man entfernen kann. Dabei sollte man sich die Frage stellen, welche Daten wirklich noch benötigt werden und welche gelöscht werden können. Anders als beim Wohnungsputz reicht nicht das bloße Verschieben von Daten in den Papierkorb - dies entfernt zunächst nur die Verweise, nicht die Inhalte selbst. Löschen Sie den Inhalt des Papierkorbs zudem regelmäßig, damit Ihre Festplatte nicht zu voll wird. Denn der Papierkorb wird erst automatisch geleert, wenn der von gelöschten Dateien belegte Speicherplatz die vorgegebene Größe überschreitet.
Staub wischen - vor allem in den Ecken
Genau so wichtig wie das Ausmisten auf den eigenen Festplatten ist das Beseitigen von überflüssigen Online-Daten. Dazu gehören auch nicht verwendete Nutzerkonten von sozialen Netzwerken oder Shopping-Seiten, die gelöscht werden können. Die Löschfunktion solcher Konten ist bisweilen nur schwer zu finden und wird durch aufwendige Verfahren erschwert. Lassen Sie sich davon nicht abschrecken und nutzen Sie Suchmaschinen, um die richtigen Seiten zu finden. Geeignete Suchbegriffe könnten sein: löschen profil "Name des Netzwerkes/der Seite".
Das Chaos beseitigen
Haben Sie auch schon Daten verloren? Oder ist Ihnen ein Dokument abhanden gekommen? Fast jeder Nutzer von Computern, Tablets oder Smartphones weiß, dass Daten verschluckt, plötzlich nicht mehr auffindbar sowie durch Schadsoftware gelöscht oder verschlüsselt werden können. Trotzdem machen Nutzer viel zu selten Datensicherungen. Solche Backupssollten regelmäßig vorgenommen werden. Nutzen Sie den Frühjahrsputz, um zu kontrollieren, dass alle Daten gesichert sind und keine wichtigen Inhalte verloren gehen. Überprüfen Sie auch Ihr Backup auf Wiederherstellbarkeit.
Alte Gewohnheiten hinter sich lassen
Der Frühjahrsputz ist ein guter Anlass, mit der nötigen Sorgfalt auch Passwörter zu überprüfen und sachgerecht zu verändern. Dabei gilt es auch an Zugangsdaten zu denken, die man sonst nicht im Blick hat, wie WLAN-/Router-Passwort, Nutzerkonten am PC und im Internet. Auch bei Passwörtern tun sich viele Benutzer schwer, weswegen grundsätzlich folgende Tipps beachtet werden sollten:
mindestens 12 Zeichen lang,
Groß- und Kleinbuchstaben sowie Sonderzeichen sollten enthalten sein,
keine Eigennamen oder Begriffe, die in Wörterbüchern vorkommen,
keine gängigen Varianten wie Wiederholungs- und Tastaturmuster (z.B. 01234 oder asdfgh),
ein eigenes Passwort für jeden Dienst.
Die am häufigsten gehackten Passwörter in den USA
Platz 25 bis 21
25. trustno1 ("Traueniemandem")
24. batman
23. 123123
22. 696969
21. superman
Platz 20 bis 16
20. michael
19. master
18. shadow ("Schatten")
17. Access ("Zugang")
16. mustang
Platz 15 bis 11
15. 111111
14. abc123
13. letmein ("Lassmichrein")
12. monkey ("Affe")
11. 1234567
Platz 10 bis 6
10. Football
9. Dragon ("Drache")
8. baseball
7. 1234
6. 123456789
Platz 5 bis 1
5. qwerty (auf deutschen Tastaturen "qwertz")
4. 12345678
3. 12345
2. password
1. 123456
Alles neu macht der Frühling
Viele Programme und Apps suchen automatisch nach Updates. Nutzen Sie aber Ihren Frühjahrsputz auch zum Überprüfen, ob tatsächlich die aktuellste Software auf Ihrem Gerät installiert und die automatische Aktualisierung aktiviert ist. Jede veraltete Software bietet Einfallsmöglichkeiten für schädliche Viren. Deshalb bieten Hersteller regelmäßig Patches (englisch für "Flicken") an, dieSicherheitslücken schließen und Verbesserungen integrieren. So sollten Sie zunächst checken, welche Programme automatische Update-Services erhalten und diese aktivieren. Laden Sie gegebenenfalls Patches und Updates selbständig herunter und installieren Sie diese.
Einen detaillierten Leitfaden mit weiteren Tipps für sicheres Patch-Management gibt es auf der Website des BSI.
Putzmittel wegsperren
Viele Computer werden insbesondere in Familien von mehreren Mitgliedern genutzt. Doch nicht jeder sollte auf alles zugreifen können. Insbesondere Kinder sollten keinen Zugang zu Filmen für Erwachsene oder den Kontodaten der Eltern besitzen. Seit dem letzten Frühjahrsputz kann sich hier einiges getan haben - er ist immerhin ein Jahr her. Höchste Zeit für eine Überprüfung der Nutzerkonten auf Ihrem PC. Welche Verwaltungsrechte haben Ihre Kinder und auf welche Dateien können sie zugreifen? Haben Sie einen Gäste-Zugang eingerichtet? Wer hat Zugangsberechtigungen zu Ihrem WLAN?
10 Schritte zum IAM-System
In zehn Schritten zum IAM
Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.
Gemischte Projektteams aus IT und Business
IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.
Ziele definieren
Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.
Vor Start des Projektes: Aufräumen!
Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.
Umsetzung in Phasen
Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.
Anschluss des HR-Systems
Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.
Customizing auf ein Minimum reduzieren
Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.
Rollen implementieren
Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".
Rollenverantwortliche festlegen
Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.
Top-down-Vorgehen
Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.
Schnellere Erfolge auf Fachabteilungsebene
Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.
Realistisch bleiben
Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.