Jump to content

Überwachung, Klassifizierung von Dateien


Recommended Posts

Hallo

 

es geht um eine Firma die stark gewachsen ist (30-40 MA) und die Dateien alle auf einem QNAP Nas liegen.

Das Problem ist das es gewisse Ordner mit schützenswerten Daten gibt, die im Falle von Ausscheiden diverser Mitarbeiter zu Konkurrenzfirmen auch schon mal abhanden gekommen sind.

Noch viel größeres Problem ist das jeder MA auf alle Kundendaten zugreifen darf, weil für jeden einzelnen Kunden völlig unterschiedliche MA zuständig sind hat bis jetzt aus Zeitmangel niemand Zugriffsberechtigungen gesetzt.

 

In dem NAS gibts nur die Möglichkeit alle Dateizugriffe täglich in ein csv zu exportieren was nicht sehr praxisgerecht ist.

 

Ausserdem gibt es mit dem NAS einen Single Point of Failure und da sowieso fast alle MA von Remote arbeiten, dachte ich an Sharepoint als Ersatz.

 

Wenn man da die Klassifizierung über Compliance Center (DLP) für gewisse Ordner/Dateien bräuchte, damit der User die Datei z.B. nur öffnen und speichern aber nicht kopieren, drucken oder wo anders hochladen darf, dann bräuchte jeder User mindestens eine Office E5 Lizenz, richtig? Oder auch AzureAD?

Lässt sich sowas überhaupt praxisgerecht implementieren wenn z.b. mit Exceldateien gearbeitet wird? Copy&Paste ins andere Dokument wird ja dann auch nicht mehr funktionieren.

 

Dann habe ich noch bei Sharepoint gesehen gibt es so Sachen wie Admindroid um z.B. zu sehen wenn jemand größere Dateimengen kopiert. Aber einzelne Dateien fallen da nicht auf, nur wenn man gezielt sucht.

 

Mit welchen Lösungen lässt sich Datenklau verhindern?

Gibt es andere Lösungen ausser Sharepoint +DLP die in Frage kommen würden?

 

Das Problem ist doch schon mal das jeder alles sieht oder?

 

Link to post

Moin,

 

Ich glaube nicht, dass Schnellschüsse hier helfen. Zunächst wäre doch mal zu klären, was überhaupt das Problem ist und wie künftig die Zugriffe geregelt werden sollen. Möglicherweise reichen ja doch recht simple Zugriffsrechte aus?

 

Eine Planung wirst du in jedem Fall machen müssen, das nehmen dir die ganzen Tools, die du nennst, nicht ab. Gerade wenn es das Geld des Kunden ist, hat er ein Recht auf Beratung.

 

Gruß, Nils

Edited by NilsK
Link to post

Moin

ein riesen Problem ist z.B. das in der Vergangenheit MA ausgeschieden sind und dann Daten inkl Kunden zu Konkurrenzfirmen mitgenommen haben.

Das kam sogar schon mehrmals vor.

Da laut Chef anscheinend eine einzelne Datei schon kritisch ist, reichen Zugriffsberechtigungen wohl nicht und sehe bis jetzt nur Sharepoint + DLP und evtl. noch AdminDroid als Lösung.

 

Was ich bis jetzt rausgefunden habe ist wohl auch O365 Business Premium + Compliance Addon möglich. O365 Defender oder Azure AD scheint man wohl auch zu brauchen um die Geräte zu überwachen.

 

Macht da MS selber eigentlich auch Beratung oder verkaufen die nur?

Link to post
vor 1 Minute schrieb xrated2:

ein riesen Problem ist z.B. das in der Vergangenheit MA ausgeschieden sind und dann Daten inkl Kunden zu Konkurrenzfirmen mitgenommen haben.

Das kam sogar schon mehrmals vor.

