Sensible Daten in SharePoint: Neue Sicherheits- und Governance-Standards

Sensible Daten in SharePoint: Neue Sicherheits- und Governance-Standards

By Jai Dargan | January 12, 2017

Was passiert, wenn Sie Ihre User fragen würden, wo sie sensible Unternehmensdaten speichern, wie z.B. Daten, die personenbezogene Informationen oder geistiges Eigentum enthalten? In Unternehmen, die eine oder eine Kombination von mehreren Kollaborationsplattformen für die virtuelle Zusammenarbeit, wie SharePoint, Office 365, Box, Dropbox und G Suite, bereitgestellt haben, ist diese Frage nicht immer leicht zu beantworten.

Fangen sie mit einer Definition des Konzepts "sensibler Daten" an

Beginnen wir mit folgender Fragestellung: Wie definieren Stakeholder das Konzept "sensibler Daten" an sich? Was beinhaltet es, und was nicht? 
Allgemein umfassen sensible Daten personenbezogene Informationen, Finanzdaten und geistiges Eigentum von Unternehmen; im Falle einer Exposition solcher Daten würde dies nachteilige Auswirkungen für die Wettbewerbsstellung des Unternehmens mit sich bringen.

Und auch wenn die Geschäftsführung eines Unternehmens zwar ein allgemeines (wenn auch nicht schriftlich fixiertes) Konzept davon hat, was als "sensible Daten" zu betrachten ist, so kann diese Definition unter den Knowledge Workern, d. h., denjenigen, die solche Informationen täglich erstellen, bearbeiten, freigeben und löschen, recht schwammig sein. Dies ist besonders problematisch, denn wenn die Endnutzer nicht eindeutig wissen, welche Arten von Daten bzw. Informationen als sensibel einzustufen sind, besteht die Gefahr, dass vertrauliche Daten nicht ausreichend geschützt und damit also bereits exponiert worden sind. Daher wird eine feste Definition des Konzepts "sensibler Daten" Ihrem Unternehmen helfen, diejenigen Daten als vorrangig zu klassifizieren, die geschützt werden müssen, um eine bessere Durchführung von Maßnahmen zur Überwachung, Prüfung und Sicherung sensibler Daten sowohl vor als auch nach einem möglichen Vorfall zu ermöglichen.

Beugen Sie der Verletzung der Datensicherheit vor

Ein Verständnis darüber, was sensible Daten sind – und was nicht – kann Ihrem Sicherheitsteam bei der Reaktion auf eine Verletzung der Datensicherheit eine Planungshilfe sein. Bei dieser Reaktionsplanung geht es vorrangig um die Notwendigkeit zu bestimmen, welche Daten wo kompromittiert wurden, und um die Suche nach beweiserheblichen Anhaltspunkten, die auf den Täter hinweisen. Daher kann ein Verständnis darüber, welche Daten für einen Angreifer mit Wahrscheinlichkeit von hohem wert sein werden (wie z. B. finanzielle Kontoinformationen und Sozialversicherungsnummern), einem Sicherheitsteam helfen, sich auf die Prävention von Diebstahl oder den Verlust der Daten eines Unternehmens zu konzentrieren.

Fertigen Sie eine Bestandsaufnahme an (und wiederholen Sie diese)

Die Anfertigung einer umfassenden Bestandsaufnahme sensibler Daten ist in Bezug auf Sicherheit und Governance eine Notwendigkeit. Kurzum: Wenn Sie keinen Überblick darüber haben, wo all Ihre sensiblen Dateien abgelegt sind, werden Sie diese auch in keiner Weise angemessen schützen können.

Wenn sensible Daten von einem Unternehmen bei SharePoint 2007 innerhalb seiner SharePoint Farm und nicht nur auf Netzlaufwerken gespeichert wurden, dann entsprach das Standardsicherheitsmodell wahrscheinlich einer Mischung von Berechtigungsverwaltung und Prüfung. Ein SharePoint-Administrator war gewöhnlich für die Zugangskontrolle für eine 'sensible’ Website mittels Verwaltung von Benutzerberechtigungen zuständig, möglicherweise bei gleichzeitiger Prüfung der Websiteaktivitäten und des Zugangs im Falle von reellen Sicherheitsbedenken hinsichtlich des Zugriffs auf die Website.

