Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Vom Chaos zur Ordnung – oder was Kinderzimmer aufräumen mit Berechtigungsmanagement zu tun hat

Von David Lin, Enterprise Sales Manager bei Varonis Systems „Sperrgebiet für Eltern“,„Zutritt verboten“ – vertraute Sprüche an Kinderzimmertüren. Und wer kennt ihn nicht, den Satz „Jetzt räum’ doch endlich mal...
Michael Buckbee
4 minute gelesen
Letzte aktualisierung 1. November 2021

Inhalt

    Von David Lin, Enterprise Sales Manager bei Varonis Systems

    „Sperrgebiet für Eltern“,„Zutritt verboten“ – vertraute Sprüche an Kinderzimmertüren. Und wer kennt ihn nicht, den Satz „Jetzt räum’ doch endlich mal auf“ – entweder weil man ihn selbst gehört oder als seufzende Kapitulationserklärung gegenüber den eigenen Kindern abgegeben hat.

    In aller Regel, vermutlich ebenfalls vertraut, ein ziemlich wirkungsloser Satz. Das geliebte (beziehungsweise ungeliebte) Chaos bleibt.

    Unstrukturierte Daten, Kundendaten, Prozessdaten, nutzergenerierte Daten „aufzuräumen“ ist in den meisten Unternehmen genauso beliebt wie im obigen Beispiel den täglichen Wahnsinn im Kinderzimmer zu beseitigen.

    Daran, dass die meisten Unternehmen es als lästige und vor allem zeitraubende Pflicht ansehen das Datenchaos in eine geordnete Filestruktur zu überführen, vor allem wenn diese Pflicht verhältnismäßig stumpf und/oder aufwendig manuell abgearbeitet werden muss, hat sich in den letzten Jahren erschreckend wenig geändert. Inwieweit man derart tatsächlich noch einen Überblick über seine Daten bekommt, sie tatsächlich kontrolliert und welche Fehlerquoten man dabei möglicherweise produziert, habe ich hier noch gar nicht berücksichtigt.

    Wo finde ich was in diesem Chaos…?

    Wie viele Informationen lagern tatsächlich in Ihrem Unternehmen? Wie sind sie zu finden und wem gehören sie?

    Wie eine Bilanz der digitalen Flut unstrukturierter Daten aussieht? Auf jeden Fall beeindruckend. „Für einen (einzelnen!, Anm. d. Verfassers) idealtypischen Bewohner dieser Erde sollten bei der Bestandsaufnahme 44 Gigabyte pro Person herauskommen. „Beim durchschnittlichen Deutschen dürften es weit mehr sein: (…)“, hat die Süddeutsche Zeitung schon 2011 konstatiert (http://www.sueddeutsche.de/digital/datenwachstum-der-digitalisierten-welt-explosion-des-cyberspace-1.1058394), und bezieht sich dabei auf eine Studie von Martin Hilbert und Priscila López, die 2011 erstmals die weltweite Menge an Informationen bilanziert, den Fluss der Informationen und die weitere Verarbeitung der Daten untersucht haben. Bei den Analysen der beiden ging es vor allem um den puren Informationsgehalt, der in den Daten verborgen liegt.

    Eine ganze Reihe von Beratungsunternehmen, darunter auch IDC, haben seitdem Prognosen abgegeben wie rasant die Datenflut aktuell anwächst und in den kommenden Jahren weiter stetig steigen soll (hier dargelegt in einem Beitrag auf silicon.de vom Oktober letzten Jahres http://www.silicon.de/41590848/siegeszug-festplatte-idc-sagt-riesen-datenwachstum-voraus/ )

    Was das „Aufräumen“ von Berechtigungen im Active Directory und auf den unternehmenseigenen Fileservern anbelangt drängen sich einige Parallelen zur geschilderten Situation auf.

    Parallele 1: Es ist wie mit dem Kinderzimmer aufräumen…

    jeder sieht auf den ersten Blick, dass es nötig ist, aber keiner hat Lust dazu.

    Alle sind sich der täglich in Windows Filesystemen, SharePoint und Exchange anfallenden Unmengen an unstrukturierten Daten bewusst. Zunehmend chaotisch anmutende Datenumgebungen mit Terrabytes an Informationen bereiten Probleme. Besonders kritisch ist es um die Zugriffberechtigungen und Verantwortlichkeiten für den nutzergenerierten Datenwust bestellt.

    Hier gilt es beherzt aufzuräumen. Herzstück, damit die Aufräumaktion gelingt: Dateneigentümer identifizieren, Daten eindeutig zuweisen und die Verantwortlichkeiten weg von der zentralen IT hin zu den eigentlichen Data Ownern verlegen.

    Parallele 2: Man muss sich schon ein bisschen überwinden, aber es lohnt sich.

    Das Ziel ist es die Zugriffberechtigungen so zu verteilen (Stichwort immer noch: „Aufräumen“), dass nur diejenigen auf Daten und Dateien zugreifen, die sie tatsächlich benötigen. Das ist derzeit eher selten der Fall. Die über Active Directory gesetzten Zugriffsberechtigungen sind in vielen Unternehmen deutlich zu weit gefasst. Nicht selten haben langjährige Mitarbeiter noch Zugriff auf Projekt- oder Abteilungsdaten, mit denen sie längst nicht mehr befasst sind.

    Um an der richtigen Stelle aufzuräumen, muss man wissen, wo die sensiblen Daten liegen und wer zugreift. Beim Nachvollziehen hilft der Audit-Trail, der die tatsächlichen File-Zugriffe dokumentiert. Wo aber besteht akuter Handlungsbedarf?

    Bei einem Ordner, der beispielsweise 40 Kreditkartennummern enthält, auf den 20 Personen zugreifen dürfen, aber kaum Transaktionen stattfinden? Oder doch eher bei einem Ordner mit 300 Kreditkartennummern und einer „Everyone“-Zugriffsberechtigung, die ständig von autorisierten Usern benutzt wird? Ein vergleichsweise lockeres Berechtigungskonzept und ein hoher Aktivitätslevel erhöhen das Risiko, dass Daten gelöscht, gestohlen oder anderweitig korrumpiert werden.

    Es geht aber nicht „nur“ darum sensible Daten zu orten, sondern vor allem die Berechtigungskonzepte generell auf den aktuellen Stand zu bringen. Dazu prüft man, ob Gruppen wie zum Beispiel „jeder“ oder “authenticated User“ für den Zugriff auf Daten genutzt werden. Sollte eine derartige Gruppe irrtümlich auf einem Verzeichnis mit sensiblen Inhalten liegen, wirkt sich das unter Umständen drastisch aus. Es ist daher sinnvoll den Zugriff für solche globalen Gruppen zu begrenzen und auf normale Security-Gruppen zurückzuführen.

    Parallele 3: Der Weg ist das Ziel – aber welcher Schritt ist der erste?

    Um DataOwner für jeden Ordner zu setzen hat es sich bewährt im ersten Schritt die Ordner bestimmen, die einen Data Owner benötigen, und im zweiten Schritt diesem Ordner einen eindeutigen Eigentümer zuweisen:

    • Identifizieren der Ordner mit individuellen Zugriffsrechten. Also der Ordner, die sich von anderen dadurch unterscheiden, dass nur ein bestimmter Nutzerkreis zugreifen soll. Diese Ordner werden als „Base-Folder“ bezeichnet. Ordner, die unterhalb dieser Base-Folder liegen, führen in der Regel dieselben Berechtigungen. Dies lässt sich am besten in einer Baumstruktur abbilden.

    • Für jeden Base-Folder gilt es den aktivsten Benutzer zu ermitteln, mithin die Person, die in diesem Ordner am intensivsten mit den Daten arbeitet.

    • Anschließend werden diese Daten mit weiteren Metadaten korreliert; das können Informationen zur Abteilung sein oder Informationen wie Gehaltsnummern und zu den jeweiligen Vorgesetzten.

    Schlussendlich hat dann jeder der als Base-Folder identifizierten Ordner einen potentiellen Eigentümer.

    Parallele 4: Geschafft oder: Aufräumen macht glücklich.

    Den Wildwuchs von Daten in eine geordnete Struktur zu überführen ist ein durchaus aufwendiger Prozess (wie ja auch das Aufräumen des Kinderzimmer-Wahnsinns nicht innerhalb von ein paar Minuten erledigt ist).

    Aber: Nutzergenerierte Daten sicher zu verwalten ist kein unlösbares Problem. Daten und Dateien lassen sich durchaus in eine geordnete Struktur überführen. Sind kritische und sensible Daten ein Mal identifiziert und zugewiesen, sind zukünftig Dateneigentümer in den entsprechenden Abteilungen zuständig für die Zugangsberechtigungen. Ein Konzept, das methodisch nachvollziehbar ist und auf den Workflow genau dieses Unternehmens abgestimmt ist.

    Die Realität in deutschen Unternehmen

    Die Realität in deutschen Unternehmen sieht in punkto Berechtigungs- und Zugriffsrechte in Filesystemen noch vielfach so aus wie das eingangs zitierte Chaos in einem durchschnittlichen Kinderzimmer.

    Vielfach allerdings, nicht zuletzt befeuert durch die Datenschutzskandale des letzten Jahres, denken Unternehmen um.

    Dass sich in den nutzergenerierten Daten in Worddokumenten, Excel-Sheets, Listen und Bilddateien bares Geld verbirgt, verbindet sich mit dem Wissen darum, dass es sich um besonders schützenswerte, sensible Daten handelt.

    Unternehmen machen sich verstärkt Gedanken darum, welche Konsequenzen sie jetzt ziehen müssen und wie das mit den Mitteln der IT-Abteilungen gelingen kann.

    Um diese Balance technisch und volkswirtschaftlich optimal zu gestalten ist Luft nach oben. Das ist mehr als eine reine IT-Aufgabe und die dabei eingesetzten Tools und Lösungen sollten so gut sein, dass sie sich auf die individuellen Bedürfnisse jedes einzelnen Unternehmens einstellen können.

    Dann ist es realistisch einen existierenden Datendschungel zuverlässig in eine geordnete Filestruktur zu überführen.

    The post Vom Chaos zur Ordnung – oder was Kinderzimmer aufräumen mit Berechtigungsmanagement zu tun hat appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?