In vielen Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den Windowsservern. Diese unstrukturierte Ablage stellt ein echtes Sicherheitsrisiko dar. Nicht nur, weil Berechtigungsmanagement und Access Control relevant sind, um datenschutzkonforme Abläufe zu gewährleisten.
Neben personenbezogenen und unternehmenskritischen Daten ist gerade das geistige Eigentum, Forschungsergebnisse oder unveröffentlichte Patente, in Gefahr, wenn der Überblick bei den Zugriffsberechtigungen verloren geht. Ein neues Softwaretool kann externen Datenschützern helfen, nicht nur einen Beitrag zur Aufrechterhaltung der Compliance ihrer Mandanten in gewachsenen Dateisystemen zu leisten, sondern auch das wertvolle Intellectual Property zu schützen. Der Datenschützer selbst kann damit in die Rolle eines IT-Security-Beraters schlüpfen – mit allen damit verbundenen Vorteilen.
Daten sind das neue Öl. Sie sind kostbar und die Basis für wirtschaftlichen Erfolg, wenn sie in strukturierter und damit verwertbarer Form vorliegen. Das Problem: Unstrukturierte Daten wachsen überall im Unternehmen – in Dateisystemen, in E-Mailprogrammen oder dem SharePoint. Mit diesen unverwalteten Datenbergen wird das Rechtemanagement zu einer echten Herausforderung.
Das Kollaborationstool SharePoint zum Beispiel wird gern für Projektdaten und als Ablage benutzt. Es macht die Zusammenarbeit von mehreren Standorten oder externen Dienstleistern möglich. Doch die einmal erteilten Berechtigungen werden in der Regel nicht widerrufen. Dann haben interne Mitarbeiter, die nicht mehr zuständig sind, oder Externe, die überhaupt nicht mehr mit der Firma zusammenarbeiten, Zugriff auf Inhalte. Zudem bietet SharePoint viele Berechtigungsmöglichkeiten, was schnell ins Chaos führt: Es ist nicht mehr nachvollziehbar, wer welche Rechte für welche Zeit hat und woher sie kommen. Auch cloudbasierte Speicher wie OneDrive, das automatisch mit Office 365 zur Verfügung steht, laden dazu ein, Daten einfach schnell abzulegen. Eine weitere Herausforderung stellen Transfer-Laufwerke dar, die aus Wartungs- oder Umzugsgründen eingerichtet werden. Daten werden dort beliebig ohne Zugriffskontrolle abgelegt. Auch nach dem Transfer bleiben sie uneingeschränkt zugängig, was einem Missbrauch Tür und Tor öffnet.
Auch Berechtigungsmängel in den Organisationsstrukturen von Unternehmen können das Rechtemanagement torpedieren. Auszubildende zum Beispiel aggregieren Zugriffsberechtigungen im Rahmen ihrer Einblicke in verschiedene Abteilungen, geben sie aber nicht mehr ab. Auch Firmenübernahmen und Fusionen schütteln die Systemberechtigungen durch. Unternehmen wissen oft nicht, welche Rechte überhaupt übernommen werden. Zwar gibt es meist eine Firmenpolicy, die festlegt, was wo wie gespeichert und verschlüsselt wird, aber oft fehlt beispielsweise eine Data Access Governance, Berechtigungen werden manuell vergeben oder es erfolgt zu wenig Kontrolle.
Deswegen bleiben folgende zentrale, weil sicherheitsrelevante Fragen oft unbeantwortet: Welcher User hat worauf Zugriff? Welcher Ordner darf von wem eingesehen werden? Aus welchen Gruppen stammen die Rechte und existieren direkt gesetzte Rechte? Wo ändern sich Rechte? Wer sind die Owner der Daten?
Intellectual Property steht auf dem Spiel
Wenn alle Mitarbeiter Zugriff auf einen abgelegten Kantinenspeiseplan haben, ist das nicht weiter dramatisch. Doch bei sensiblen Informationen wie geistigem Eigentum verschärft sich die Lage. Gerade für den Schutz dieser unternehmenskritischen Daten fehlt in vielen Datei- und Berechtigungsstrukturen der Überblick.