Diese Art von Umkreissicherheitsprinzip funktionierte in der Vergangenheit, und zwar teilweise, weil die Unternehmen SharePoint nicht als den Hauptspeicherplatz für sensible Daten betrachteten. Doch heute haben sich die Zeiten geändert! Jetzt, zehn Jahre später, sind Plattformen für die virtuelle Zusammenarbeit und Content Management Systeme die wesentliche Grundlage eines digitalen Arbeitsplatzes, insbesondere für Unternehmen, deren Mitarbeiter virtuell vernetzt sind. Sensible Inhalte werden von Endbenutzern über eine Reihe von Plattformen (nicht nur SharePoint) erstellt, gespeichert und freigegeben, und die Benutzer arbeiten über eine Vielzahl von verschiedenen Geräten (wie Tablets, Smartphones, Laptops...) mit nicht öffentlichen Firmendaten.

Unternehmen müssen kontinuierlich bewerten und neubewerten, wo Daten existieren, so sie existieren sollten, und wo nicht. Eine routinemäßige Anfertigung von Bestandsaufnahmen der Inhalte ist eine absolute Notwendigkeit, weil die Daten ständig in Bewegung sind. Dateien werden täglich kopiert, dupliziert und freigegeben. Ohne Kontrolle und Überwachung der "Lebensräume" der Daten können diese nicht in angemessener Weise geschützt werden.

Umsetzung einer Governance-Strategie

Bei Metalogix ist das Information Governance in aller Munde, sowie die Frage, warum SharePoint Governance für jedes Unternehmen ein kritisches Thema ist – nicht nur für diejenigen in regulierten Branchen mit strengen Datenschutzrichtlinien.

Die Governance-Planung kann einem Unternehmen helfen, seine Geschäftsziele und Anforderungen der Endnutzer an eine Plattform wie SharePoint mit seinen Informationssicherheits- und Compliance-Erfordernissen abzugleichen.
Innerhalb dieses Prozesses kann eine gute Governance zu einer besseren Rendite führen, denn eine gut geführte SharePoint-Plattform wird den Nutzern letztendlich helfen, zu verstehen, wie die Plattform effizient und sicher genutzt werden kann und wie sie ihren Bedürfnissen der Echtzeit-Zusammenarbeit gerecht werden kann.

Weil Daten ständig in Bewegung sind und weil mit jeder Stunde eine immer größere Datenmenge auf die SharePoint-Plattform einströmt, sollten Systemadministratoren sich darüber im Klaren sein, welche Arten von Governance-Richtlinien am besten geeignet sein werden, um den Zugriff der Endnutzer im Verhältnis zu den Anforderungen in Bezug auf die Datensicherheit abzuwägen.

Wie sicher sind also nun Ihre sensiblen Daten in SharePoint? Wenn Sie das nicht genau einschätzen können, ist Ihr Unternehmen mit Wahrscheinlichkeit gefährdet.
Wir empfehlen Ihnen, sich das Live-Demo von Metalogix Sensitive Content Manager anzusehen. Hier erfahren Sie, wie Sie Inhalte mit personenbezogenen Informationen erkennen, klassifizieren und sichern und wie Sie das On-Demand-Scanning sowie den Echtzeit-Schutz aktivieren können.


Jai Dargan

Jai Dargan is a Senior Director of Product Management at Metalogix, where he directs the strategy Metalogix’s security and compliance solutions. In this capacity, Jai guides the direction of Metalogix products aimed at securing content collaboration, including ControlPoint, Sensitive Content Manager, and Insider Threat Index. Prior to Metalogix, Jai was a co-founder at Pim Labs, LLC, a startup company (acquired by Metalogix) that built solutions for securing social networks and sensitive content. He holds a Masters Degree from Georgetown University and an undergraduate degree from New York University.

Written By: Jai Dargan

Leave a Comment

Add new comment