Sicher ist sicher

Datensicherheit mit Office 365 und SharePoint On Premise (Teil 3)
Kommentare

Einbinden einer zusätzlichen Schutzkomponente
Möchten Sie neben Word-Dokumenten weitere Dateitypen, beispielsweise PDF, unterstützen, müssen Sie entweder Ihre eigene Komponente bauen, oder Sie verwenden

Einbinden einer zusätzlichen Schutzkomponente

Möchten Sie neben Word-Dokumenten weitere Dateitypen, beispielsweise PDF, unterstützen, müssen Sie entweder Ihre eigene Komponente bauen, oder Sie verwenden eine Drittanbieterkomponente und binden sie ein. Der Knackpunkt beim Selbstschreiben dieser Komponente ist, dass es sich hierbei um COM-Objekte handelt und wir mit unmanaged Code umgehen müssen. Wichtig ist, dass immer nur jeweils ein Dateityp zu einer Schutzkomponente gehört, umgekehrt kann eine Schutzkomponente zu mehrere Dateitypen gehören. Möchten Sie mehr über das Einbinden dieser Komponenten erfahren, schauen Sie unter [3] nach.

Ablegen und abrufen von Informationen

Wenn Herr Peter auf seiner MySite oder der Projektseite ein Dokument in die Dokumentenbibliothek „Freigegebene Dokumente“ hochlädt, landet es in einer SharePoint-Liste (Dokumentenbibliothek), wie in Abbildung 7 zu sehen. Diese befindet sich innerhalb einer Website, die sich wiederum innerhalb einer Webseitensammlung befindet. Die Webseitensammlung befindet sich auf einem verwalteten Pfad, der einer Webanwendung zugeordnet ist. Jede Webanwendung hat ihre eigene Inhaltsdatenbank auf dem SQL-Server. In dieser Inhaltsdatenbank liegt das Dokument, und auf dieses kann nur über das Objektmodell zugegriffen werden.

Abb. 7: SharePoint-Foundation-Aufbau
Abb. 7: SharePoint-Foundation-Aufbau

Abhängig von der Konfiguration kann es auch sein, dass das Dokument im Dateisystem landet, je nachdem, ob der Remote BLOB Storage entsprechend konfiguriert wurde. Es lassen sich dann Dateien ab einer gewissen Größe im Dateisystem ablegen. Warum es diese Option gibt, ist leicht erklärt: Die MS-SQL-Datenbank ist kein Ort für Dateien, sondern eine Datenbank, in der sehr viele kleine Daten abgelegt werden. Sie arbeitet mit einer festen Seitengröße von 8 KB, also fragmentiert sie jede Datei in 8 KB große Seiten. Das führt dazu, dass das Lesen und Speichern von Dateien sehr träge ist, daher gibt es den Remote BLOB Storage, der sich so konfigurieren lässt, dass Dateien ab einer Größe von 50 KB im Dateisystem abgelegt werden.

Cloud oder On Premise

Gerade kleine und mittelständische Unternehmen oder auch Start-Ups besitzen wenig bis keine Serverinfrastruktur. Für diese Zielgruppe ist die „Cloud“ eine attraktive Möglichkeit, Investitionen in die IT-Infrastruktur einzusparen.

Was ist Office 365?

Mit Office 365 ist das Arbeiten von praktisch jedem Ort aus möglich. Der Zugriff auf E-Mails, Kalender und Kontakte ist jederzeit möglich, auch von mobilen Geräten aus. So genannte Web Apps ermöglichen das Anzeigen von Office-Dokumenten innerhalb des Browsers. Selbst Videokonferenzen und das gemeinsame Arbeiten an einem Dokument sind möglich. Office 365 enthält Office Professional Plus, Lync Online, Exchange Online und SharePoint Online und wird von Microsoft mit einer Uptime von 99,9 % inklusive geplanter Wartungen betreut, was bedeutet, dass Office 365 im Monat maximal 43:48 Minuten offline sein wird. Oder acht Stunden und 46 Minuten im Jahr, ohne dass der Endbenutzer eingreifen müsste.