Das kannst Du nicht verhindern. Und wenn Du es "gut genug" einschränkst, passiert folgendes (schon in unzähligen Firmen beobachtet):

  • Firma stellt Vertriebler ein, weil sie Kunden mitbringen, kauft also de-facto nicht die Person ein, sondern primär ihr Rolodex
  • diese Vertriebler tun den Teufel, ihre Daten ins System des Arbeitgebers einzuspielen - im Zweifel bleibt das Rolodex physisch vorhanden
  • dann gehen die Vertriebler wieder und nehmen ihr Rolodex wieder mit --> die nächste Firma stellt sie ein, weil sie Kunden mitbringen ;-) 

Auch ich als Nicht-Vertriebler habe Kunden, die mir durch mehrere Arbeitgeberwechsel gefolgt sind. Habe ich sie "mitgenommen"? Nein, es stand jedem Arbeitgeber frei, sich als Firma beim Kunden zu beweisen und anderes Personal dort zu etablieren, auch nach meinem Ausscheiden noch. Wenn niemand daran Interesse hatte, ist es nicht mein Problem.

vor 2 Stunden schrieb xrated2:
 

Copy&Paste ins andere Dokument wird ja dann auch nicht mehr funktionieren.

Das ist ja wohl auch der Sinn der Sache ;-) Entweder Du willst DLP oder Du willst freien Informationsfluss. Beides geht nicht.

 

Microsoft macht da für eine Bude mit 50 Sitzen keine Beratung, aber es gibt Partnerfirmen, die das können und gern für euch tun werden.

vor 12 Minuten schrieb xrated2:

sehe bis jetzt nur Sharepoint + DLP und evtl. noch AdminDroid als Lösung.

DLP ist genau dafür gedacht. Das gab es und gibt es übrigens auch on premises und auch ohne SharePoint, nennt sich Rights Management Services. Aber das, was in der M365-Cloud angeboten wird, ist natürlich unendlich komfortabler zu bedienen und zu administrieren. Genau genommen hat kaum jemand die Kompetenz, das on-prem sauber aufzubauen und über Jahre verlustfrei zu betreiben.

  • Thanks 1
Link to post
vor 12 Stunden schrieb daabm:

 

That said. Am berühmten Ende des Tages wird mit dem Handy der Monitor fotografiert. Technik hat Grenzen...

100% gibt es in dem Kontext nicht, schon klar.
Aber es ist durchaus ein riesiger Unterschied, ob ich 1000 Dateien manuell screenshote oder einfach STRG-C, STRG-V mache.

Abgesehen davon, und das ist eigentlich der springende Punkt, habe ich mittels Audit Log die Möglichkeit nachzuvollziehen welche Dateien ein Mitarbeiter kurz vor der Kündigung angesehen hat.

Link to post
vor 9 Minuten schrieb falkebo:

Abgesehen davon, und das ist eigentlich der springende Punkt, habe ich mittels Audit Log die Möglichkeit nachzuvollziehen welche Dateien ein Mitarbeiter kurz vor der Kündigung angesehen hat.

...und dieser springende Punkt bringt Dir was genau? Außer Ärger mit dem Betriebsrat und möglicherweise auch mit dem DSB natürlich?

 

Die Firma muss dafür sorgen, dass

 

a. die Mitarbeiter nicht kündigen,

b. wenn sie kündigen, sie im Guten gehen

c. die Kundenbeziehungen so sind, dass sie auch das Ausscheiden eines Mitarbeiters überstehen.

 

Alles andere ist ein Versuch, ein strukturelles Problem mit technischen (und wenn ich den Ton Deines Posts richtig deute, auch juristischen) Mitteln zu lösen.

  • Thanks 3
Link to post
vor einer Stunde schrieb cj_berlin:

Die Firma muss dafür sorgen, dass

 

a. die Mitarbeiter nicht kündigen,

b. wenn sie kündigen, sie im Guten gehen

c. die Kundenbeziehungen so sind, dass sie auch das Ausscheiden eines Mitarbeiters überstehen.

Was hat das jetzt genau mit DLP bzw. Information Protection zu tun?

Du unterschreibst beim Einritt in die Firma eine Verschwiegenheitsklausel in der auch festgehalten ist, dass nach Beendigung des Arbeitsverhältnisses alle firmenrelevanten Daten restlos und nachweislich vernichtet werden müssen.

 

Mit obigen Maßnahmen erzielt man folgendes:

1. Datendiebstahl wird technisch erschwert, da Dokumente (ohne die aufwendige Verwendung von Workarounds mittels Screenshots etc.) nicht mehr unkontrolliert kopiert werden können.

2. Durch die Protokollierung behältst du zumindest die Kontrolle um im Falle eines Falles bei bösartigem Handeln potenzielle rechtliche Ansprüche geltend zu machen. Ich bin kein Jurist, jedoch würde ich mir als Unternehmer welcher mit hochsensiblen Daten hantiert, diese Möglichkeit nicht nehmen lassen.

 

vor einer Stunde schrieb cj_berlin:

Alles andere ist ein Versuch, ein strukturelles Problem mit technischen (und wenn ich den Ton Deines Posts richtig deute, auch juristischen) Mitteln zu lösen.

Wenn man diesen Satz so liest, entsteht so bisschen das Gefühl, dass alle Unternehmen welche z.B. MIP einsetzen, ***en sind.
Microsoft Information Protection in Microsoft 365 - Microsoft 365 Compliance | Microsoft Docs

 

Wie gesagt, 100% Schutz gibt es nicht. Im Zweifel heißt du Edward Snowden und schleust die Daten in einem Zauberwürfel raus.
Hier geht es darum verschiedene Maßnahmen einzusetzen um das Risiko zu minimieren.

Edited by falkebo
Link to post

Von ISDecisions gibt es ein Tool wo man z.B. erkennt wenn ein MA massenhaft Dateien löscht, kopiert oder was auch immer.

 

Bei MS ist das deutlich komplizierter als ich dachte, neben DLP wo man in den Dateien gezielt nach Patterns sucht gibt es noch Sensitivity labels (was darf der User damit tun) und WIP App-Schutzrichtlinien (welche Apps dürfen zugreifen). Setzt von Euch jemand sowas ein?

 

Muss man dann bei diesen Labels jede einzelne Datei von Hand einstellen oder wie geht das?

 

Ist bei der Sache zwingend Azure AD erforderlich? Es wird im Moment nur OnPremise AD eingesetzt.

Edited by xrated2
Link to post

Moin,

 

Ich stimme Evgenij völlig zu. Technisches Aufrüsten wird das Problem nicht lösen, sondern vor allem viel Geld kosten und die loyalen Mitarbeiter nerven. 

 

Wenn ein Mitarbeiter mit bestimmten, wichtigen Daten arbeiten muss, dann wird er auch Zugriff darauf haben. Und da in Deutschland niemand seinen Job von heute auf morgen wechselt, wird jemand, der Daten mitnehmen will, dies völlig unauffällig vorbereiten können.

 

Man muss hier also einen sinnvollen Umgang finden. Nicht jeden Praktikanten an die kritischen Geheimnisse zu lassen, ist sinnvoll. Irgendwelche technischen Hürden aufzubauen, ist hingegen meist unsinnig. Und da gehört die Beratung hin.

 

Gruß, Nils

  • Thanks 2
Link to post
vor 2 Stunden schrieb xrated2:

Von ISDecisions gibt es ein Tool wo man z.B. erkennt wenn ein MA massenhaft Dateien löscht, kopiert oder was auch immer.

 

Bei MS ist das deutlich komplizierter als ich dachte, neben DLP wo man in den Dateien gezielt nach Patterns sucht gibt es noch Sensitivity labels (was darf der User damit tun) und WIP App-Schutzrichtlinien (welche Apps dürfen zugreifen). Setzt von Euch jemand sowas ein?

 

Muss man dann bei diesen Labels jede einzelne Datei von Hand einstellen oder wie geht das?

 

Ist bei der Sache zwingend Azure AD erforderlich? Es wird im Moment nur OnPremise AD eingesetzt.

Moin,

ungefähr die Hälfte meiner O365-Kunden setzt AIP oder wie auch immer das heute Nachmittag heißt in irgendeiner Ausprägung ein. Tendenz ist steigend, weil Microsoft es geschafft hat, das einigermaßen beherrschbar zu verpacken, auch für den Endbenutzer.

