Seit Oktober 2016 steht das neue Betriebssystem Windows Server 2016 zur Verfügung. Wieder mit dabei ist das Feature File Classification Infrastructure (FCI), das es bereits seit der Version 2008 gibt. Bei den vielen Neuerungen wird das Tool leicht übersehen, dabei lassen sich mit ihm Dateien klassifizieren, zusätzliche Eigenschaften vergeben und Dokumente anhand der Merkmale steuern. Nutzer können so beispielsweise ihre Archivierung verbessern und ihre Dateien besser schützen.
Warum ist das relevant? Der Bedarf an dieser On-Premises-Lösung ergibt sich daraus, dass Microsoft selbst momentan für die Klassifizierung auf Cloud-Dienste setzt. Personenbezogene Daten dürfen jedoch in vielen Fällen die Server von Sicherheits- und Justizbehörden, Banken und auch Industrieunternehmen nicht verlassen. Für sie eignet sich FCI, denn es lässt sich in einer komplett abgeschotteten Umgebung betreiben. Dabei entstehen den Anwendern keine zusätzlichen Kosten, weil die Windows-Server-Lizenz alles abdeckt.
- Amazon Web Services
Forrester attestiert AWS ein marktführendes Portfolio an Cloud-Services. Hybrid-Cloud-Szenarien aber deckten die Konkurrenten zum Teil besser ab. - Microsoft Azure
Im Azure-Portfolio loben die Forrester-Experten besonders die Services für Softwareentwickler. - IBM Bluemix
IBM kann die Vorteile seines Cloud-Angebots vor allem in Unternehmen mit etablierten IT-Strukturen ausspielen. - Google Cloud
Googles Cloud-Portfolio punktet vor allem mit Machine-Learning- und Data-Services. - Oracle Cloud
Die Oracle-Cloud ist in erster Linie für Bestandskunden des IT-Konzerns interessant, urteilt Forrester. - Interoute Virtual Data Center
Der britische Anbieter Interoute profitiert im Forrester-Vergleich von seiner starken lokalen Präsenz in Europa. - Salesforce App Cloud
Vor allem die Entwickler-Services der App Cloud von Salesforce finden das Lob der Forrester-Analysten. - CenturyLink
Die Stärken des Cloud-Portfolios von CenturyLink liegen in den ausgefeilten Konfigurations- und Automation-Features. - CloudSigma
Cloud-Services aus der Schweiz offeriert CloudSigma. Kunden profitieren von besonders flexiblen und feingranularen Konifgurationsoptionen, kommentiert Forrester.
Der Schutzstatus von Dateien ist im Normalfall an ihrem Ablageort festgemacht. In den meisten Firmen laufen Fileserver, für die Berechtigungsstrukturen existieren. Diese legen fest, wer auf ein Dokument zugreifen kann, es lesen oder bearbeiten darf. Solche Beschränkungen gehen allerdings verloren, wenn jemand ein Dokument aus der File-Struktur heraus verschiebt. Da Anwendergruppen heute oft mobil und teamübergreifend arbeiten und untereinander Dateien austauschen, verändern sie auch häufig den Ablageort von Dokumenten. Das bedeutet aber nicht, dass jeder alle Dokumente lesen oder bearbeiten sollte. Es gilt daher, Mechanismen zu etablieren, Dokumente über ihren gesamten Lebenszyklus hinweg unabhängig vom Ablageort zu schützen. Der Speicherort bleibt dabei trotzdem ein Kriterium, weil ein Dokument in einem HR-Verzeichnis meist schützenswerter ist als eines in einem Marketing-Ordner. Als einziges Schutzkriterium reicht der Ablageort jedoch nicht aus.
Dokumentenschutz über Datei-Eigenschaften
FCI baut auf dem File-Server-Resource-Manager (FSRM) auf, in dem sich zentrale Datei-Eigenschaften anlegen lassen. Dabei kann es sich um einfache Entscheidungen wie "vertraulich" oder "nicht vertraulich" handeln. Es können aber auch unterschiedliche Sicherheitslevel festgelegt werden. FCI weist Dateien eine oder mehrere Klassifizierungen zu. Zudem besteht im FSRM die Möglichkeit, Regeln festzulegen, nach denen Dokumente automatisch klassifiziert werden.
Eine Regel, nach der anhand des Inhaltes klassifiziert wird, kann auf sogenannten "Regular Expressions" beruhen. Dabei wird der Inhalt von Dokumenten nach vorher festgelegten Ausdrücken durchsucht. Gängige Suchkriterien sind Kreditkartennummern, IP-Adressen oder Formulierungen aus Standardformularen. Allerdings lassen sich nur Inhalte von Office-Dateien und PDFs durchsuchen. Grundsätzlich lassen sich für alle Dateitypen Klassifizierungen vornehmen und Zugriffsrechte vergeben - zum Beispiel über eine Zuordnung nach Kundenprojekten oder Dateinamen. Welches Vorgehen ein Unternehmen am besten wählen sollte, hängt von den intern festgelegten Entscheidungswegen ab.
Kontinuierlicher Datenschutz und Rights Management
Entscheidender Vorteil von FCI: Auch wenn eine Datei verschoben wird, bleibt ihre Klassifizierung erhalten. Berechtigungen hängen nicht mehr nur vom Ablageort ab, sondern auch von der Klassifizierung des einzelnen Dokumentes. Das schafft kontinuierlichen Datenschutz. Die Kombination aus FCI und FSRM kann aber noch mehr, zum Beispiel Aktionen wie die folgende Sicherheitsregel: Alle Dateien die älter als 150 Tage sind, deren Status "vertraulich" ist und die im Excel-Format abliegen, sollen von den Dateifreigaben entfernt werden und den Endanwendern nicht mehr zur Verfügung stehen. Wenn Dokumente als "vertraulich" klassifiziert sind, kann zudem eine bestimmte Rights-Management-Richtlinie zur Anwendung kommen. Dann würde ein Dokumentenschutz hinterlegt, wodurch sich ein Anwender authentifizieren müsste, um eine Datei zu öffnen. Das Rights Management ist relativ eingeschränkt, weil es bei dem Standard Active Directory Rights Management nur mit Office- und PDF-Dokumenten funktioniert.
Seit Windows Server 2012 gibt es das Feature Dynamic Access Control (DAC), in dem FCI implementiert ist. Mit DAC lassen sich Zugriffs- und Audit-Richtlinien zentral im Active Directory steuern. Diese Integration vereinfacht die Klassifizierung und spart erheblichen Managementaufwand, weil die interne IT Berechtigungen viel granularer vergeben kann. Sie kann festlegen, welcher Nutzer auf welche Inhalte zugreifen und sie lesen darf, ohne dafür zahllose Unterordner zu erstellen. Über DAC können Unternehmen ihre Klassifizierung global anwenden. Es überträgt die verfügbaren Klassifizierungseigenschaften automatisch auf alle Fileserver in der Firma.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Hilfreiches Werkzeug für besseren Dokumentenschutz
Mit Enterprise-Produkten kann FCI nicht mithalten. Es stößt an Grenzen, weil es ausschließlich der Klassifizierung dient und kann deshalb auch kein Dokumentenmanagementsystem ersetzen. Die Klassifizierung allein bietet auch noch keinen Schutz, sie legt jedoch den Grundstein, um Schutzmechanismen wirken zu lassen. Wenn Firmen Rechteverwaltungsdienstregeln (RMS) für ihre Daten festlegen, dann verhindern sie, dass Dokumente lesbar sind, sollten sie nach außen gelangen.
Insgesamt bietet sich FCI als ein Glied in der Kette sicherheitsrelevanter Methoden und Tools an. Nutzer legen damit fest, welche ihrer Dateien schützenswert sind. Die On-Premises-Lösung entlastet zugleich die interne IT, weil es auch Datei-Verwaltungsaufgaben übernimmt. Microsoft entwickelt das Feature aktuell nicht weiter - aber vielleicht überdenkt der Hersteller diese Strategie nochmal. (hal)