Windows 8: Verschlüsselung individuell anpassen

Wer Windows Server 2012 und das neue Microsoft-Betriebssystem Windows 8 einsetzt, kann ein wesentliches Problem der IT-Sicherheit lösen: die unzureichende Umsetzung der Verschlüsselung.

In vielen Unternehmen mangelt es daran, die Verschlüsselung an den tatsächlichen Schutzbedarf der Dateien anzupassen. Zumeist gibt es zwei Möglichkeiten: alles verschlüsseln, was einen enormen Aufwand bedeutet - oder einzeln verschlüsseln, was garantiert einige sensible Dateien aus Versehen außen vor lässt.

Mit Dynamic Access Control ist es bei Windows-8-Geräten nun möglich, genau die Dateien automatisch zu verschlüsseln, die zum aktuellen Zeitpunkt und in der aktuellen IT-Umgebung tatsächlich geschützt werden müssen. Dadurch verringert sich der Aufwand beträchtlich.

Zugriff erlaubt mit Wenn und Aber

Dynamic Access Control (DAC), die dynamische Zugriffssteuerung, geht über die herkömmliche Zugriffskontrolle auf Basis von Nutzer- und Gruppenberechtigungen, Verzeichnissen und Dateien hinaus. Basis für die DAC-Zugriffsberechtigung ist die Klassifizierung der in einer Datei enthaltenen Informationen.

Dateien erhalten bestimmte Klassifizierungseigenschaften (Tags), wie zum Beispiel "personenbezogene Daten", "nur für Projekt XY" oder "nur für den internen Gebrauch". Die Klassifizierung (Tagging) wird den Dateien in Form von Metadaten mitgegeben und kann so selbst dann als Grundlage der Zugriffsberechtigung genutzt werden, wenn die Datei beispielsweise per E-Mail verschickt wurde.

Zentrale Regeln für einzelne Dateien

Die genaue Zugriffsregelung für Dateien mit bestimmten Tags wird in CAPs (Central Access Policies) definiert, die unternehmensweit oder nur für einzelne Bereiche (Active Directory Attribut Department) gültig sein können. Die CAPs ergänzen die bereits vorhandenen Datei- und Verzeichnisberechtigungen. Wenn ein Nutzer zum Beispiel die Berechtigung hat, Dateien aus einem bestimmten Verzeichnis zu öffnen, eine CAP dem aber widerspricht, wird kein Zugriff erteilt.

So könnte ein Vertriebsmitarbeiter zum Beispiel generell das Recht haben, Excel-Listen im Vertriebsverzeichnis zu öffnen - nicht aber, wenn in den Excel-Listen die Kreditkarteninformationen der Kunden enthalten sind.

Ein anderes Beispiel: Eine Excel-Datei mit Kundenlisten könnte so geschützt werden, dass die Datei nur von einem Nutzer aus dem Vertrieb mit einem sicheren und dafür zugelassenen Gerät geöffnet werden kann. Will der an sich berechtigte Nutzer die Excel-Datei auf dem Computer im Home-Office öffnen, wird der Zugriff verweigert, da die Kundendaten nur auf zugelassenen Geräten zugänglich sein dürfen.

QuestSoftware Security Explorer: DAC-Claims
Mit Dynamic Access Control können Dateien die Informationen über Zugriffsberechtigungen in Form von Metadaten mitgegeben werden (hier zu sehen im Active Directory Administrative Center innerhalb des Security Explorers von Quest Software). Wenn zum Beispiel nur ein Nutzer, der sich in einem bestimmten Land aufhält, die Datei öffnen darf, kann dies über einen entsprechenden Tag in der Datei vermerkt werden. Für den Dateizugriff muss der Nutzer dann über seine Anmeldung nachweisen, dass er die Bedingung erfüllt.

QuestSoftware Security Explorer: DAC-Bedingungen
Die Bedingungen, die für die Zugriffsberechtigung bei Dynamic Access Control erfüllt sein müssen, lassen sich zum Beispiel im Security Explorer von Quest Software einzeln definieren.

Dataglobal dg classification 2.0
Die Klassifizierung von Dateien, die bei den Zugriffsversuchen geprüft und entsprechend der Zugriffsregeln ausgewertet wird, kann mit Werkzeugen wie dg classification 2.0 von dataglobal vereinfacht werden. So lassen sich Regeln anhand von Musterdokumenten leichter entwickeln.

Microsoft File Classification
Auf Windows-8-Geräten können Dateien vom Nutzer im Rahmen zentraler Vorgaben klassifiziert werden, zum Beispiel als Datei, die personenbezogene Daten enthält.

