Die Aufgabe des Managements ist es eigentlich, eine To-do-Liste zu erstellen, mit deren Hilfe die Verantwortlichen unstrukturierte Daten schützen, deren Verlust verhindern und so interne Risiken minimieren. David Gibson, Director des Technical Services bei Varonis Systems, nimmt Ihnen die Arbeit ab – und gibt viele Tipps bei der Umsetzung.
Von David Gibson, Varonis Systems
»Access Control«-Listen: viele Organisationen sind an ihre Grenzen gestoßen (Bild: Varonis)
Alle diejenigen, die täglich mit Daten und Dokumenten arbeiten, müssen in der Lage sein, auf die von ihnen benötigten Informationen zuzugreifen. In den vergangenen Jahren haben Unternehmen versucht mit »Directory«-Gruppen und »Access Control«-Listen die Zugriffsrechte der Mitarbeiter auf die Dokumente festzulegen. Doch hier sind viele Organisationen an ihre Grenzen gestoßen.
Warum? Denn sie können das von vielen favorisierte Modell der »minimal notwendigen Zugriffsberechtigungen« nicht erreichen. Einerseits, weil die Zahl der Daten viel zu schnell wächst, und sich andererseits Anzahl und Rollen der Mitarbeiter ständig ändern. Sogar IT-Abteilungen kleinerer Organisationen berichten, dass sie aufgrund von Datenwachstum und der Geschwindigkeit der organisatorischen Veränderungen nicht mehr Schritt halten können.
Welchen Wert hat eine Excel-Tabelle für das Unternehmen?
Diskutiert man mit ihnen insbesondere den Schutz der unstrukturierten Daten – Tabellen, Dokumente, Bilder und andere Daten auf File-Servern –, geben die meisten Verantwortlichen zu, dass ihre gegenwärtigen Prozesse und Risikoprofile alles andere als ideal sind. Ein Grund ist offensichtlich, dass häufig IT-Mitarbeiter über Berechtigungen, Nutzung, Zugriffsrechte und Zugriffmöglichkeiten auf die Datenspeicher und die einzelnen Dokumente entscheiden. Allerdings wissen sie nicht, welchen Inhalt ein Dokument hat oder welchen Wert eine Excel-Tabelle für das Unternehmen repräsentiert.
Natürlich sind die Mitarbeiter der IT-Abteilung nicht mit dem nötigen Hintergrundwissen aus den Fachabteilungen ausgestattet. Und genau deshalb können sie lediglich vermuten, wie ein bestimmtes Dokument – oder ein Dokumentenpool – am besten zu managen oder zu schützen ist.
Die »Data Owner« sollen die Verantwortung für den Schutz ihrer Daten haben!
Vor diesem Hintergrund ist es höchste Zeit, dass das Management umdenkt und »Data Ownern« die Verantwortung für den Schutz der Daten übergibt. Gemeinsam mit den Mitarbeitern der IT-Abteilung müssen sie Zugriffsregeln für gemeinsam genutzte Datensysteme festlegen und kontrollieren. Sie sollten die Strukturen aktuell halten – während die Daten immer schneller wachsen und sich gleichzeitig die Rollen der einzelnen Nutzer ändern.
Die IT-Verantwortlichen werden weiterhin die Verantwortung darüber haben, wer auf unstrukturierte Daten zugreifen kann, wie er darauf zugreift, wer darauf Zugriff haben sollte und welche Daten aller Wahrscheinlichkeit nach besonders schützenswert sind. Mithilfe einer Checkliste können sie gemeinsam mit dem Management Richtlinien ausarbeiten, mit denen sie die täglich anfallenden Daten-Management-Routinen deutlich verbessern. Und mit der sie somit den Schutz der unstrukturierten Dokumente maximieren.
Die 10-Punkte-To-do-Checkliste
1. Identifizieren Sie Datenbesitzer (Data Owner) und deren Daten!
Häufig gibt es keine eindeutigen Listen über die Zugriffsrechte und die zu archivierenden – unstrukturierten – Daten. Für die Sicherheit dieser Daten ist aber die eindeutige Verifizierung von Zugriffsrechten und ebenso die eindeutige Identifikation der zu archivierenden Daten entscheidend. Mit der ständigen Aktualisierung dieser Listen ist ein deutlicher Anstieg der Genauigkeit der Zugriffsberechtigungen möglich und der Schutz der damit verbunden Daten. Führen Sie eine ständig aktualisierte Liste der Daten- und Prozessverantwortlichen sowie aller Ordner und Microsoft-SharePoint-Sites, für die diese Mitarbeiter zuständig sind.
2. Entfernen Sie globale Freigaben wie »Everyone«!
Oft sind großzügige Zugriffsrechte für Ordner auf File-Shares üblich, die den Zugriff auf die hier enthaltenen Daten regeln. Die Zugriffsberechtigungen lauten »Jeder« oder »Domain User«. Damit laufen Sie in signifikante Sicherheitsprobleme. Denn alle Daten, die die Fachbereiche im Ordner abgelegen, übernehmen diese Berechtigungen. Die Fachbereiche sind sich aber möglicherweise überhaupt nicht über die Bedingungen für den Zugriff bewusst, wenn sie Daten in die Ordner einstellen. Entfernen Sie deshalb den globalen Zugriff auf diese Ordner und legen Sie Regeln fest, die nur denjenigen Zugriff einräumt, die den jeweiligen Ordner für die tägliche Arbeit benötigen.
3. Führen Sie regelmäßige Datenberechtigungsprüfungen / Data-Entitlement-Reviews durch!
Jede Datei und jedes Verzeichnis in einem Windows- oder Unix-File-System verfügt über zugewiesene Access-Kontrollen. Diese legen fest, welche Nutzer auf die Daten zugreifen können und wie: »Lesen«, »Schreiben«, »Ausführen«, »Auflisten«. Überprüfen Sie regelmäßig diese Access-Kontrollen und dokumentieren Sie die festgelegten Rahmenbedingungen. Lassen Sie sich diese Einstellungen von den Daten- und Prozessverantwortlichen sowie von Sicherheitsbeauftragten verifizieren und bestätigen.
4. Widerrufen Sie ungenutzte und unzulässige Rechte!
Alle Nutzer mit Zugriff auf Daten, die nicht zu ihren direkten Arbeitsbereich gehören, sind ein Sicherheitsrisiko für die Organisationen. Tatsächlich benötigen die meisten Kollegen nur zu einem Bruchteil der Daten Zugriff, die sie auf einem File-Server finden und lesen können. Überprüfen Sie diese Berechtigungen regelmäßig. Entfernen oder widerrufen Sie die Berechtigungen, die nicht genutzt werden.
5. Prüfen Sie Berechtigungsänderungen!
Access-Control-Listen sind der grundlegende präventive Kontrollmechanismus zum Schutz vor Verlust, Manipulation und unbeabsichtigter Veröffentlichung von Daten. Die IT-Abteilung muss die Fähigkeit haben, Änderungen der Zugriffskontrollen auf Daten zu erfassen und zu berichten – insbesondere für hoch vertrauliche Ordner. Häufig wird der Zugriff fälschlich oder irrtümlich zugewiesen oder unbeabsichtigt auf einen anderen Status geändert. Beobachten Sie überdies die Access-Control-Listen. Definieren Sie einen Prozess für den Fall, dass der Status geändert wird. Prüfen Sie, ob dies aus einem berechtigten Geschäftsinteresse heraus passiert, und alarmieren Sie die Datenverantwortlichen, um die Situation so schnell wie möglich zu korrigieren.
6. Prüfen und protokollieren Sie alle Änderungen in den Directory-Gruppen!
Directory-Gruppen sind die primären Einheiten auf den Access-Control-Listen (Active-Directory, LDAP, NIS, etc.). Hier gelistete Mitarbeiter erhalten den Zugriff auf unstrukturierte Daten wie auch auf viele Applikationen, VPN-Gateways etc. Tag für Tag werden Nutzer zu bereits vorhandenen und neu erstellten Gruppen hinzugefügt. Aber nur mit einem Protokoll darüber, wer zu den Gruppen hinzugefügt oder entfernt wird, ist es möglich Access-Control-Prozesse durchzusetzen. Sorgen Sie dafür, dass die jeweiligen Daten- und Prozessverantwortlichen die Veränderungen in der Directory-Gruppe und den damit verbundenen Zugriff auf Daten oder Quellen prüfen, genehmigen und protokollieren.
7. Prüfen Sie den Datenzugriffs!
Ein wirkungsvolles Management von Datensätzen ist ohne die Protokollierung der Zugriffe nicht möglich. Nur wenn alle Verantwortlichen den Gebrauch der Daten zuverlässig und automatisiert nachvollziehen, können sie auch ihre missbräuchliche Nutzung erkennen. Bedenken Sie, dass Mitarbeiter sich typischerweise nur an die wenigsten Dokumente erinnern, mit denen sie gearbeitet haben. Denn das Zugriffsverhalten liegt weit außerhalb dessen, woran sich ein Mensch erinnern kann. Protokollieren Sie welcher Mitarbeiter wann mit welchen Daten arbeitet. Sammeln Sie in den Protokollen Informationen, um fundierte Entscheidungen darüber zu treffen, wie und wann Sie Daten schützen, archivieren oder löschen.
8. Priorisieren Sie die Daten!
Natürlich sollten alle Daten sicher geschützt sein. Allerdings gibt es im Unternehmen vertrauliche, geheime, wertvolle oder aus anderen Gründen besonders zu schützende Dokumente oder Tabellen. Legen Sie gemeinsam mit den Data-Ownern die Zugriffsregeln und Richtlinien für die Klassifikation fest. Definieren Sie einen Prozess, wie interne, vertrauliche oder geheime Daten markiert, geschützt und regelmäßig geprüft werden.
9. Stimmen Sie Sicherheitsgruppen und Daten aufeinander ab!
Immer wenn ein Mitarbeiter in eine Directory-Gruppe eingestellt wird, erhält er den Zugang zu allen Ordnern, die die Gruppe in ihren Access-Control-Listen aufführt. Viele Organisationen haben den Überblick verloren, welche Dateiordner welches Active-Directory, LDAP, Sharepoint oder welche NIS-Gruppen enthalten. Aufgrund dieser Unsicherheit kann jedes Projekt zur Überprüfung der Zugriffskontrollen und jede rollenbasierte Access-Control-Initiative (RBAC) von vornherein zum Scheitern verurteilt sein. Denn es ist unmöglich die Rolle mit den entsprechenden Daten abzustimmen, wenn die Organisation nicht verifizieren kann, auf welche Daten eine Gruppe den Zugriff erlaubt. Überprüfen Sie deshalb alle rollenbasierten Access-Control-Methoden in ihrer Organisation und verifizieren Sie jede Rolle in den Directory-Gruppen, in die Nutzer eingetragen werden.
10. Sperren, löschen oder archivieren Sie ungültige und ungenutzte Daten!
Nicht alle freigegebenen Daten, die auf Dateiservern oder im Netzwerk-Storage liegen, befinden sich in aktivem Gebrauch. Viele verschwenden Ressourcen, die für die Arbeit gebraucht wird. Indem Sie nicht mehr genutzte Daten offline im Storage ablegen oder sie komplett löschen, sorgen Sie für ein leichteres und einfacheres Management der verbliebenen Daten. Gleichzeitig geben Sie wertvolle Ressourcen in den Systemen frei.
Fazit: Durch Automation und die regelmäßige Durchführung der oben beschriebenen zehn Managementaufgaben erzielen Organisationen ein hohes Maß an Sicherheit. Die Umsetzung und regelmäßige Kontrolle der zehn Punkte wird das Sicherheits-Auditing des Unternehmens unterstützen und verkürzen. Denn es ist festgelegt, wer auf unstrukturierte Daten zugreifen kann. Es wird geprüft und protokolliert, wer darauf zugreift und aufgelistet, wer tatsächlich Zugriff haben sollte.
Diese detailorientierte Realisierung der Datenzugriffskontrolle bringt den Organisationen immense Vorteile. Besonders signifikant sind die Vorteile bei der Sicherung der Daten, der Erfüllung der Compliance-Anforderungen und dem Freiwerden teurer Storage-Ressourcen und zeitaufwendiger Suchfunktionen.
Zum Autor und Unternehmen
David Gibson arbeitet seit mehr als fünfzehn Jahren in der IT-Industrie und verfügt über umfassende Erfahrung in den Bereichen Data-Governance, Netzwerkmanagement, Netzwerksecurity, Systemadministration und Netzwerkdesign. Heute ist er Director of Technical Services bei
Varonis Systems, er verantwortet Produkt-Marketing und -Positionierung. Als ehemaliger technischer Berater hat Gibson viele Unternehmen dabei unterstützt, Enterprise-Network-Architectures, VPN-Lösungen, Enterprise-Security-Solutions und Enterprise-Management-Systeme zu planen und zu realisieren.
Varonis ist Spezialist für Data-Governance-Lösungen für unstrukturierte und semi-strukturierte Daten, für Dateisysteme, NAS-Geräte, Sharepoint- und Exchange-Servern. Von Gartner mit der Auszeichnung "Cool Vendor" im Bereich Risk Management und Compliance ausgezeichnet und zu einem der "Fast 50 Reader Favoriten" auf FastCompany.com ernannt, hat Varonis mehr als 4000 Installationen weltweit.
.