Als Reseller sollten Sie Ihre Kunden vor vermeidbarem Datenmissbrauch schützen. Es genügen bereits ein paar wenige Maßnahmen, damit die unstrukturierten Daten ihres Kunden sicher verwaltet werden können. Es sind genau 10 Schritte, die sie dabei befolgen sollten, meint David Gibson, Director Technical Services bei Varonis Systems.

Ihre Aufgabe des Managements ist es, eine To-do-Liste zu erstellen,mit deren Hilfe die Verantwortlichen unstrukturierte Daten schützen, deren Verlust verhindern und so interne Risiken minimieren.

Alle diejenigen, die täglich mit Daten und Dokumenten arbeiten, müssen in der Lage sein, auf die von ihnen benötigten Informationen zuzugreifen. In den vergangenen Jahren haben Unternehmen versucht mit "Directory"-Gruppen und "Access Control"-Listen die Zugriffsrechte der Mitarbeiter auf die Dokumente festzulegen. Doch hier sind viele Organisationen an ihre Grenzen gestoßen.

Sie können das von vielen favorisierte Modell der "minimal notwendigen Zugriffsberechtigungen" nicht erreichen. Einerseits weil die Zahl der Daten viel zu schnell wächst und sich andererseits Anzahl und Rollen der Mitarbeiter ständig ändern. Sogar IT-Abteilungen kleinerer Organisationen berichten, dass sie aufgrund von Datenwachstum und der Geschwindigkeit der organisatorischen Veränderungen nicht mehr Schritt halten können.

Diskutiert man mit ihnen insbesondere den Schutz der unstrukturierten Daten - Tabellen, Dokumente, Bilder und andere Daten auf File Servern - geben die meisten Verantwortlichen zu, dass ihre gegenwärtigen Prozesse und Risikoprofile alles andere als ideal sind.

Ein Grund ist offensichtlich, dass häufig IT-Mitarbeiter über Berechtigungen, Nutzung, Zugriffsrechte und Zugriffmöglichkeiten auf die Datenspeicher und die einzelnen Dokumente entscheiden. Allerdings wissen sie nicht, welchen Inhalt ein Dokument hat oder welchen Wert eine Excel-Tabelle für das Unternehmen repräsentiert.

Natürlich sind die Mitarbeiter der IT-Abteilung nicht mit dem nötigen Hintergrundwissen aus den Fachabteilungen ausgestattet. Und genau deshalb können sie lediglich vermuten, wie ein bestimmtes Dokument - oder ein Dokumentenpool - am besten zu managen oder zu schützen ist.

Vor diesem Hintergrund ist es höchste Zeit, dass das Management umdenkt und "Data Ownern" die Verantwortung für den Schutz der Daten übergibt. Gemeinsam mit den Mitarbeitern der IT-Abteilung müssen sie Zugriffsregeln für gemeinsam genutzte Datensysteme festlegen und kontrollieren. Sie sollten die Strukturen aktuell halten - während die Daten immer schneller wachsen und sich gleichzeitig die Rollen der einzelnen Nutzer ändern.

Die IT-Verantwortlichen werden weiterhin die Verantwortung darüber haben, wer auf unstrukturierte Daten zugreifen kann, wie er darauf zugreift, wer darauf Zugriff haben sollte und welche Daten aller Wahrscheinlichkeit nach besonders schützenswert sind.

Mithilfe einer Checkliste können sie gemeinsam mit dem Management Richtlinien ausarbeiten, mit denen sie die täglich anfallenden Daten-Management-Routinen deutlich verbessern. Und mit der sie somit den Schutz der unstrukturierten Dokumente maximieren.

1. Identifizieren Sie Datenbesitzer (Data Owner) und deren Daten

Häufig gibt es keine eindeutigen Listen über die Zugriffsrechte und die zu archivierenden - unstrukturierten - Daten. Für die Sicherheit dieser Daten ist aber die eindeutige Verifizierung von Zugriffsrechten und ebenso die eindeutige Identifikation der zu archivierenden Daten entscheidend. Mit der ständigen Aktualisierung dieser Listen ist ein deutlicher Anstieg der Genauigkeit der Zugriffsberechtigungen möglich und der Schutz der damit verbunden Daten.

