Zugriffskontrollen: Interview mit Norbert Drecker, Twinsec

Compliance für kritische Daten

Interview mit Norbert Drecker, Geschäftsführer von Twinsec, über die Notwendigkeit, Ausgestaltung und Umsetzung einer intelligenten Zugriffskontrolle

Norbert Drecker, Twinsec

Norbert Drecker, Twinsec

Die Digitalisierung der Geschäfte im Internet, nicht zu vergessen der innerbetrieblichen Abläufe, bringt es mit sich: Eine traditionelle, anwendungszentrische Datenhaltung wird aufgebrochen, aus strukturierten werden unstrukturierte Daten. Dieser Wandel stellt veränderte und höhere Anforderungen an die Verwaltung und Kontrolle der Daten. Die sensiblen Informationen und Dokumente, wo sie auch immer verarbeitet und gespeichert werden, müssen vor unberechtigter Verbreitung und Nutzung geschützt werden.

IT-DIRECTOR: Herr Drecker, weshalb stellen die vermehrt unstrukturierten Daten andere Anforderungen an die Zugriffskontrolle?
N. Drecker:
Die Zugriffskontrolle konzentrierte sich bisher auf einzelne Anwendungen, wie SAP oder Active Directory, innerhalb der die Daten verwaltet und kontrolliert wurden. Daten werden mittlerweile in einer vernetzten Welt aus strukturierten Umgebungen entnommen, um sie anschließend als unstrukturierte Daten innerhalb anderer Umgebungen wie E-Mail oder PDF zu verwenden. Somit wandern die Daten von den ursprünglichen Anwendungen in nicht kontrollierte Umgebungen.

Viele dieser Informationen und Dokumente sind hochsensibel. Sie müssen demzufolge unbedingt vor unberechtigten Zugriffen geschützt werden. Andernfalls würde Data Governance, also die Sicherheit der Daten sowie in der Folge die Compliance, darunter leiden.

IT-DIRECTOR: Welche Schlussfolgerung ergibt sich daraus für die Verantwortlichen?
N. Drecker:
Natürlich müssen die Daten innerhalb der Anwendungen weiterhin vor unberechtigten Zugriffen geschützt werden. Allerdings müssen jetzt zusätzlich die Wege von Anwendung zu Anwendung und von Speicherort zu Speicherort nachvollzogen werden. Dafür reicht der Fokus allein auf die Anwendungen nicht aus. Auch der Fluss der Daten muss verfolgt werden, wobei die Daten in kritische und weniger kritische Informationen und Dokumente unterschieden werden. Nur unter dieser Voraussetzung können die Zugriffe bis auf Datenebene gesteuert und kontrolliert, bei potentiellen Verstößen sofort Alarme ausgelöst werden.

IT-DIRECTOR: Welches Vorgehensmodell empfehlen Sie für die Umsetzung dieser intelligenten, tiefergehenden Zugriffskontrolle?
N. Drecker:
Die klassische Top-Down-Vorgehensweise ausgehend von den Anwendungen allein greift dafür zu kurz. Ergänzend dazu ist eine Bottom-Up-Vorgehensweise erforderlich. Zuerst müssen die sensiblen Daten identifiziert werden, was eine Aufgabe der Fachbereiche ist. Dann müssen die sensiblen Datenflüsse von Anwendung zu Anwendung und von Speicherort zu Speicherort verfolgt und analysiert werden. Dazu gehört es auch zu analysieren, welche Nutzer entlang des Weges auf diese Daten zugreifen, wer die Zugriffsrechte für diese Personen verantwortet und wer die erteilten Zugriffsrechte kontrolliert. Mit den gewonnenen Erkenntnissen kann ein Datenzugriffsmodell herausgebildet werden, das die Organisation, IT-Ressourcen und Geschäftsprozesse gleichermaßen berücksichtigt. Passgenau zur Sicherheitsstrategie des Unternehmens können Regeln entworfen und daran angelehnt die persönlichen Rollen mit den Zugriffsrechten definiert werden.

IT-DIRECTOR: Was hat es mit den Regeln zum Schutz sensibler, unstrukturierter Daten auf sich?
N. Drecker:
Diese Regeln, abgebildet als Rollen mit den Zugriffsrechten und als flankierende Maßnahmen, greifen von Anfang an: von der Sicherheitsstrategie über die Zugriffskontrolle bis zur Umsetzung des Regelwerks für Compliance. Anhand dieser Regeln wird festgelegt, wer auf welche Datenbestände zugreifen darf und welcher Fachverantwortliche für welche Mitarbeiter die Zugriffsrechte zu verantworten hat. Einmal fixiert, kann auch nachgeprüft werden, inwieweit sich Zugreifer und Fachverantwortliche tatsächlich an die Vorgaben gehalten haben. Sich im Ablaufsystem auftuende Lücken, werden mittels der Regeln sofort erkannt und nachweislich registriert. Auf diese Weise entsteht über alle involvierten Anwendungen und Speicherorte hinweg eine Data Governance.

IT-DIRECTOR: Gibt es für den Entwurf der Regeln Modelle?
N. Drecker:
Wir wenden für den Entwurf solcher Regeln und der Herausbildung geeigneter Kontrollen einen systematischen Data-Governance-Prozess an. Mittels dieses Prozesses können Unternehmen ihren sensiblen Datenbeständen entlang der Ausführungsketten auf den Grund gehen, die Zugreifer und Fachverantwortlichen bestimmen, angemessene Regeln entwerfen und vorgeben, granulare Kontrollen bis tief in die Anwendungen und Infrastruktur hinein etablieren und für Compliance alle notwendigen Audits und Reports bestimmen. Sogar forensische Auswertungen können mittels dieses Prozesses festgelegt werden.

IT-DIRECTOR: Wieso ist unmittelbare Alarmierung, sobald es zu potentiellen Zugriffsverstößen kommt, wichtig?
N. Drecker:
Nur wenn es sofort per Alarm an der Konsole angezeigt wird, werden potentielle Zugriffsverstöße offensichtlich. Nur unter dieser Voraussetzung ist der Operator gewarnt. Anschließend kann er möglichen Sicherheitsproblemen sofort nachgehen und schnell Gegenmaßnahmen einleiten. Die direkte Alarmierung ist mitentscheidend für die Qualität der Zugriffskon-trolle, damit auch für die Qualität der Datensicherheit und von Compliance.

IT-DIRECTOR: Gibt es Lösungen, um diese tiefergehende ­Zugriffskontrolle systematisch umzusetzen?
N. Drecker:
Bisher bietet der Markt nur wenige Lösungen. Diese erweisen sich eher schwierig in der Umsetzung sowie aufwendig im Betrieb. WhiteOps von Whitebox Security ist eine der wenigen positiven Ausnahmen. Das haben wir durch Nachforschungen und Tests herausgefunden. Mittlerweile hat Twinsec mit diesem Werkzeugset über einhundert Projekte in unterschiedlichen Umgebungen erfolgreich umgesetzt, in großen und kleinen Unternehmen. Als Datenquellen werden SharePoint, Exchange, Active Directory, Common Internet File System (CIFS), Network File System (NFS) und Network Attached Storage (NAS)-Systeme von EMC, NetApp, IBM und HP unterstützt. Ergänzende Informationen zur granularen Zugriffskontrolle können aus Human Resource-, Identity Management-, Verzeichnis- und Firewall-Systemen gewonnen werden.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok