Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Vom Chaos zur Ordnung – oder was Kinderzimmer aufräumen mit Berechtigungsmanagement zu tun hat

Geschrieben von Michael Buckbee | Jan 17, 2014 4:41:00 AM

Von David Lin, Enterprise Sales Manager bei Varonis Systems

„Sperrgebiet für Eltern“,„Zutritt verboten“ – vertraute Sprüche an Kinderzimmertüren. Und wer kennt ihn nicht, den Satz „Jetzt räum’ doch endlich mal auf“ – entweder weil man ihn selbst gehört oder als seufzende Kapitulationserklärung gegenüber den eigenen Kindern abgegeben hat.

In aller Regel, vermutlich ebenfalls vertraut, ein ziemlich wirkungsloser Satz. Das geliebte (beziehungsweise ungeliebte) Chaos bleibt.

Unstrukturierte Daten, Kundendaten, Prozessdaten, nutzergenerierte Daten „aufzuräumen“ ist in den meisten Unternehmen genauso beliebt wie im obigen Beispiel den täglichen Wahnsinn im Kinderzimmer zu beseitigen.

Daran, dass die meisten Unternehmen es als lästige und vor allem zeitraubende Pflicht ansehen das Datenchaos in eine geordnete Filestruktur zu überführen, vor allem wenn diese Pflicht verhältnismäßig stumpf und/oder aufwendig manuell abgearbeitet werden muss, hat sich in den letzten Jahren erschreckend wenig geändert. Inwieweit man derart tatsächlich noch einen Überblick über seine Daten bekommt, sie tatsächlich kontrolliert und welche Fehlerquoten man dabei möglicherweise produziert, habe ich hier noch gar nicht berücksichtigt.

Wo finde ich was in diesem Chaos…?

Wie viele Informationen lagern tatsächlich in Ihrem Unternehmen? Wie sind sie zu finden und wem gehören sie?

Wie eine Bilanz der digitalen Flut unstrukturierter Daten aussieht? Auf jeden Fall beeindruckend. „Für einen (einzelnen!, Anm. d. Verfassers) idealtypischen Bewohner dieser Erde sollten bei der Bestandsaufnahme 44 Gigabyte pro Person herauskommen. „Beim durchschnittlichen Deutschen dürften es weit mehr sein: (…)“, hat die Süddeutsche Zeitung schon 2011 konstatiert (http://www.sueddeutsche.de/digital/datenwachstum-der-digitalisierten-welt-explosion-des-cyberspace-1.1058394), und bezieht sich dabei auf eine Studie von Martin Hilbert und Priscila López, die 2011 erstmals die weltweite Menge an Informationen bilanziert, den Fluss der Informationen und die weitere Verarbeitung der Daten untersucht haben. Bei den Analysen der beiden ging es vor allem um den puren Informationsgehalt, der in den Daten verborgen liegt.

Eine ganze Reihe von Beratungsunternehmen, darunter auch IDC, haben seitdem Prognosen abgegeben wie rasant die Datenflut aktuell anwächst und in den kommenden Jahren weiter stetig steigen soll (hier dargelegt in einem Beitrag auf silicon.de vom Oktober letzten Jahres http://www.silicon.de/41590848/siegeszug-festplatte-idc-sagt-riesen-datenwachstum-voraus/ )

Was das „Aufräumen“ von Berechtigungen im Active Directory und auf den unternehmenseigenen Fileservern anbelangt drängen sich einige Parallelen zur geschilderten Situation auf.

Parallele 1: Es ist wie mit dem Kinderzimmer aufräumen…

jeder sieht auf den ersten Blick, dass es nötig ist, aber keiner hat Lust dazu.

Alle sind sich der täglich in Windows Filesystemen, SharePoint und Exchange anfallenden Unmengen an unstrukturierten Daten bewusst. Zunehmend chaotisch anmutende Datenumgebungen mit Terrabytes an Informationen bereiten Probleme. Besonders kritisch ist es um die Zugriffberechtigungen und Verantwortlichkeiten für den nutzergenerierten Datenwust bestellt.

Hier gilt es beherzt aufzuräumen. Herzstück, damit die Aufräumaktion gelingt: Dateneigentümer identifizieren, Daten eindeutig zuweisen und die Verantwortlichkeiten weg von der zentralen IT hin zu den eigentlichen Data Ownern verlegen.

Parallele 2: Man muss sich schon ein bisschen überwinden, aber es lohnt sich.

Das Ziel ist es die Zugriffberechtigungen so zu verteilen (Stichwort immer noch: „Aufräumen“), dass nur diejenigen auf Daten und Dateien zugreifen, die sie tatsächlich benötigen. Das ist derzeit eher selten der Fall. Die über Active Directory gesetzten Zugriffsberechtigungen sind in vielen Unternehmen deutlich zu weit gefasst. Nicht selten haben langjährige Mitarbeiter noch Zugriff auf Projekt- oder Abteilungsdaten, mit denen sie längst nicht mehr befasst sind.

