Zitat Zitat von BenderD
Hallo,

vielleicht noch ein paar Anmerkungen:

- Journalisierung aller Dateien sollte (bei dem EDV Budget einer Bank) kein Problem sein - rein technisch ist das keins.
Wir sind leider keine Bank sondern eine kleine Deutsche Zweigstelle eines internationalen Unternehmens das an der NYSE notiert ist.

Zitat Zitat von BenderD
- ein alternativer Ansatz kann noch 4 Augen Prinzip nach Art des Tresorraumes sein, für den man zwei Schlüssel braucht. Technisch geht das kurz skizziert wie folgt:
Auditing für QSECOFR einschalten, damit protokolliert wird, wenn der Mechanismus deaktiviert wird.
Alle nicht interaktiven Schnittstellen über Exit Schnittstellen für QSECOFR zunageln.
Für die interaktive Anmeldung ein Startprogramm festlegen, dass als erstes mit einem Kennwort eines Revisors freigeschltet werden muss (da gibt es APIs für), selbiger muss dann ein entsprechendes Aktivitätsprotokoll mit dem ausführenden gemeinsam abzeichnen.

Voraussetzung ist dann weiterhin, dass die Applikation entsprechende Protokollmechanismen etc. hat, alle Zugriffsschutz Mechanismen korrekt implemetiert sind (keineswegs trivial), die Maschine und das Netz entsprechend physikalisch sicher sind.
Das hört sich machbar aber zu aufwendig an, was genau das ist was ich suche. Vielen Dank.

Wir können hier nur mit Vorschlägen kommen wie das implementiert werden kann, dann aufzeigen was es kostet und warten was passiert.