So sagen Sie den vier häufigsten Sicherheitsrisiken von Microsoft SharePoint den Kampf an

Transkript

1 So sagen Sie den vier häufigsten Sicherheitsrisiken von Microsoft SharePoint den Kampf an Microsoft SharePoint hat sich innerhalb kürzester Zeit zum Unternehmensstandard für internes und externes Collaboration- und Content-Management gemausert und ist heute ähnlich allgegenwärtig wie Microsoft Exchange im -Bereich. Dabei hat SharePoint jedoch mit den gleichen Problemen zu kämpfen wie Exchange: Es gilt, Budgets gewinnbringend einzusetzen, Viren und Datenverlust zu bekämpfen und Richtlinien für Governance und Compliance ein- und durchzusetzen. Dieses White Paper wägt Risiko und Nutzen von SharePoint ab und informiert über geeignete Maßnahmen zum Schutz digitaler Datenbestände in Unternehmen. Autor: Chris McCormack, Product Marketing Manager, Sophos Sophos White Paper November 2009

2 So sagen Sie den vier häufigsten Sicherheitsrisiken von Microsoft SharePoint den Kampf an SharePoint: Eine Einführung Microsoft Windows SharePoint ermöglicht einen gemeinsamen Zugriff auf zu bearbeitende Dokumente und einen mühelosen Dateiaustausch. Ferner kann das Tool auch in den Bereichen Problemlösung und strategische Planung gewinnbringend eingesetzt werden und bietet wertvolle Optionen, die eine Erstellung von Links zu Live-Inhalten im Internet sowie eine Generierung unternehmensspezifischer Tabellen und Reports erlauben. SharePoint bietet Unternehmen viele Vorteile, insbesondere solchen mit und mehr Mitarbeitern, da es:»» die Produktivität von Mitarbeitern steigert, indem es tägliche Geschäftsabläufe vereinfacht.»» durch Funktionen zur Zusammenarbeit kürzere Projektlaufzeiten ermöglicht.»» Mitarbeiter ermächtigt, durch zentralen Informationszugriff informierte Entscheidungen zu treffen.»» die Einhaltung von Richtlinien durch Einsatz von Inhaltskontrollen sicherstellt.»» den Zugriff auf strukturierte und nicht strukturierte Daten auf zahlreichen Systemen vereinfacht. Accessibility»» eine einzigartige integrierte Plattform zur Verwaltung eines unternehmensweiten Intranet, Extranet und von Internet-Anwendungen bereitstellt. Microsoft SharePoint setzt sich aus zwei Komponenten zusammen : Windows SharePoint Services 3.0 (WSS) und Microsoft Office SharePoint Server (MOSS). Details erfahren Sie unter Was genau ist Microsoft SharePoint? auf Seite 6. Die Verkaufszahlen von Microsoft SharePoint haben 2008 die Marke von 1 Milliarde USD überschritten (entspricht mehr als 100 Mio. verkauften Lizenzen) und bewegten einen Marktforschungsanalysten zu folgender überschwänglischer Aussage: SharePoint verkauft sich wie warme Semmeln und ist das erfolgreichste Server-seitige Microsoft-Produkt aller Zeiten. Andere Analysten prophezeien SharePoint für die nächsten vier Jahre ein stabiles Wachstum mit einer beachtlichen Durchschnittsrate von 25%. Heutzutage setzen die meisten Unternehmen SharePoint ein, um elektronische Datenbestände wie strategische Unternehmenspläne, Finanzdaten, intellektuelles Eigentum und Personal- und Patientenakten auszutauschen. Risk Internet Extranet Intranet File Hosting Forms and workflow applications Open content submissions Applications 1