In der Theorie klingt das alles fantastisch, der Teufel steckt wie immer im Detail: Wir sind Administratoren für unseren Bereich und teilen uns Hardware und Dienste, ohne etwas zu bemerken, das ist gut. Wir haben aber nicht die Möglichkeit, uns auf der Farmebene zu bewegen und haben folglich nicht die volle Kontrolle – das ist die eine Seite. Die andere Seite ist die Tatsache, dass wir offensichtlich die Allgemeinen Geschäftsbedingungen akzeptiert haben. Worauf ich hinaus will, ist, dass im Vertrag mit Microsoft steht, dass unsere Daten, sobald ein triftiger Grund vorliegt, an einen anderen Standort verlegt werden können, ohne dass wir im Vorfeld informiert werden. Mit „anderer Standort“ ist jeder beliebige Standort gemeint, der sich nach den Safe-Harbor-Bestimmungen richtet (siehe Kasten „Safe Harbor“).

Safe Harbor

Safe Harbor (Sicherer Hafen) ist eine Vereinbarung, die im Jahr 2000 zwischen der Europäischen Union und den Vereinigte Staaten von Amerika zu dem Zweck getroffen wurde, einen Rahmen zu definieren, der gewährleistet, dass die Datenschutzbestimmung der EU eingehalten werden und somit personenbezogene Daten legal in die USA übermittelt werden können.
Der Knackpunkt an der Safe-Harbor-Vereinbarung ist, dass die Einhaltung nicht transparent genug ist. Die Realität sieht so aus: US-Unternehmen zertifizieren sich selbst, ohne staatliche Kontrolle, und auch im Nachhinein gibt es keine Überprüfung. Die zuständige Federal Trade Commission wird nur auf Beschwerde hin tätig. Die Empfehlung lautet an dieser Stelle, dass sich jedes Unternehmen aktiv kümmern sollte, um sicherzustellen, dass die Safe-Harbor-Vereinbarung auch wirklich eingehalten wird [4].

Das Microsoft Whitepaper zum Thema Onlinesicherheit [5] beschreibt die festgelegten Konventionen bei internationaler Datenübertragung. Microsoft unterhält so genannte Datacenter, in denen die Daten der Office 365 Cloud jeweils an zwei Standorten redundant gehalten werden. Diese Datacenter sind geografisch verteilte Einrichtungen in unterschiedlichen Ländern. Jeder, der sich für Office 365 entscheidet, kann bestimmen, wo sein bevorzugter Datenhauptsitz sein soll: Europa, Asien oder Nordamerika. Datacenter finden sich in den Ländern unter [6].

Für Kleinunternehmer ist Office 365 only dennoch eine gute Chance, für mittlere und große Unternehmen mit Betriebsrat und Datenschutzbeauftragten muss mit viel Feingefühl vorgegangen werden. Hybridlösungen sind durchaus eine Option.

On Premise

Microsoft Office SharePoint 2010 On Premise ist traditionell die häufigste Strategie in Unternehmen. Alles rund um die Cloud ist sehr neu und muss sich erst noch beweisen. On Premise hat man stets alles im Griff, daher werde ich insbesondere auf die Sicherheitsvorteile gegenüber SharePoint Online (Office 365) eingehen, denn es gibt einige Szenarien, die in der Cloud nicht einfach realisierbar sind, z. B. aufgrund der unklaren Datenschutzlage ein Human-Resources- oder ein Betriebsratsportal. Sie sollten SharePoint On Premise nutzen, wenn festgelegt wurde, dass datenschutzrelevante oder vertrauliche Informationen nicht ins Ausland wandern dürfen, sondern lokal in der EU oder in Deutschland gehalten werden sollen. Das Gleiche gilt für SharePoint-Lösungen, bei denen vorgeschrieben ist, dass Inhalte eines Portals in einer eigenen Datenbank liegen sollen oder gar auf einem separaten Datenbankserver. Diese Szenarien gibt es tatsächlich. Vorteile von On Premise sind dabei die volle Kontrolle, eine hohe Anpassbarkeit und Datenschutzkonformität sowie Audit-Funktionalitäten. Damit verbunden sind nachteilig ein hoher Wartungsaufwand und hohe IT-Infrastrukturkosten.

Das Dokument

Damit Sie die Funktionsweise kennen lernen, möchte ich mit Ihnen gemeinsam ein Dokument schützen – vorausgesetzt, Sie haben eine IRM-Infrastruktur zur Verfügung. Öffnen sie in Microsoft Word 2010 ein Dokument, das Sie schützen möchten, und navigieren Sie dann zur Registerkarte ÜBERPRÜFEN. Im Dialog klicken Sie anschließend auf BERECHTIGUNGEN EINSCHRÄNKEN.

Abb. 8: Microsoft Word 2010 mit IRM
Abb. 8: Microsoft Word 2010 mit IRM

Sie können nun ganz allgemein festlegen, wer lesen und wer das Dokument ändern darf (Abb. 8). Klickt man auf WEITERE OPTIONEN, lässt sich noch detaillierter festlegen, ob es gedruckt werden darf, wann es abläuft u. v. m (Abb. 9).

Abb. 9: IRM-Einstellungen im Office-Client
Abb. 9: IRM-Einstellungen im Office-Client

Noch einfacher lassen sich E-Mails schützen: Nachdem Sie eine vertrauliche Mail verfasst haben, lässt sich im Register OPTIONEN der Schutz aktivieren (Abb.10). Der Empfänger kann diese Mail weder weiterleiten noch drucken oder kopieren. Das gilt auch für alle Antworten.

Abb. 10: Schützen einer Mail
Abb. 10: Schützen einer Mail
Integration in SharePoint

Haben Sie erfolgreich AD RMS in der Domäne konfiguriert, fehlt als letzter Schritt die Verbindung mit SharePoint. Dieser Schritt ist der unkomplizierteste, wir benötigen lediglich Zugang zur Zentraladministration. Im Menü SECURITY unter dem Link CONFIGURE INFORMATION RIGHTS MANAGEMENT wird die IRM-Infrastruktur mit dem SharePoint Server verbunden, danach können die IRM-Funktionalitäten im SharePoint verwendet werden.

Fazit

IRM ist in jedem Fall eine gute Möglichkeit für Organisationen, vertrauliche Informationen zu schützen, denn der Schutz hört bei herkömmlichen Mechanismen immer dann auf, sobald eine berechtigte Person Informationen an Dritte weitergibt. IRM ist keine unüberwindbare Hürde, denn letzten Endes ist nichts zu 100 % sicher. Dennoch sorgt IRM dafür, dass der Umgang mit vertraulichen Informationen geregelt wird. Die nahtlose Office-Integration ist sehr gut gelungen und für den Endanwender leicht zu bedienen. Mittlerweile lässt sich IRM auch mit Exchange Online harmonisieren.

Office 365 mit SharePoint Online ist für kleine und mittelständische Unternehmen eine Option, durch die brisante Datenschutzlage rate ich aber eher zu Hybridlösungen. Vertrauliche Daten sollten noch immer On Premise gehalten werden. Leider gibt es noch keine IRM-Integration für SharePoint Online. Möchte man die IRM-geschützten Dokumente außerhalb der Organisation verteilen, muss der AD RMS Cluster von außen erreichbar sein.

Ayoub Umoru ist SharePoint-Experte und leidenschaftlicher Trainer. Er leitet den Bereich Portaltechnologien bei den Datenlotsen Informationssystemen GmbH und veranstaltet Schulungen rund um das Thema SharePoint.
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -