Dynamic Access Control

Verschlüsselung nach Maß mit Windows 8

01.04.2013
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Mit Dynamic Access Control richten sich Zugriffskontrolle und Verschlüsselung bei Windows 8 nach dem tatsächlichen Schutzbedarf.

Wer einen Windows Server 2012 und das neue Microsoft-Betriebssystem Windows 8 einsetzt, kann ein wesentliches Problem der IT-Sicherheit lösen: die unzureichende Umsetzung der Verschlüsselung.

Windows 8 DAC erleichtert die gezielte Verschlüsselung von Dateien.
Windows 8 DAC erleichtert die gezielte Verschlüsselung von Dateien.
Foto: Ilona Baha - Fotolia.com

In vielen Unternehmen mangelt es daran, die Verschlüsselung an den tatsächlichen Schutzbedarf der Dateien anzupassen. Zumeist gibt es zwei Möglichkeiten: Alles verschlüsseln, was einen enormen Aufwand bedeutet - oder einzeln verschlüsseln, was garantiert einige sensible Dateien aus Versehen außen vor lässt.

Mit Dynamic Access Control ist es bei Windows-8-Geräten nun möglich, genau die Dateien automatisch zu verschlüsseln, die zum aktuellen Zeitpunkt und in der aktuellen IT-Umgebung tatsächlich geschützt werden müssen. Dadurch verringert sich der Aufwand beträchtlich.

Zugriff erlaubt mit Wenn und Aber

Dynamic Access Control (DAC), die dynamische Zugriffssteuerung, geht über die herkömmliche Zugriffskontrolle auf Basis von Nutzer- und Gruppenberechtigungen, Verzeichnissen und Dateien hinaus. Basis für die DAC-Zugriffsberechtigung ist die Klassifizierung der in einer Datei enthaltenen Informationen.

Dateien erhalten bestimmte Klassifizierungseigenschaften (Tags), wie zum Beispiel "personenbezogene Daten", "nur für Projekt XY" oder "nur für den internen Gebrauch".

Die Klassifizierung (Tagging) wird den Dateien in Form von Metadaten mitgegeben und kann so selbst dann als Grundlage der Zugriffsberechtigung genutzt werden, wenn die Datei beispielsweise per E-Mail verschickt wurde.

Zentrale Regeln für einzelne Dateien

Die genaue Zugriffsregelung für Dateien mit bestimmten Tags wird in CAPs (Central Access Policies) definiert, die unternehmensweit oder nur für einzelne Bereiche (Active Directory Attribut Department) gültig sein können. Die CAPs ergänzen die bereits vorhandenen Datei- und Verzeichnisberechtigungen. Wenn ein Nutzer zum Beispiel die Berechtigung hat, Dateien aus einem bestimmten Verzeichnis zu öffnen, eine CAP dem aber widerspricht, wird kein Zugriff erteilt.

So könnte ein Vertriebsmitarbeiter zum Beispiel generell das Recht haben, Excel-Listen im Vertriebsverzeichnis zu öffnen - nicht aber, wenn in den Excel-Listen die Kreditkarteninformationen der Kunden enthalten sind.

Oder eine Excel-Datei mit Kundenlisten könnte so geschützt werden, dass die Datei nur von einem Nutzer aus dem Vertrieb mit einem sicheren und dafür zugelassenen Gerät geöffnet werden kann. Will der an sich berechtigte Nutzer die Excel-Datei auf dem Computer im Home-Office öffnen, wird der Zugriff verweigert, da die Kundendaten nur auf zugelassenen Geräten zugänglich sein dürfen.

Automatische Verschlüsselung von Office-Dateien

Der Zugriffsschutz lässt sich durch eine automatische Verschlüsselung realisieren, die nur bei Erfüllung aller in der CAP definierten Voraussetzungen aufgehoben wird. Das können beispielsweise Anforderungen an den Nutzer, das Gerät, den Standort und den aktuellen Speicherort der Datei sein. Für die Verschlüsselung arbeitet Dynamic Access Control mit AD RMS (Active Directory Rights Management Services) zusammen.

Dazu legt der Administrator in dem File Server Resource Manager eine File Management Task an, die für Dateien mit definierten Tags eine automatische Aktion "RMS Encryption" vorsieht. Hat zum Beispiel eine Excel-Datei die Klassifizierung "Personenbezogene Daten" und wird für diesen Fall die automatische Verschlüsselung geplant, werden alle entsprechend klassifizierten Dateien entsprechend behandelt. Ausnahme: Dateien, die zwar genauso klassifiziert sind, aber in einem gesperrten Ordner liegen.

Im Standard sieht Dynamic Access Control nur die automatische Verschlüsselung von Office-Dateien vor. Über Zusatzprogramme von Drittanbietern können weitere Dateitypen auf Basis ihrer Klassifizierung automatisch verschlüsselt werden. So weitet zum Beispiel GigaTrust Protector for SharePoint die RMS-Verschlüsselung auf PDF-Dateien aus.

Eine Frage der Klassifizierung

Die Klassifizierung und die genaue Definition der Zugriffsregeln bei DAC sorgen für die auf den Schutzbedarf angepasste Verschlüsselung und damit für mehr Verhältnismäßigkeit der Schutzmaßnahmen.

Die Klassifizierung und Zugriffsregeln bedeuten jedoch einiges an Arbeit für die Administratoren. Hilfreich ist es zum einen, dass sich die Klassifizierung von einem Verzeichnis auf alle darin enthaltenen Dateien vererben lässt.

Auf Windows-8-Geräten können Dateien vom Nutzer im Rahmen zentraler Vorgaben klassifiziert werden, zum Beispiel als Datei, die personenbezogene Daten enthält.
Auf Windows-8-Geräten können Dateien vom Nutzer im Rahmen zentraler Vorgaben klassifiziert werden, zum Beispiel als Datei, die personenbezogene Daten enthält.
Foto: Microsoft

Zum anderen kann die Klassifizierung für neue Dateien bereits gleich nach Erstellung auf den Windows-8-Geräten vorgenommen werden. Das muss nicht rein manuell (über die Registerkarte Klassifizierung des Eigenschaftenblatts der Datei) erfolgen, sondern kann genauso automatisiert erfolgen wie später die Verschlüsselung. Von Microsoft gibt es ein Toolkit zur Datenklassifizierung, das bereits einige integrierte Regeln zum Ermitteln personenbezogener Daten mitbringt.

Übersicht zu allen Dateien und Anforderungen erforderlich

Die automatische Verschlüsselung sensibler Dateien funktioniert nur dann wie gewünscht, wenn tatsächlich alle vorhandenen Dateien klassifiziert werden, alle relevanten Klassifizierungseigenschaften (zum Beispiel personenbezogene Daten) definiert wurden und die Zugriffsregeln den Geschäftsprozessen entsprechend entwickelt wurden. Es gilt zu klären, welche Art von Daten unter welchen Umständen zu schützen, also zum Beispiel automatisch zu verschlüsseln sind.

Dazu müssen sich Unternehmen auch aller rechtlichen Anforderungen bewusst sein, die sie bei der Datensicherheit zu berücksichtigen haben. Neben dem Schutz personenbezogener Daten nach BDSG (Bundesdatenschutzgesetz) also beispielsweise auch die Anforderungen nach PCIDSS (Payment Card Industry Data Security Standard).

Administrationsaufwand bleibt

Der Aufwand bei der Vorbereitung von Dynamic Access Control ist nicht zu unterschätzen. Eine gewisse Vereinfachung bei der Klassifizierung bieten Zusatzpakete zum Windows Server 2012 wie dg classification 2.0 von dataglobal. Diese Lösung nutzt unter anderem Musterdokumente für die Entwicklung der Zugriffsregeln. Ganz ohne Administrationsarbeit ist aber die deutliche Verbesserung im Bereich Zugriffskontrolle und Datei-Verschlüsselung mit Dynamic Access Control leider nicht zu bekommen. Deshalb werden hauptsächlich größere Unternehmen von DAC profitieren. (sh)

Fotoquelle Teaser Homepage: fotolia.com/Liveshot, Microsoft