Serie Datenintegrität - Schritt 3: Technischer Hintergrund, Rohdaten und Schnittstellen (Teil 1) 

von

Im ersten Artikel (erster Schritt) dieser Serie bin ich auf die allgemeinen rechtlichen Grundlagen der Datenintegrität eingegangen. Ich habe dargestellt, dass die Basis recht klar definiert ist, aber viele Begriffe und Definitionen unklar sind.  Darauf bin ich dann im zweiten Schritt genauer eingegangen und wir habe uns um Definitionen und Festlegungen gekümmert. Im Schritt drei schauen wir jetzt genau hinter die Kulissen der Technik. Was ist bspw. eine Dateiausführungsverhinderung und was eine Drehstuhlschnittstelle?  

Worum geht es in Schritt 3: Technischer Background, Rohdaten und Schnittstellen

Im dritten Schritt zur Entchaotisierung bei der Datenintegrität geht es darum, Informationen darüber zu sammeln, welche Schnittstellen es überhaupt gibt, welche Sorten von Systemen und Schnittstellen vorliegen, wie diese funktionieren und wo diese kritische Daten beinhalten könnten.  Es geht darum, sich einen Überblick über Datenbank und Dateischnittstellen zu verschaffen. Wichtig ist, dass Sie dabei nicht die Mensch – Mensch - und Mensch – Maschinenschnittstellen vergessen.    

30.000 Fuß - Wo stehen wir in Bezug auf den Gesamtprozess

Wir befinden uns immer noch im ersten von drei Blöcken auf unserem Weg zur klaren Struktur in der Datenintegrität. 

Im ersten Block kümmern wir uns dabei um das Festlegen der Legende, also die rechtlichen Grundlagen, sowie das definieren von Begriffen für den weiteren Prozess. Damit legen wir das Fundament für alle weiteren Schritte.    

Im zweiten Block führen wir dann die Bestandsaufnahmen durch und bringen unsere Definitionen aus Block 1 in Relation dazu.   

Im dritten Block entwickeln wir schließlich geeignete Maßnahmen, welche zu unserer Umgebung passen und legen die Prioritäten fest.   

 

Die Technik - Es könnte alles so einfach sein

Setzen Sie sich mit den Technologien, die in Ihrem Unternehmen eingesetzt werden, auseinander.  Auch wenn es auf den ersten Blick eine beinahe unüberschaubare Vielfalt zu geben scheint, so können die vorhandenen Technologien doch in Kategorien zusammengefasst werden - und genau diese Kategorien wollen wir in diesem Artikel genauer betrachten. Da Datenintegrität nicht ohne Datensicherheit geht, wird eine große Anzahl der hier aufgeführten Punkte auch Sicherheitsthemen beleuchten.  

Technischer Hintergrund

Im Folgenden werde ich mich, auch wenn diese immer wieder kontrovers diskutiert werden, primär auf Windows -Umgebungen fokussieren. Denn diese sind schließlich in 90% der Umgebungen Standard.  

Everyone

Die Gruppe ”Everyone” ist der Belzebub für jeden, der mit Sicherheit und Datenintegrität zu tun hat.  Sie wird oft verwendet, um Benutzern auch aus der Ferne Zugriff auf Systeme zu ermöglichen. Eine granulare Kontrolle erfolgt nicht und genau hier liegt das Problem.  

Falls Sie also wirkliche alle Benutzer einer Umgebung für etwas frei schalten müssen, dann ist es besser “Everyone” nicht zu benutzen. Ich empfehle in diesem Fall ”Authentifizierte Benutzer” oder “Domänen Benutzer”.  In allen anderen Fällen erstellen Sie sich eine passende Gruppe für Ihren Zweck. (Mehr dazu im zweiten Teil.)

Windows Systeme im GxP-Einsatz

PC tastaturWindows Systeme werden im GxP-Umfeld heiß diskutiert. Fakt ist: Es gibt Sie und wir müssen damit zurechtkommen.  Viele der Schwächen, die immer wieder den Windows Systemen zu geschrieben werden, sind aus meiner Sicht allerdings Schwächen in der System-Verwaltung. Alle größeren Attacken, die in letzter Zeit bekannt gewordenen sind, wären bei guter Administration vermeidbar gewesen.

Für mich ist die größte Schwäche von Windows, dass es zu einfach aussieht. Dennoch ist die Administration ein komplexer Task und ein schlecht administriertes Windows-System ist genauso verwundbar, wie ein schlecht verwaltetes Linux-System. Ich weiß …. Glaubensfrage ;) Was ich aber nicht nur glaube, sondern ganz sicher weiß ist, dass keiner der Kunden, der sich an die Admin Standards gehalten hat, ein Opfer der Angriffe der letzten Jahre geworden ist.  

