Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SOx-Prüfer bemängelt weitreichende Admin-Rechte der IT-Service Mitarbeiter!

Mitglied: lupatz

lupatz (Level 1) - Jetzt verbinden

16.11.2006, aktualisiert 07.01.2009, 9217 Aufrufe, 1 Kommentar

STICHWORT: Missbrauch von Administratorrechten

Nach dem Audit des SOx-Prüfers müssen wir unser Berechtigungskonzept ändern/überdenken, da unsere IT-Service Mitarbeiter (Helpdesk & Operating) über Domänen-Admin Rechte verfügen.

Moin!

Wie realisieren das andere Firmen, die das gleiche Problem haben?

Ohne Admin-Rechte wäre das Arbeiten im IT-Service laut Aussage des Abteilungsleiters, sehr viel komplizierter. Klar, dass er das sagt, denn im normalen Benutzerkontext zu arbeiten und sich bei Bedarf immer umzumelden ist ja auch zugegeben unbequem und frisst unnötig Zeit.
Der Standard, nach dem wir uns zertifizieren lassen MÜSSEN (SOx-COBIT und später auch noch ISMS) sagt aber, dass das so nicht die Regel sein soll. Auch die IT-Mitarbeiter sollen nicht domänenweit mit vollen Rechten arbeiten, da ja versehentlich auch Schaden angerichtet werden kann. (Das ist jetzt eine vereinfachte Version)
Wie kann ich das unkompliziert umsetzen (lassen), ohne den IT-Service Bereich zu stark zu beschneiden. Wir wollen ja alle schließlich noch arbeiten können.

Wir fahren eine Windows 2000 Domäne mit ca. 400 Usern in der Hauptverwaltung und weiteren 800, die in mehreren Niederlassungen über Deutschland verteilt sitzen.

Wichtig ist, dass wir steuern können, dass der "normale" IT-Service Mitarbeiter nicht auf ALLE Server zugreifen kann.
Aus SOx-Sicht ist alles besonders schützenswert, was finanzgelagert ist, wie z.B. unser SQL-Cluster, auf dem einige DBs liegen, die jahresabschlussrelevant sind.
In der Praxis sieht es bei uns auch meistens so aus, dass gewisse Mitarbeiter auch nur gewisse Anwendungen/Dienste/Server betreuen, und nicht auf die ganze Welt zugreifen müssen. Aber andererseits ist es so, dass im Krankheitsfalle, in der Urlaubszeit oder wenn Kollegen in einer Schulung oder Besprechung sitzen schnelle Hilfe der verbleibenden Personen gefordert wird.

Gibt es da best practices oder irgendwelche Beispiele, wie man ein klassisches Berechtigungskonzept anpassen kann?
Wie schafft man den Spagat zwischen sinnvollen Sicherheitsmechanismen im Rahmen der compliance (speziell im Bereich der Admins) und übertriebenem Bürokratismus?

Gruß
Stefan
Mitglied: saerdna
16.11.2006 um 14:31 Uhr
Hallo, unser Ansatz ist das die zugriffe auf die "Finanzrelevanten" systeme stark eingeschränkt wurden und zwar nur die (da bleibt dann nur SAP bei uns als Finance system) Alles andere kann bleiben wie es ist da es nicht SOX relevant ist.
Im Finance system immer alles im 4 Augen prinzip machen mit Log und so.......
In SAP selbst für alle user die GWR´s unter die Lupe nehmen.
Und die Rechte sollte sich natürlich kein Admin selbst geben können um auf die Finance sys zuzugreifen. Komplett eigene Administration ist hier angesagt (ist aber meistens UNIX gruppe und damit eh nicht das selbe wie die NT Admins.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Rechte neuer IT-Mitarbeiter
Frage von edriverWindows Userverwaltung17 Kommentare

Moin Zusammen! Nachdem wir in der IT-Abteilung jahrelang als One-Man-Show und dann als Zweier-Team gut funktioniert haben wachsen wir ...

Datenschutz

Umgang mit IT unfähigen Mitarbeitern

gelöst Frage von Ex0r2k16Datenschutz15 Kommentare

Hallo zusammen, ich möchte mal kurz fragen wie bei euch mit Kollegen verfahren wird, die im Jahre 2018 nicht ...

Server-Hardware

Wieviele IT-Mitarbeiter sind notwendig?

Frage von leachim22Server-Hardware23 Kommentare

Guten Tag, wir sind in unserer IT-Abteilung 2 Mitarbeiter. Aufgrund der Tatsache, dass wir sehr oft nur reagieren statt ...

Datenschutz

Mitarbeiter der IT als interner Datenschutzbeauftragter?

Frage von 20152015Datenschutz18 Kommentare

Hallo, nun ist es soweit. Meine Firma muss den Datenschutzbeauftragten nennen. Ich würde mich hier gerne engagieren und hab ...

Neue Wissensbeiträge
Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 2 StundenWindows 10

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 1 TagE-Mail14 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Viren und Trojaner
Neues ct-desinfect 2018 erschienen
Information von Lochkartenstanzer vor 1 TagViren und Trojaner

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Sicherheit

Ransomware legt Fluginformationssystem des Airport Bristol lahm

Information von kgborn vor 1 TagSicherheit

Da war wohl eine Wochenend-Schicht für die Flughafen IT angesagt. Ein Ransomware-Befall bzw. ein Hackerangriff sorgte dafür, dass drei ...

Heiß diskutierte Inhalte
Firewall
Blocken illegaler Film-Streams
gelöst Frage von CoreknabeFirewall19 Kommentare

Moin Wissende, unsere kleine Hochschule möchte gern das illegale Streaming von Kinofilmen und Serien unterbinden. Wir sperren bisher alle ...

LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless18 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
2012 R2 Server Keine Anmeldung möglich Meldung: Laut den Sicherheitsrichtlinien auf diesem PC sollen informationen zur letzten interaktiven Anmeldung angezeigt werden
Frage von Speedy18A4Windows Server17 Kommentare

Hallo, ich habe vor einigen Wochen einen zweiten Domain Controller zu meiner Domain hinzugefügt. Funktionierte alles wunderbar. Auch die ...

iOS
Virus auf iphone
Frage von jensgebkeniOS16 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...