In seinem Bericht Your Data Protection Strategy Will Fail Without Strong Identity Context* vom Juni 2011 bezeichnet Forrester Research die Mengen an Unternehmensdaten und deren Wachstumsraten als "gewaltig". Ein im Rahmen der Studie befragter internationaler Lebensmittelkonzern verfügte über 4,5 Terabytes an Daten in SharePoint - und diese Zahl stieg Woche für Woche um 2,5 Prozent. Dies entspricht einer jährlichen Wachstumsrate von 180 Prozent. Die Dateifreigaben umfassten 350 Terabytes, und bevor das Unternehmen hier einen Riegel vorschob, waren diese Daten wöchentlich um ein Prozent gewachsen - das sind 67 Prozent jährlich. Viele andere Unternehmen berichteten von Petabytes (1.024 TB) an Daten, deren Umfang ähnlich stark zunahm.*
Andras Cser, Principal Analyst bei Forrester Research, Inc., schreibt: "Damit eine DLP-Technologie den gewünschten Erfolg bringt, müssen Unternehmen zunächst eine Bestandsaufnahme aller sensiblen Daten durchführen, diese klassifizieren und den Informationsfluss innerhalb der Organisation nachvollziehen (also wie Nutzer Informationen erstellen und verarbeiten). Erst dann können sie die DLP-Lösung am richtigen Ort implementieren und entsprechende Richtlinien anwenden. Angesichts hunderter oder möglicherweise tausender Terabytes an unstrukturierten Daten gestaltet sich dies jedoch äußerst schwierig." (Your Data Protection Strategy Will Fail Without Strong Identity Context*, Forrester Research, Inc., 27. Juni 2011, von Andras Cser, für Sicherheits- und Risikoexperten)
Weiter ist in der Studie zu lesen: "Fast alle befragten Unternehmen bezeichneten die verstreute Data Ownership und die Informationssicherheit als die größten Hürden bei der Einführung von Datenschutzplänen sowie einheitlichen, zentralen DLP-Richtlinien. Für eine erfolgreiche DLP-Implementierung müssen Unternehmen eine zentrale Datenschutzabteilung gründen, die an den CISO berichtet und strategische Initiativen einführt, die Technologie zur Durchsetzung von Kontrollen wählt, Richtlinien festsetzt und die Implementierung über alle Geschäftsbereiche hinweg beaufsichtigt."
Die IT bemüht sich zweifellos, sicherzustellen, dass alle Daten korrekt verwaltet und geschützt werden. Doch angesichts der riesigen Mengen an unstrukturierten Daten in den meisten Unternehmen ist diese Aufgabe ohne moderne, automatisierte Prozesse nahezu unmöglich. Leider verfügen jedoch die wenigsten Unternehmen über eine entsprechende Automatisierung. Vertrauliche Informationen bereiten Unternehmen aufgrund des exponentiellen Datenwachstums zunehmend Kopfzerbrechen. Verschiedene IT- und Sicherheits-/Compliance-Gruppen stehen bald vor ähnlichen Problemen - nämlich wie sich Nutzer und Berechtigungen am besten verwalten, Zugriffsaktivtäten überwachen und sensible Inhalte identifizieren lassen. Zur umfassenden Verwaltung ihrer Daten müssen große Organisationen das Potenzial von Metadaten - also von Daten über ihre Daten - nutzen.
Ohne Automatisierung geht nichts mehr
Die automatisierte Erfassung, Speicherung, Analyse und Darstellung von Metadaten wird künftig eine absolute Notwendigkeit sein - denn laut Varonis bricht nun das "Metadaten-Zeitalter" an. Die IT-Abteilungen aller Organisationen arbeiten unermüdlich daran, ihre Daten so gut wie möglich mithilfe von manuellen Mechanismen zu verwalten und zu schützen. Dabei bearbeiten sie tagtäglich Autorisierungsanfragen, migrieren Daten zwischen Systemen und versuchen, zu großzügige Berechtigungen im Labyrinth der Unternehmensdaten zu bereinigen. Und trotzdem geraten sie immer mehr in den Rückstand, weil so viele neue Daten erstellt werden, dass deren Management und Schutz ohne den Einsatz von Metadaten und automatisierten Prozessen einfach nicht mehr möglich ist. Nur durch die Nutzung von Metadaten - also deren automatischer Erfassung, Analyse, Speicherung und Darstellung - sind Organisationen in der Lage, das volle Potenzial ihrer Daten auszuschöpfen und gleichzeitig die Risiken zu senken sowie die IT-Kosten einzuschränken.
