Abschalten von gefährdeten Servern ist kein Tabu mehr

10 Thesen zu Data Governance 2012

| Autor / Redakteur: Arne Jacobsen / Ulrike Ostler

Einfach die Daten wegsperren ist keine Lösung.
Einfach die Daten wegsperren ist keine Lösung.

Analysten haben nachgewiesen, dass IT-Abteilungen mehr als 95 Prozent aller Dateizugriffe nicht überprüfen. Viele IT-Verantwortliche sehen dies inzwischen als einen Fehler, der verheerende Auswirkungen nach sich zieht. Und viele Unternehmen wollen diese Situation so schnell wie möglich ändern.

Der US-amerikanische Sicherheitsanbieter Varonis diskutiert mit seinen Kunden wie sie sich mithilfe von automatisierten Daten-Management-Lösungen einen Überblick über ihre digitalen Objekte verschaffen. Im Rahmen dieser Projekte planen IT-Verantwortliche drastische Maßnahmen, um die Datensicherheit zu garantieren. Tatsächlich ist es kein Tabu mehr, gefährdete Server auszuschalten oder den Zugriff auf E-Mails zu sperren.

Ein Varonis Kunde hat vor kurzem die Richtlinie „Kein sichtbarer Audit-Trail – keine E-Mails“ eingeführt. Die neue Regel lautet: Kann die IT-Abteilung bestimmte Nachrichten nicht zurückverfolgen und überprüfen, dürfen die Mitarbeiter sie nicht verwenden. Gleichzeitig sperren die IT-Verantwortlichen den E-Mail-Server möglicherweise.

Für ein anderes Unternehmen ist die Auditing-Funktion derart wichtig, dass die IT-Abteilung nun Richtlinien für Dateisysteme definiert. Ab diesem Jahr schalten die Verantwortlichen Server ab und ziehen E-Mails aus dem Verkehr, wenn sie die damit verbundenen Risiken nicht abschätzen können.

Wem gehören die Daten? Ein erster Schritt zur Sicherheit

Wie groß die Risiken sein könnten, zeigt eine Untersuchung von Varonis – in typischen Unternehmen sind für mehr als 50 Prozent der Daten auf Dateisystemen, NAS-Geräten, Sharepoint-Sites und E-Mail-Systemen keine Data-Owner festgelegt. Und diese Zahlen machen eindrucksvoll klar – um die Datenrisiken in den Griff zu bekommen, ist das Sperren nur ein erster kleiner Schritt, dem weitere folgen.

Eine Empfehlung ist es die Zugriffsberechtigungen für das Personal stark zurückzunehmen. Heute kann jeder Mitarbeiter auf weit mehr Daten zugreifen, als dies der Fall sein sollte.

Ergänzendes zum Thema
 
Zehn Thesen zu Datenintegrität

Die Folgen? Viele IT-Abteilungen bemerken nicht, wenn ein Mitarbeiter auf einen Schlag Tausende von Dateien löscht oder aus den Speichern kopiert. Dabei sind die Organisationen gezwungen sich mit der Frage zu befassen, wer wann auf welche Daten zugreift – und zu welchem Zweck er die Daten nutzt.

Bedrohungen von innen bereiten Unternehmen große Sorgen

Vier Typen von Metadaten sind im Zusammenhang mit Datenverwaltung als kritisch einzustufen:
Vier Typen von Metadaten sind im Zusammenhang mit Datenverwaltung als kritisch einzustufen: (Bild: Varonis)

Denn die Bedrohungen von innen stellen eine mindestens genauso große Gefahr dar wie Angriffe von außen. Bei vielen Sicherheitsvorfällen im Jahr 2011 waren Mitarbeiter oder Lieferanten in der Lage, Tausende von Dateien zu löschen oder herunterzuladen, ohne dass ein Eigentümer der Daten oder eine IT-Abteilung auch nur Verdacht geschöpft hätte.

Bei der Untersuchung vieler Angriffe konnte niemand feststellen, auf welche sensiblen Daten welcher Mitarbeiter Zugriff hatte oder noch hat. Auch konnten die IT-Abteilungen keinen Audit-Trail erstellen, um im Nachhinein zu ermitteln, was genau die Einbrecher gestohlen haben.

In einem ersten Schritt erkennen jetzt die Organisationen, dass die manuellen und Jahrzehnte alten Ansätze beim Daten-Management und -schutz nicht mehr funktionieren. Gemeinsam mit Varonis diskutieren sie die Bedrohungen aus dem Inneren ihres Unternehmens und prüfen was sie mit Verbesserungen in den Bereichen Zugriffskontrolle, Auditing, Klassifizierung, Data Ownership und Autorisierung bewirken.

Ein anderes Beratungsprojekt von Varonis hat die Gefahren sehr plastisch gemacht. Der Kunde führte ein Experiment durch: Management und IT-Abteilung sollten versuchen, die Data-Owner von 7.000 Verzeichnissen zu finden.

Automatisierung des Daten-Managements

Beim Einsatz der herkömmlichen Methoden lag die Erfolgsrate erschreckend niedrig. Lediglich für 22 Prozent der Daten konnte das Management die Verantwortlichen bestimmen. Im Umkehrschluss heißt das: Die Organisationen können mehr als Dreiviertel der Daten keinem Eigentümer zuordnen.

Und dies ist nur die Bestandsaufnahme für einen kleinen Augenblick – denn das Datenvolumen in diesem und in allen anderen Unternehmen steigt von Tag zu Tag rasant an. Und ist es für die Organisationen schon schwierig einen Data-Owner zu identifizieren, stellt sich die Frage, ob die Führung des Unternehmens in Zukunft überhaupt irgendeine Entscheidung zum Datenmanagement und -schutz treffen kann.

Die Lösung, die Varonis dem Kunden vorschlug, war die Automatisierung des Daten-Managements. Mithilfe von Automatisierungs-Tools sammeln die Verantwortlichen Wissen über ihre Daten: Wo sind sie gespeichert? Wer hat Zugriff darauf? Wie können sie genutzt werden? Wer darf sie nutzen?

Der Autor:

Arne Jacobsen ist bei Varonis Systems Director Deutschland, Österreich und Schweiz .

Was meinen Sie zu diesem Thema?
von: Furutan Celebi, Research Manager EMEA Telecommunications & Networking bei IDC in...  lesen
posted am 24.02.2012 um 13:52 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 32099050 / Strategien)