Windows Server 2012: geregelter Zugriff

Der Autor ist Kursleiter bei Digicomp. Er unterichtet und berät v.a. im Bereich Betriebssysteme, Office, Programmierung sowie Microsoft-SharePoint-Technologien.

Die gewohnten Zugriffswege über Ordner oder Dateien auf dem Fileserver, die für bestimmte Benutzergruppe zugelassen oder gesperrt werden, passen nicht mehr für moderne Teamstrukturen. Wie ist zum Beispiel der Zugriff bei Dateien geregelt, die von einem berechtigten Benutzer via E-Mail an einen mobilen Endanwender ohne die nötigen Zugriffsrechte geschickt werden? Oder wie können Teammitglieder mit unterschiedlichen Rechten gemeinsam an Dateien arbeiten, die in verschiedenen Ordnern abgelegt sind? Wie werden Backup, Archivierung und Verschlüsselung organisiert, wenn die Datenvolumen derart rasant zunehmen? Hier treffen verschiedene Ansprüche aufeinander: Unternehmensweite Richt­linien definieren die Zugriffsrechte, der IT-Administrator muss diese möglichst zentral, einfach und effizient umsetzen können, die Inhalte müssen für die Urheber für eine Benutzergruppe freigegeben werden können und der Endbenutzer muss produktiv mit den Infor­mationen arbeiten können, ohne sich ständig überlegen zu müssen, ob er die Information verwenden darf. Nebenbei sollte das IT-System möglichst autonom Zugriffe protokollieren, Informationen verschlüsseln und gemäss recht­lichen Vorgaben ablegen und speicher

Analyse: Wer ist involviert?

Eine wichtige Erkenntnis liefert die Analyse der Beteiligten, die in die Erstellung, Anwendung und Klassifizierung der Unternehmensdaten eingebunden sind (vgl. Abbildung 1). Alle beteiligten Personen/Interessen müssen bei einem Neuentwurf des Zugriffskonzepts einbezogen werden. Nur wenn diese Anspruchsgruppen eng miteinander zusammenarbeiten, können Herausforderungen wie zentrale Steuerung der Regeln, Produktivitätssteigerungen bei den Endbenutzern, Klassifizierung durch Ersteller und automatische Archivierung, Protokollierung und Verschlüsselung bewältigt werden.

Richtlinien: Wer darf was?

Unternehmensrichtlinien lassen sich grob in zwei Kategorien unterteilen: Zugriffs- und Überwachungsrichtlinien. Die Definition kann aus mehreren Ebenen eines Unternehmens stammen:

Regulierungsrichtlinie: Diese Richtlinie betrifft Unternehmensanforderungen und zielt auf den Schutz des Zugriffs auf die verwalteten Informationen ab. Beispiel: Erlaube den Zugriff auf Daten mit der Regel «Zugriff nur für CH-Bürger» für eine spezifische Personengruppe.

Abteilungsrichtlinie: Jede Abteilung einer Organisation stellt bestimmte Anforderungen für den Zugriff auf spezielle Daten auf. So möchte beispielsweise die Finanzabteilung den Zugriff auf Personen beschränken, die in dieser Abteilung arbeiten.

Muss-wissen-Richtlinie: Personen sollen nur auf die Daten Zugriff haben, die zu dem Projekt gehören, an dem sie arbeiten.

Für den Zugriff ist massgeblich, wie effizient die Endbenutzer mit den zur Verfügung stehenden Daten arbeiten können. Gleichzeitig regelt dieses Konzept den Schutz vor Missbrauch. Zwischen dem Schutz der Daten und produktiver Arbeit mit den Unternehmensinformationen besteht immer ein Zielkonflikt, der möglichst ausbalanciert gelöst werden muss. Zentrale Überwachungsrichtlinien hingegen sollen die Sicherheit der Daten eines Unternehmens gewährleisten. Eines ihrer vorrangigen Ziele ist die Einhaltung von Regulierungsanforderungen. Industriestandards wie SOX, HIPPA, PCI etc. fordern von den Unternehmen strikte Regelkonformität bezüglich Informationssicherheit und Privatsphäre. Die Sicherheitsüberwachung beweist die Einhaltung dieser Standards. Ausserdem dienen diese dazu, anormale Verhaltensweisen aufzudecken, Lücken im Sicherheitssystem festzustellen oder Spuren für forensische Analysen zu sichern.

Es ist klar, dass die Definition von Unternehmensrichtlinien ein Top-Management-Thema sein muss. Die Richtlinien definieren grösstenteils, wie ein Unternehmen zusammenarbeitet und wie der Umgang mit sensiblen Daten zu handhaben ist. Für eine Bank, eine Versicherung oder ein Spital gelten sehr viel härtere Überwachungsrichtlinien als zum Beispiel für ein Marketingunternehmen. Dafür müssen bei Letzterem die Zugriffsrichtlinien sehr gut überdacht sein, um die teamübergreifende Projektarbeit optimal zu unterstützen.

Lesen Sie auf der nächsten Seite: Verfügbare Daten identifizieren