Lokale Dateisysteme und Rechteverwaltung  

Auf den Systemen lokal gibt es inzwischen noch zwei primäre Dateisysteme NTFS und FAT32.  Sie sollten Ihre Systeme auf jeden Fall auf NTFS setzen. Dies bietet viele Vorteile in Bezug auf die Rechteverwaltung und Dateioperationen.  

Die Rechteverwaltung unter NTFS kann sehr granular erfolgen. Dennoch sollten Sie aber immer einen klaren Plan für die Vergabe von Rechten aufstellen, da die Rechtezuordnung sonst schnell nicht mehr nachvollziehbar ist und es dabei sogar dazu kommen kann, dass Sie sich selbst aussperren.  

Planen Sie den Zugriff von der Basis des Dateisystems her und erweitern Sie ihn dann immer weiter. Nutzen Sie die Möglichkeit der Vererbung und vermeiden Sie, wo immer möglich, das Brechen von Vererbung. Fangen Sie also z.B. mit Lesezugriff für alle Mitarbeiter in der Basis des Dateisystems an und vergeben Sie dann zusätzliche Rechte in den Unterordnern nach Bedarf.  NTFS unterstützt auch das Verweigern von Rechten. Dabei gilt die Grundregel: Rechte sind additiv, Verweigerungen haben Vorrang!  

Dateisysteme im Netzwerk / Netzwerkzugriffe

system netzwerkeWenn sie über das Netzwerk auf ein Dateisystem zugreifen, z.B. über Netzlaufwerke, müssen zu den Rechten auf das Dateisystem noch die Zugriffsrechte auf das Netzlaufwerk beachtet werden.  In Kombination mit den Rechten des Dateisystems zählt hier das kleinste Recht zieht.  Hat ein Benutzer lokal also ein Schreibrecht aber über das Netzwerk nur ein Leserecht, dann kann er nur lesen.  

Wenn über das Netzwerk auf Freigaben / Shares zugegriffen wird, können Daten zwischengespeichert werden. Dies ist sehr nützlich für Notebooks im mobilen Einsatz, kann aber bei Labor- und Produktionsequipment zu Datenverlust führen und sollte daher vermieden werden.  

Sicherheit … nicht fürs Labor?!

70% aller Angriff erfolgen von innen (absichtlich oder unabsichtlich). Aus diesem Grund ist das Verweigern von Sicherheitsstandards für das Labor oder für die Produktionsgeräte ein unakzeptabler Zustand. Wie wollen Sie bei einem Vorfall die Integrität Ihrer Daten argumentieren, nachdem ein PC im Labor einem Virus oder einer Verschlüsselungs-Software zum Opfer gefallen ist?  

Updates

Eine wichtige Komponenten jeder Sicherheitsarchitektur ist das Update oder Patchmanagement.  Das heißt natürlich nicht, dass Sie jeden Patch sofort bei Erscheinen auf alle Produktionsgeräte installieren müssen. Vielmehr empfehle ich hier einen gestaffelten Ansatz.  

Mein Standard für normale Patches ist:

  • Fünf Tage nach Erscheinen: Installation in der IT  
  • Zehn Tage nach Erscheinen: Installation im Office Bereich  
  • Vierzehn Tage nach Erscheinen: Installation auf Servern  
  • Nach drei Wochen: Installation im Labor  
  • Nach vier Wochen: Installation in der Produktion  

 

Während die Installation im Office-Netz automatisch erfolgt, ist sie im Lab zwar verpflichtend aber nicht automatisch. Das heißt ein Operator muss also zusätzlich aktiv werden.  

Das häufigste Problem bei der Installation von Patches ist dabei, dass Softwarelieferanten Sicherheitslücken als “Features” genutzt haben und deswegen nach der Behebung von Lücken nicht mehr funktionieren. Daher bin ich ehrlicherweise der Meinung, es ist deswegen immer eine Wahl zwischen Pest und Cholera. Sie müssen sich entscheiden zwischen Verlust der Integrität, wenn sie obwohl ein Patch verfügbar war nicht agiert haben und befallen wurden, und dem Risiko, dass nach der Installation etwas nicht mehr funktioniert.