Um an der richtigen Stelle aufzuräumen, muss man wissen, wo die sensiblen Daten liegen und wer zugreift. Beim Nachvollziehen hilft der Audit-Trail, der die tatsächlichen File-Zugriffe dokumentiert. Wo aber besteht akuter Handlungsbedarf?

Bei einem Ordner, der beispielsweise 40 Kreditkartennummern enthält, auf den 20 Personen zugreifen dürfen, aber kaum Transaktionen stattfinden? Oder doch eher bei einem Ordner mit 300 Kreditkartennummern und einer „Everyone“-Zugriffsberechtigung, die ständig von autorisierten Usern benutzt wird? Ein vergleichsweise lockeres Berechtigungskonzept und ein hoher Aktivitätslevel erhöhen das Risiko, dass Daten gelöscht, gestohlen oder anderweitig korrumpiert werden.

Es geht aber nicht „nur“ darum sensible Daten zu orten, sondern vor allem die Berechtigungskonzepte generell auf den aktuellen Stand zu bringen. Dazu prüft man, ob Gruppen wie zum Beispiel „jeder“ oder “authenticated User“ für den Zugriff auf Daten genutzt werden. Sollte eine derartige Gruppe irrtümlich auf einem Verzeichnis mit sensiblen Inhalten liegen, wirkt sich das unter Umständen drastisch aus. Es ist daher sinnvoll den Zugriff für solche globalen Gruppen zu begrenzen und auf normale Security-Gruppen zurückzuführen.

Parallele 3: Der Weg ist das Ziel – aber welcher Schritt ist der erste?

Um DataOwner für jeden Ordner zu setzen hat es sich bewährt im ersten Schritt die Ordner bestimmen, die einen Data Owner benötigen, und im zweiten Schritt diesem Ordner einen eindeutigen Eigentümer zuweisen:

• Identifizieren der Ordner mit individuellen Zugriffsrechten. Also der Ordner, die sich von anderen dadurch unterscheiden, dass nur ein bestimmter Nutzerkreis zugreifen soll. Diese Ordner werden als „Base-Folder“ bezeichnet. Ordner, die unterhalb dieser Base-Folder liegen, führen in der Regel dieselben Berechtigungen. Dies lässt sich am besten in einer Baumstruktur abbilden.

• Für jeden Base-Folder gilt es den aktivsten Benutzer zu ermitteln, mithin die Person, die in diesem Ordner am intensivsten mit den Daten arbeitet.

• Anschließend werden diese Daten mit weiteren Metadaten korreliert; das können Informationen zur Abteilung sein oder Informationen wie Gehaltsnummern und zu den jeweiligen Vorgesetzten.

Schlussendlich hat dann jeder der als Base-Folder identifizierten Ordner einen potentiellen Eigentümer.

Parallele 4: Geschafft oder: Aufräumen macht glücklich.

Den Wildwuchs von Daten in eine geordnete Struktur zu überführen ist ein durchaus aufwendiger Prozess (wie ja auch das Aufräumen des Kinderzimmer-Wahnsinns nicht innerhalb von ein paar Minuten erledigt ist).

Aber: Nutzergenerierte Daten sicher zu verwalten ist kein unlösbares Problem. Daten und Dateien lassen sich durchaus in eine geordnete Struktur überführen. Sind kritische und sensible Daten ein Mal identifiziert und zugewiesen, sind zukünftig Dateneigentümer in den entsprechenden Abteilungen zuständig für die Zugangsberechtigungen. Ein Konzept, das methodisch nachvollziehbar ist und auf den Workflow genau dieses Unternehmens abgestimmt ist.

Die Realität in deutschen Unternehmen

Die Realität in deutschen Unternehmen sieht in punkto Berechtigungs- und Zugriffsrechte in Filesystemen noch vielfach so aus wie das eingangs zitierte Chaos in einem durchschnittlichen Kinderzimmer.

Vielfach allerdings, nicht zuletzt befeuert durch die Datenschutzskandale des letzten Jahres, denken Unternehmen um.

Dass sich in den nutzergenerierten Daten in Worddokumenten, Excel-Sheets, Listen und Bilddateien bares Geld verbirgt, verbindet sich mit dem Wissen darum, dass es sich um besonders schützenswerte, sensible Daten handelt.

Unternehmen machen sich verstärkt Gedanken darum, welche Konsequenzen sie jetzt ziehen müssen und wie das mit den Mitteln der IT-Abteilungen gelingen kann.

Um diese Balance technisch und volkswirtschaftlich optimal zu gestalten ist Luft nach oben. Das ist mehr als eine reine IT-Aufgabe und die dabei eingesetzten Tools und Lösungen sollten so gut sein, dass sie sich auf die individuellen Bedürfnisse jedes einzelnen Unternehmens einstellen können.

Dann ist es realistisch einen existierenden Datendschungel zuverlässig in eine geordnete Filestruktur zu überführen.

The post Vom Chaos zur Ordnung – oder was Kinderzimmer aufräumen mit Berechtigungsmanagement zu tun hat appeared first on Varonis Deutsch.