3 Risiko-Nutzen-Abwägung Die zentrale Herausforderung für IT-Manager und Administratoren besteht darin, den Balanceakt zwischen einem schier unendlichen Funktionsreichtum und vorherrschenden Risiken zu meistern, welche mit einem leichteren Zugriff auf interaktive Inhalte von außerhalb der Unternehmensmauern einhergehen. Selbst wenn SharePoint ausschließlich unternehmensintern genutzt wird (siehe grau unterlegter Bereich in der Abbildung auf Seite 1), bleibt die Bedrohung durch Malware innerhalb des Netzwerks beträchtlich. Ganz zu schweigen von der exponentiellen Gefahr, die ein Ausweiten des Zugriffs auf externe Partner und Anwendungen mit sich bringt. Setzen IT-Manager und Administratoren nur auf ein Pferd und investieren ein Großteil des Unternehmensbudgets in SharePoint, haben sie nicht nur mit einem erhöhten Malware- und Datenverlust-Risiko, sondern auch mit vielen weiteren Schwachstellen zu kämpfen. Sicher wird Ihre SharePoint-Umgebung nur, wenn Sie mehrere Sicherungsebenen einsetzen und diese mit entsprechenden Zugriffskontrollen untermauern. So bleiben unternehmensinterne Datenbestände geschützt und können auch von extern problemlos eingesehen werden. Welches sind die vier Hauptrisiken? SharePoint ist besonders für folgende, sowohl neue als auch bestehende Bedrohungsfelder anfällig: 1. Viren und andere Formen von Malware 2. Zugriff auf unangemessene Inhalte 3. Verlust von Daten, die das Know-how des Unternehmens ausmachen und entscheidend für seine Konkurrenzfähigkeit sind 4. Datenveruntreuung durch interne und externe User 1. Viren und andere Formen von Malware Windows SharePoint Services speichert Dokumente, Listen, Ansichten und andere Informationen in einer Microsoft SQL Server- Datenbank. Collaboration-Plattformen machen den Austausch von Dateien und Inhalten zur einfachen Angelegenheit. Doch der hohe Flexibilitätsgrad solcher Umgebungen hat auch seine Schattenseiten. Denn Viren und andere Malware können sich noch leichter einnisten. Vor allen Dingen, wenn die geladenen Inhalte von einem unverwalteten System außerhalb des Unternehmens stammen (wenn z.b. Kunden erlaubt wird, Attachments oder Links zu nicht vertrauenswürdigen Websites von einer SharePoint-basierten Umgebung aus zu posten). Implementieren Sie eine Anti-Virus-Suite, die SQL-Serverdatenspeicher auf Malware und verdächtige Dateien scannen kann. Eine Funktion, die man bei vielen Endpoint- oder Server-seitigen Virenschutzlösungen vergeblich sucht. Andere Funktionen, die Sie ins Auge fassen sollten:»» Zugriffs-, bedarfs- oder zeitgesteuerter Schutz vor Malware, Viren, Spyware, Adware, verdächtigen Dateien und potenziell unerwünschten Anwendungen für höchste Sicherheit bei maximaler Enduser-Transparenz»» Proaktive Zero-Day-Erkennung neuer Malware durch Einsatz von Behavioral Genotype- Verfahren»» Integrierter Quarantäne-Manager zum Löschen, Desinfizieren und Zulassen von Dateien 2. Zugriff auf unangemessene Inhalte Lassen Sie nicht zu, dass Ihr SharePoint-Portal zur Quelle unangemessener und illegaler Inhalte mutiert, welche u.u. Gesetze und Vorschriften verletzen.»» Sorgen Sie mit erweiterter Inhaltsfilterung für lückenlose Compliance.»» Stellen Sie sicher, dass die von Ihnen eingesetzte Drittanbieter-Lösung über umfassende Funktionen zur Inhaltsfilterung und eine leistungsstarke Richtlinien-Engine verfügt.»» Kontrollieren Sie Dateitypen anhand von Informationen zum Dateinamen, zur Größe oder zum Typ unter Einsatz der True File Type- Technologie. So haben Dateityp-Tarnungen keine Chance mehr! 2

4 3. Verlust von Daten, die das Know-how des Unternehmens ausmachen und entscheidend für seine Konkurrenzfähigkeit sind Da SharePoint den Dateiaustausch zwischen Usern ohne Berücksichtigung geltender Sicherheitsrichtlinien an Perimeter und - Servern ermöglicht, laufen Sie Gefahr, dass Ihre Mitarbeiter diese Umgebung bewusst nutzen, um Dateien auszutauschen, die üblicherweise von Ihrer -Security blockiert würden.»» Halten Sie Ausschau nach einer Lösung, die dafür sorgt, dass Daten nicht über SharePoint oder Exchange in die falschen Hände geraten.»» Richten Sie Inhaltskontrollen ein, die Usern verbieten, sensible Daten hoch- oder herunterzuladen.»» Prüfen Sie, ob die Möglichkeit besteht, Dateien auf Basis des Dateinamens und Dateiinhalts (Wörter und Ausdrücke) zu kontrollieren. 4. Datenveruntreuung durch interne und externe User Bei einer kürzlich durchgeführten Studie zeigten sich ein Viertel der insgesamt 330 Befragten unsicher, ob ihr elektronischer Datenbestand und sonstige digitale Inhalte beim Austausch über SharePoint geschützt sind. 67% der Befragten, in deren Unternehmen bereits Daten über SharePoint abhanden kamen, gaben an, dass ein Unternehmensangehöriger für die Veruntreuung verantwortlich war.»» Halten Sie nach einer modularen Kontroll- Lösung zum Schutz von Unternehmensdaten Ausschau, über die Sicherheitsrichtlinien für PCs und mobile Geräte in gemischten Umgebungen durchgesetzt werden können.»» Diese sollte sich für den Enduser transparent gestalten und einfach über eine zentrale Konsole verwaltet werden können. Der modulare Aufbau der Lösung sollte zudem umfassenden Schutz für Ihre Daten liefern und individuell an aktuele und zukünftige Anforderungen Ihres Unternehmens angepasst werden können. Des Weiteren sollten die Lösung in jedem Fall folgende Funktionen unterstützen:»» Zentrale Kontrolle des Datenschutzes in gemischten IT-Umgebungen Einheitliche Implementierung und Durchsetzung unternehmensweiter Sicherheitsrichtlinien»» Zentrale und hochmoderne Schlüsselverwaltung, über die Schlüssel schnell und einfach gespeichert, ausgetauscht und wiederhergestellt werden können»» Lückenloser Datenschutz für alle Geräte wie z.b. für Laptops, Desktops, Wechselmedien, PDAs, CDs und »» Verschlüsselung und Data Loss Prevention (DLP) über nur eine Management-Konsole»» Umfassende Verwaltung von Windows Vista BitLocker Drive Encryption»» Schnelle und nahtlose Integration in bestehende Sicherheitsinfrastrukturen sowie geschickte Automatisierung entscheidender Verwaltungsaufgaben»» Datenschutz auf mehreren Ebenen 3

