Diese Initiative | 11 | (7+4) | 39 | (29+10) | IT Sicherheit durch dezentrale Administration und Trennung von Organ/Admin |
Die BGV möge beschließen, dass die Bundesgeschäftsführung und die Taskforce Technik dazu angehalten sind, Administratoren zu möglichst wenigen Systemen Zugriff zu geben. Insbesondere sollte kein Mitglied, auch nicht die Bundesgeschäftsführung oder der Bundesvorstand, administrativen Zugang zu mehr als 5 Systemen haben.
Die Bundesgeschäftsführung soll administrative Zugänge „abgeben“ bzw. das Passwort soll durch die Taskforce Technik geändert werden, sodass es der Bundesgeschäftsführung nicht mehr verfügbar ist, sofern der administrative Zugang der Bundesgeschäftsführung für den Betrieb des Service nicht essentiell, d.h. der reguläre Betrieb ohne administrativen Zugang der Bundesgeschäftsführungen nicht möglich ist.
Durch die völlig dezentrale Administration durch verschiedene Personen sinkt das Risiko eines größeren Ausfalls durch Sabotagen, beispielsweise nach einem Angriff auf die IT eines Administrators, durch vorsätzliche oder fahrlässige Passwortbekanntgabe gegenüber Dritten, durch vorsätzliche oder fahrlässige Beschädigung der Systeme.
Wir sollten aus der Vergangenheit lernen und deshalb dringend diese Empfehlung gegenüber Bundesgeschäftsführung und Taskforce Technik aussprechen.
Außerdem soll die Taskforce Technik und die Bundesgeschäftsführung öffentlich (beispielsweise im Wiki) dokumentieren, welche Personen bei den einzelnen Services administrativen Zugang haben.
Zur Anregung von Franz:
Ich hatte egtl. auch eher max. 3 administrative Zugänge pro Person angedacht. 5 ist schon sehr viel. Sobald wir die Resourcen haben sollten wir es weiter senken. Im Idealfall irgendwann mal auf 1.
Die TF Technik hat auf der anderen Seite schon festgelegt dass mindestens 3 Personen administrativen Zugang zu einem Service haben. D.h. wenn eine Person ausfällt ist das kein Problem. Dass 3 gleichzeitig ausfallen und das Passwort nicht mehr hergeben können oder wollen ist unwahrscheinlich.