Autorisierung und Revision von SSH-Verbindungen
Problemfall Compliance
Während SSH-2 bis heute als sicher gilt, stellt sich jedoch insbesondere dem Management börsennotierter Unternehmen seit der Zeit des Sarbanes-Oxley-Acts (SO) ein neues Problem: Denn die Verantwortlichen müssen entsprechend den Vorgaben von SO attestieren, dass alle Finanzdaten ihres Konzerns akkurat sind und nicht modifiziert wurden. Bisher gab man sich hier gerne damit zufrieden, dass die Finanzanwendung alle Änderungen und Vorgänge detailliert protokolliert und dadurch Manipulationen der Daten durch die Benutzer aufgedeckt würden. Das ist soweit auch richtig und wird auch weiterhin so gehandhabt. Doch wie sieht es mit denjenigen Benutzer aus, die mit allumfassenden Rechten ausgestattet auch an der Finanzanwendung vorbei Zugriff auf alle Systeme und deren Daten haben – und für ihren Job auch haben müssen? Denn die Administrator sind theoretisch in der Lage – und haben normalerweise auch das notwendige Wissen – direkt Daten zu modifizieren und sogar sämtliche Spuren diese Aktionen zu verwischen.
Natürlich ist es weder praktikabel noch hilfreich, gleich alle Systemadministrator unter Generalverdacht zu stellen. Dennoch schweben die Vorgaben von SO wie ein Damoklesschwert über den Köpfen der Vorstände börsennotierter Unternehmen. Daher stellt sich die Frage, wie die praktische Arbeit der Administrator mit dem berechtigten Bedürfnis des Managements nach Transparenz zu vereinbaren ist. Hier bietet sich – wie auch bei der Finanzanwendung selbst – die Protokoll aller Aktionen der Administrator an den sensiblen Systemen an. Doch während die Protokoll von unverschlüsselten Daten wie beispielsweise HTTP-Verkehr recht einfach zu bewerkstelligen ist, stellt die Kontrolle von per SSL oder SSH verschlüsselten Daten eine Herausforderung dar.