Ich denke, dass bei einer kontrollierten Arbeitsweise das Risiko eines kontrollierten Patchings geringer ist. Achten Sie dabei auch darauf, dass Patchen in Ihren Geräte SOPS und Dokumenten sauber abzubilden, sonst besteht das Risiko, dass sie mit jedem Patch eine Requalifizierung durchführen müssen.  

Netzwerksegmentierung  

Netzwerksegmentierung ist eine klassische Methode um Netzwerkbereiche, die unterschiedliche Risikoeinstufungen haben, zu trennen. Dabei werden klassischerweise Produktionsbereiche von Labor- und Office-Bereichen getrennt verwaltet und durch Firewalls voneinander abgeschottet.   

Leider ist die Welt komplexer geworden. Operatoren sollen die selben Benutzerdaten verwenden, Systeme sollen auch von daheim aus geprüft werden können und der aktuelle Produktionsstatus muss als Echtzeitgrafik für die Geschäftsleitung zur Verfügung stehen. Damit dies jedoch möglich ist, müssen diese Segmente wieder durchtrennt und die Sicherheit aufgeweicht werden. Heutzutage wird diese Problematik oft gelöst, indem jedes System mit seinen Sicherheitsanforderungen für sich betrachtet und gekapselt wird.  

Firewalls

taste mit firewallFirewalls sind Systeme, die das Netzwerk sicherer machen sollen. Im einfachsten Fall agieren Sie auf Netzwerkebene und sorgen also z.B. dafür, dass aus dem Büronetz nicht auf den FTP eines Systems zugegriffen werden kann, sehr wohl aber aus dem Wartungsnetz heraus.  Inzwischen sind auch Anwendungsfirewalls weit verbreitet. Diese überwachen und sichern dann nicht nur den Netzwerkverkehr an sich, sondern prüfen auch bei erlaubtem Verkehr, ob dieser Angriffe oder Schadinhalte beinhaltet.   

Firewalls gibt es als Netzwerksysteme auf separater Hardware oder als Software, die auf PCs und Servern installiert werden kann. Ich empfehle den gesteuerten Einsatz von beiden Komponenten.  

Intrusion Detection / Prevention

IDS – Intrusion Detection Systeme sind Systeme, die Netzwerkverkehr analysieren, verdächtige Verhaltensmuster identifizieren und Alarm auslösen.  

IPS – Intrusion Prevention Systeme leiten als Ergänzung dazu selbst Gegenmaßnahmen ein, beenden also z.B. die Verbindung.  

Antivirus

Antivirus sind Anwendungen, die die Ausführung von Schadcodes auf computerisierten Systemen verhindern sollen. Aktuell gibt es zwei Generationen in diesem Bereich. Die traditionellen,  patternbasierte Anwendungen funktionieren so, dass sie das Muster (Pattern) von bekannten Viren erkennen und auf der Basis dieses Schadcodes Alarm schlagen.   

Die neue Generation, oft auch als NextGeneration vermarktet, sind Produkte, die sich an dem Verhalten des Codes orientieren. Wenn also zum Beispiel eine Anwendung anfängt Massenweise Daten zu verschlüsseln, wird diese Anwendung, ob bekannt oder nicht, als Schadcode bewertet.   

Im Labor- und Echtzeitbereich haben diese Anwendungen allerdings den Nachteil, dass sie sich zwischen die Labor- Anwendung und das Betriebs-System schalten und so zum einen die Performance reduzieren können, zum anderen sogar Daten verändern könnten, wenn die Antivirus-Anwendung diese fälschlicherweise als Schadcode identifiziert.   

In Sicherheitskreisen wird Antiviren-Software inzwischen sehr kontrovers diskutiert, da diese Anwendungen inzwischen selbst so komplex geworden sind, dass Sie wieder eigene Sicherheitslücken enthalten können.  

SLA

Der EU GMP-Leitfaden besagt, dass wir interne Dienstleister (IT oder vergleichbare Support-Einheiten) vom Regelwerk her wie externe betrachten sollen. Wir sind also angehalten Verträge mit Ihnen zu schließen. Das Mittel der Wahl sollte intern das SLA (Service Level Agreement) sein. Hierbei werden für bestimmte Themen (Service Objekte) Vereinbarungen über zum Beispiel Performance, oder Aktionen vereinbart. Dazu können alle Dienstleistungen gehören, die erbracht werden, wie bspw. die Wartung von Maschinen, das Anlegen von Benutzern, das Ausführen der Backups.  