Dateien öffnen
Versucht ein Nutzer, eine klassifizierte Datei zu öffnen, muss er zuerst seine Berechtigung anhand seiner Anmeldeinformationen nachweisen.

Unterstützung von AD RMS
Dynamic Access Control unterstützt als Zugriffsschutz auch die automatische Verschlüsselung über Active Directory Rights Management Services (AD RMS).

Abhängig von der Klassifizierung
Die automatische Verschlüsselung kann von der Klassifizierung der Datei abhängig gemacht werden, zum Beispiel von dem Vorhandensein personenbezogener Daten in der Datei.

Office-Dateien automatisch verschlüsseln

Der Zugriffsschutz lässt sich durch eine automatische Verschlüsselung realisieren, die nur bei Erfüllung aller in der CAP definierten Voraussetzungen aufgehoben wird. Das können beispielsweise Anforderungen an den Nutzer, das Gerät, den Standort und den aktuellen Speicherort der Datei sein. Für die Verschlüsselung arbeitet Dynamic Access Control mit AD RMS (Active Directory Rights Management Services) zusammen.

Dazu legt der Administrator im File Server Resource Manager eine File Management Task an, die für Dateien mit definierten Tags eine automatische Aktion "RMS Encryption" vorsieht. Hat zum Beispiel eine Excel-Datei die Klassifizierung "Personenbezogene Daten", und wird für diesen Fall die automatische Verschlüsselung geplant, so werden alle entsprechend klassifizierten Dateien dazu passend behandelt. Ausnahme: Dateien, die zwar genauso klassifiziert sind, aber in einem gesperrten Ordner liegen.

Im Standard sieht Dynamic Access Control nur die automatische Verschlüsselung von Office-Dateien vor. Über Zusatzprogramme von Drittanbietern können weitere Dateitypen auf Basis ihrer Klassifizierung automatisch verschlüsselt werden. So weitet zum Beispiel GigaTrust Protector for SharePoint die RMS-Verschlüsselung auf PDF-Dateien aus.

Eine Frage der Klassifizierung

Die Klassifizierung und die genaue Definition der Zugriffsregeln bei DAC sorgen für die auf den Schutzbedarf angepasste Verschlüsselung und damit für mehr Verhältnismäßigkeit der Schutzmaßnahmen.

Die Klassifizierung und Zugriffsregeln bedeuten jedoch einiges an Arbeit für die Administratoren. Hilfreich ist es zum einen, dass sich die Klassifizierung von einem Verzeichnis auf alle darin enthaltenen Dateien vererben lässt.

Zum anderen kann die Klassifizierung für neue Dateien gleich nach Erstellung auf den Windows-8-Geräten vorgenommen werden. Das muss nicht rein manuell (über die Registerkarte Klassifizierung des Eigenschaftenblatts der Datei) erfolgen, sondern kann genauso automatisiert vonstatten gehen wie später die Verschlüsselung. Von Microsoft gibt es ein Toolkit zur Datenklassifizierung, das bereits einige integrierte Regeln zum Ermitteln personenbezogener Daten mitbringt.

Übersicht zu Dateien und Anforderungen erforderlich

Die automatische Verschlüsselung sensibler Dateien funktioniert nur dann wie gewünscht, wenn tatsächlich alle vorhandenen Dateien klassifiziert werden, sämtliche relevanten Klassifizierungseigenschaften (zum Beispiel personenbezogene Daten) definiert wurden und die Zugriffsregeln den Geschäftsprozessen entsprechend entwickelt wurden. Es gilt zu klären, welche Art von Daten unter welchen Umständen zu schützen, also zum Beispiel automatisch zu verschlüsseln sind.

Dazu müssen sich Unternehmen auch aller rechtlichen Anforderungen bewusst sein, die sie bei der Datensicherheit zu berücksichtigen haben - also nicht nur des Schutzes personenbezogener Daten nach BDSG (Bundesdatenschutzgesetz), sondern beispielsweise auch der Anforderungen nach PCIDSS (Payment Card Industry Data Security Standard).

Administrationsaufwand bleibt

Der Aufwand bei der Vorbereitung von Dynamic Access Control ist nicht zu unterschätzen. Eine gewisse Vereinfachung bei der Klassifizierung bieten Zusatzpakete zu Windows Server 2012 wie dg classification 2.0 von dataglobal. Diese Lösung nutzt unter anderem Musterdokumente für die Entwicklung der Zugriffsregeln.

Ganz ohne Administrationsarbeit ist aber die deutliche Verbesserung im Bereich Zugriffskontrolle und Dateiverschlüsselung mit Dynamic Access Control leider nicht zu bekommen. Deshalb werden hauptsächlich größere Unternehmen von DAC profitieren.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (cvi)