Data Access Governance: Zugriffskontrolle bis ins letzte Detail
Um in unserer digitalisierten Welt bestehen zu können, müssen Unternehmen nicht nur enorme Mengen an Daten sammeln, speichern und verarbeiten, sondern diese auch vor unberechtigtem Zugriff schützen. Data Access Governance (dt. etwa Datenzugriffskontrolle) bezeichnet die Fähigkeit, Berechtigungen auf individuellen Dateien bis ins kleinste Detail zu steuern und nachzuvollziehen.
Die wichtigsten Erkenntnisse im Überblick:
Während Access Management und Identity Governance übergeordnete IT Privilegien steuern, bietet Data Access Governance tiefgehende Kontrolle über Dateizugriff und einzelne Objekte.
Die wesentlichen Funktionen einer Data Access Governance Lösung sind zentrales Reporting, automatisierte Zugriffssteuerung sowie regelmäßige Access Reviews.
Die mitgelieferten DAG Funktionen in Systemen wie AD und M365 sind nicht ausreichend, weshalb Organisationen auf passende externe Lösungen angewiesen sind.
Was ist Data Access Governance?
Unter Data Access Governance (DAG) versteht man eine Kombination aus Regeln, Prozessen und Technologien, die es Organisationen erlaubt im Detail zu kontrollieren, auf welche Daten IT-Benutzer zugreifen können.
Beschäftigte in modernen Unternehmen brauchen reibungslosen Zugriff auf eine Vielzahl an Daten, um ihrer Arbeit nachgehen zu können. Gleichzeitig müssen Firmen sensible Informationen wie Mitarbeiterdaten, Kundendaten und Geschäftsgeheimnisse vor ungewünschten Zugriff schützen. Das macht Data Access Governance zu einer entscheidenden Kompetenz für Unternehmen.
Experten sprechen bei diesem Balanceakt vom Prinzip der geringsten Privilegien bzw. Least Privilege Prinzip: User dürfen nur zwingend erforderliche Berechtigungen erhalten. Das Least Privilege Prinzip bildet die Grundlage moderner IT-Sicherheitsstrategien wie Zero Trust und lässt sich nur mithilfe von Data Access Governance erfolgreich umsetzen.
Während Access Management sich mit übergeordneten IT-Privilegien befasst, etwa Berechtigungen für bestimmte Apps, Systeme oder Verzeichnisse, geht es bei Data Access Governance darum, den Zugriff auf Daten detailgenau zu steuern, bis hin zu individuellen Ordnern oder Cloud-Dateien.
Was sind unstrukturierte Daten?
Der Großteil an Informationen, den Unternehmen verarbeiten, befindet sich in unstrukturierten Daten. Um die Herausforderungen der Zugriffssteuerung auf Dateien zu verstehen, müssen wir daher zuerst diesen Begriff erklären.
Unter strukturierten Daten versteht man Informationen, die für die Speicherung in Datenbanken formatiert und daher einfach maschinell lesbar sind. Im Gegensatz dazu gibt es unstrukturierte Daten in vielen unterschiedlichen Formaten: Bilder, Videos, Textdokumente, Sprachaufnahmen und viele weitere. Unstrukturierte Daten bilden den überwiegenden Teil an Daten, mit dem Menschen im Arbeitsalltag interagieren.
Die enorme Flexibilität und Vielfalt von unstrukturierten Daten ist einerseits eine große Stärke, macht diese jedoch auch schwer abzusichern. Denn anders als bei einer Datenbank lässt sich bei einer Text-Datei kaum von außen beurteilen, ob diese sensible Finanzdaten enthält oder lediglich Notizen aus einem Meeting.
Warum ist Data Access Governance so wichtig?
Beim Zugriff auf Daten gilt: Der Teufel steckt im Detail. Es genügt nicht zu wissen, das ein Benutzer Zugriff auf den Fileserver und SharePoint hat. Um unerwünschte Zugriffe zu stoppen müssen Organisationen sich auch im Klaren darüber sein, auf genau welchen Objekten Benutzer berechtigt sind. Ohne den tiefgehenden Überblick einer Data Access Governance Lösung können Probleme leicht übersehen werden.
Ein Beispiel: Alice und Bob, zwei Mitglieder der Personal-Abteilung, haben die Aufgabe, die nächste Firmenfeier zu planen. Um Einladungen für das Event zu entwerfen, ziehen sie Charlie aus dem Design-Team hinzu. Sie laden Charlie in den Teams-Kanal der Personal-Abteilung ein, wo bereits erste Entwürfe und ein Zeitplan der Feier liegen.
Das Problem? Neben den gewünschten Dokumenten hat Charlie jetzt auch Zugriff auf alle anderen Dateien in diesem Kanal, einschließlich der persönlichen Daten vieler Mitarbeitender. Informationen, zu denen niemand außer HR Zugang haben sollte. Trotzdem läuten bei diesem Prozess keinerlei Alarmglocken. Der Chef der Personalabteilung erhält keine Benachrichtigung über den neuen User in seinem Kanal.
Wie funktioniert Data Access Governance?
Um den Zugriff auf Daten zielgenau steuern zu können, muss eine Lösung für Data Access Governance drei wesentliche Funktionen mitbringen:
Zentrales Reporting: Unternehmen speichern und verarbeiten Daten in vielen unterschiedlichen Systemen. Die Vielfalt an Apps und Tools, die Firmen heutzutage zur Verfügung steht, hat viele Vorteile. Aber sie macht es schwer, den Zugang zu Daten einheitlich zu steuern. Insbesondere, da die meisten dieser Systeme kein geeignetes Reporting mit sich bringen. Indem sie eine zentrale Übersicht aller Zugriffsrechte bereitstellen, bieten Lösungen für Data Access Governance die nötige Sichtbarkeit, um das Problem ungewollter Zugriffe in den Griff zu bekommen.
Zugriffssteuerung: Unerwünschte Berechtigungen zu identifizieren und zu entfernen ist wichtig, aber noch besser ist es sicherzustellen, dass diese gar nicht erst zustande kommen. Durch entsprechende Policies, automatische Provisionierung und Modelle wie die rollenbasierte Zugriffskontrolle (RBAC) sorgen Governance Tools dafür, dass jeder User nur die für seinen Job notwendigen Rechte erhält.
Rezertifizierung: Aufgaben und Anforderungen im Unternehmen ändern sich laufend. Um langfristig sicherzustellen, dass die Zugriffsrechte jedes Users genau zu dessen Aufgaben passen, müssen diese regelmäßig überprüft werden. Bei einem solchen Access Review überprüfen die Dateneigentümer der jeweiligen Ressource, welche Zugriffe noch benötigt werden. Überflüssige Rechte werden so entfernt, z.B. Gastzugänge die nach Ablauf eines Projekts bestehen bleiben.
Data Access Governance: Weitere Features
Neben den drei zentralen Funktionen, die eine Data Access Governance Lösung erfüllen muss, existieren zahlreiche weitere Features rund um die Zugriffskontrolle auf Daten. Viele davon überschneiden sich mit verwandten Software-Kategorien wie Tools für Data Security und Data Security Posture Management (DSPM).
Je nach den Anforderungen des eigenen Unternehmens können diese zusätzlichen Features unter Umständen eine hilfreiche Erweiterung darstellen.
Funktion | Beschreibung |
---|---|
Automated Discovery | Identifiziert Dateien und andere Assets in verknüpften IT-Systemen um sicherzustellen, dass sämtliche Daten konform verwaltet werden. |
Datenklassifizierung | Klassifiziert Dateien die sensible Inhalte wie Kontonummern enthalten und wendet Richtlinien je nach Sensitivity Label an. |
Echtzeit-Monitoring | Überwacht in Echtzeit, welche Daten Benutzer aufrufen, um sensible Informationen vor ungewolltem Zugriff zu schützen. |
User Behavior Analytics | Analysiert Benutzerverhalten um Abweichungen und verdächtige Aktivität zu erkennen, ein mögliches Frühzeichen für gestohlene Konten. |
Data Loss Prevention | Verhindert das versehentliche oder böswillige Leaken von Daten indem Informationen verschlüsselt und Freigabe-Optionen beschränkt werden. |
Data Masking | Ermöglicht das sichere Teilen von Daten indem sensible Informationen automatisch maskiert werden. |
Data Access Governance: Rechtliche Anforderungen
Den Zugriff auf sensible Informationen genau zu kontrollieren: Das bietet nicht nur Vorteile in Sachen Sicherheit, etwa das Risiko für Datenlecks und Datendiebstahl durch Mitarbeiter zu minimieren. Oft ist die genaue Zugriffskontrolle bei Daten sogar gesetzlich vorgeschrieben.
Je nachdem, in welchen Regionen ein Unternehmen aktiv ist und welche Daten es verarbeitet, können unterschiedliche Gesetze schlagend werden. Nach der DSGVO dürfen personenbezogene Daten etwa nur von einem möglichst kleinen Kreis berechtigter Personen verarbeitet werden. Auch Gesetze wie DORA oder NIS2 sehen vor, den Zugang zu Daten streng zu beschränken.
Auch darüber hinaus gibt es viele lokale und branchenspezifische Standards zu beachten, wie etwa TISAX in der Automobilindustrie. Ebenso unterliegen viele Firmen freiwilligen Sicherheitsstandards, etwa ISO 27001 oder den CIS Controls. Egal welche regulatorischen Anforderungen Sie erfüllen müssen, Data Access Governance ist eine wichtige Grundlage für die erfolgreiche Compliance.
Data Access Governance in der Praxis
Für Unternehmen ist es enorm wichtig, den Zugriff auf Daten präzise zu steuern, um schwerwiegende wirtschaftliche oder rechtliche Konsequenzen zu vermeiden. Dennoch verzichten viele Betriebe auf den Einsatz einer Lösung für Data Access Governance. Stattdessen setzen sie auf die händische Verwaltung von Zugriffsrechten und verlassen sich dabei auf die mitgelieferten Features der jeweiligen Systeme.
Doch das Vertrauen in Bordmittel kann sie teuer zu stehen kommen! Die in Systemen wie Active Directory oder Microsoft 365 mitgelieferten Funktionen reichen nicht aus, um Zugriffsrechte auf der Datei-Ebene nachzuvollziehen, geschweige denn diese effektiv zu steuern.
Um die Probleme der jeweiligen Plattformen nachvollziehbar zu machen, geben wir im Folgenden einen kurzen Überblick über die inkludierten Data Governance Funktionen samt der Lücken, die eine umfassendere Lösung notwendig machen.
Data Access Governance in Active Directory
Das Problem: Fehlende Sichtbarkeit
Die größte Herausforderung bei der Verwaltung des Dateizugriffs in Active Directory Domains und auf Fileservern ist die fehlende Transparenz. Das Hauptproblem hierbei sind explizite Berechtigungen, also Berechtigungen die nicht über Gruppen sondern direkt auf einem Objekt vergeben wurden.
Denn falls ein Benutzer über explizite Berechtigungen über einem Objekt verfügt, werden diese in seinem Account nicht angezeigt. Sie sind nur in den Eigenschaften des jeweiligen Orders bzw. Datei zu sehen. Bei tausenden Verzeichnissen sind explizite Berechtigungen damit effektiv unsichtbar.
Mögliche Workarounds
Auch wenn diese in den Eigenschaften nicht angezeigt werden, gibt es einige Wege, um explizite Berechtigungen aufzuspüren. Dazu zählen die Utility AccessEnum und das PowerShell Cmdlet Get-Acl. Damit lassen sich Einträge in der Access Control List von Objekten ermitteln, die nicht vererbt (also direkt vergeben) wurden.
Doch diese Lösungsansätze funktionieren nur, wenn das Problem bereits bekannt ist. Sie lassen sich außerdem nicht im großen Stil anwenden. Im Unterschied dazu können Lösungen für Data Access Governance problematische Berechtigungen automatisch identifizieren, sobald diese auftreten. Nur so lassen sich Daten in der eigenen Domain effektiv absichern.
Best Practices für AD Sicherheit
Die gute Nachricht ist: Das Problem der mangelnden Sichtbarkeit in Active Directory lässt sich teilweise umgehen, indem man den Best Practices für Active Directory Berechtigungen folgt. Also Berechtigungen immer über Gruppen zuzuweisen, dem AGDLP Prinzip zu folgen, rollenbasierte Zugriffskontrolle zu nutzen, sich auf die obersten Verzeichnisebenen zu konzentrieren und den Rest über die Vererbung von Rechten zu regeln.
Die schlechte Nachricht: Eine Security-Strategie, die nur funktioniert wenn alles nach Plan läuft, ist keine angemessene Security-Strategie. Bei manueller Berechtigungsvergabe geschehen früher oder später zwangsläufig Fehler – sei es aus Zeitdruck, Bequemlichkeit oder Unwissenheit. Die Frage für Organisationen lautet also: Wie können wir falsch zugewiesene Berechtigungen identifizieren, bevor diese zum Problem werden?
