Fast täglich gibt es in den Nachrichten Meldungen zu Datenpannen. Vor dem Hintergrund immer neuer Compliance-Vorschriften wie der DSGVO werden die Ermittlung und Klassifizierung von Daten für Unternehmen der Größe und aller Branchen immer wichtiger. Die Datenklassifizierung ist jedoch kein leichtes Unterfangen und wird nicht immer zuverlässig durchgeführt, insbesondere wenn sie den Anwendern überlassen wird. Damit Sie sich darauf verlassen können, dass alle sensiblen Daten umfassend geschützt sind, muss die Klassifizierung automatisch erfolgen und sollte auch die Identifizierung sensibler Daten beinhalten.
Im Folgenden werden verschiedene Tools für die Suche nach sensiblen Daten vorgestellt, mit denen Sie die einschlägigen Vorschriften einhalten und Datenverlust vermeiden können.
Die Dateiklassifizierungsinfrastruktur (FCI) von Windows Server
Mit Windows Server 2008 R2 wurde die Dateiklassifizierungsinfrastruktur eingeführt, um Unternehmen bei der Klassifizierung von Daten auf Windows-Dateiservern zu unterstützen. Sie ist Bestandteil des Ressourcen-Managers für Dateiserver (FSRM) und ermöglicht Systemadministratoren die Definition von Regeln, mit denen Dateien automatisch anhand unterschiedlicher Kriterien wie Speicherort und Inhalt klassifiziert werden. Anschließend werden die Daten an einen bestimmten Speicherort verschoben oder verschlüsselt.
Dateien können automatisch klassifiziert werden, indem mit Windows Search Dateifreigaben durchsucht und die gefundenen Dateien auf der Grundlage von Eigenschaften und Regeln klassifiziert werden. Anwender haben außerdem die Möglichkeit, Dateien im Datei-Explorer manuell zu klassifizieren. Alternativ können Sie Benutzern Zugriff auf Microsoft Office-Vorlagen gewähren, die bereits eingebettete Klassifizierungsmetadaten enthalten. Ein Windows PowerShell-Klassifizierungsmodul ermöglicht den Zugriff auf die API der Dateiklassifizierungsinfrastruktur und damit die programmgesteuerte Klassifizierung von Dateien. Sofern Dateien auf einem NTFS-Volume (New Technology File System) gespeichert werden, behalten sie ihre Klassifizierung bei. Die Klassifizierungsmetadaten von Microsoft Office-Dateien bleiben immer erhalten, da sie direkt in die Dateien eingebettet sind.
Für die Dateiklassifizierungsinfrastruktur sind keine zusätzlichen Lizenzen oder eine spezielle Client-Software erforderlich und die Klassifizierungseigenschaften lassen sich zentral in Active Directory verwalten. Die entsprechenden Regeln müssen jedoch auf jedem Dateiserver separat konfiguriert werden. Auch eine zentrale Berichterstellung ist nicht möglich, sondern es müssen separate Berichte für jeden Dateiserver erstellt werden.
Azure Information Protection
Azure Information Protection (AIP) ist eine cloudbasierte Lösung, mit der Unternehmen Daten mithilfe von Bezeichnungen klassifizieren können. AIP kann optional auch für den Schutz von Daten verwendet werden. AIP schützt Daten mithilfe der Azure Rights Management Services (RMS). Dabei spielt es keine Rolle, ob es sich um ruhende Daten handelt oder um Daten, die über ein Netzwerk übertragen werden. Mit der Technologie lassen sich Daten in der Cloud und in Windows Server-, Exchange- und SharePoint-Umgebungen ermitteln und klassifizieren. Ein Modul für die richtliniengesteuerte, intelligente Kategorisierung von Inhalten analysiert Daten und ihren Kontext in Echtzeit. Die Datenklassifizierung kann automatisiert werden oder Benutzer können Daten manuell klassifizieren. In Verbindung mit Exchange Online kann AIP auch E-Mails verschlüsseln, die von Empfängern außerhalb des Unternehmens gelesen werden können.
