Springe zum Hauptinhalt

Mega-Menü-Produkt-Services_Pfeil

HYPERSECURE Platform Zero Trust Strategy 

 

Compliance-Check_NIS2

Machen Sie den kostenlosen
NIS2-Compliance-Check

Jetzt prüfen

Support
Service Desk Partner Portal

 

Mega-Menü-Blog_Pfeil

News, Informationen und Tipps zum Thema IT-Security
Zum BlogNewsletter

4 Min. Lesezeit

Zugriffsrechte für Ressourcen verwalten | Teil 2

Zugriffsrechte für Ressourcen verwalten | Teil 2

In unserer Artikelserie untersuchen wir die Risiken der gemeinsamen Nutzung von Dateien über OneDrive oder Teams und geben Tipps, wie die Informationssicherheit gewährleistet werden kann, ohne die Zusammenarbeit einzuschränken. Der zweite Artikel analysiert die Herausforderungen für IT-Administratoren bei der Anpassung sowie Verwaltung von Zugriffsrechten und er beschreibt eine mögliche Lösung für CISOs durch die Implementierung von Data Access Governance. Anhand eines konkreten Beispiels zeigen wir, wie einfach die Implementierung ist, ohne die Zusammenarbeit im Unternehmen zu beeinträchtigen.

Wir empfehlen die Lektüre des ersten Artikels, falls Sie ihn verpasst haben sollten.

 

„Oversharing“ von Inhalten

In Organisationen werden Inhalte oft ohne nachzudenken geteilt – das ist ein Problem. Benutzer neigen dazu, Inhalte mit einem größeren Publikum zu teilen. Meist stecken gute Absichten dahinter, aber das unbedachte Teilen führt zu einem nicht autorisierten Zugriff auf Inhalte und Dateien. In dem Maße, wie hybride Arbeitsformen und externe Zusammenarbeit zu kritischen IT Sicherheitsthemen werden, gewinnt das Problem des „Oversharing“ an Bedeutung.

Administratoren können in Microsoft 365 zwar die Berechtigungen in OneDrive und Teams so einschränken, dass Benutzer keine Dateien mit Personen außerhalb des Unternehmens teilen dürfen; und sie können generell die Möglichkeiten einschränken, die Benutzer haben, um Daten innerhalb der Organisation zu teilen. Aber solche übermäßig restriktiven Sicherheitsmaßnahmen würden über das Ziel hinausschießen. Zum einen funktionieren diese Einschränkungen nicht auf Datei- oder Verzeichnisebene. Zum anderen berücksichtigen sie nicht die Bedürfnisse der Benutzer, die Dateien individuell auf einer viel granulareren Ebene freigeben wollen. Und da die Benutzer dazu neigen, solche einschränkenden Barrieren zu überwinden, werden sie anfangen, andere Tools zu nutzen. Das würde wahrscheinlich das allgemeine Sicherheitsniveau der Daten im Unternehmen verschlechtern – etwas, das Sie als CISO um jeden Preis verhindern wollen. 

Ein wirksamer Ansatz zur Vermeidung dieses Problems besteht darin, Richtlinien für die Dateifreigabe auf der Ebene einzelner Dateien und Ordner festzulegen. Es liegt auf der Hand, dass dies zu einer weitaus komplexer zu verwaltenden Umgebung führt. IT-Administratoren werden hier überfordert, nicht nur wegen der bereits bestehenden Arbeitsbelastung, sondern auch wegen ihres fehlenden Wissens über den Kontext der Informationen in diesen Dateien. Es liegt nicht in ihrem Zuständigkeitsbereich, die geeignete Klassifizierungsstufe für Daten zu bestimmen oder nachzuvollziehen, warum welchen Personen oder Gruppen der Zugriff zu gewähren ist. Der Eigentümer der Daten ist der Einzige, der in der Lage ist und befugt sein sollte, diese Einschätzungen vorzunehmen. Es ist die Person, die das Dokument ursprünglich erstellt hat oder die verantwortlich für den Inhalt ist (z. B. der Leiter einer Abteilung).

Data Access Governance ermöglicht sichere Zusammenarbeit

Data Access Governance (DAG) gilt als der effektivste Ansatz zur Gewährleistung von Compliance und Datensicherheit. Dateneigentümer müssen befugt sein, ihre Dateien bei Bedarf für bestimmte Personen und Gruppen freizugeben und dabei gleichzeitig die Sicherheitsstandards des Unternehmens einzuhalten.

Die Sicherheitsstandards für das Unternehmen werden von den IT-Administratoren zentral konfiguriert und aktualisiert. In den meisten Fällen sind es jedoch die Dateneigentümer, die erkennen können, ob ein Sicherheitsverstoß vorliegt und die Freigabeberechtigungen angepasst werden sollten. Sie müssen die Möglichkeit haben, Änderungen an den Berechtigungen zu dokumentieren und zu begründen. Mit dieser Implementierung wird die Freigabe von Dateien und Ordnern einfach und sicher und die Sicherheitsrichtlinien können konsequent eingehalten werden. Um sicherzustellen, dass die Richtlinien praktisch und laufend umgesetzt werden, ist es wichtig, sowohl IT-Administratoren als auch Dateneigentümer in den Entscheidungsprozess einzubeziehen. Wenn man sich bei der Überwachung der Konformität allein auf die Administratoren verlässt, kann dies zu übermäßig weit gefassten Richtlinien führen, weil sie die Vorgaben dann so anpassen, dass für sie möglichst wenig Aufwand entsteht. Deshalb ist ein gemeinsamer Ansatz notwendig. Wir zeigen Ihnen nun, wie dies in der Praxis erreicht werden kann.

DriveLock 365 Access Control

Um sicherzustellen, dass die Data Access Governance praktisch und sicher umgesetzt wird, müssen mehrere wichtige Aspekte berücksichtigt werden:

  • Vor der Freigabe von Dateien sollten alle Datenbesitzer eine kurze Einweisung erhalten, in der sie lernen, die Sicherheitsrichtlinien einzuhalten und ihre Verantwortung für die Datensicherheit wahrzunehmen. Dazu gehört auch, dass sie die verschiedenen Ebenen der Zugriffsrechte und die Auswirkungen der gemeinsamen Nutzung einer Datei mit Personen außerhalb des Unternehmens verstehen. Außerdem ist ein Datenklassifizierungssystem erforderlich, welches maximal fünf verschiedene Stufen umfassen sollte. Bestimmte Informationen können der Öffentlichkeit zugänglich gemacht werden, während die meisten Daten innerhalb des Unternehmens verteilt werden können. Typischerweise sind 10 bis 15 % der Informationen klassifiziert und nur für einen begrenzten Personenkreis zugänglich.

    DriveLock 365 Access Control erlaubt es, Datenklassifizierungen zu verschiedenen Ablageorten auf OneDrive, Teams oder SharePoint Online festzulegen und zuzuordnen. Die Definitionen der Sicherheitsklassen bieten Einstellungsoptionen für Freigabebeschränkungen und können Anweisungen für Benutzer über die entsprechende Anwendungsebene enthalten.
  • Darüber hinaus müssen Unternehmen über ein automatisiertes Verfahren zur Überwachung der Zugriffsrechte verfügen und auch zur Benachrichtigung, wenn Berechtigungen geändert werden oder nicht mehr konform sind. Dies trägt dazu bei, das Risiko eines unbefugten Zugriffs auf sensible Daten zu verringern und sicherzustellen, dass Datenbesitzer immer einen aktuellen Überblick darüber haben, wer Zugriff auf ihre Dateien hat.

    DriveLock 365 Access Control ermöglicht es Datenbesitzern, Sicherheitsverletzungen mühelos und ohne administrative Eingriffe per Knopfdruck zu erkennen und zu beheben. Die Lösung zeigt an, wie viele Nutzer Zugriff auf eine bestimmte Datei, einen Ordner, ein Team oder einen Standort haben und ob externen Personen Zugriff gewährt wurde. Die Zugriffsrechte können bei Bedarf entzogen oder anderen Gruppen oder Einzelpersonen gewährt werden.
  • Schließlich ist es wichtig, ein klares Verfahren für den Entzug des Zugriffs einzurichten, wenn dies erforderlich ist. Dieser kann z. B. automatisch erfolgen, wenn ein Benutzer das Unternehmen verlässt oder wenn die Daten ihr Verfallsdatum erreichen.

    DriveLock 365 Access Control enthält ein rollenbasiertes Zugriffskontrollsystem (RBAC), das automatisch Zugriff gewährt oder entzieht, z. B. wenn sich die Rolle, die Abteilung oder der Beschäftigungsstatus einer Person in Ihrem Unternehmen ändert oder eine Person das Unternehmen verlässt.

Zusammenfassung

Den Zugriff auf Daten verwalten und einschränken zu können, ist eine wesentliche Voraussetzung dafür, dass Unternehmen sensible Daten schützen und die Sicherheitsrichtlinien einhalten können. Indem sie Dateneigentümern die Möglichkeit geben, Dateien sicher freizugeben, können Unternehmen sicherstellen, dass ihre Dokumente nicht an unbefugte Personen oder Gruppen weitergegeben werden. Ein automatisiertes Verfahren zur Überwachung und zum Entzug von Zugriffsrechten hilft Unternehmen, stets auf dem Laufenden darüber zu bleiben, wer Zugriff auf ihre Daten hat, und schnell zu handeln, wenn etwas schiefläuft.

Der Schutz wichtiger Daten kann eine entmutigende Aufgabe für IT-Administratoren sein, die oft mit der Komplexität überfordert sind und zu wenig über die Inhalte wissen, die sie schützen sollen. Und obwohl Microsoft 365 eine gewisse Unterstützung bei der Festlegung von Grenzen für die Freigabe von Inhalten bietet, erfüllt es nicht vollständig die Anforderungen der Benutzer an die Regelung des Zugriffs auf einzelne Dateien und Ordner.

DriveLock 365 Access Control bietet eine effektive Lösung für die Data Access Governance und gewährleistet die Sicherheit Ihrer sensiblen Daten. Der dateneigentümerzentrierte Ansatz von DriveLock vereinfacht den Prozess für IT-Administratoren. 

 

Durchblick und Kontrolle: Wer hat Zugriff auf welche Daten? | Teil 1

Durchblick und Kontrolle: Wer hat Zugriff auf welche Daten? | Teil 1

Haben Sie schon einmal darüber nachgedacht, wer Zugriff auf welche Ihrer freigegebenen Dateien von OneDrive oder Teams hat? Dadurch, dass heutzutage...

Read More
Sicheres Löschen von Daten

2 Min. Lesezeit

Sicheres Löschen von Daten

In einer Zeit, in der wir immer mehr persönliche Informationen online speichern und unsere digitalen Spuren nahezu unauslöschlich sind, wird das...

Read More