Serie Datenintegrität  Schritt 3 (Teil 2): Technischer Hintergrund, Rohdaten und Schnittstellen  

von

Im ersten Artikel zum Schritt 3 haben wir bereits einiges an technischen Dingen durchgearbeitet, wie u.a. Kerberos, die Virtualisierung sowie USV / UPS vorgestellt. Daran werde ich in diesem Artikel anknüpfen. 

30.000 Fuß – Zoom Out: Wo stehen wir in Bezug auf den Gesamtprozess?

Wir befinden uns immer noch im ersten von drei Blöcken auf unserem Weg zur klaren Struktur in der Datenintegrität. Im ersten Block kümmern wir uns dabei um die regulatorischen Grundlagen, das Festlegen der Legende, also die rechtlichen Grundlagen, sowie das Definieren von Begriffen für den weiteren Prozess. Damit legen wir das Fundament für alle weiteren Schritte. 

Im zweiten Block führen wir dann die Bestandsaufnahmen durch und bringen unsere Definitionen aus Block 1 in Relation dazu. Im dritten Block entwickeln wir schließlich geeignete Maßnahmen, welche zu unserer Umgebung passen und legen die Prioritäten fest. 

Hier finden Sie alle Teile der Serie auf einen Blick:

übersicht serie

Im letzten Artikel sind wir bereits auf Begriffe rund um die Themen Technologie und Logging eingegangen. Im Folgenden werde ich nun diese Auflistung forsetzen und wichtige Punkte aus der Datensicherheit und Struktur / Organisation betrachten.

Sicherheit … nicht fürs Labor?!

70% aller Angriffe erfolgen von innen (absichtlich oder unabsichtlich). Aus diesem Grund ist das Verweigern von Sicherheitsstandards für das Labor oder für die Produktionsgeräte ein unakzeptabler Zustand. Wie wollen Sie bei einem Vorfall die Integrität Ihrer Daten argumentieren, nachdem ein PC im Labor einem Virus oder einer Verschlüsselungs-Software zum Opfer gefallen ist?  

1. Updates

Eine wichtige Komponente jeder Sicherheitsarchitektur ist das Update oder Patchmanagement. Das heißt natürlich nicht, dass Sie jeden Patch sofort bei Erscheinen auf alle Produktionsgeräte installieren müssen. Vielmehr empfehle ich hier einen gestaffelten Ansatz.  Mein Standard für normale Patches ist:

  • Fünf Tage nach Erscheinen: Installation in der IT  
  • Zehn Tage nach Erscheinen: Installation im Office Bereich  
  • Vierzehn Tage nach Erscheinen: Installation auf Servern  
  • Nach drei Wochen: Installation im Labor  
  • Nach vier Wochen: Installation in der Produktion  

Während die Installation im Office-Netz automatisch erfolgt, ist sie im Lab zwar verpflichtend aber nicht automatisch. Das heißt ein Operator muss also zusätzlich aktiv werden.  

Das häufigste Problem bei der Installation von Patches ist dabei, dass Softwarelieferanten Sicherheitslücken als „Features“ genutzt haben und deswegen nach der Behebung von Lücken nicht mehr funktionieren. Daher bin ich ehrlicherweise der Meinung, das es eine Wahl zwischen Pest und Cholera ist. Sie müssen sich entscheiden zwischen Verlust der Integrität, wenn Sie, obwohl ein Patch verfügbar war, nicht agiert haben und befallen wurden, und dem Risiko, dass nach der Installation etwas nicht mehr funktioniert.

Ich denke, dass bei einer kontrollierten Arbeitsweise das Risiko eines kontrollierten Patchings geringer ist. Achten Sie dabei auch darauf, das Patchen in Ihren Geräte SOPS und Dokumenten sauber abzubilden, sonst besteht das Risiko, dass Sie mit jedem Patch eine Requalifizierung durchführen müssen.  

2. Netzwerksegmentierung  

Netzwerksegmentierung ist eine klassische Methode um Netzwerkbereiche, die unterschiedliche Risikoeinstufungen haben, zu trennen. Dabei werden klassischerweise Produktionsbereiche von Labor- und Office-Bereichen getrennt verwaltet und durch Firewalls voneinander abgeschottet.   

