Die Autorisierung unter die Lupe nehmen
Wie bringen wir Sicherheit und Privatsphäre in Einklang? Erfahren Sie mehr über die Autorisierung.
Eine Auseinandersetzung zwischen Apple und dem FBI über die Entsperrung eines Smartphones rückte ein Problem in das Bewusstsein der Normalbürger, mit dem sich die Sicherheitsbranche schon lange auseinandersetzt: die Balance zwischen Sicherheit und Privatsphäre.
Mit physischen Zutrittskontrollen, automatischer Nummernschilderkennung (Automatic License Plate Recognition, ALPR) und Videoüberwachungssystemen schützen wir unsere Gebäude, Vermögenswerte, Gemeinden und Menschen. Dies geschiet durch die Erfassung und Speicherung von Daten über die Identität von Nutzern, ihren Aufenthaltsort und ihre Aktivitäten.
Diese Daten sind von unschätzbarem Wert, wenn es darum geht, illegales oder bedrohliches Verhalten zu verhindern oder zu verfolgen. Aber was ist mit der Datenerfassung von Menschen, die ihr ganz normales Leben führen?
Datenerfassung, ohne die Privatsphäre zu verletzen
Privatsphäre ist wichtig. Schließlich wollen wir nicht, dass jemand Zugriff auf unsere Aktivitäten oder Informationen zu unserer Identität hat. Wir wollen darauf verlassen, dass die über uns gesammelten Daten sicher sind.
Da Kommunalbehörden, Unternehmen, Rechenzentren und stark regulierte Einrichtungen wie Krankenhäuser Video- und andere Daten an die Strafverfolgungsbehörden weitergeben, wächst die Sorge um die Sicherheit unserer Daten, insbesondere in Bezug auf den Datenschutz.
Und wenn es um den Schutz unserer Daten geht, können wir uns nicht nur auf Bedrohungen von außen konzentrieren. Durch die zunehmende Integration und Zusammenarbeit zwischen Systemen interagieren mehr Entitäten denn je mit unseren Sicherheitssystemen und greifen auf privilegierten Daten zu.
Neben dem Schutz des Zugriffs durch entsprechende Authentifizierungsmechanismen müssen wir sicherstellen, dass wir kontrollieren können, wer unsere Daten sieht und was damit geschieht.
Wir haben uns bereits damit befasst, inwieweit wir durch Verschlüsselung vermeiden können, dass Daten von nicht autorisierten Entitäten entschlüsselt werden und wie wir mit Authentifizierung die Identität aller zugreifenden Personen sicherstellen können.
Nun schauen wir uns an, wie die Autorisierung die Privatsphäre schützen kann, indem klar definiert wird, wie autorisierte Personen Zugriff auf bestimmte Daten erhalten und ob sie diese Daten oder das Systemverhalten ändern können.
Was ist Autorisierung?
Autorisierung ist die Funktion, mit der Administratoren von Sicherheitssystemen die Zugriffsrechte für Nutzer festlegen können. Administratoren schränken den Umfang von Aktivitäten folgendermaßen ein:
- Sie gewähren Gruppen oder Einzelpersonen Zugriff auf Ressourcen, Daten oder Anwendungen.
- Sie definieren, was Nutzer mit diesen Ressourcen tun können.
Es ist äußerst wichtig, dass sämtliche Aktivitäten und Zugriffsmöglichkeiten in Verbindung mit Videoaufnahmen eingeschränkt werden können. Der Zugang zu aufgezeichneten oder gestreamten Videos muss hochgradig gesichert und geschützt sein, damit die Privatsphäre gewährleistet ist.
Autorisierung in Sicherheitssystemen
Zum Schutz von Daten in einem Sicherheitssystem müssen Administratoren unter anderem in der Lage sein, detaillierte Zugriffsrechte für Nutzer festzulegen, die Informationen anzugeben, die intern an Partner und Behörden weitergegeben werden dürfen, und zu steuern, wie lange Daten aufbewahrt werden. Logische Partitionen und Privilegien sind hier nur zwei mögliche Szenarien zur Umsetzung.
Konfiguration logischer Partitionen
Mit der Konfiguration logischer Partitionen können Administratoren festlegen, ob ein oder mehrere Nutzer bestimmte Daten, wie zum Beispiel Videoaufzeichnungen, sehen können. Erhalten Nutzer keinen Zugriff auf eine Partition, können Sie keine archivierten Videos in dieser Partition einsehen.
Definition von Nutzerrechten
Im nächsten Schritt werden die Rechte der einzelnen Nutzer definiert. So können Nutzer zwar beispielsweise ein archiviertes Video anschauen. Mit den Rechten wird jedoch festgelegt, ob sie dieses Video auch exportieren, verändern oder löschen können. So können Aufzeichnungen nur von den an der Untersuchung beteiligten Personen verwaltet werden, die über die entsprechenden Rechte verfügen. Dadurch wird das Risiko verringert, dass Beweismittel an unbefugte Nutzer gesendet werden.
Um menschliche Fehler noch weiter auszuschließen, können Organisationen mit einem LDAP-Server, wie zum Beispiel Microsoft Active Directory arbeiten, um automatisch Sicherheitsnutzerkonten hinzuzufügen oder zu entfernen, Zugangsrechte zu gewähren oder Nutzer zu entfernen, wenn sie die Organisation verlassen haben.
Wenn Administratoren verwalten, was ihr Personal sehen und tun kann, gewährleisten sie die Sicherheit der Daten, die innerhalb ihres Sicherheitssystems übertragen und gespeichert werden. Damit erhöhen sie nicht nur die Sicherheit des Systems insgesamt, sondern auch die Sicherheit anderer damit verbundener Systeme.
Eine Zusammenfassung der Security-of-Secuity finden Sie in unserem letzten Beitrag unserer Blog-Reihe zu diesem Thema.