Führen Sie eine ständig aktualisierte Liste der Daten- und Prozessverantwortlichen sowie aller Ordner und SharePoint Sites für die diese Mitarbeiter zuständig sind.

2. Entfernen Sie globale Freigaben wie "Everyone"

Oft sind großzügige Zugriffsrechte für Ordner auf File Shares üblich, die den Zugriff auf die hier enthaltenen Daten regeln. Die Zugriffsberechtigungen lauten "Jeder" oder "Domain User". Damit laufen Sie in signifikante Sicherheitsprobleme. Denn alle Daten, die die Fachbereiche im Ordner abgelegen, übernehmen diese Berechtigungen. Die Fachbereiche sind sich aber möglicherweise überhaupt nicht über die Bedingungen für den Access bewusst, wenn sie Daten in die Ordner einstellen.

Entfernen Sie deshalb den globalen Zugriff auf diese Ordner und legen Sie Regeln fest, die nur denjenigen Zugriff einräumt, die den jeweiligen Ordner für die tägliche Arbeit benötigen.

3. Führen Sie regelmäßige Datenberechtigungsprüfungen / Data Entitlement Reviews durch

Jede Datei und jedes Verzeichnis in einem Windows oder Unix File System verfügt über zugewiesene Access Kontrollen. Diese legen fest, welche Nutzer auf die Daten zugreifen können und wie: "Lesen", "Schreiben", "Ausführen", "Auflisten".

Überprüfen Sie regelmäßig diese Access Kontrollen und dokumentieren Sie die festgelegten Rahmenbedingungen. Lassen Sie sich diese Einstellungen von den Daten- und Prozessverantwortlichen sowie von Sicherheitsbeauftragten verifizieren und bestätigen.

4. Widerrufen Sie ungenutzte und unzulässige Rechte

Alle Nutzer mit Zugriff auf Daten, die nicht in zu ihren direkten Arbeitsbereich gehören, sind ein Sicherheitsrisiko für die Organisationen. Tatsächlich benötigen die meisten Kollegen nur zu einem Bruchteil der Daten Zugriff, die sie auf einem File Server finden und lesen können.

Überprüfen Sie diese Berechtigungen regelmäßig. Entfernen oder widerrufen Sie die Berechtigungen, die nicht genutzt werden.

5. Prüfen Sie Berechtigungsänderungen

Access Control-Listen sind der grundlegende präventive Kontrollmechanismus zum Schutz vor Verlust, Manipulation und unbeabsichtigter Veröffentlichung von Daten. Die IT-Abteilung muss die Fähigkeit haben, Änderungen der Zugriffskontrollen auf Daten zu erfassen und zu berichten - insbesondere für hoch vertrauliche Ordner. Häufig wird der Zugriff fälschlich oder irrtümlich zugewiesen oder unbeabsichtigt auf einen anderen Status geändert.

Beobachten Sie die Access Control-Listen. Definieren Sie einen Prozess für den Fall, dass der Status geändert wird. Prüfen Sie, ob dies aus einem berechtigten Geschäftsinteresse heraus passiert und alarmieren Sie die Datenverantwortlichen, um die Situation so schnell wie möglich zu korrigieren.

6. Prüfen und protokollieren Sie alle Änderungen in den Directory-Gruppen

Directory-Gruppen sind die primären Einheiten auf den Access Control-Listen (Active Directory, LDAP, NIS, etc.). Hier gelistete Mitarbeiter erhalten den Zugriff auf unstrukturierte Daten wie auch auf viele Applikationen, VPN Gateways, etc. Tag für Tag werden Nutzer zu bereits vorhandenen und neu erstellten Gruppen hinzugefügt. Aber nur mit einem Protokoll darüber, wer zu den Gruppen hinzugefügt oder entfernt wird, ist es möglich Access Control-Prozesse durchzusetzen.