Für den Mittelstand, die Hidden Champions, ist es erfolgskritisch und wettbewerbsrelevant, ihr geistiges Eigentum und die eigene Forschung zu schützen. Zahlreiche Fälle beweisen, was passiert, wenn das nicht der Fall ist: Forschungsdaten, unveröffentlichte Patente landen beim Mitbewerber.
Eine Berechtigungsmatrix in einem Unternehmen von mittlerer Größe kann schnell mehrere Millionen Einträge umfassen. Um sich einen Überblick zu verschaffen gilt es, die Berechtigungsebenen aus jeder Sicht (Gruppe und User) darzustellen – eine Aufgabe, die nicht von Hand zu leisten ist. Auch die Analyse selbst stellt hohe Anforderungen.
Externe Datenschutzbeauftragte überprüfen die Compliance
Datenschützer sind darauf spezialisiert – und Unternehmen verpflichtet –, den Datenschutz im Haus regelmäßig überprüfen zu lassen, um zu wissen, ob Compliance-Auflagen und gesetzliche Regularien eingehalten werden. Dazu gehören in erster Linie die europäische Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), aber auch branchenabhängige Regularien wie MaRisk oder SOX. Gerade die DSGVO bringt als Compliance-Treiber Unternehmen in Zugzwang. Sie fordert neben der Rechenschaftspflicht, die Sicherheit personenbezogener Daten sowie die Sicherheit der Verarbeitung.
Datenschutzbeauftragte können im Rahmen ihres Mandats nicht mehr tun, als auf Probleme bei der Einhaltung der Compliance hinzuweisen. Die Zahl der Audits beschränkt sich in der Regel auf ein bis zwei pro Jahr, bezahlt wird nach einer Pauschale. Entsprechend austauschbar sind die Datenschützer, die im Ergebnis um ihr Mandat fürchten.
Im Vergleich zu externen sind die Rechte von internen Datenschutzbeauftragten limitiert: Interne Datenschützer, Administratoren oder die IT dürfen nicht ohne Weiteres auf personenbezogene Daten zugreifen. Ihnen ist es also nur möglich zu analysieren, wer auf welche AD-Gruppe, welchen Share oder Ordner berechtigt ist. Die eigentlichen Inhalte, welche Dateitypen im Ordner liegen und wann sie zuletzt verändert wurden, dürfen sie nicht einsehen. Externe Datenschützer erhalten dieses Recht durch ihr Mandat.
Neue Rolle für Datenschützer: IT-Security-Berater
Externe Datenschützer könnten für ihre Mandanten noch wertvollere Unterstützung leisten, wenn sie nicht nur ihrer originären Aufgabe nachkämen: der Prüfung, ob Finanzdaten und personenbezogene Daten mit den entsprechenden Zugriffsrechten geschützt sind.
Echter Mehrwert entsteht für Unternehmen durch den Schutz ihres Intellectual Property. Mithilfe eines neuen Reporting-Tools kann der Datenschützer in diese neue Rolle des IT-Security-Beraters schlüpfen und sein Mandat ausweiten. So überprüft er nicht nur die Compliance und verhindert Strafzahlungen – erste Urteile nach der DSGVO sind gefallen und die Strafen fallen empfindlich aus. Bis zu vier Prozent des Umsatzes kann ein Unternehmen der laxe Umgang mit dem Datenschutz kosten. Er sichert darüber hinaus das geistige Eigentum des Unternehmens. Datenschützer und Chefetage vereinen nun die gleichen Interessen – der Schutz des Unternehmens und der Erhalt seiner Wettbewerbsfähigkeit statt nur die Abarbeitung einer lästigen Pflichtaufgabe. Der Datenschützer kann diesen Prozess mitbegleiten und seine Services dauerhaft anbieten. Er kann beraten, Reports erstellen und notwendige Revalidierungen und Rezertifizierung durch Fachbereiche oder die IT veranlassen. Und im Anschluss überprüfen, ob diese Änderungen vorgenommen wurden.
Ohne ein Tool hat er weder Zugriff auf die relevanten Daten, noch kann er nachvollziehen, ob die zur Überprüfung von der IT angeforderten Berechtigungsdaten vollständig sind. Mit einer Reporting-Lösung dagegen gelingt es, Intellectual Property wie nicht veröffentlichte Patente oder Forschungsdaten zu schützen, da das Rechtemanagement transparent wird. Berechtigungen können nachvollzogen werden und Defizite werden deutlich. So werden der gewachsene Zustand der Systemablage in einen geordneten Zustand überführt und Schritt für Schritt standardisierte Strukturen eingeführt, die einen Überblick und damit Access Control ermöglichen.
Die Lösung: Reporting-as-a-Service
Die Zielsysteme des cloudbasierten Reporting-as-a-Service-Tools der econet GmbH aus München sind das klassische Windows-Dateisystem (inklusive Microsoft Active Directory) auf Windowsservern und NAS-Systemen. Künftig werden SQL-Datenbanken und SharePoint hinzukommen.
Um das Tool nutzen zu können, muss der Datenschützer nur eine kleine Softwarekomponente auf dem Mandantensystem ausbringen oder vom Admin auf dem File-Server ablegen lassen. Darüber werden die Berechtigungen in der Datenablage ausgelesen, verschlüsselt übertragen und in der Reporting-as-a-Service-Anwendung von econet auf Basis der Microsoft-Azure-Cloud nach Mandaten getrennt abgelegt. Über das Portal können die Daten zu den Zugriffsrechten in der Datenablage automatisiert geprüft und Reports mit den Ergebnissen generiert werden. Die Auffälligkeiten (Defekte) in den vergebenen Zugriffsrechten auf die Datenablage werden aggregiert und pro Zielsystem, Anwender oder Abteilung als Findings angezeigt. Sie können grafisch aufbereitet werden, sind in gängigen Formaten wie pdf oder excel exportierbar und können dem Mandanten so leicht zur Verfügung gestellt werden.
Häufige Defekte in Dateisystemen
Aus den Reports geht hervor, ob Berechtigungsstrukturen stimmen und die Vererbungsregeln eingehalten werden. Umfängliche Admin-Rechte und Ordner oder Files, auf die alle User berechtigt und mit Vollzugriff ausgestattet sind – „everybody full control“ –, müssen hinterfragt werden. Auch direkte Rechte von Userkonten ohne Nutzung von Gruppen und nicht vererbte Berechtigungen sind auffällig. Sie sind fehleranfällig, schwierig zu verwalten, und oft ist der Ursprung nicht mehr nachvollziehbar. Ordnern ohne vererbte Berechtigungen fehlt oft ein Ordnungsprinzip. Schwachstellen liegen des Weiteren in Deny-Rechten oder in der Berechtigung von verwaisten SIDs (Security ID). Eine solche bleibt bestehen, wenn ein User gelöscht wird. Ein weiteres, häufiges Finding sind Ordner, die die maximale Pfadlänge von 256 Zeichen überschreiten, weswegen kein Zugriff mehr möglich ist. Sie stören den Arbeitsablauf.
Durch die Ergebnisse der Überprüfung kann der Datenschutzbeauftragte tiefer im System recherchieren und weitere Reports generieren. Drill Downs werden bis auf Dokumentenebene möglich. Der Datenschützer kann damit Handlungsbedarf visualisieren, Risiken einschätzen helfen und den Aufwand bewerten, den es erfordert, Sicherheit herzustellen. Auf Basis der Reports können Unternehmen Änderungen gezielt durchführen. Auch Wirtschaftsprüfer, die bisher in der Regel die großen Systeme wie SAP im Fokus hatten, sind mit einem solchen Tool in der Lage, das Rechtemanagement von Microsoft-basierten Fileservern zu prüfen.
Fazit
Unstrukturierte Daten, die in den Dateisystemen von Unternehmen kontinuierlich wachsen, stellen ein Sicherheitsrisiko dar. Die Access Governance ist nicht mehr gegeben – und darüber kann wertvolles geistiges Eigentum frei zugänglich sein. Externe Datenschützer haben mit einer Reporting-Lösung nicht nur die Möglichkeit, die Einhaltung von gesetzlichen Auflagen ihrer Mandanten zu überprüfen. Sie sind nun auch in der Lage, Intellectual Property wirkungsvoll zu schützen.
https://econet.de/