Versicherungsbetriebe > Security

25.07.2018 von Bert Skorupski, Senior Manager, Sales Engineering bei Quest Software

Bordmittel reichen nicht aus

DSGVO und ihre Auswirkung auf Cloud-Dienste: In vielen Banken und Versicheungen werden Produkte wie etwa Office 365 und Microsoft Azure genutzt. Hier gilt es, die Zugriffsrechte sowie die durchgeführten Zugriffe einzelner Administratoren sowohl auf die Management-Funktionen als auch auf die gespeicherten Daten kritisch zu hinterfragen. Werden die Administrationsfunktionen auch wirklich genutzt? Wie werden die Zugriffe überwacht, und wie kann aus untypischem Verhalten schnell ein Schluss auf Missbrauch gezogen werden?

DSGVO – die Regulation greift tief ins Datenmanagement ein

Die Bordmittel, die Microsoft zusammen mit seinen Lösungen anbietet, geben nur eine ungefähre Kontrolle über die Administration. Jedoch bieten einige Drittanbieter Lösungen an, die eine granulare Nachvollziehbarkeit der Nutzung von Admin-Konten gewährleisten. Mit ihnen können nicht nur vergangene Zugriffe dokumentiert und wieder eingesehen werden, auch eine zeitnahe Verfolgung ist damit möglich. Sollte sich herausstellen, dass untypische oder gar unbefugte Operationen von einem Konto aus durchgeführt wurden, können moderne Management-Lösungen beispielsweise Konfigurationsänderungen korrigieren oder auch von vornherein verhindern.

 

Dies ist insbesondere deswegen wichtig, da die DSGVO im Falle eines Datenvergehens eine Benachrichtigungspflicht innerhalb von 72 Stunden gegenüber der zuständigen Datenschutzbehörde sowie den Betroffenen vorschreibt. Auch ist die Aufbewahrungsfrist von Informationen zu Zugriffen bei Cloud-Diensten in aller Regel auf nur 90 Tage beschränkt.

 

Umfassender Schutz 

Die Aufgabe einer Management-Lösung liegt aber nicht nur darin, die Administratoren-Zugriffe zu dokumentieren, sondern auch die der restlichen Benutzer. Daneben lassen sich Rechte granularer bestimmen und plattformübergreifend steuern. Gerade bei Cloud-Diensten ist es wichtig, eine einheitliche Linie zu verfolgen. So ist im Falle eines Ausscheidens eines Mitarbeiters oder eines Positionswechsels darauf zu achten, dass die Zugriffsrechte systemübergreifend geändert werden. 

Um einen reibungslosen Übergang auf das Management-System durchführen zu können, sollte eine Management-Lösung vorhandene Sicherheitsrichtlinien und Systemkonfigurationseinstellungen übernehmen können. So kann die Migration weitgehend automatisiert erfolgen, damit das Projekt schneller abgeschlossen werden kann.