sommersby - stock.adobe.com

Cloud-Lösungen und die DSGVO, daran sollten Admins denken

Die Vorgaben des Datenschutzes in hybriden und heterogenen Umgebungen umzusetzen, ist eine Herausforderung. Transparenz hinsichtlich Benutzer und Daten ist eine Pflichtaufgabe.

Die Datenschutz-Grundverordnung (DSGVO/GDPR) sorgt nicht erst seit dem Ende der Übergangsfrist am 25. Mai 2018 für große Unsicherheit bei vielen Organisationen, vom kleinen Handwerksbetrieb über mittelständische Unternehmen bis hin zum weltweit tätigen Konzern. Das betrifft dabei alle Aspekte der Datenverarbeitung, vom Sammeln und Erfassen über die Verarbeitung bis hin zur Löschung der Daten.

Eine der großen Herausforderungen der Unternehmen im Lebenszyklus dieser Daten ist dabei, jederzeit auskunftsfähig zu sein, wenn ein Kunde, Lieferant, Partner, Interessent wissen möchte, welche Daten seiner Person im Unternehmen gespeichert und verarbeitet werden. Neben der Verarbeitung im Unternehmen kommt mehr und mehr das Thema Cloud, beispielsweise in der Form des mittlerweile weit verbreiteten Office 365 und Azure Active Directory aus dem Hause Microsoft hinzu.

Was heißt dies nun in der Praxis? Moderne Lösungen müssen die Unternehmen dabei unterstützen, die Vorgaben des Datenschutzes auch in diesen hybriden und sehr heterogenen Umgebungen sicher und mit möglichst geringem Aufwand umzusetzen. Dazu gehört beispielsweise Transparenz über strukturierte und unstrukturierte Datensysteme, einschließlich Windows Server, NAS-Geräte, SQL-Server, Office 365 und Active Directory. Selbstverständlich müssen sich die bestehenden Sicherheitsrichtlinien durch entsprechende Systemkonfigurationseinstellungen in diese Systeme übernehmen lassen. Die Lösungen müssen auch dabei helfen, Benutzer, Computer und Gruppen auszuwerten und Berichte darüber zu erstellen.

Es können direkte und eingebettete Gruppenmitgliedschaften und die tatsächlichen Berechtigungen von sowohl normalen als auch privilegierten Benutzern geprüft, und so beispielsweise Benutzer mit unangemessenen Zugriffsrechten identifiziert, werden. Dies reduziert schon sehr schnell und einfach das Risiko von Datenverletzungen. Die Administratoren erhalten den Status Quo, um der DSGVO entsprechend ihre Datenhaltungssysteme zu überwachen – auf erlaubte und unerlaubte Datenzugriffe.

Überwachung und Untersuchung

Doch das ist nur der erste Schritt. Ausgehend vom Status Quo, muss die Überwachung des Benutzerzugriffsverhaltens bei der Neubewertung von Prozessen und Richtlinien innerhalb Ihrer Identitätsverwaltungslösungen sinnvolle Unterstützung bieten.

Dies gilt insbesondere bei der Überwachung von Benutzeraktivitäten. So lassen sich Benutzer mit Zugriffsrechten identifizieren, die jedoch nicht genutzt werden oder ungewöhnliche beziehungsweise unerwartete Zugriffsereignisse erkennen. Hierzu ein Beispiel: Ein Unternehmen hat eine Gruppe im Active Directory mit entsprechenden Rechten angelegt. Diese AD-Gruppe umfasst 20 Benutzer und gewährt den Mitgliedern Zugriff auf die Daten der Personalabteilung.

Eine leistungsfähige Systemüberwachung wird vermutlich über einen längeren Zeitraum feststellen, dass lediglich ein kleiner Teil diese Zugriffmöglichkeit überhaupt nutzt, vielleicht nur fünf dieser zwanzig. Durch das Löschen der anderen 15 Benutzer aus der Gruppe, ungeachtet Ihrer Rollen, reduziert sich die Angriffsfläche um 75 Prozent. Ähnlich verhält es sich mit einer Lösung, die automatisch ungewöhnliches Verhalten erkennt. Die Administratoren können schnell reagieren und einen stattfindenden Angriff blockieren oder ihn zumindest melden, und den Schaden automatisch rückgängig machen.

Wichtig ist dabei, dass die Kontrolle nicht nur aktuell erfolgt, sondern auch die Option bietet, einen Blick in die Vergangenheit zu werfen.

Blick auf zurückliegende Ereignisse

Denn obwohl Angriffe oftmals sehr schnell ausgeführt werden, kann die eigentliche Ursache lange in der Vergangenheit zurückliegen. So könnte ein Angreifer beispielsweise Zugriff auf sensible Datenspeicher erhalten haben, weil eine bekannte Schwachstelle am Laptop eines Benutzers nicht repariert wurde. Möglicherweise fiel dieser Laptop durch die Änderung einer Gruppenrichtlinie vor Monaten aus dem Wartungsrahmen. Der Rückblick stellt daher sicher, dass die IT-Experten im Unternehmen die eigentliche Ursache sehr schnell finden und bewerten können. Denn vielleicht ist dieser Laptop nicht der einzige. Es lässt sich feststellen, wie viele weitere Geräte davon betroffen sein können und Richtlinien einstellen, um eine Wiederholung solcher Änderungen zu verhindern.

Hier ist wichtig, darauf zu achten, nicht einfach auf die Standardeinstellungen von Azure Active Directory und Office 365 zu vertrauen. Denn obwohl Log-Dateien vor Ort einfach über einen langen Zeitraum aufbewahrt werden können, werden sie bei Cloud-Diensten standardmäßig nur für 90 Tage gespeichert.

Bert Skorupski, Quest Software

„Eine der großen Herausforderungen der Unternehmen im Lebenszyklus dieser Daten ist dabei, jederzeit auskunftsfähig zu sein.“

Bert Skorupski, Quest Software

Eine weitere Vereinfachung stellen moderne System-Management-Plattformen für das Berichtswesen dar. In verteilten Umgebungen werden diese Reports auf zahlreiche Berichtsysteme verteilt und bieten nur wenige Details. Deshalb kann es kompliziert und zeitaufwändig, vielleicht sogar unmöglich werden, sich einen exakten Überblick über Ereignisse zu verschaffen. Die DSGVO fordert jedoch, dass Unternehmen in der Lage sind, Angriffe zu erkennen und innerhalb von 72 Stunden an die überwachende Datenschutzbehörde und die Betroffenen zu melden. Und es muss sichergestellt werden, dass jeder Angriff schnellstmöglich gestoppt wird. Deshalb müssen die Administratoren den Erkennungs- und Alarmierungsprozess vereinfachen und so schnell wie möglich gestalten.

Mit der Prüfung in Echtzeit, den eingehenden Analysen und der umfassenden Sicherheitsüberwachung aller wichtigen Konfigurations-, Benutzer- und Administrator-nderungen auf allen Active-Directory-, SQL-, Exchange- und Windows-Servern sowie auf Azure AD, Office 365, SharePoint, oder NAS-Geräten vereinfachen die umfassenden Plattform-Management-Lösungen die Berichterstellung für die Einhaltung der DSGVO und reduzieren das Risiko von Datenschutzverletzungen.

Die Lösungen helfen verdächtige Aktivitäten oder nicht autorisierten Zugriff auf Dateien oder Systeme mit personenbezogenen Daten zu erkennen, und unterstützen die IT-Fachabteilungen dabei zu ermitteln, wer wann welche Änderungen vorgenommen hat und welche Workstation für die Änderungen verwendet wurde. Auf diese Weise können Unternehmen die Datenschutzherausforderungen der DSGVO auch in modernen Cloud-Lösungen meistern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Bei Microsoft Azure die Einhaltung der DSGVO sicherstellen

Der Compliance Manager für Microsofts Cloud-Angebote

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen

Erfahren Sie mehr über IT-Sicherheits-Management