Sicher ist sicher

Datensicherheit mit Office 365 und SharePoint On Premise
Kommentare

Wann immer Informationen zusammenfließen und geografisch verteilte Mitarbeiter an einer Sache arbeiten, wandern relevante Informationen hin und her. Wir sind es mittlerweile gewohnt, bequem und schnell an unsere Daten zu gelangen, aber welche Rolle spielt dabei das Thema Sicherheit? Was ist diesbezüglich mit SharePoint möglich, und ist Office 365 eine Option?

Wir leben in einer Zeit, in der komfortabler Zugriff auf relevante Informationen eine immer größere Rolle spielt. Daher treffen viele Unternehmen die Entscheidung für eine Enterprise-Zusammenarbeitsplattform. Microsoft Office SharePoint2010 und SharePoint Online aus dem Office-365-Paket sind dabei ganz weit vorn. Wie aber gehen wir mit Szenarien um, in denen wir online und offline mit vertraulichen Informationen agieren? Ganz alltäglich ist das Hantieren mit Daten für uns geworden. Dass wir unsere Dokumente mit uns herumschleppen, auch gerne auf USB Sticks, Festplatten und CDs, ist nicht die Ausnahme. Als jüngstes Beispiel gab Herr zu Guttenberg an, dass er allein seine Doktorarbeit auf 80 verschiedenen Datenträgern abgelegt hatte. Was würde diese Arbeitsweise für ein mittleres bis großes Unternehmen bedeuten?

Die Notwendigkeit, vertrauliche Informationen zu schützen, haben wir längst erkannt, daher spielen in SharePoint-Projekten Rechte und Rollenkonzepte eine entscheidende Rolle. Mittlerweile ist es nicht ungewöhnlich, dass Personaldaten digitalisiert in einem Dokumentenmanagement-System oder im SharePoint landen (HR-Portal). Viele Szenarien, in denen kritische Informationen an nicht befugte Dritte gelangen können, lassen sich mit Firewalls, Rollen und Rechten sowie Dateisystemverschlüsselung abdecken, aber eben nicht alle.

SharePoint in Unternehmen

Der Microsoft Office SharePoint Server 2010 öffnet für Unternehmen, Hochschulen und andere Organisationen allerhand neue und interessante Türen für eine Reihe von Szenarien und Möglichkeiten. Microsoft Office SharePoint 2010 ist eine Enterprise-Zusammenarbeitsplattform, die ihre Stärken in den Bereichen Integration von Daten aus Drittsystemen, Zusammenarbeit, Anpassbarkeit, Flexibilität und standortunabhängiger Zugriff auf deren Inhalte besitzt. Wenn wir von Szenarien und Möglichkeiten im Kontext von Microsoft Office SharePoint 2010 und Office 365 SharePoint sprechen, lassen sich Anforderungen rund um folgende Themen bedienen:

  • Foren
  • Intranet
  • Team und Projektarbeit
  • Videokonferenzen
  • Verfügbarkeit von Kollegen
  • Zusammenarbeit jenseits der Firewall
  • Arbeiten von zu Hause und unterwegs
  • Terminabstimmung
  • Digitale Medieninhalte
  • Soziale Netzwerke und Dokumente teilen und gemeinsam bearbeiten

Scheidet ein Mitarbeiter aus oder verliert ein Mitarbeiter sein Dienstnotebook, lassen sich die Kennwörter bestimmter Konten ändern, und alle oben aufgelisteten Möglichkeiten stehen für Dritte nicht mehr zur Verfügung. Ausgenommen sind Dokumente und Mails, was bedeutet, dass diese Informationen für Nichtbefugte frei zugänglich wären.

Intranet- und Extranetportale

In der Regel werden Intranetportale für Mitarbeiter, Schüler oder Studenten bereitgestellt, wobei ein Extranetportal Kunden, Partner, Lieferanten oder mögliche Investoren einbindet. Viele Firmen sträuben sich davor, ihre Daten in die Wolke zu verlagern, nicht selten ergibt sich daher auch eine Hybridstrategie, die die Vorteile beider Lösungen kombiniert. In Intranet- und Extranetszenarien geht es im einfachen Sinne immer darum, auf einer gemeinsamen Plattform Informationen bereitzustellen und auszutauschen, und da setzen wir an.

Rechte und Rollen

Berechtigungen lassen sich individuell, übergeordnet, nach Funktion, Bereich oder Bauchgefühl vergeben. Macht sich zu Beginn eines Portalprojekts niemand Gedanken darüber, führt das schnell zu einer schwer heilbaren Infektion mit dem Bakterium „Ad-Hoc Rechteverteilungs-Admin-immer-fragen-muss“. Berechtigungen sorgen dafür, dass jede Mitarbeiterin ihrer Rolle entsprechend Zugriff auf die für sie relevanten Bereiche und Inhalte besitzt, daher müssen Berechtigungen leicht nachvollziehbar sein, damit die richtigen Informationen zu den richtigen Personen gelangen. Gleichzeitig freut sich auch der First Level Support, da Anfragen oftmals mit Berechtigungen zu tun haben. Hat eine Mitarbeiterin als Projektleiterin die Verantwortung für ein Projekt, so hätte sie Zugriff auf die dazugehörige Projektseite, könnte die Unterlagen verwalten, die Planung anpassen und weitere Personen einladen. Sie wäre dann die Besitzerin des Projekts, alle übrigen Teilnehmer die Besucher oder Mitglieder. Je nachdem, welches Konzept verfolgt wird, kann die Rollenverteilung auch eine ganz andere sein; das kann jede Organisation für sich entscheiden.