Mit Bezeichnungen wird festgelegt, ob Daten verschlüsselt werden müssen und welche Rechte Benutzer für diese Daten haben. Sie können damit beispielsweise festlegen, dass Benutzer Daten nicht ausdrucken oder per E-Mail an externe Benutzer weiterleiten dürfen. Datenbesitzer können durch das Nachverfolgen von Aktivitäten feststellen, welche Aktionen mit ihren Daten durchgeführt wurden, und gegebenenfalls Zugriffsrechte entziehen. Benutzer können außerdem Dokumente direkt in Office mit Bezeichnungen versehen. Unternehmen, die AIP ohne die Dateiklassifizierungsinfrastruktur nutzen möchten, können den AIP-Scanner installieren und damit lokale Dateien automatisch klassifizieren und schützen.
In AIP stehen darüber hinaus Funktionen für die zentrale Berichterstellung zur Verfügung. Über das Dashboard im Azure-Verwaltungsportal können Berichte angezeigt werden. Nutzungsberichte geben Aufschluss darüber, welche Bezeichnungen auf Dokumente angewendet wurden und wie viele Dokumente geschützt werden. Die Aktivitätsprotokolle enthalten detaillierte Daten dazu, welche Benutzer welche Aktionen durchführen. Unter anderem zeigen sie auf, welche Benutzer Direktzugriff auf die Dokumente haben, die mit Bezeichnungen versehen wurden. Datenerkennungsberichte schließlich zeigen an, welche Dateien in den durchsuchten Repositorys gespeichert sind, welche Dateien mit Bezeichnungen versehen und geschützt sind, wo Dateien mit einer bestimmten Bezeichnung gespeichert sind und welche Dateien sensible Informationen bestimmter Kategorien enthalten, beispielsweise Finanzdaten oder personenbezogene Informationen.
Neben einer kostenlosen Version mit stark eingeschränktem Funktionsumfang wird auch eine kostenpflichtige Version von AIP angeboten. Der Preis richtet sich nach den Funktionen, die Sie nutzen möchten.
Netwrix Auditor – Data Discovery and Classification Edition
Mit der Data Discovery and Classification Edition von Netwrix Auditor können Sie sensible Daten auf Ihren Dateiservern sowie in Office 365 und SharePoint auffinden und klassifizieren. Die Lösung lässt sich einfach konfigurieren und verwalten: Sie enthält acht Taxonomien mit Hunderten von vorkonfigurierten Klassifizierungsregeln. Sie können außerdem Regeln anpassen oder eigene Datenklassifizierungsregeln erstellen, die auf die Anforderungen Ihres Unternehmens ausgerichtet sind, auch zukünftige Vorschriften unterstützen und Best Practices befolgen. Mit der Suchfunktion können Sie schnell Daten auffinden, die Informationen zu einer bestimmten Person enthalten, um Zugriffsanfragen betroffener Personen zu beantworten.
Mit Netwrix Auditor können Sie darüber hinaus umfangreiche Berichte zu Ihren Dateiservern erstellen. Sie enthalten Informationen dazu, wo sensible Daten gespeichert sind, was diese beinhalten, wer darauf zugreifen kann und wer die Daten nutzt. Dateien und Ordner können nach Vorschrift kategorisiert werden. Sie können beispielsweise einen Bericht ausführen, der eine Übersicht aller Verzeichnisse mit Daten anzeigt, die den Bestimmungen von PCI DSS oder der DSGVO unterliegen – einschließlich Angaben zum Umfang der Daten in den einzelnen Verzeichnissen. Anhand dieser Informationen können Sie festlegen, wie Sie Ihre Daten bestmöglich schützen, um das Risiko von Datenschutzverletzungen zu minimieren und zu bestimmen, welche Verzeichnisse vorrangig geschützt werden sollen. Die Berichte zeigen sogar die Besitzer sensibler Dateien an, sodass Sie gemeinsam mit ihnen Vorkehrungen zum Schutz der Daten treffen können. Durch die Anzeige von NTFS-Berechtigungen können Sie überprüfen, ob es zu weit gefasste Zugriffsrechte gibt. Sie können Berichte nicht nur für Windows-Dateiserver erstellen, sondern auch für EMC- und NetApp-Speichersysteme.
Bei einem Sicherheitsvorfall lässt sich mit Netwrix Auditor schnell feststellen, wer Ihre Daten angezeigt, abgerufen und geändert hat. Diese Möglichkeit ist einer der zentralen Vorteile der Software von Netwrix: Da die Funktionen für das Auffinden und Klassifizieren von Daten Teil einer Überwachungsplattform sind, sind sie auch in weitere Funktionen integriert und ermöglichen Unternehmen das Beheben von Problemen und bei einem Audit ein einfaches Bereitstellen der angeforderten Informationen.