Leider ist die Welt komplexer geworden. Operatoren sollen die selben Benutzerdaten verwenden, Systeme sollen auch von daheim aus geprüft werden können und der aktuelle Produktionsstatus muss als Echtzeitgrafik für die Geschäftsleitung zur Verfügung stehen. Damit dies jedoch möglich ist, müssen diese Segmente wieder durchtrennt und die Sicherheit aufgeweicht werden. Heutzutage wird diese Problematik oft gelöst, indem jedes System mit seinen Sicherheitsanforderungen für sich betrachtet und gekapselt wird.  

3. Firewalls

Firewalls sind Systeme, die das Netzwerk sicherer machen sollen. Im einfachsten Fall agieren sie auf Netzwerkebene und sorgen also z.B. dafür, dass aus dem Büronetz nicht auf den FTP eines Systems zugegriffen werden kann, sehr wohl aber aus dem Wartungsnetz heraus. Inzwischen sind auch Anwendungsfirewalls weit verbreitet. Diese überwachen und sichern dann nicht nur den Netzwerkverkehr an sich, sondern prüfen auch bei erlaubtem Verkehr, ob dieser Angriffe oder Schadinhalte beinhaltet.   

Firewalls gibt es als Netzwerksysteme auf separater Hardware oder als Software, die auf PCs und Servern installiert werden kann. Ich empfehle den gesteuerten Einsatz von beiden Komponenten.  

4. Intrusion Detection / Prevention

IDS – Intrusion Detection Systems sind Systeme, die Netzwerkverkehr analysieren, verdächtige Verhaltensmuster identifizieren und Alarm auslösen.  

IPS – Intrusion Prevention Systems leiten als Ergänzung dazu selbst Gegenmaßnahmen ein, beenden also z.B. die Verbindung.  

5. Antivirus

Antivirus sind Anwendungen, die die Ausführung von Schadcodes auf computerisierten Systemen verhindern sollen. Aktuell gibt es zwei Generationen in diesem Bereich. Die traditionellen, patternbasierte Anwendungen funktionieren so, dass sie das Muster (Pattern) von bekannten Viren erkennen und auf der Basis dieses Schadcodes Alarm schlagen.   

Die neue Generation, oft auch als NextGeneration vermarktet, sind Produkte, die sich an dem Verhalten des Codes orientieren. Wenn also zum Beispiel eine Anwendung anfängt Massenweise Daten zu verschlüsseln, wird diese Anwendung, ob bekannt oder nicht, als Schadcode bewertet.   

Im Labor- und Echtzeitbereich haben diese Anwendungen allerdings den Nachteil, dass sie sich zwischen die Laboranwendung und das Betriebssystem schalten und so zum einen die Performance reduzieren, zum anderen sogar Daten verändern könnten, wenn die Antivirus-Anwendung diese fälschlicherweise als Schadcode identifiziert.   

In Sicherheitskreisen wird Antiviren-Software inzwischen sehr kontrovers diskutiert, da diese Anwendungen inzwischen selbst so komplex geworden sind, dass sie wieder eigene Sicherheitslücken enthalten können.  

6. Ausführungsverhinderung für Anwendungen  

Eines der besten und leider trotzdem weitestgehend ignorierten Mittel um die Sicherheit in Labor und Produktion zu steigern, ist die Datenausführungsverhinderung auch DEP genannt. Dabei wird zunächst aktiv festgelegt, welche Anwendungen wie auf den Systemen genutzt werden sollen – in Labor und Produktion eigentlich eine einfache Prozedur. Anschließend wird die Ausführung aller anderen Anwendungen unterbunden.  

7. Scripte / Batches

Eines der wichtigsten Tools der Administration und gleichzeitig eines der größten Risiken sind Scripte. Scripte sind Programme, die nicht kompiliert werden und dadurch direkt und so wie sie sind, ausgeführt werden können. Im Gegensatz zu klassischen Programmen hat das den Vorteil, dass sie direkt gelesen, analysiert und bei Bedarf angepasst werden können. Der Nachteil ist jedoch, dass es nicht einfach ist, sie unter Kontrolle zu halten. Ein einprägsames Beispiel dafür ist eine der letzten Ransomware-Attacken, welche auf Scripten basierte.   

Wenn Sie jedoch ein paar Grundregeln einhalten, können Sie Scripte problemlos nutzten. Diese sind allerdings sehr wichtig:  

  1. Kontrollieren Sie die Ausführung. Scripte können mit einem Zertifikat versehen werden. So stellen Sie sicher, dass nur genehmigte Scripte ausgeführt werden.  
  2. Versionieren Sie Ihre Scripte und stellen Sie jeweils nur das aktuellste auf einem zentralen Speicher zur Verfügung.  
  3. Nutzen Sie vorhandene Logfunktionen. Wo immer möglich, erzeugen Sie sich ein Windows- Event-Log für Ihre Zwecke und schreiben Sie dort Prüfungen etc. hinein. Das Windows-Log ist relativ schwer manipulierbar und damit gut geeignet.

8. Passwörter

Passwörter sollten prinzipiell niemals geteilt werden! Aber dies lässt sich leider nicht immer vermeiden. Bei Passwörtern ist es immer wieder eine Herausforderung einen gesunden Mittelweg zwischen zu einfach und zu kompliziert zu finden. Einfache Passwörter (z.B. Benutzer = Passwort) sind zu leicht zu erraten und bieten keine Sicherheit. Werden die Passwörter allerdings zu kompliziert (mindestens 14 Zeichen und alle 4 Wochen zu ändern) steigt die Wahrscheinlichkeit, dass die Benutzer anfangen, diese zu notieren. Weiter zu berücksichtigen ist, dass Passwörter an Touch-Systemen, die vielleicht auch noch mit Handschuhen benutzt werden müssen, einfacher gestrickt sein sollten.  

9. Cluster / Hochverfügbarkeit

Eine wichtige Fragestellung ist immer die der Verfügbarkeit, oder anderherum gefragt, wie lange darf ein System ausfallen und wie viele Daten dürfen dabei verloren gehen? Die Antwort, die ich oft auf diese Frage bekomme, ist etwas im Format: „Das System muss immer verfügbar sein und darf nie ausfallen!“ 

Dieses Ziel ist allerdings nicht zu erreichen, denn eine 100% Sicherheit gibt es nicht. Es ist immer ein Abwägen zwischen Anforderung und Budget.  Im Bereich Verfügbarkeit gibt es zwei zentrale Ansätze zur Steigerung der Sicherheit. Zum einen ist dies das so genannte Cluster. Das sind Systeme, die gleichzeitig eine Funktion wahrnehmen. Der andere Ansatz ist die Verteilung von Rollen. So wie zum Beispiel im Active Directory. Dort kann ein einzelner Server ausfallen, ohne, dass dies der Benutzer mit bekommt. 

10. Ransomware

Ransomware ist eine relativ aktuelle Mutation aus dem Bereich der Schadsoftware. In diesem Fall werden Daten nicht gelöscht, sondern vom Angreifer verschlüsselt. Normalerweise wird der Vorgang dann mit einer Lösegeldforderung kombiniert. In der Vergangenheit wurden jedoch bei einem Großteil der Fälle, trotz bezahlter Forderungen, die Daten nicht vollständig oder gar nicht wieder entschlüsselt!  

Aus GxP Sicht hat das noch einen weiteren Aspekt: Selbst wenn die Daten entschlüsselt würden, wie können wir ihnen danach noch vertrauen und sicherstellen, dass sie unverändert sind? 

Struktur / Organisation

Schauen wir uns zu guter Letzt noch an, worauf wir bei der Struktur und Organisation unserer Daten bzw. unseres Unternehmens achten müssen.

1. Everyone

Die Gruppe “Everyone“ ist der Belzebub für jeden, der mit Sicherheit und Datenintegrität zu tun hat.  Sie wird oft verwendet, um Benutzern auch aus der Ferne Zugriff auf Systeme zu ermöglichen. Eine granulare Kontrolle erfolgt nicht und genau hier liegt das Problem.  

Falls Sie also wirkliche alle Benutzer einer Umgebung für etwas frei schalten müssen, dann ist es besser „Everyone“ nicht zu benutzen. Ich empfehle in diesem Fall “Authentifizierte Benutzer“ oder „Domänen Benutzer“.  In allen anderen Fällen erstellen Sie sich eine passende Gruppe für Ihren Zweck (mehr dazu im folgenden Artikel).

2. Lokale Dateisysteme und Rechteverwaltung  

Auf den Systemen lokal gibt es inzwischen noch zwei primäre Dateisysteme NTFS und FAT32. Sie sollten Ihre Systeme auf jeden Fall auf NTFS setzen. Dies bietet viele Vorteile in Bezug auf die Rechteverwaltung und Dateioperationen.  

Die Rechteverwaltung unter NTFS kann sehr granular erfolgen. Dennoch sollten Sie aber immer einen klaren Plan für die Vergabe von Rechten aufstellen, da die Rechtezuordnung sonst schnell nicht mehr nachvollziehbar ist und es dabei sogar dazu kommen kann, dass Sie sich selbst aussperren.  

Planen Sie den Zugriff von der Basis des Dateisystems her und erweitern Sie ihn dann immer weiter. Nutzen Sie die Möglichkeit der Vererbung und vermeiden Sie, wo immer möglich, das Brechen von Vererbung. Fangen Sie also z.B. mit Lesezugriff für alle Mitarbeiter in der Basis des Dateisystems an und vergeben Sie dann zusätzliche Rechte in den Unterordnern nach Bedarf.  NTFS unterstützt auch das Verweigern von Rechten. Dabei gilt die Grundregel: Rechte sind additiv, Verweigerungen haben Vorrang!  

3. Dateisysteme im Netzwerk / Netzwerkzugriffe

Wenn Sie über das Netzwerk auf ein Dateisystem zugreifen, z.B. über Netzlaufwerke, müssen zu den Rechten auf das Dateisystem noch die Zugriffsrechte auf das Netzlaufwerk beachtet werden. In Kombination mit den Rechten des Dateisystems zählt hier das kleinste Recht greift. Hat ein Benutzer lokal also ein Schreibrecht aber über das Netzwerk nur ein Leserecht, dann kann er nur lesen.  

Wenn über das Netzwerk auf Freigaben / Shares zugegriffen wird, können Daten zwischengespeichert werden. Dies ist sehr nützlich für Notebooks im mobilen Einsatz, kann aber bei Labor- und Produktionsequipment zu Datenverlust führen und sollte daher vermieden werden.  

4. SLA

Der EU GMP-Leitfaden besagt, dass wir interne Dienstleister (IT oder vergleichbare Support-Einheiten) vom Regelwerk her wie externe betrachten sollen. Wir sind also angehalten, Verträge mit ihnen zu schließen. Das Mittel der Wahl sollte intern das SLA (Service Level Agreement) sein. Hierbei werden für bestimmte Themen (Service Objekte) Vereinbarungen über zum Beispiel Performance oder Aktionen vereinbart. Dazu können alle Dienstleistungen gehören, die erbracht werden, wie bspw. die Wartung von Maschinen, das Anlegen von Benutzern, das Ausführen der Backups.  

5. Benutzer- / Rollentrennung

Eines der Kernkonzepte jeder Sicherheitsarchitektur ist die Rollentrennung. Dabei geht es darum, dass jeder nur so viele Rechte haben sollte, wie er für die Erfüllung seiner Aufgabe auch wirklich benötigt. Dies steigert nicht nur die Sicherheit Ihrer Systeme und die Datenintegrität, sondern auch die Handlungssicherheit Ihrer Mitarbeiter, da diese so sicher sein können, dass sie nichts versehentlich falsch machen. Beispielsweise sollten Sie die Verwaltung von Benutzerrechten für Laborgeräte an jemanden außerhalb der Abteilung geben bzw. dafür sorgen, dass der Mitarbeiter, der misst, Daten nicht auch löschen kann.  

6. Kopieren von Dateien

Das Kopieren von Dateien ist im Alltag eine große “kleine“ Aktion. Die FDA unterscheidet zum Beispiel zwischen dem Original und der True Copy, denn die True Copy muss als solche erkennbar sein. Beim Umgang mit Papierdaten erkennen wir diese oft durch den Stempel „Original-Kopie“. Wie können Sie jetzt dieses Prinzip auf digitale Kopien anwenden? Die Antwort ist: Definieren Sie es für sich!  

Zum Vorgang des Kopierens selbst: In der Papierform werden Kopiervorgänge dokumentiert und die Echtheit bestätigt. Wie dies im digitalen Bereich abzubilden ist, ist umstritten:

  • Prüft das Betriebssystem bei der Übertragung die Echtheit der Daten?  
  • Werden die Daten im Netzwerk überprüft?  

Mein Ansatz dabei ist, wie so oft, ein risikobasierter Ansatz. Entscheiden Sie für sich, wie Sie welche Kopiervorgänge prüfen wollen. Ziehen Sie dabei folgende Kategorien in Erwägung:  

  1. Manuelle Kopie  
  2. Automatisierte Kopie / Script
  3. Risiko der Daten  
  4. Lokale oder Netzwerk Kopie 

7. FSMO

FSMO (Flexible Single Master Object) – Rollen sind zentrale Funktionen im AD, die in unterschiedlichen Phasen des Betriebs vital und unentbehrlich sind. Diese Rollen sind die einzigen die nicht redundant aufgebaut werden können! 

8. Gruppenverwaltung

Die Gruppenverwaltung ist eine zentrale Komponente, mit der Sie sich das Leben leichter oder schwerer machen können. Definieren Sie hier für sich einen klaren Standard wie Benutzer zu ihren Rechten kommen und machen Sie diese Regeln zu einer unumwerflichen Basis. Ich empfehle hier immer die Nutzen des AGLP-Standards. AGLP steht für  

  • Account (Benutzer)
  • Globale Gruppe
  • Lokale Gruppe
  • Permission.  

Der Standard sagt aus, dass wir einem Benutzer NIEMALS ein Recht direkt zuordnen sollten. Wir ordnen ein Recht also immer einer Gruppe zu. Zum Beispiel erteilen wir der Gruppe L das Leserecht auf den Ordner X: OrdnerX_Read. Dann organisieren wir unsere Benutzer ebenfalls in Gruppen, in diesem Fall in organisatorische (globale) Gruppen, also zum Beispiel Operatoren. Im Anschluss müssen wir nur noch die organisatorischen Gruppen zu den Rechtegruppen zuordnen und haben eine nachvollziehbare Kette.

So lässt sich schnell erkennen, wer welche Rechte hat und auch wenn ein neuer Mitarbeiter dazu kommt, können Sie schnell sicherstellen, dass er alle für seine Arbeit notwendigen Rechte auch bekommt. 

9. Three Tier

Three Tier ist ein Begriff aus der Anwendungsarchitektur und sollte heutzutage der Standard sein.  Dabei wird bereits in der Architektur die GUI (Oberfläche des Benutzers), auch Frontend genannt, von der Logik der Anwendung (Middle Tier) und der Datenspeicherung in der Datenbank (Backend) getrennt. 

10. 3-System-Landschaft  

Die drei System Landschaft ist ein Muss für komplexe Systeme. Es werden dabei ein Entwicklungssystem (DEV), ein Validierungssystem (VAL) und ein produktives System (PROD) aufgebaut.

Bei diesem Ansatz sollen Entwicklungen vollständig im DEV erstellt werden. Dann werden Sie ins VAL übertragen, das eine möglichst nahe Kopie des PROD darstellen sollte, und getestet. Anschließend werden die Anpassungen dann ins PROD transferiert. So soll gewährleistet werden, dass keine Tests im PROD erfolgen müssen, aber trotzdem eine geprüfte Installation vorgenommen wird.

Das Sprichwort sagt hier: Wer keine DEV Landschaft hat, hat nur eine DEV Landschaft.  

11. Softwareentwicklung

Normalerweise wird versucht, eigene Softwareentwicklung zu vermeiden. Denn dies erfordert nicht nur besondere Kenntnisse über Architekturentwicklung, sondern auch der Aufwand für eine Validierung ist deutlich höher, da es keine vergleichbaren Installationen gibt.  Oft lässt es sich jedoch nicht vermeiden, da entweder eine bereits eingesetzte Standard-Software nicht alles leisten kann, was benötigt wird, oder es für die Anforderungen keine passende Software am Markt gibt.  

Extrem wichtig ist bei der Softwareentwicklung von Anfang an Daten- und Schnittstellen-Architekturen sauber und generisch zu definieren. Außerdem sollten sowohl Anwender als auch Tester sehr früh in den Prozess eingebunden werden.  Auf Grund von Sicherheitsaspekten sollte darauf geachtet werden, dass auch in der DEV-Umgebung, bereits Sicherheitsstandards eingehalten werden. Dies gilt zum einen in der Softwareentwicklung, zum anderen aber auch bei den Systemen dort.  

Zwischenfazit  

In Teil 1 des dritten Schritts haben wir im vorherigen Artikel die wichtigsten Begriffe rund um die Themen Technologie und Logging betrachtet. In diesem Beitrag haben wir uns nun die Themen Sicherheit, sowie Struktur und Organisation der Daten genauer angeschaut.

Für einen besseren Überblick, hier noch einmal der Aufbau der Serie:

Ausblick

Im nächsten Artikel, dem 3. und letzten Teil des 3. Schrittes, werde ich auf die zu beachtenden Schnittstellen eingehen.

Mit chaotischen Grüßen, 
Christof Layher 
Der Chaos Experte

Dies könnte ihnen auch gefallen

Datenschutz
Ich, Christof Layher (Wohnort: Deutschland), verarbeite zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in meiner Datenschutzerklärung.
Datenschutz
Ich, Christof Layher (Wohnort: Deutschland), verarbeite zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in meiner Datenschutzerklärung.