Berechtigungen im SharePoint

Innerhalb von SharePoint Foundation gibt es im Umgang mit Berechtigungen ein paar Guidelines, die sich jeder zu Herzen nehmen sollte:

  • Unterbrechen Sie Berechtigungen so wenig wie möglich und legen Sie sie auf der höchstmöglichen Ebene fest.
  • Verwenden Sie für bestimmte Dokumente separate Dokumentenbibliotheken. Anstatt nur eine Dokumentenbibliothek, z. B. Projektunterlagen, zu verwenden, kann jeweils für Planung, Steuerung, Dokumentation usw. eine eigene Dokumentenbibliothek erstellt werden. Dort haben Sie dann auch die Möglichkeit, separate Berechtigungen für die Dokumentenbibliothek zu vergeben, das macht alles etwas transparenter.
  • Es ist möglich, die Vererbung der übergeordneten Berechtigung zu unterbrechen, um beispielsweise einem einzelnen Dokument in einer Projektseite andere Berechtigungen zu geben als dem Rest der Dokumente innerhalb der Bibliothek.
  • Individuelle Anpassungen der Berechtigungen sollten weitestgehend vermieden werden, da die Verwaltung der Rechte zeitaufwändig werden kann.
  • Idealerweise steuern Sie die Berechtigungen auf der Websiteebene.
  • Verwenden Sie SharePoint-Gruppen.
  • Um den Überblick nicht zu verlieren und den Wartungsaufwand gering zu halten, sollten die Benutzer in SharePoint-Gruppen unterteilt werden. In erster Linie sollten Sie die Gruppe „Besucher“ und „Mitglieder“ verwenden. Mitglieder sind beispielsweise schon in der Lage, Dokumente zu bearbeiten und zu löschen. Viel mehr Berechtigungen sind oft nicht notwendig. Vergeben Sie gerade genug Rechte, die die jeweilige Person benötigt, um ihre Aufgaben erfüllen zu können.
SharePoint-Berechtigungssystem

SharePoint-Gruppen sind websitesammlungsübergreifende Objekte, die Sicherheitsprinzipale enthalten können, z. B. Windows-Benutzerkonten, Nicht-Windows-Benutzerkonten (z. B. auf Formularen basierende Konten) und Active-Directory-Gruppen. Häufig trifft man die Rollen „Besucher“, „Mitglied“ und „Besitzer“ an. Das kommt daher, dass beim Erstellen einer Website der Ersteller gefragt wird, ob er zur Website neue Gruppen miterstellen oder vorhandene SharePoint-Gruppen verwenden möchte. Im Standard werden die Gruppenbesucher von Mitglied und Besitzer vorgeschlagen. Jeder Gruppe/Rolle sind Standardberechtigungsstufen zugeordnet, die ihren Rollen endsprechende Sätze an Berechtigungen enthält (Abb. 1).

Abb. 1: Übersichtliche Darstellung der Websitesicherheit
Abb. 1: Übersichtliche Darstellung der Websitesicherheit

SharePoint 2010 bietet 33 unterschiedliche Berechtigungen an, die in den aufgeführten fünf Standardberechtigungsstufen untergebracht werden. Je nachdem, ob Sie eine Liste, eine Webseite oder ihre persönlichen Einstellungen ändern möchten, kommen ganz unterschiedliche Berechtigungen zum Tragen. Eine Übersicht über die unterschiedlichen Berechtigungsstufen findet sich auf den SharePoint-Seiten von Microsoft [1]. Die Berechtigungen werden vom obersten Knoten abwärts bis auf das letzte Element vererbt. Diese Vererbung kann durch den Anwender mit der entsprechenden Berechtigung unterbrochen werden, um beispielsweise ein einzelnes Dokument für jemanden abrufbar zu machen, indem man ihr oder ihm den direkten Link zur Datei mit dem E-Mail-Client sendet.

Abb. 2: Vererbte Berechtigungen für die Dokumentenbibliothek
Abb. 2: Vererbte Berechtigungen für die Dokumentenbibliothek

Das Unterbrechen von vererbten Berechtigungen führt leider ganz schnell dazu, dass man den Überblick verliert. Viele Anwender nutzen gerne ihre Rechte, um individuelle Berechtigungen auf der Elementebene festzulegen, also pro Dokument zu vergeben. Sinnvoller wäre die Aufteilung der Dokumente mit unterschiedlichen Rechten in jeweils eigene dafür existierende Bibliotheken (Abb. 2).

Streng vertraulich

Die Thematik „Rechte und Rollen“ ist, sobald ein solides Konzept steht und umgesetzt wurde, auch schnell wieder vom Tisch. Spannend wird es bei der IT-Infrastruktur im Ganzen. Wie schützen sich Unternehmen und Institutionen vor Eindringlingen und Datenklau? Indem mindestens Maßnahmen wie sichere Kennwörter und Firewalls ergriffen werden. Grundsätzlich soll sichergestellt werden, dass der Zugang zum firmeninternen Netz oder einem Arbeitscomputer nur bestimmten Personen vorbehalten ist.

Das gleiche Prinzip gilt auch für SharePoint 2010: Die Benutzer verwalten ihre Rechte selbst und entscheiden, wer welche Dokumente und Bereiche sehen, verändern und löschen kann, oder diese Berechtigungen werden idealerweise anhand des Rechte- und Rollenkonzepts vorgegeben. Was aber passiert, wenn eine Person in der U-Bahn das Notebook mitsamt Mails und Dokumenten des Vorstands findet? Ähnlich bedrohliche Situationen entstehen, wenn jemand eine vertrauliche Mail an die Konkurrenz weiterleitet. Vorbei an allen Sicherheitsschleusen, Firewalls und extrem sicheren Kennwörtern sind vertrauliche Informationen an Dritte gelangt. Der gezielte Einsatz von IRM (Information Rights Management) kann dies verhindern.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -