3. GDPR Advent:
Identifikation der Daten
In diesem Beitrag geht es um die Identifikation unserer Daten, also wo liegen welche und enthalten sie personenbezogene Informationen. Das Thema gehe ich folgendermaßen an:
- Datenquellen identifizieren
- Richtlinien und Regeln definieren
- Werkzeuge zum Scannen und Taggen
- FileShares
- SharePoint On-Premises
- Office 365
- Zusammenfassung
Datenquellen identifizieren
Im zweiten Advent haben wir verstanden, dass wir uns nicht nur auf Software verlassen können, um die GDPR Anforderungen zu erfüllen. Man muss auch die operationellen Aspekte betrachten und sollte im Unternehmen generell eine GDPR Kultur etablieren.
Heute geht es an die Software-gestützte Analyse unserer Daten, damit wir unsere „Dark-Data“ in kategorisierte Daten verwandeln. Dark-Data sind dabei die etwa 70% Daten in Unternehmen, von denen keiner wirklich weiß, dass es noch existiert und was da drin ist.
Die Identifikation dieser Daten ist nicht nur gut für die GDPR Compliance, sondern bringt auch den Vorteil, dass eventuell vergessenes IP (Intellectual Property) nutzbar gemacht wird. Denn wenn ein Unternehmen wüsste, was es wirklich weiß, könnte es noch viel wettbewerbsfähiger sein. Sich mit GDPR zu befassen, hat also weitere positive Nebeneffekte!
Damit wir nun unsere Software auf die Suche schicken können, müssen wir zuvor identifizieren, wo überall Daten gespeichert sind. SharePoint und Exchange sowie generell Office 365 ist schnell identifiziert. Aber was ist mit Altsystemen – FileShares, Datenbanken, SAP, Drittanbieterlösungen oder in der Cloud vielleicht noch Box oder Dropbox.
Die Identifikation dieser Datenquellen sollte relativ einfach sein, da dies nur der Überblick ist, wo Daten liegen. Wichtiger an dieser Identifikation ist jedoch, dass ich nun verstehen muss, für welche Datenquellen ich geeignete Scan- und Analysewerkzeuge habe. Für FileShares, SharePoint und Office 365 haben wir etwas von Microsoft, was wir uns weiter unten anschauen werden. Für andere Datenquellen beginnt nun eure Suche nach geeigneten Werkzeugen. Kleine Randnotiz: Der Compliance Guardian der Firma AvePoint kann viele oben genannter Quellen scannen und taggen.
Richtlinien und Regeln definieren
Nach Schritt 1, der Identifikation von Datenquellen sowie geeigneter Analyse-Tools, schauen wir uns nun Schritt 2 an. Denn selbst wenn Scanning Werkzeuge eine Fülle an Filtern und Scan-Matrizen mitbringen, so müssen wir dennoch definieren, was davon für unser Unternehmen angewendet werden muss, welche Scan-Treffer vielleicht irrelevant sind und welche zusätzlichen (operationellen) Checks wir fahren möchten.
Wichtig ist hierbei ein risikobasierter Ansatz. Denn selbst wenn ein Tool Städtenamen, IP Adressen oder Telefonnummern findet, dann müssen dies nicht in jedem Fall personenbezogene Daten sein. Weiterhin können solche Funde mehr, aber auch weniger kritisch sein.
Starten Sie also mit Suchfiltern, die ganz sicher auf personenbezogene Daten hindeuten bzw. kritisch in Hinblick auf die GDPR sind. Sind diese Daten kategorisiert, dann können wir uns dem nächst kritischen Level widmen. Dieser Ansatz ist so simpel, wie logisch. Er hilft jedoch sehr, um das Thema langsam anzugehen ohne Angst vor einem Big Bang Ansatz, bei dem nach dem ersten Scan schon mehrere Millionen Dokumente mit personenbezogen Daten genauer analysiert werden müssen – und da traut sich keiner ran. Stattdessen kann ein Vorgehen Schritt für Schritt oder Regel für Regel bereits Daten klassifizieren und anschließende detaillierte Analysen erleichtern, weil nicht jedes Dokument mit personenbezogenen Daten betrachtet werden muss.
Ein weiter Vorteil dieser Kategorisierung ist der Image-Schutz der Firma. Wenn ich nicht weiß, welche Daten wo liegen und welche davon besonders GDPR kritisch sind, dann muss ich bei einem Datenverlust sagen „alle Daten können betroffen sein“. Ein absolutes Horrorszenario. Können wir aber bereits einschränken, dass der Datenverlust nur bestimmte nicht kritische Daten betraf, dann hält sich der Image-Schaden für das Unternehmen in Grenzen.
Werkzeuge zum Scannen und Taggen
Wir haben nun unsere Regeln definiert. Dies kann eine Liste von Städtenamen sein oder mittels Regular Expressions auf IPs abzielen. Nun gilt es unsere Analysetools damit zu füttern.
- FileShares:
Wenn wir noch FileShares auf Basis von Windows Server nutzen, dann können wer den File Server Resource Manager einsetzen, um Regeln zu konfigurieren und diese dann gegen die Daten in unserem FileShare laufen zu lassen. Dabei können standardmäßig (ohne zusätzliche iFilter) Office und PDF Formate gescannt werden. Das Tool geht selbstverständlich auch in die Dateien hinein und analysiert deren Inhalt.
Im Ergebnis können wir uns dafür ein Protokoll erstellen lassen, um zu verstehen, wo welche Daten liegen. Zusätzlich kann der File Server Resource Manager aber auch die Dateien taggen oder sogar verschieben, wenn ich das möchte. So können entsprechende Stichwörter in die Eigenschaften des Dokuments geschrieben und in einen sicheren Standort verschoben werden.
Da das Werkzeug in Echtzeit, aber auch nach Zeitplan die Quellen analysieren kann, sind wir stets auf dem aktuellen Stand und wissen, was in unserem FileShare liegt. Zusätzlich können die Daten getaggt sein für spätere Migrationen oder Archivierungen. Außerdem kann ich so einfach die „Horrorfragen“ aus dem zweiten Advent beantworten.
Wie ihr genau vorgeht und den Data Manager konfiguriert, habe ich in einem anderen Blogpost detailliert beschrieben. Diesen findet ihr hier:
http://rob-the-ninja.de/fileshare-klassifizierung-fuer-o365-migrationen
- SharePoint On-Premises:
Auch für SharePoint On-Premises hat uns Microsoft ein – und seit SharePoint 2016 – sogar zwei Werkzeuge mitgegeben. Die Rede ist vom eDiscovery Center und in SharePoint 2016 zusätzlich das Compliance Center.
Zugegeben, die eDiscovery hat einen anderen Fokus, kann aber sehr gut zum Scannen und Protokollieren genutzt werden. Seit 2016 kann ich sogar spezielle DLP (Data Lost Prevention) Analysen verwenden, wie z.B. Kreditkartennummern oder sogar direkt personenbezogene Daten. Genauso kann ich aber auch eigene Suchbegriffe eingeben und meine SharePoint Umgebung analysieren.
Die eDiscovery basiert auf der SharePoint Suche. Das bedeutet, habe ich weitere Such-Quellen, wie Exchange, FileShares oder SAP an SharePoint angebunden, können auch diese Daten – in Abhängigkeit der verwendeten iFilter – inspiziert werden.
SharePoint eDiscovery:
http://rob-the-ninja.de/sharepoint-datenklassifizierung
Das Compliance Center kann zusätzlich auf Basis der DLP Regeln bestimmte Seiten schützen. So können Administratoren darüber informiert werden, wenn bestimmte Daten gefunden werden und der Zugriff auf die Dokumente kann gesperrt werden.
Ganz optimal funktioniert dies leider noch nicht bzw. es gibt viele Einschränkungen im Vergleich zu Office 365. Es ist dennoch ein guter Start, wenn man das Thema GDPR mit Bordmitteln angehen möchte. Weitere Details, wie das genau funktioniert, habe ich ebenso in einem anderen Blogbeitrag zusammengefasst.
SharePoint Compliance Center:
http://rob-the-ninja.de/governance-und-compliance-mit-dem-neuen-sharepoint-2016-dlp-im-compliance-center
- Office 365:
Mit Office 365 bekommen wir das umfangreichste Set an Werkzeugen für die GDPR an die Hand. Nicht nur die eDiscovery sowie das Security & Compliance Center sind deutlich besser ausgestattet, ich kann auch noch zusätzlich den Azure Information Protection (AIP) Service nutzen, um Dokumente zu klassifizieren. Da die eDiscovery sehr ähnlich konfiguriert wird, wie On-Premises, widmen wir uns hier nur etwas detaillierter dem Security & Compliance Center sowie dem AIP Service.
Security & Compliance Center
Der Ablauf zur Konfiguration von DLP Richtlinien, um die GDPR Anforderungen erfüllen zu können, ist sehr ähnlich zur Konfiguration On-Premises. Jedoch gibt es ein paar Dinge zu beachten. Wenn wir im Security & Compliance Center eine neue Datenverlustregeln definieren möchten, dann stehen uns 82 Standardregeln zur Verfügung, die im Detail auf Technet beschrieben sind:
https://technet.microsoft.com/en-us/library/jj150541(v=exchg.160).aspx
Habe wir uns für eine Richtlinie entscheiden, können wir definieren, für welche Quellen diese angewendet werden soll. Dies ist dafür interessant, dass ich auf besonders sensible Bereiche, wie z.B. eine Site Collection der Personalabteilung, zusätzlichen Regeln anwenden kann. Dafür muss ich den Prezess einfach für jede Regel erneut durchspielen.
Haben wir den Scope ausgewählt, konfigurieren wir nun noch, welche Aktionen bei positiven Funden ausgeführt werden sollen. Dies ist auch für die Protokollierung wichtig, die wir uns im vierten Advent genauer anschauen.
Ist diese Regel nun konfiguriert, wird jede 15 Minuten ein Timer Job gestartet, der prüft, ob Dokumente gegen diese Regel verstoßen. Die Funde in SharePoint Online und OneDrive 4 Business basieren auf dem Search Index, sodass dies nicht in Echtzeit erfolgen kann. Braucht ihr Echtzeit Scans, dann helfen auch hier Drittanbieterlösungen weiter (siehe meine Randnotiz oben).
Vor nur wenigen Monaten hat Microsoft auch das manuelle Hinzufügen von eigenen Schlagwörtern über das User Interface erleichtert, sodass wir nun auch ganz einfach nach z.B. Städtenamen suchen – um bei dem Beispiel zu bleiben – und Dokumente taggen können. Weiterhin können nun feste Scan-Checks individualisiert werden, um sie noch besser auf unsere Unternehmensrichtlinien zuschneiden zu können.
All diese Schritte sind sehr detailliert in einem Microsoft Blog beschrieben, den ihr hier finden könnt:
https://support.office.com/de-de/article/Übersicht-über-die-Richtlinien-zur-Verhinderung-von-Datenverlust-1966b2a7-d1e2-4d92-ab61-42efbb137f5e
Azure Information Protection
Das AIP arbeitet ganz ähnlich und kann Tags innerhalb von Office Dokumenten hinzufügen. Anhand von Bedingungen, also entweder vordefinierter Datenmuster oder mit eigenen Schlüsselwörtern, können Dokumente gelabelt und auch farblich voneinander getrennt werden. Mit der E5 Lizenz kann dies sogar automatisiert erfolgen. So eine Tagging-Policy in AIP ist mittlerweile sehr umfangreich , aber nicht unübersichtlich geworden. Die Konfiguration ist meiner Meinung nach selbsterklärend, benötigt aber dennoch ein bis zwei ruhige Stunden, um alle möglichen Funktionen, Schalter und Einstellungen verstanden zu haben.
Microsoft hat zusätzlich zur AIP Konfiguration eine sehr detaillierte Anleitung in seinem Docs Portal veröffentlicht. Wenn auch ihr also Label für eure Mitarbeiter auf Anfrage oder automatisiert zur Verfügung stellen wollt, um GDPR relevante Informationen zu taggen, dann empfehle ich folgenden Link:
https://docs.microsoft.com/de-de/information-protection/deploy-use/configure-policy
Zusammenfassung:
Wir haben gesehen, dass uns für die Microsoft Produkte sowie FileShares einige Bordmittel zur Verfügung stehen, um unser Unternehmen gut für die GDPR aufzustellen. Es ist jedoch auch klar geworden, dass diese Werkzeuge nicht der heilige Gral sind, speziell bei den Limitationen und Workarounds für On-Premises Umgebungen.
Microsoft arbeitet hart daran, immer weitere Funktionen für die GDPR auszurollen. Dennoch sind es nur noch sechs Monate, bis die GDPR Richtlinien Anwendung finden. Diese erfordern auch, dass man möglichst alle am Markt verfügbaren technischen Mittel einsetzen muss, um personenbezogene Daten zu schützen und darüber Auskunft erteilen zu können.
Mit Hilfe der Scans ist die Erstellung einer Heatmap ein schöner Ansatz, um die verschiedenen Arten personenbezogener Daten mit einem risikobasierten Ansatz darzustellen. So eine Lösung sowie weitere Features bieten bereits Drittanbieterlösungen und ergänzen damit perfekt die nativen Mittel von Microsoft.
Damit können wir unser Unternehmen wirklich optimal für die GDPR vorbereiten. Es lohnt sich somit eine Analyse des Marktes, um nicht nur die Daten, sondern auch das Unternehmen zu schützen. Ihr wollt sicher nicht, dass euer Unternehmen zum ersten Exemple wird, dass die Aufsichtsbehörden statuieren.
Wenn wir uns nun kulturell, operationell sowie mit Software zum Scannen und Taggen vorbereitet haben, so fehlt nur noch die Überwachung und Protokollierung, um ganzheitlich die Anforderungen der GDPR zu erfüllen. Dies schauen wir uns dann am vierten Advent an. Bis dahin…
Happy „SharePointing“!
———-
Weitere GDPR-Advent-Themen:
- Wissens-Check, was ist und bringt die EU-DSGVO
- GDPR by Design
- Identifikation der Daten
- Überwachen, handeln und Protokollieren
3 Antworten
[…] Identifikation der Daten […]
[…] Identifikation der Daten […]
[…] Identifikation der Daten […]