Benutzer- / Rollentrennung

PC Bildschirm zeigt User tightsEines der Kernkonzepte jeder Sicherheitsarchitektur ist die Rollentrennung. Dabei geht es darum, dass jeder nur so viele Rechte haben sollte, wie er für die Erfüllung seiner Aufgabe auch wirklich benötigt. Dies steigert nicht nur die Sicherheit Ihrer Systeme und die Datenintegrität, sondern auch die Handlungssicherheit Ihrer Mitarbeiter, da diese so sicher sein können, dass sie nichts versehentlich falsch machen können. Beispielsweise sollten Sie die Verwaltung von Benutzerrechten für Laborgeräte an jemanden außerhalb der Abteilung geben bzw. dafür sorgen, dass der Mitarbeiter der misst, Daten nicht auch löschen kann.  

Ausführungsverhinderung für Anwendungen  

Eines der besten und leider trotzdem weitestgehend ignorierten Mittel um die Sicherheit in Labor und Produktion zu steigern, ist die Datenausführungsverhinderung auch DEP genannt. Dabei wird zunächst aktiv festgelegt, welche Anwendungen, wie auf den Systemen genutzt werden sollen – in Labor und Produktion eigentlich eine einfache Prozedur. Anschließend wird die Ausführung aller anderen Anwendungen unterbunden.  

Scripte / Batches

Eines der wichtigsten Tools der Administration und gleichzeitig eines der größten Risiken sind Scripts. Scripte sind Programme, die nicht kompiliert werden und dadurch direkt und so wie sie sind ausgeführt werden können. Im Gegensatz zu klassischen Programmen hat das den Vorteil, dass sie direkt gelesen, analysiert und bei Bedarf angepasst werden können. Der Nachteil ist jedoch, dass es nicht einfach ist sie unter Kontrolle zu halten. Ein einprägsames Beispiel dafür ist eine der letzten Ransomware-Attacken, welche auf Scripten basierte.   

Wenn Sie jedoch ein paar Grundregeln einhalten, können Sie Scripte problemlos nutzten. Diese sind allerdings dabei sehr wichtig:  

  1. Kontrollieren Sie die Ausführung. Scripte können mit einem Zertifikat versehen werden. So stellen Sie sicher, dass nur genehmigte Scripte ausgeführt werden.  
  2. Versionieren Sie Ihre Scripte und stellen Sie jeweils nur das aktuellste auf einem zentralen Speicher zur Verfügung.  
  3. Nutzen Sie vorhandene Logfunktionen. Wo immer möglich, erzeugen Sie sich ein Windows- Event-Log für Ihre Zwecke und schreiben Sie dort Prüfungen etc. hinein. Das Windows-Log ist relativ schwer manipulierbar und damit gut geeignet.  

Event-Log / Ereignisprotokoll

Das Windows Event-Log / Ereignisprotokoll ist einer unserer Verbündeten im Bereich Sicherheit und Datenintegrität. Es ist schwer zu manipulieren und kann ohne Adminrechte auch nicht gelöscht oder geleert werden. Die Leerung wiederrum wird auch protokolliert.  

Log Server

Log Server sind zentrale Komponenten, auf denen Sie Ereignis-Protokolle und Logfiles von unterschiedlichen Systemen sammeln und aufbewahren können. So können auch textdateibasierte Logfiles absichern.  

Zwischenfazit

Wir haben uns jetzt bereits mit einigen Systemen, wie der Firewalls, Intrusion Detection und SLA näher beschäftigt. Im zweiten Teil werde ich u.a. auf Shared Accounts, Datenbanken, DNS und USV / UPS eingehen. Im dritten Teil des dritten Schrittes werde ich dann auf die Schnittstellen eingehen. 

Damit Sie jedoch nicht den Überblick verlieren, hier noch einmal der Aufbau der Serie im Überblick: 

 

 Wie immer freue ich mich über Rückmeldungen, Anmerkungen und Vorschläge zum Thema.  

Sie wollen nichts verpassen? Dann melden Sie sich zu meinem Newsletter an! Hier finden Sie außerdem alle Artikel der Serie mit einem Klick.

übersicht serie 

Mit chaotischen Grüße  

Christof Layher  

Ihr Chaos Experte  

Dies könnte ihnen auch gefallen

Hinterlasse einen Kommentar!

Melden Sie sich bei meinem Newsletter an.

Melden Sie sich bei meinem Newsletter an.

Melden Sie Sich zu meinem Newsletter an um immer auf dem neuesten Stand zu sein und keine wertvolle Information zu verpassen.

Sie haben sich erfolgreich eingetragen und sollten zeitnah eine Begrüßungsmail von mir erhalten.

Powered by