5 Wachsende Bedenken»» Bedrohungen sind immer noch auf dem Vormarsch und an dieser Tatsache wird sich in naher Zukunft auch nichts ändern. Ein Grund ist die steigende Mobilität heutiger Arbeitnehmer. Der von Runzheimer International 2009 veröffentlichte Total Employee Mobility Benchmarking Report kam zu dem Ergebnis, dass täglich 51% der Mitarbeiterschaft eines Durchschnittsunternehmens mobil auf das Netzwerk zugreifen. Vielen IT-Administratoren fehlt jedoch die Kontrolle über potenzielle Risiken, Kosten und Vorteile der wachsenden Mobilität. Der jährliche Report basiert auf Befragungen von Führungskräften aus 90 in den USA ansässigen Unternehmen unterschiedlicher Größe.»» Laut Expertenmeinung zählt SharePoint zu den benutzerfreundlichsten Tools der Windows Suite. Problematisch ist jedoch, dass jeder User unkontrolliert SharePoint-Webseiten erstellen kann. Und dies oft ohne Vorschriften in Hinblick auf Zugangsbeschränkungen und zu speichernde Daten. Viele User gehen davon aus, dass die Sicherung von SharePoint als Teil des internen Unternehmensnetzwerks über den üblichen Unternehmensschutz gewährleistet sein müsste.»» In anderen Fällen begehen Mitarbeiter den Fehler, Geschäftspartnern und Subunternehmern außerhalb des Unternehmens Zugriff auf ihre SharePoint-Umgebung einzuräumen, ohne Sicherungsmaßnahmen für den Datenaustausch zu ergreifen. Was verstehen wir unter Datenschutz? Datenschutz ist der Oberbegriff für Verfahren, Tools und Best Practises zum Schutz sensibler Daten in Unternehmensumgebungen. Nur eine Datenschutzstrategie, die den optimalen Mittelweg zwischen Schutz und Produktivität findet, also alle vertraulichen und sensiblen Daten schützt, ohne Mitarbeiter bei der Erledigung ihres Tagesgeschäfts zu behindern, ist schlussendlich erfolgreich. Und dies auch nur, wenn die Verfahren zeitnah implementiert werden und sowohl erschwinglich als auch bedienerfreundlich zu verwalten sind. Ideal für Ihre Datenschutzprobleme ist eine Lösung, die einschlägige, branchenweit anerkannte Verfahren mit sofort einsatzbereitem Knowhow kombiniert und Ihnen im Handrumdrehen wirksame Richtlinien beschert. Wirksamer Datenschutz = Einschlägige, branchenweit anerkannte Verfahren + Sofort einsatzbereites Know-how Eine umfassende Datenschutzstrategie sollte die folgenden vier Hauptbereiche abdecken:»» Bedrohungsschutz: Bedrohungsschutz sollte Daten vor Malware-Infektionen bewahren und direkte und indirekte Hacker-Zugriffe auf sensible Daten und Ihre Systeme sowie das Netzwerk unterbinden. Bedrohungsschutz muss also Folgendes leisten: Intrusion Prevention, Firewall, Anti-Virus, Anti-Malware und Anti- Spam, damit Hacker keine Chance haben, zur illegalen Aneignung und Manipulation sensibler Daten in Ihr Netzwerk einzudringen. Da ständig neue, aus finanziellen Motiven entwickelte Bedrohungen auftauchen, sind proaktive Schutzmechanismen, die neue Schädlinge bereits vor ihrer Katalogisierung identifizieren, längst unerlässlich geworden. Richtlinien-Compliance: Eine lückenlose Richtlinien-Compliance lässt die Bedrohungslandschaft schrumpfen, räumt Haftbarkeitsrisiken aus der Welt und bedingt eine allgemeine Gefahrenminderung, indem einschlägige, branchenweit anerkannte Verfahren in Form von Richtlinien implementiert werden, die ohne negativen Einfluss auf das Tagesgeschäft verhindern, dass User sich oder das Unternehmen durch Unachtsamkeit gefährden. Über die Richtlinien- Compliance sollte kontrolliert werden, welche Anwendungen (z.b. Instant Messaging, P2P- Software zum Dateiaustausch), Wechselmedien (z.b. USB-Sticks) und unternehmensinterne Systeme (z.b. Internet-Browsing und ) in Ihrem Netzwerk zum Einsatz kommen. So behalten Sie stets den Überblick über Ihre Daten, ohne rigorose Sperrungen vorzunehmen, welche die Arbeitsabläufe Ihrer User behindern könnten. Data Loss Prevention: Liefert automatisch Einsicht in den Datenschutz-Status und überwacht Datenbewegungen, um zu verhindern, dass User sensible Informationen versehentlich über Internet- Anwendungen oder Wechselmedien veruntreuen. Content Control Lists (CCLs) haben sich als äußerst wirksame DLP-Komponente erwiesen. Sie definieren zu schützende Datentypen wie personenbezogene Daten und Finanzdaten (z.b. Kreditkartennummern und Kontoverbindungen). 4