Das Metadaten-Geheimnis
Für das Datenmanagement werden Metadaten benötigt, mit deren Hilfe sich beispielsweise bestimmen lässt, wem die jeweiligen Daten gehören, wer darauf zugreifen kann, wer sie verwendet und welche Art von Inhalten sie enthalten. Metadaten können sehr unterschiedlich sein: Dateien und Ordner haben Namen, Größen, Zugriffs-Zeitstempel und Berechtigungen. Viele Organisationen automatisieren die Inhaltsanalyse, um interessante Dateien zu finden, zum Beispiel Daten zu bestimmten Projekten oder regulierte Inhalte wie Kreditkartennummern oder andere personenbezogene Kundeninformationen.
Auch die Erstellung eines Audit-Trails ist äußerst wichtig. Bisher dokumentieren die wenigsten Organisationen die Nutzung ihrer Daten, weil die native Auditing-Funktion ihres Betriebssystems zu viel Speicherplatz und Rechenleistung beansprucht. Dies ist ungefähr so, wie wenn Sie Ihre Finanzen verwalten, ohne Ihre Ausgaben zu kennen.
Jeder Datei und jedem Ordner sind zu jedem Zeitpunkt unzählige Metadaten zugeordnet. Durch die ständigen Änderungen in Dateien und Ordnern werden riesige Mengen von Metadaten generiert. Um diese erfassen, analysieren, speichern und untersuchen zu können, bedarf es einer speziell für diesen Zweck entwickelten Technologie.
Damit Metadaten das Datenmanagement unterstützen können, müssen sie zunächst zusammengeführt und analysiert werden. Mithilfe der richtigen Technologie kann die IT herausfinden, auf welche sensiblen Daten zu viele Nutzer zugreifen können, wer die jeweiligen Data Owner sind und wer über nicht benötigte Berechtigungen verfügt. Ohne eine solche Technologie ist die komplexe Analyse der Flut von Daten, Metadatenelementen und funktionalen Beziehungen zwischen ihnen schlichtweg unmöglich.
Das Metadaten-Framework
Zur Bereitstellung des erforderlichen Kontexts müssen vier unterschiedliche Metadaten-Streams erfasst werden:
- Nutzer- und Gruppeninformationen - aus Active Directory, LDAP, NIS, SharePoint usw.
- Berechtigungsinformationen - Wer kann auf welche Daten in welchen Containern zugreifen?
- Zugriffsaktivitäten - Welche Nutzer greifen wann und wozu auf welche Daten zu?
- Indikatoren für sensible Inhalte - Welche Dateien sind sensibel oder besonders wichtig und wo befinden sie sich?
Durch die intelligente Erfassung, Zusammenführung, Verarbeitung und Darstellung dieser Metadaten-Streams sind Organisationen in der Lage, die zahlreichen drängenden Data-Governance-Fragen zu beantworten:
- Wer kann auf bestimmte Daten zugreifen?
- Wer sollte auf die Daten zugreifen können?
- Wer verwendet die Daten?
- Auf welche anderen Daten greifen diese Nutzer zu?
- Wer ist mit großer Wahrscheinlichkeit der Data Owner?
- Welche Daten sind sensibel?
- Auf welche sensiblen Daten können zu viele Nutzer zugreifen und wie lässt sich dieses Problem beheben, ohne die Produktivität zu beeinträchtigen?
- Welche Daten werden nicht verwendet?
Das Datenmanagement ohne den Einsatz automatisierter Prozesse ist etwa so ineffizient wie die Suche nach Informationen im Internet ohne eine Suchmaschine. Organisationen, die versuchen, ihre unstrukturierten Daten ohne Automatisierung zu verwalten und zu schützen, werden früher oder später scheitern. Unternehmen, die jedoch die Vorteile von Metadaten und automatisierten Prozessen für sich nutzen, sind ihren Mitbewerbern einen beträchtlichen Schritt voraus, weil sie die richtigen Informationen den richtigen Nutzern - und zwar nur den richtigen Nutzern - schneller zur Verfügung stellen. Diese zukunftsorientierten Organisationen sind in der Lage, Datenschutzverletzungen zu vermeiden, die immense Kosten verursachen und ganze Unternehmen in den Ruin stürzen können. Darüber hinaus können Unternehmen so ihr geistiges Eigentum schützen und sicherstellen, dass Geheimnisse geheim bleiben, während ihre Kunden und Partner sicher sein können, dass ausgetauschte Informationen angemessen geschützt werden.
Effizienter, sicherer, kosteneffektiver
Organisationen, die das Potenzial von Metadaten nutzen, arbeiten effizienter, sicherer und kosteneffektiver. Als Pioniere des Metadaten-Zeitalters übernehmen sie eine führende Rolle auf dem Markt. Und wenn die Informationsflut sich zu einem Tsunami ausweitet, gehen sie nicht unter, sondern surfen gelassen auf der Metadaten-Welle. (oe)
Der Autor Arne Jacobsen ist als Director D-A-CH bei Varonis Systems verantwortlich für die Entwicklung von Varonis in Deutschland, Österreich und der Schweiz.
www.varonis.de