4. GDPR Advent:
Überwachen, Handeln und Protokollieren
Nach dem Fakten-Check, der kulturellen und operationellen Betrachtung sowie der software-gestützten Daten-Identifikation für die GDPR, wollen wir uns heute allgemein um das Monitoring und Agieren im Rahmen der GDPR kümmern. Dafür habe ich den Beitrag in die Kategorien der Überschrift unterteilt.
Überwachen
Wie im letzten Beitrag gezeigt, stehen uns in Office 365 eine Vielzahl von Testfiltern für personenbezogene und sensitive Daten zur Verfügung. Diese Typen sind sehr detailliert im folgenden Technet-Artikel beschrieben und können in DLP (Data Lost Prevention) Richtlinien angewendet werden:
Überblick: https://technet.microsoft.com/de-de/library/jj150530(v=exchg.150).aspx
Details: https://technet.microsoft.com/de-de/library/jj150541(v=exchg.150).aspx
Weiterhin können wir eigene Klassifikationen und Begriffe definieren, um unsere Unternehmensrichtlinien zur Erfüllung der GDPR Anforderungen abbilden zu können. Je Richtlinie kann ich konfigurieren, wer über einen Verstoß per Email informiert werden soll. Nicht nur Administratoren können adressiert werden, sondern auch die Benutzer bzw. Dokumentenbesitzer, welche gegen die Regel verstoßen haben. Dies schafft zusätzliche Aufmerksamkeit für den richtigen Umgang mit personenbezogenen oder sensitiven Daten.
Achtet beim Konfigurieren der Richtlinien ebenfalls darauf, dass ihr einen Schweregrad konfiguriert, um zusätzlich eine Übersicht in den Incident Reports zu erhalten. Dies ist hilfreich für den im 3. Advent angesprochen risikobasierten Ansatz, denn nicht jeder Treffer auf eine Regel ist auch ein kritischer Verstoß.
Sind diese Richtlinien ausgerollt und aktiviert, ist unsere Arbeit noch nicht beendet. Neben den Email-Benachrichtigungen – falls gewünscht – sollten wir auch regelmäßig überprüfen, ob unsere Richtlinien ausgelöst werden. Dazu finden wir im Office 365 Security & Compliance Center den DLP Policy Match Report, der uns darüber Aufschluss gibt.
Weiterhin wichtig zu wissen ist, ob meine Richtlinien von Endanwendern überschrieben werden (wenn erlaubt).
Dies kann auch ein Indikator dafür sein, ob meine Richtlinien vielleicht zu strikt sind oder einfach bei falschen Dokumenten ausgelöst werden und daher angepasst werden sollten.
In eurer Produktivumgebung solltet ihr hoffentlich ein paar schönere Zickzack-Linien sehen. Ziel soll es jedoch sein, dass die Kurven im Verlauf der Zeit abfallen. Dies zeigt, dass es weniger Verstöße gegen diese Richtlinien gibt und die Mitarbeiter die GDPR leben, weil sie sich über die Sicherheitsanforderungen mehr und mehr bewusst sind.
Diese Monitoring-Beispiele beziehen sich nur auf Office 365, weil es On-Premises leider keine geeigneten Lösungen von Microsoft gibt. Jedoch können wir eingeschränkt auch die vorgestellten Workarounds zur Identifikation der Daten zum Überwachen, Handeln und Protokollieren nutzen. Dies ist jedoch mit Vorsicht zu genießen, denn die Aufsichtsbehörden sind wahrscheinlich nicht vollständig mit Workarounds für die Dokumentation zufrieden.
Handeln
Werden Regelverstöße gemeldet, müssen wir handeln. Im Office 365 Security & Compliance Center können wir dazu automatisiert den Zugriff für bestimmte Benutzer sperren. Zum Beispiel wurde aus Versehen ein Gehaltsnachweis auf eine öffentlich zugängliche Site Collection geladen. Die DLP Funktionalität führt dazu eine zusätzliche (virtuelle) Berechtigungsschicht ein, die nun unabhängig von den eigentlichen Zugriffsrechten den Zugriff auf das Dokument sperrt. Der Zugriff kann durch ein Überschreiben der Richtlinie wieder frei gegeben werden (falls „False positive“).
Der AIP (Azure Information Protection) Service kann ebenso Dokumente taggen/labeln, wenn eine AIP Richtlinie ausgelöst wird. Ein automatisches Taggen ist sogar mit dem Office 365 E5 Plan möglich.
