geregelter Zugriff

Der Autor ist Kursleiter bei Digicomp. Er unterichtet und berät v.a. im Bereich Betriebssysteme, Office, Programmierung sowie Microsoft-SharePoint-Technologien. Die gewohnten Zugriffswege über Ordner oder Dateien auf dem Fileserver, die für bestimmte Benutzergruppe zugelassen oder gesperrt werden, passen nicht mehr für moderne Teamstrukturen. Wie ist zum Beispiel der Zugriff bei Dateien geregelt, die von einem berechtigten Benutzer via E-Mail an einen mobilen Endanwender ohne die nötigen Zugriffsrechte geschickt werden? Oder wie können Teammitglieder mit unterschiedlichen Rechten gemeinsam an Dateien arbeiten, die in verschiedenen Ordnern abgelegt sind? Wie werden Backup, Archivierung und Verschlüsselung organisiert, wenn die Datenvolumen derart rasant zunehmen? Hier treffen verschiedene Ansprüche aufeinander: Unternehmensweite Richt­linien definieren die Zugriffsrechte, der IT-Administrator muss diese möglichst zentral, einfach und effizient umsetzen können, die Inhalte müssen für die Urheber für eine Benutzergruppe freigegeben werden können und der Endbenutzer muss produktiv mit den Infor­mationen arbeiten können, ohne sich ständig überlegen zu müssen, ob er die Information verwenden darf. Nebenbei sollte das IT-System möglichst autonom Zugriffe protokollieren, Informationen verschlüsseln und gemäss recht­lichen Vorgaben ablegen und speicher

Eine wichtige Erkenntnis liefert die Analyse der Beteiligten, die in die Erstellung, Anwendung und Klassifizierung der Unternehmensdaten eingebunden sind (vgl. Abbildung 1). Alle beteiligten Personen/Interessen müssen bei einem Neuentwurf des Zugriffskonzepts einbezogen werden. Nur wenn diese Anspruchsgruppen eng miteinander zusammenarbeiten, können Herausforderungen wie zentrale Steuerung der Regeln, Produktivitätssteigerungen bei den Endbenutzern, Klassifizierung durch Ersteller und automatische Archivierung, Protokollierung und Verschlüsselung bewältigt werden.

Unternehmensrichtlinien lassen sich grob in zwei Kategorien unterteilen: Zugriffs- und Überwachungsrichtlinien. Die Definition kann aus mehreren Ebenen eines Unternehmens stammen: Regulierungsrichtlinie: Diese Richtlinie betrifft Unternehmensanforderungen und zielt auf den Schutz des Zugriffs auf die verwalteten Informationen ab. Beispiel: Erlaube den Zugriff auf Daten mit der Regel «Zugriff nur für CH-Bürger» für eine spezifische Personengruppe. Abteilungsrichtlinie: Jede Abteilung einer Organisation stellt bestimmte Anforderungen für den Zugriff auf spezielle Daten auf. So möchte beispielsweise die Finanzabteilung den Zugriff auf Personen beschränken, die in dieser Abteilung arbeiten. Muss-wissen-Richtlinie: Personen sollen nur auf die Daten Zugriff haben, die zu dem Projekt gehören, an dem sie arbeiten. Für den Zugriff ist massgeblich, wie effizient die Endbenutzer mit den zur Verfügung stehenden Daten arbeiten können. Gleichzeitig regelt dieses Konzept den Schutz vor Missbrauch. Zwischen dem Schutz der Daten und produktiver Arbeit mit den Unternehmensinformationen besteht immer ein Zielkonflikt, der möglichst ausbalanciert gelöst werden muss. Zentrale Überwachungsrichtlinien hingegen sollen die Sicherheit der Daten eines Unternehmens gewährleisten. Eines ihrer vorrangigen Ziele ist die Einhaltung von Regulierungsanforderungen. Industriestandards wie SOX, HIPPA, PCI etc. fordern von den Unternehmen strikte Regelkonformität bezüglich Informationssicherheit und Privatsphäre. Die Sicherheitsüberwachung beweist die Einhaltung dieser Standards. Ausserdem dienen diese dazu, anormale Verhaltensweisen aufzudecken, Lücken im Sicherheitssystem festzustellen oder Spuren für forensische Analysen zu sichern. Es ist klar, dass die Definition von Unternehmensrichtlinien ein Top-Management-Thema sein muss. Die Richtlinien definieren grösstenteils, wie ein Unternehmen zusammenarbeitet und wie der Umgang mit sensiblen Daten zu handhaben ist. Für eine Bank, eine Versicherung oder ein Spital gelten sehr viel härtere Überwachungsrichtlinien als zum Beispiel für ein Marketingunternehmen. Dafür müssen bei Letzterem die Zugriffsrichtlinien sehr gut überdacht sein, um die teamübergreifende Projektarbeit optimal zu unterstützen. Lesen Sie auf der nächsten Seite: Verfügbare Daten identifizieren