6 Ideal ist eine Lösung, bei der diese CCLs bereits vordefiniert sind, denn in diesem Fall sind Einrichtung und Konfiguration im Handumdrehen erledigt und eine nahtlose Integration der Richtlinien-Compliance und sonstiger Datenschutzstrategie-Komponenten ist problemlos möglich ganz ohne User bei ihren Arbeitsabläufen zu behindern oder die Produktivität zu gefährden. Verschlüsselung: Verschlüsselungsverfahren sind zum Schutz sowie zur Wahrung der Echtheit und Integrität gespeicherter oder übertragener Daten unerlässlich und Grundvoraussetzung für eine lückenlose Konformität mit einer Vielzahl von Gesetzen und Vorschriften. Von der Verschlüsselung abgedeckt werden sollten Daten auf Desktops, Servern und Mobilgeräten (z.b. Laptops und Wechselmedien sowie Daten, die für den Versand per zugelassen sind). Eine ideale Lösung gestaltet sich für den Enduser transparent, wirkt sich in keinem Fall negativ auf die Produktivität und den Workflow aus und ist mit flexiblen und individuell an die Bedürfnisse Ihres Unternehmens anpassbaren Richtlinien leicht zu implementieren und zu verwalten. Eine Lösung, die Verschlüsselungsverfahren und DLP miteinander kombiniert, eröffnet entscheidende Vorteile, da eine Manipulation sensibler Daten, die aus unternehmensstrategischen Motiven aus dem Netzwerk transferiert werden, wirksam unterbunden werden kann. 5

7 Was genau ist Microsoft SharePoint? Microsoft SharePoint setzt sich aus zwei Komponenten zusammen: Windows SharePoint Services 3.0 (WSS) und Microsoft Office SharePoint Server (MOSS). 1. Windows SharePoint Services Die Windows SharePoint Services von Microsoft dienen als Erweiterung des Windows Server und stellen Collaboration-Tools und -Funktionen für kleine und mittelständische Unternehmen bereit. Mit WSS erstellen Ihre Mitarbeiter mühelos Arbeitsbereiche, Kalenderfreigaben und Kontakte und erhalten Zugriff auf Web 2.0-Technologien wie Blogs, Wikis und RSS-Feeds. Die meisten Unternehmen implementieren Windows SharePoint Services zur Dokumenten-Verwaltung und verwenden die Document Library Services zum Ein- und Auschecken von Dateien sowie zur Verwaltung von Informationsrechten. 2. Microsoft Office SharePoint Server MOSS ist ein Collaboration- und Content-Management-Server, von dem sowohl IT-Mitarbeiter als auch Entwickler profitieren, da sie mit Microsoft Office SharePoint Server genau die Plattform und Tools erhalten, welche sie für die Verwaltung von Servern, die Erweiterung von Anwendungen und eine allgemeine Kompatibilität benötigen. Microsoft Office SharePoint Server ist speziell auf die Bedürfnisse mittelständischer und großer Unternehmen mit mehr als Usern zugeschnitten. Boston, USA Oxford, UK Copyright 2009 Sophos GmbH Alle Rechte vorbehalten. Alle hier aufgeführten Marken sind Eigentum der jeweiligen Inhaber. Kein Teil dieser Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher Form vervielfältigt, gespeichert oder übertragen werden.