In unserer Artikelserie untersuchen wir die Risiken der gemeinsamen Nutzung von Dateien über OneDrive oder Teams und geben Tipps, wie die Informationssicherheit gewährleistet werden kann, ohne die Zusammenarbeit einzuschränken. Der zweite Artikel analysiert die Herausforderungen für IT-Administratoren bei der Anpassung sowie Verwaltung von Zugriffsrechten und er beschreibt eine mögliche Lösung für CISOs durch die Implementierung von Data Access Governance. Anhand eines konkreten Beispiels zeigen wir, wie einfach die Implementierung ist, ohne die Zusammenarbeit im Unternehmen zu beeinträchtigen.
Wir empfehlen die Lektüre des ersten Artikels, falls Sie ihn verpasst haben sollten.
| INHALT |
In Organisationen werden Inhalte oft ohne nachzudenken geteilt – das ist ein Problem. Benutzer neigen dazu, Inhalte mit einem größeren Publikum zu teilen. Meist stecken gute Absichten dahinter, aber das unbedachte Teilen führt zu einem nicht autorisierten Zugriff auf Inhalte und Dateien. In dem Maße, wie hybride Arbeitsformen und externe Zusammenarbeit zu kritischen IT Sicherheitsthemen werden, gewinnt das Problem des „Oversharing“ an Bedeutung.
Administratoren können in Microsoft 365 zwar die Berechtigungen in OneDrive und Teams so einschränken, dass Benutzer keine Dateien mit Personen außerhalb des Unternehmens teilen dürfen; und sie können generell die Möglichkeiten einschränken, die Benutzer haben, um Daten innerhalb der Organisation zu teilen. Aber solche übermäßig restriktiven Sicherheitsmaßnahmen würden über das Ziel hinausschießen. Zum einen funktionieren diese Einschränkungen nicht auf Datei- oder Verzeichnisebene. Zum anderen berücksichtigen sie nicht die Bedürfnisse der Benutzer, die Dateien individuell auf einer viel granulareren Ebene freigeben wollen. Und da die Benutzer dazu neigen, solche einschränkenden Barrieren zu überwinden, werden sie anfangen, andere Tools zu nutzen. Das würde wahrscheinlich das allgemeine Sicherheitsniveau der Daten im Unternehmen verschlechtern – etwas, das Sie als CISO um jeden Preis verhindern wollen.
Ein wirksamer Ansatz zur Vermeidung dieses Problems besteht darin, Richtlinien für die Dateifreigabe auf der Ebene einzelner Dateien und Ordner festzulegen. Es liegt auf der Hand, dass dies zu einer weitaus komplexer zu verwaltenden Umgebung führt. IT-Administratoren werden hier überfordert, nicht nur wegen der bereits bestehenden Arbeitsbelastung, sondern auch wegen ihres fehlenden Wissens über den Kontext der Informationen in diesen Dateien. Es liegt nicht in ihrem Zuständigkeitsbereich, die geeignete Klassifizierungsstufe für Daten zu bestimmen oder nachzuvollziehen, warum welchen Personen oder Gruppen der Zugriff zu gewähren ist. Der Eigentümer der Daten ist der Einzige, der in der Lage ist und befugt sein sollte, diese Einschätzungen vorzunehmen. Es ist die Person, die das Dokument ursprünglich erstellt hat oder die verantwortlich für den Inhalt ist (z. B. der Leiter einer Abteilung).
Data Access Governance (DAG) gilt als der effektivste Ansatz zur Gewährleistung von Compliance und Datensicherheit. Dateneigentümer müssen befugt sein, ihre Dateien bei Bedarf für bestimmte Personen und Gruppen freizugeben und dabei gleichzeitig die Sicherheitsstandards des Unternehmens einzuhalten.
Die Sicherheitsstandards für das Unternehmen werden von den IT-Administratoren zentral konfiguriert und aktualisiert. In den meisten Fällen sind es jedoch die Dateneigentümer, die erkennen können, ob ein Sicherheitsverstoß vorliegt und die Freigabeberechtigungen angepasst werden sollten. Sie müssen die Möglichkeit haben, Änderungen an den Berechtigungen zu dokumentieren und zu begründen. Mit dieser Implementierung wird die Freigabe von Dateien und Ordnern einfach und sicher und die Sicherheitsrichtlinien können konsequent eingehalten werden. Um sicherzustellen, dass die Richtlinien praktisch und laufend umgesetzt werden, ist es wichtig, sowohl IT-Administratoren als auch Dateneigentümer in den Entscheidungsprozess einzubeziehen. Wenn man sich bei der Überwachung der Konformität allein auf die Administratoren verlässt, kann dies zu übermäßig weit gefassten Richtlinien führen, weil sie die Vorgaben dann so anpassen, dass für sie möglichst wenig Aufwand entsteht. Deshalb ist ein gemeinsamer Ansatz notwendig. Wir zeigen Ihnen nun, wie dies in der Praxis erreicht werden kann.
Um sicherzustellen, dass die Data Access Governance praktisch und sicher umgesetzt wird, müssen mehrere wichtige Aspekte berücksichtigt werden:
Den Zugriff auf Daten verwalten und einschränken zu können, ist eine wesentliche Voraussetzung dafür, dass Unternehmen sensible Daten schützen und die Sicherheitsrichtlinien einhalten können. Indem sie Dateneigentümern die Möglichkeit geben, Dateien sicher freizugeben, können Unternehmen sicherstellen, dass ihre Dokumente nicht an unbefugte Personen oder Gruppen weitergegeben werden. Ein automatisiertes Verfahren zur Überwachung und zum Entzug von Zugriffsrechten hilft Unternehmen, stets auf dem Laufenden darüber zu bleiben, wer Zugriff auf ihre Daten hat, und schnell zu handeln, wenn etwas schiefläuft.
Der Schutz wichtiger Daten kann eine entmutigende Aufgabe für IT-Administratoren sein, die oft mit der Komplexität überfordert sind und zu wenig über die Inhalte wissen, die sie schützen sollen. Und obwohl Microsoft 365 eine gewisse Unterstützung bei der Festlegung von Grenzen für die Freigabe von Inhalten bietet, erfüllt es nicht vollständig die Anforderungen der Benutzer an die Regelung des Zugriffs auf einzelne Dateien und Ordner.
DriveLock 365 Access Control bietet eine effektive Lösung für die Data Access Governance und gewährleistet die Sicherheit Ihrer sensiblen Daten. Der dateneigentümerzentrierte Ansatz von DriveLock vereinfacht den Prozess für IT-Administratoren.