5. Juli 2013 - Datensicherheit und Rechtemanagement

Best Practice: Einführung einer Lösung zum konsistenten User- und Rechtemanagement

NTFS-Berechtigungen regeln den Zugriff auf Dokumente und Ressourcen und tragen deshalb in hohem Maße zur Datensicherheit bei. Die notwendigen Werkzeuge, um die NTFS-Berechtigungen komfortabel im Griff zu haben, liefert Microsoft leider nicht. Third-Party-Tools können diese Lücke nachhaltig schließen – wenn man einige Regeln beachtet.

einfuhrung-einer-losung-zum-konsistenten-user-und-rechtemanagement.jpeg
Wer darf Zugriff worauf haben? Berechtigungskonzepte sorgen für den Überblick. (Bild: Thinkstock)

Wenn vom Datenschutz gesprochen wird, ist oft die Datensicherheit gemeint. Datenschutz zielt auf den Schutz vor missbräuchlicher Verarbeitung von Daten und ist der Schutz des Rechts auf informationelle Selbstbestimmung. Datensicherheit hingegen meint die Verhinderung eines unberechtigten Zugriffs bzw. Maßnahmen, welche unberechtigte Zugriffe auf schon gespeicherte Daten ausschließen.

In diesem Sinne ist radikale Datensparsamkeit bzw. Datenvermeidung der beste Datenschutz: Was nicht vorliegt, kann auch nicht missbraucht werden.

Wie sieht es aber mit der Sicherheit jener Daten aus, die notwendigerweise vorliegen bzw. entstehen? Geschäftsunterlagen, Produktionspläne, Verträge, Schriftwechsel in digitaler Form liegen in jedem Unternehmen, in jeder größeren Organisation vor und es besteht ein vitales Interesse daran, diese Daten zu schützen. Diese Aufgabe obliegt den IT-Abteilungen und ist durchaus praktischer Natur.

Allerdings ist die Entscheidung, ob und in welchem Maße man die Sicherheit seiner Daten schützt, nicht ganz dem Belieben von Firmen und Organisationen und ihrem Sicherheitsbedürfnis überlassen: Es gibt klare Regelungen im Bundesdatenschutzgesetz (§ 9 BDSG), die z.B. vorschreiben, dass, wer mit personenbezogenen Daten arbeitet (sie erhebt, nutzt oder verarbeitet), verpflichtet ist, durch technische und oder organisatorische Maßnahmen sicherzustellen, dass die Sicherheits- und Schutzanforderungen des Gesetzgebers erfüllt werden.

Zugriffskontrolle & Co.

Eine explizit erwähnte Forderung ist die Zugriffskontrolle. Es muss gewährleistet werden, dass die zur Benutzung von EDV-Anlagen Berechtigten ausschließlich auf Inhalte zugreifen können, auf welche sie aus Gründen ihrer Position im Arbeitsprozess Zugriff haben müssen. Darüber hinaus gibt es die Pflicht sicherzustellen, dass personenbezogene Daten bei der Verarbeitung und Nutzung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.

Eine wesentliche und vom Gesetzgeber geforderte Maßnahme (TOMs gemäß Anlage zu § 9 BDSG), um diese Datensicherheit zu gewährleisten, besteht in einem durchdachten und konsequent durchgesetzten Berechtigungskonzept: Wenn der Zugang zu Dokumenten nicht von Gewohnheit und Komfortbedürfnissen, sprich: Bequemlichkeit, geregelt ist, sondern ausschließlich dem jeweiligen Aufgabenbereich dient, ist schon viel, wenn nicht alles gewonnen. Denn weder unangemessene Neugier noch kriminelles Interesse führen zum Erfolg, wenn sensible Daten gar nicht erst für alle sichtbar (Listrechte!) und auch nicht dem Zugriff aller ausgeliefert sind.

Im Zusammenhang mit dem äußeren Schutz des Netzwerks (Firewall, Virenscanner, gesicherte Verbindungen), der internen Kontrolle durch Maßnahmen der Content Security (angewendet auf Mail, Web und Instant Messaging) und einer wirksamen Schnittstellenabsicherung bieten konsistente und durchdachte Zugriffsberechtigungen einen hervorragenden Schutz vor dem Verlust von sensiblen Daten.