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Data Access Governance in Microsoft 365
Das Problem: Unkontrolliertes Teilen von Daten
Die Möglichkeit, Dokumente über Apps wie Teams, SharePoint und OneDrive zu Teilen und gemeinsam zu bearbeiten, erleichtert die Zusammenarbeit im modernen Office-Kontext enorm. Die Vorteile, die M365 in Sachen Produktivität mit sich bringt, haben aber auch einen Haken: Das Teilen von Dokumenten macht es schwer nachzuvollziehen, wer Zugriff auf die enthaltenen Daten hat.
Ähnlich wie in Active Directory liegt das Hauptproblem bei Data Access Governance in Microsoft 365 in fehlender Sichtbarkeit. Für Admins gibt es keine Möglichkeit, zentral nachzuvollziehen, wer auf welche Dateien zugreifen kann. Wurden diese in einem Teams-Kanal hochgeladen? Gibt es dort Gastbenutzer? Wurde der Link geteilt? Mit wem? Wer hat ihn tatsächlich geöffnet?
Beschränkungen für externes Teilen
Zumindest wenn es um das externe Teilen von Daten geht, gibt M365 Organisationen einige Einstellungen zur Hand, um ungewünschtes Verhalten zu stoppen. Organisationen können externe Freigaben in vier Stufen regeln: Das externe Teilen komplett untersagen, auf bestehende Gäste beschränken, neue Gäste durch einen E-Mail-Code authentifizieren oder uneingeschränktes Teilen.
Leider gibt es zwei Probleme bei diesen globalen Restriktionen:
Interne Freigaben können ebenso leicht problematische Zugriffe ermöglichen wie externe.
Die meisten Organisationen wollen das Teilen von Dateien nicht verbieten, sondern wünschen sich stattdessen mehr Überblick darüber, welche Informationen geteilt werden.
Entra Permissions Management
Im Zuge des Umbaus der Azure AD/Entra ID Produktfamilie hat Microsoft zwei bezahlte Module hinzugefügt, welche die bestehenden Funktionen im Bereich Compliance und Identity Governance erweitern. Dabei handelt es sich um Entra ID Governance, welches Lifecycle Workflows und Access Reviews unterstützt, und Entra Permissions Management, eine CIEM Lösung die beim Aufspüren und Eliminieren ungenützter Cloud-Privilegien helfen soll.
Ist das Problem damit gelöst? Leider nein. Von den zusätzlichen Kosten einmal abgesehen konzentrieren sich sowohl Entra ID Governance als auch Entra Permissions Management nur auf übergeordnete Privilegien: Zugang zu Apps, die Mitgliedschaft in M365 Gruppen oder integrierte Entra-Rollen wie Anwendungsentwickler, Teams Administrator oder Exchange Administrator.
Keine dieser Lösungen ermöglicht es nachzuvollziehen, auf welche Daten Benutzer zugreifen können.
Anders als diese Tools bietet tenfold eine zentrale Übersicht geteilter Daten, in der Berechtigungen außerhalb des Teams und außerhalb der Organisation besonders hervorgehoben werden.
Auch die Steuerung von Identitäten und übergeordneten Rechten kommt in tenfold nicht zu kurz: Als All-in-One-Lösung verbindet tenfold Lifecycle Managment, automatische Provisionierung und präzise Kontrolle über Dateizugriff.
Best Practices für das M365 Access Management
Inkludierte Tools, effiziente Verwaltung und Datensicherheit in der Cloud: Alles zum Berechtigungsmanagement in Microsoft 365!
tenfold: IAM trifft Data Access Governance
Um in der modernen, digitalen Arbeitswelt zu bestehen, müssen Unternehmen den Zugriff auf Informationen präzise und effektiv steuern. Dabei ist es gleichermaßen bedeutend, das große Ganze im Blick zu behalten und den Zugang zu Apps und Systemen zu verwalten, wie Berechtigungen bis auf die Ebene einzelner Dateien erfolgreich zu managen.
Aus diesem Grund verbindet tenfold die Fähigkeiten einer Identity & Access Management Lösung, wie User Lifecycle Management und Self-Service Funktionen, mit dem tiefgehenden Reporting und detaillierten Access Reviews einer Data Access Governance Plattform.
Das Beste dabei? Also No-Code IAM Lösung lässt sich tenfold erheblich schneller ausrollen als vergleichbare Systeme – und das ohne Abstriche beim Funktionsumfang! Überlassen Sie sicheren Zugriff nicht dem Zufall! Schützen Sie sensible Daten bis ins kleinste Detail, mit tenfold!
Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!