Um die verfügbaren Daten zu identifizieren, wurden bis anhin meist Ordner erstellt, die mit vordefinierten Zugriffs- und Überwachungsricht­linien versehen waren. War eine Datei in einem Ordner abgelegt, griffen die Richtlinien, regelten den Zugriff und identifizierten die dort abgelegten Dateien in ihrer Sicherheitsklassifikation. Dieses Konzept greift heute – angesichts (internationaler) Projektarbeit, Archivierung, Selbstklassifikation und multipler Endgeräte – zu kurz. Um eine verbesserte Identifikation zu erreichen, müssen weitere Parameter erfasst werden: Wer ist Urheber, wer Benutzer der Datei? Welches Gerät wird gerade verwendet? Auf welchen Typ Daten wird zugegriffen? Die Daten selbst müssen unabhängig von ihrem Speicherort mit einer Sicherheitsklassifizierung ver­sehen werden können. Diese muss mit dem Benutzer der Datei und mit der Art des Zugriffs abgeglichen werden können.

Liegen nun die Daten identifiziert vor, müssen die Zugriffsrechte darauf angewendet werden. Dynamic Access Control (DAC) von Windows Server 2012 lässt neu breitere Zuweisungen über die Art der vorliegenden Daten sowie über Typen von Benutzern zu. Die Hauptneuerungen betreffen: - Die Definition zentraler Zugriffs- und Überwachungsrichtlinien im Active Directory. Diese basieren auf Ausdrucksbedingungen, die Unternehmensanforderungen in die Anwendung von Zugriffsrichtlinien übersetzen und eine signifikante Reduktion der notwendigen Sicherheitsgruppen mit sich bringen. Dabei wird festgelegt, wer der Benutzer ist, welches Gerät er verwendet und auf welche Daten zugegriffen wird. - Integration von Claims in die Kerberos-Windows-Authentifizierung, sodass Benutzer und Geräte nicht nur über Sicherheitsgruppen beschrieben werden, sondern über Ausdrücke wie «Der Benutzer ist in der Finanzabteilung tätig» oder «Die Sicherheitsstufe des Geräts ist hoch». - Erweiterung der Klassifizierungsinfrastruktur der Dateien, um Benutzern eines Unternehmens oder einer Abteilung zu ermög­lichen, ihre Informationen zu klassifizieren. Damit können IT-Administratoren Richtlinien basierend auf dieser Klassifizierung erstellen. Diese Funktionalität arbeitet Hand in Hand mit der automatischen Dateiklassifizierung. - Integration der RMS-Dienste (Rights Management Services), um automatisch sensible Informationen zu schützen und diesen Schutz aufrechtzuerhalten, wenn die Daten den Server verlassen. Darüber hinaus unterstützt Windows Server 2012 seine Administratoren beim Festlegen von Überwachungsrichtlinien, die registrieren, welche Informationen von welchen Benutzern verwendet wurden – unabhängig vom Speicherort. Dadurch wird eine umfangreichere und zielsicherere Überwachung möglich als bisher. Zum Beispiel: - Aufdecken von Personen, die über keine hohe Sicherheitsstufe verfügen und dennoch ver­suchen, auf vertrauliche Dokumente zuzugreifen. - Überwachung von Personen, die nicht zu einem bestimmten Projekt gehören, aber dennoch versuchen, Informationen darüber zu erhalten. - Zusätzlich wird die Klassifizierung von Informationen in den Überwachungsprotokollen festgehalten, sodass ein Ereignisbericht lauten könnte: «Wer hat in den letzten drei Monaten auf hochsensible Informationen zugegriffen?»