Eine weitere Aktion wäre eine Art Archivierung über die Governance-Richtlinien. Dies ist im Rahmen der GDPR jedoch nur sinnvoll, wenn nach bestimmten Zeiten Dokumente automatisch, getaggt, archiviert oder gelöscht werden sollen.
An automatischen Aktionen haben wir damit in Office 365 auch schon alles ausgeschöpft. Durch dieses Taggen und Blockieren haben wir aber schon wichtige Anforderungen der GDPR erfüllt. Dennoch ist meiner Meinung nach noch viel Luft nach oben. Drittanbieter, wie z.B. AvePoint, ergänzen diese nativen Mittel mit vielen weiteren Aktionen, dedizierten GDPR Testfiltern und Protokollierungsmöglichkeiten, was uns zum letzten Abschnitt führt.
Protokollieren
Grundsätzlich sind die oben gezeigten Überwachungsmöglichkeiten auch gleichzeitig als Protokollierung nutzbar. Dies ist auch notwendig für die Dokumentations- und Informationspflichten. Was uns jedoch fehlt, sind die Verstöße, die nicht mit obigen Richtlinien aufgefangen werden, jedoch anderweitig bemerkt werden. Dies sollte entweder mit flexibleren Drittanbieterlösungen abgefangen oder manuell erfasst werden.
Für letzteres hat die PnP Community einen schönen GDPR Activity Hub als Vorlage entwickelt, mit der man solche Verstöße eintragen kann. Die erfassten Einträge werden zusätzlich in schönen Charts aufbereitet. Auch generelle Regelverstöße (Data Breaches) sollten so oder ähnlich protokolliert werden, um der Dokumentationspflicht nachzukommen.
https://github.com/SharePoint/sp-dev-gdpr-activity-hub/blob/master/Documentation/User-Guide.md
Zusammenfassung:
Mit diesen vier Beiträgen der GDPR Adventsserie sollten wir grundsätzlich alle Informationen haben, um das Thema für unser Unternehmen anzugehen, denn die Zeit drängt.
Zum ersten Advent haben wir gesehen, was mit der GDPR auf uns zukommt und was es zu beachten gilt. Im zweiten Adventsbeitrag haben wir uns die kulturellen und operationellen Voraussetzungen angeschaut, die wir implementieren sollten, um den neuen Anforderungen gerecht zu werden sowie besser zu verstehen, wo welche Daten gespeichert und verarbeitet werden. Im letzten Beitrag lag der Fokus auf den Daten selbst und wie wir mit Hilfe von Software deren Inhalte identifizieren, um auch technisch die Anforderungen ganzheitlich durchzusetzen. Heute schließen wir nun mit der Überwachung und Protokollierung als finalen Schritt der GDPR Anforderungen.
Aktuell haben die Tools von Microsoft, speziell für unsere On-Premises Lösungen, noch Grenzen. Genauso erhebt auch diese Blogserie nicht den Anspruch der Vollständigkeit. Mein Fokus lag auf den Daten und ihren Inhalten im Rahmen der GDPR. Zum Schutz personenbezogener und sensitiver Daten gehört aber auch die Abwehr von außen, z.B. gegen Hacker. Dafür hat Microsoft auch ein sehr schönes Set an „Advanced Threat Protection“ Tools in Office 365, wie auch in Azure zur Verfügung gestellt.
Für einen wirklich ganzheitlichen Ansatz empfehle ich somit nicht nur die Nutzung dieser Funktionen, sondern auch das Umschauen auf den Markt nach Drittanbieterlösungen. Speziell für die Identifikation und Überwachung von On-Premises Daten ist dies fast unumgänglich aufgrund der Limitationen aktueller Microsoft Tools. Dennoch seid ihr für die GDPR gut aufgestellt, wenn ihr meine Vorschläge dieser Serie beherzigt und entsprechende Prozesse, Richtlinien und Tools für eure GDPR-Unternehmensanforderungen konfiguriert und anwendet.
Damit möchte ich abschließen und wünsche allen ein frohes Weihnachtsfest und einen guten Rutsch ins neue Jahr.
Happy „SharePointing“!
———-
Weitere GDPR-Advent-Themen:
- Wissens-Check, was ist und bringt die EU-DSGVO
- GDPR by Design
- Identifikation der Daten
- Überwachen, handeln und Protokollieren
2 Antworten
[…] Überwachen, handeln und Protokollieren […]
[…] Überwachen, handeln und Protokollieren […]