Nun ist aber ein komfortables Management von NTFS-Berechtigungen nur mit Microsoft-Bordmitteln in größeren IT-Umgebungen praktisch ausgeschlossen, ohne geeignete Werkzeuge von Drittanbietern ist diese Aufgabe unmöglich zu bewältigen. Im konkreten, hier vorgestellten Fall wurde 8MAN ausgewählt, ein Werkzeug der Firma protected-networks.com zur Visualisierung, Verwaltung und Vergabe von NTFS-Berechtigungen, das inzwischen auch andere sensible Bereiche abdeckt: Sharepoint, Exchange, VMware, Protokollierung von Zugriffen auf ausgewählte Ordner, Dateien und AD-Objekte.

Die Wahl fiel auf 8MAN wegen seiner Anwenderfreundlichkeit, der unkomplizierten Integration und der Möglichkeit, über Zusatzmodule komfortabel auch andere Ressourcen einzubinden, auszuwerten und zu verwalten.

Aufgabenstellung: Einführung einer Lösung zur User- und Berechtigungsverwaltung in einem Microsoft-Netzwerk (AD)

Damit werden folgende Ergebnisse beabsichtigt:

  1. Visualisierung der Berechtigungssituation
  2. Vereinfachung der AD-Administration
  3. Vereinfachung der Berechtigungsverwaltung
  4. Sicherstellung der BSI-konformen Dokumentation und Nachvollziehbarkeit der Administration

Umsetzung

Die Lösung 8MAN wurde zielgenau für die oben beschriebenen Anforderungen entwickelt. Die Einführung gliedert sich in folgende Arbeitsschritte:

  1. Installation, Konfiguration und Dokumentation (Block 1)
  2. Schulung an dem Produkt nach Vorgaben zur Verwendung (Block 1)
  3. Sichtung der aktuellen Berechtigungssituation und Anpassung des alten oder Entwicklung eines neuen Berechtigungskonzeptes (Block 2)
  4. Migration der alten Berechtigungen in das neue Berechtigungsmodell (Block 3)

Block 1 – Installation und Schulung – Ablauf (3 Tage)

Für die Installation sollten vom Auftraggeber folgende Rahmenbedingungen geschaffen werden:

technische Anforderungen:
mindestens: 1 Windows Server 2008 R2, 4GB RAM, 50GB HDD, SQL Express 2008 R2, Dual-Core-Prozessor, administrative Accounts für den Zugriff auf das AD und die Fileserver.
empfohlen: 1 Windows Server 2008 R2, 8GB RAM, 50GB HDD, SQL Express 2008 R2, Quad-Core-Prozessor, administrative Accounts für den Zugriff auf das AD und die Fileserver.

Die Installation von 8MAN erfolgt als erster Schritt. Danach werden die Zielsysteme in 8MAN eingebunden (AD + Fileserver). Nach der Einbindung wird 8MAN die kompletten benötigten Informationen in die SQL-Datenbank importieren. Die Dokumentation erfolgt während der Installation (ca. 4 Stunden).

Nach der ersten Sichtung der bestehenden Konfiguration werden die Einstellungen für die Administration der Berechtigungen über 8MAN angepasst. Hier geht es vor allem um die Strategie der Namensvergabe für Gruppen und nach welchem Modell die Gruppen für die Berechtigungsvergabe aufgebaut werden sollen – A-G-DL-P. Außerdem muss die Strategie für die Vergabe der Listberechtigungen entwickelt werden. Das erfolgt unter Beachtung der zu erwartenden Gruppen ausgehend von der zu verwaltenden Berechtigungstiefe in den Verzeichnissen. (ca. 4 Stunden)

Für die erfolgreiche Nutzung von 8MAN wird eine ausführliche Schulung durch einen erfahrenen 8MAN-Consultant dringend empfohlen. Der Consultant sollte innerhalb der Schulung auf folgende Themen eingehen (2 Tage):