Das Zeug existiert ausschließlich innerhalb O365, daher brauchst Du nicht nur Azure AD, sondern auch z.B. SharePoint Online, OneDrive for Business usw. Aber auch Dateien auf Deinem NAS kannst Du *eventuell* mit dem AIP-Schutz versehen.


Du kannst Labels mittels Policies bzw. Regeln automatisch zuweisen. Wie passend und präzise das dann wird, hängt von Deinen Dokumenten ab.

 

On premises (und ja, es heißt nicht onPremise, sonder on premises) hast Du, wie von mir oben bereits ausgeführt, AD RMS, da musst Du deine PKI im Griff haben und Deine Anwendungslandschaft auch, und hast nicht alle Features, die Du online geboten bekommst. Ist aber in Deiner Windows Server-Lizenz bereits enthalten. Für die Klassifizierung gibt es seit Server 2003 den File Server Resource Manager. Ist es das Gelbe vom Ei? Nein. Aber on-prem und ohne Zusatzkosten.

 

Last but not least: Information Protection jenseits der Zugriffsrechte setzt voraus, dass die Programme, mit denen die Dateien bearbeitet werden, dafür gerüstet sind. Wenn Du ein exotisches CAD-Programm einsetzt, welches keinen Schutz vor Weiterverbreitung bietet, ist alles AIP machtlos, und es bleiben nur Zugriffsrechte und, wenn Du Bock auf Rechtsstreitigkeiten hast, Zugriffsprotokolle.

  • Thanks 1
  • Haha 1
Link to post

Bei den automatischen Labels widersprechen sich die Aussagen, MS schreibt das E5 oder ähnlich erforderlich ist aber ich habe auch Screenshots gesehen wo der AzInfoProtection_UL reichen würde.

Dann steht geschrieben das wenn bei Einsatz von Labels die Dateien verschlüsselt werden, man kein DLP mehr mit Inhaltssuche durchführen könne. Und ohne Verschlüsselung machen die Labels ja keinen Sinn oder?

 

Was AzureAD angeht, in gewisser Weise gibts das ja schon durch die ganzen Office 365 User oder braucht man dazu auch noch die Endgeräte im Azure AD? Geht das alternativ auch über Defender Endpoint (Device Onboarding in DLP)?

 

Habe jetzt konkret die Anforderung das es um einen bestimmten Folder geht mit Firmenknow was in XLS steckt. Das könnte man ja mit DLP und Suche nach bestimmten Formelbestandteilen oder RegEx abfangen das sowas nicht an die Öffentlichkeit gelangt.

 

Dann gibts im selben Ordner aber noch Daten in allen möglichen Formaten und Inhalten die von anderen Firmen und allen möglichen Mitarbeitern gespeichert werden und die nur an die Firma rausgeschickt werden dürfen von der sie stammen. Ich sehe nicht wie man das automatisch machen sollte ausser das der Chef jede einzelne Freigabe abnicken muss.

In Sharepoint lässt sich glaube ich auch nicht einstellen das ein bestimmter Ordner nur an ganz bestimmte externe Leute geteilt wird, da gibts nur bestehende Gäste oder alle Gäste.

Edited by xrated2
Link to post

Sorry, aber Posts wie Dein letzter zeigen ganz deutlich, was @NilsK schrieb: Du brauchst Beratung. Die Cloud ist schon für die erfahrenen Cloud-Consultants und -Admins verwirrend genug, und Du steigst gleich mit Information Protection ein - einem der komplexesten Themen, die es in M365 gibt, und vor allem mit einem, das gern in Tränen endet, wenn Du es falsch aufziehst...

Link to post

Vor allem wirft MS auch noch mit verschiedenen Begriffen um sich, die teilweise noch veraltet oder ausgetauscht wurden und die Lizenzierung ist der reinste Alptraum.

Beratung wäre gut aber ich glaube nicht das die jemand im Detail macht ohne das ganze Projekt durchzuführen.

Die ganzen Fragen kommen vor allem auch daher weil ich nicht mal die richtige Lizenz habe um diese ganzen Features auszuprobieren. Aber wenn ich den richtigen Weg wüsste könnte man sich da schon reinarbeiten.

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...