Sorgen Sie dafür, dass die jeweiligen Daten- und Prozessverantwortlichen die Veränderungen in der Directory-Gruppe und den damit verbundenen Zugriff auf Daten oder Quellen prüfen, genehmigen und protokollieren.

7. Prüfen Sie die Datenzugriffe

Ein wirkungsvolles Management von Datensätzen ist ohne die Protokollierung der Zugriffe nicht möglich. Nur wenn alle Verantwortlichen den Gebrauch der Daten zuverlässig und automatisiert nachvollziehen, können sie auch ihre missbräuchliche Nutzung erkennen. Bedenken Sie, dass Mitarbeiter sich typischerweise nur an die wenigsten Dokumente erinnern, mit denen sie gearbeitet haben. Denn das Zugriffsverhalten liegt weit außerhalb dessen, woran sich ein Mensch erinnern kann.

Protokollieren Sie welcher Mitarbeiter wann mit welchen Daten arbeitet. Sammeln Sie in den Protokollen Informationen, um fundierte Entscheidungen darüber zu treffen, wie und wann Sie Daten schützen, archivieren oder löschen.

8. Priorisieren Sie die Daten

Natürlich sollten alle Daten sicher geschützt sein. Allerdings gibt es im Unternehmen vertrauliche, geheime, wertvolle oder aus anderen Gründen besonders zu schützende Dokumente oder Tabellen.

Legen Sie gemeinsam mit den Data Ownern die Zugriffsregeln und Richtlinien für die Klassifikation fest. Definieren Sie einen Prozess, wie interne, vertrauliche oder geheime Daten markiert, geschützt und regelmäßig geprüft werden.

9. Stimmen Sie Sicherheitsgruppen und Daten aufeinander ab

Immer wenn ein Mitarbeiter in eine Directory-Gruppe eingestellt wird, erhält er den Zugang zu allen Ordnern, die die Gruppe in ihren Access Control-Listen aufführt. Viele Organisationen haben den Überblick verloren, welche Dateiordner welches Active Directory, LDAP, SharePoint oder welche NIS Gruppen enthalten. Aufgrund dieser Unsicherheit kann jedes Projekt zur Überprüfung der Zugriffskontrollen und jede rollenbasierte Access Control (RBAC) Initiative von vornherein zum Scheitern verurteilt sein. Denn es ist unmöglich die Rolle mit den entsprechenden Daten abzustimmen, wenn die Organisation nicht verifizieren kann, auf welche Daten eine Gruppe den Zugriff erlaubt.

Überprüfen Sie alle rollenbasierten Access Control-Methoden in ihrer Organisation und verifizieren Sie jede Rolle in den Directory-Gruppen, in die Nutzer eingetragen werden.

10. Sperren, löschen oder archivieren Sie ungültige und ungenutzte Daten

Nicht alle freigegebenen Daten, die auf Dateiservern oder im Netzwerkstorage liegen, befinden sich in aktivem Gebrauch. Viele verschwenden Ressourcen, die für die Arbeit gebraucht wird.

Indem Sie nicht mehr genutzte Daten offline im Storage ablegen oder sie komplett löschen, sorgen Sie für ein leichteres und einfacheres Management der verbliebenen Daten. Gleichzeitig geben Sie wertvolle Ressourcen in den Systemen frei.

Benefits für Ihre Kunden

Durch Automation und die regelmäßige Durchführung der vorher beschriebenen 10 Managementaufgaben werden Ihre Kunden ein hohes Maß an Sicherheit erzielen. Die Umsetzung und regelmäßige Kontrolle der zehn Punkte wird das Sicherheits-Auditing des Unternehmens unterstützen und verkürzen. Denn es ist festgelegt, wer auf unstrukturierte Daten zugreifen kann. Es wird geprüft und protokolliert, wer darauf zugreift und aufgelistet, wer tatsächlich Zugriff haben sollte.

Diese detailorientierte Realisierung der Datenzugriffskontrolle bringt den Organisationen immense Vorteile. Besonders signifikant sind die Vorteile bei der Sicherung der Daten, der Erfüllung der Complianceanforderungen und dem Freiwerden teurer Storageressoursen und zeitaufwendiger Suchfunktionen. (rw)