  • Wie kann man mit 8MAN User anlegen und welche Punkte sind dabei zu beachten (evtl. durch Unterstützung von Skripten)?
  • Wie können Gruppen mit 8MAN angelegt werden?
  • Wie können die Gruppenverschachtelungen des AD mit 8MAN bearbeitet werden?
  • Wie können temporäre Gruppenmitgliedschaften gebildet werden?
  • Wie kann ein sauberer Prozess für den Abteilungsübergang mit 8MAN abgebildet werden; alte Berechtigungen sollen nach Zeitraum X nicht mehr zugewiesen sein?
  • Wie können Passwörter zurückgesetzt und User deaktiviert/gelöscht werden?
  • Wie können neue Verzeichnisse erstellt werden?
  • Wie können die Berechtigungen manipuliert werden über 8MAN?

Detailliertes Eingehen auf die unterschiedlichen Methoden des Gruppen-Wizards mit 8MAN (ca. 1 Tag):

  • Wie können temporäre Berechtigungen auf Verzeichnisse vergeben werden?
  • Dokumentation und Reporting-Funktionen
  • Einrichten des Zugriffs auf 8MAN für die DataOwner
  • Einrichten von regelmäßigen Reports
  • Logging-Funktionen für das revisionssichere Audit von Berechtigungen

Alle Punkte werden in praktischen Übungen vertieft.

Block 2 – empfohlen – Entwicklung eines neuen Berechtigungskonzepts (1 Tag)

Erfahrungen zeigen, dass es bei den meisten Kunden notwendig ist, das bisherige Berechtigungskonzept zu überdenken und anzupassen. Dazu gehört auch, dass die bisher vergebenen Berechtigungen gesichtet und auf ihre innere Logik überprüft werden. Nach Rücksprache mit den Fachabteilungen ist oft ein Aufräumen der Berechtigungen erforderlich.

Block 3 – empfohlen – Migration der Berechtigungen (5-15 Tage, nach Aufwand)

Die Microsoft-Bordmittel stellen leider nur unzulängliche Unterstützung für die Administration von Berechtigungen zur Verfügung. Das führt dazu, dass in den meisten Unternehmen und Organisationen das Aufräumen der Berechtigungen dringend notwendig ist. Mit Hilfe der Reportingfunktionen und des Gruppenwizards von 8MAN kann die Migration schnell und ohne schädlichen Einfluss auf die tägliche Arbeit umgesetzt werden.

Ziel ist es jetzt, zu optimalen Berechtigungen zu kommen. In diesem Schritt werden deshalb auch fileserverweit alle Berechtigungen auf 8MAN umgestellt, denn erst nach der Umstellung der Berechtigungen auf „8MAN-AD-Gruppen“ kann 8MAN seine volle Leistung erzielen. Danach werden alle Berechtigungen halbautomatisch durch 8MAN verwaltet (Gruppen erzeugen, konsistent halten, löschen).

Für diese Maßnahme ist es von großer Bedeutung, den Kommunikationsprozess mit den Dateneigentümern aufzubauen und so „angenehm“, also so einfach wie möglich zu gestalten: Denn es sind die Dateneigentümer, die wissen, wie die Berechtigungen sein sollen. Hier gilt es, die gebotenen Möglichkeiten von 8MAN auszuschöpfen.

Die Berechtigungen werden dann in enger Zusammenarbeit mit den Kollegen aus der IT und dem Consultant neu gesetzt. Das kann nach Abstimmung durchaus auch im laufenden Betrieb erfolgen.

Last but not least:

Eine letzte ‚Lücke‘ in der Daten- und IT-Sicherheit überhaupt ist übrigens struktureller Art und nicht zu schließen: Der berechtigte und zuständige Mitarbeiter. Dort muss Vertrauen greifen, Vertrauen vorhanden sein. Denn wer totale Sicherheit will, tut am Ende alles selbst…

Thomas Gomell
Thomas Gomell, Geschäftsführer der aikux.com GmbH, war Mitgründer der protected-networks.com GmbH und maßgeblich verantwortlich für das Produktdesign von 8MAN, der Referenzsoftware für die Visualisierung und das Management von NTFS-Berechtigungen. Die aikux.com ist ein Spezialdienstleister im IT-Bereich aus Berlin mit der Fokussierung auf Berechtigungsmanagement und Berechtigungsanalyse.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln