2. März 2018

Cloud Security und EU Datenschutz-Grundverordnung – Wie können sich Unternehmen vor Risiken schützen?





Sind meine sensiblen Unternehmensdaten in der Cloud sicher? Wurden meine Daten ordnungsgemäß abgespeichert? Welche Bedrohungen existieren? Sind meine Daten davor geschützt? Dies ist nur eine kleine Auswahl an Fragen, die sich ein Unternehmen stellen sollte, wenn der Weg in die Cloud in Betracht gezogen wird. Es gibt eine große Menge an Bedrohungen. Um zu wissen, welchen potenziellen Gefahren man als Unternehmen ausgesetzt ist, muss man sie erst einmal benennen können. Erst dann kann in weiterer Folge entsprechend reagiert und gehandelt werden.

Welche Sicherheitsrisiken gibt es?

Datenverluste

Egal ob es sich um einen eigenen Server oder um eine Cloud-Umgebung handelt, die gespeicherten Datenmengen sind stets potenzieller Gefahr ausgesetzt. Betriebsgeheimnisse, Kundeninformationen oder geistiges Eigentum sind ein besonders attraktives Angriffsziel. Unternehmen erleiden durch Geldbußen, Aufarbeitung der Sachlage und Gerichtsprozesse erheblichen wirtschaftlichen Schaden. Auch Image- und Auftragsverluste durch mangelndes Vertrauen auf Seiten der Kunden können die Folge von einem Datenverlust sein.

Gestohlene Benutzerdaten & Ausgenutzte Schwachstellen

Nicht selten heißt es in Medienberichten, Login-Datensätze seien in großen Dimensionen gestohlen worden. Grund hierfür sind meistens das Versäumnis einer Implementierung von Mehrfaktor-Authentifizierung – ohne eben diese genügt bereits ein geknacktes Passwort und Hacker gelangen an ganze Kundendatensätze. Systeme und Anwendungen haben seit jeher Schwachstellen und Bugs, doch durch Cloud-Nutzung teilen sich mehrere Unternehmen nicht nur Arbeitsspeicher, sondern auch andere Ressourcen. Um dem entgegenzuwirken und einen drohenden Schaden zu verhindern, müssen regelmäßig alle Systeme auf Schwachstellen geprüft und auf Bedrohungen vorbereitet werden.

Fehlende Sorgfalt

Häufig unterschätzen Unternehmen die möglichen juristischen, technischen und wirtschaftlichen Gefahren. Bei Zusammenarbeit mit externen Firmen und der Migration in die Cloud, sollten daher höchste Sorgfalt walten. Selbstverständlich gibt es noch viele weitere Bedrohungen. Die oben genannten Beispiele sollen verdeutlichen, wie essentiell es ist, sich als Unternehmen mit den verschiedenen Sicherheitsaspekten zu beschäftigen. Weitere Herausforderungen für die Cloud Security liegen in der neuen EU- Datenschutzgrundverordnung:

Die EU-Datenschutz-Grundverordnung – Was muss man beachten?

Die EU-Datenschutz-Grundverordnung trat bereits mit 25. Mai 2016 in Kraft – Unternehmen wurde eine zweijährige Übergangsfrist gewährt. Somit ist der endgültige Stichtag der 25. Mai 2018. Ab diesem Zeitpunkt soll die Einhaltung durch die EU-Datenschutz-Grundverordnung und die Gerichte überprüfbar sein. Ziel war es, eine Einigung und Vereinheitlichung auf EU-Ebene zu schaffen, da bisher viele nationale Unterschiede zum Thema Datenschutz vorherrschend waren. Sie gilt nun für alle Mitgliedsstaaten, kann aber mit nationalen Regelungen durch sog. Öffnungsklausen ergänzt werden.

Die Kernpunkte der EU DS-GVO

Stärkere Nutzerrechte, Kontrolle und Transparenz

Nutzer erhalten einen erleichterten Zugang zu ihren Daten. Das bedeutet, jeder hat das Recht zu erfahren, welche Daten über ihn gesammelt und gespeichert werden und wer diese zu welchem Zweck verarbeitet. Das bedeutet gleichzeitig, dass insbesondere personenbezogene Daten nur dem Nutzer gehören, so dass auch diese auf Verlangen gelöscht werden müssen.

Mindestalter ab 16 & Höhere Bußgelder

Minderjährigen soll die Anmeldung in sozialen Netzwerken erschwert werden. Allerdings gehen Kritiker schon jetzt davon aus, dass Kinder sich in weiterer Folge ohne Zustimmung der Eltern rechtswidrig anmelden könnten.  Verstoßen Unternehmen gegen die DS-GVO, so können außerdem Bußgelder in Höhe von bis zu 4% der Jahresumsätze des Unternehmens verhängt werden. Große Unternehmen betrifft es besonders, wenn Summen im sieben- oder achtstelligen Betrag gezahlt werden müssen.

Regelung für US-Unternehmen

Beriefen sich Unternehmen früher an das US-amerikanische Recht, so wird mit der EU-DS-GVO eine Änderung stattfinden. Jedes außereuropäische Unternehmen, welches Standorte in der EU hat, muss sich an die neue Grundverordnung halten.

Welche Konsequenzen entstehen für Unternehmen?



Ein großes Defizit der neuen EU-DSGVO liegt in den unpräzisen Formulierungen, dadurch können sich für Unternehmen Probleme in der Umsetzung auftun. Nichtsdestotrotz müssen Unternehmen internen Prozesse evaluieren und sich eine Übersicht über ihre IT-und Datenstruktur schaffen. APS bietet einen Microsoft Cloud Security Workshop (Secure Score Assessment), in welchem die wichtigsten Aspekte rund um das Thema Cloud Security und der EU DS-GVO angesprochen werden. So wird beispielsweise nicht nur untersucht, wie Dokumente innerhalb einer Organisation klassifiziert und geschützt werden können, sondern auch wie das Sicherheitsberichtswesen der Organisation vonstattengeht. Außerdem greift der Workshop die Frage auf, wie eine Automatisierung der Administration von Compliance und Security Richtlinien erreicht werden kann.

Webcast

Bereiten Sie Ihr Unternehmen für die Neuerungen der DSGVO vor. Im Rahmen zweier Webcasts am 13. & 20.3. informiert Allgeier über die Kernpunkte zur neuen Datenschutzgrundverordnung. Hier geht es zur Anmeldung!



Quellen:
https://www.e-recht24.de/datenschutzgrundverordnung.html
https://www.security-insider.de/sieben-tipps-zur-cloud-security-a-630536/
https://www.computerwoche.de/a/sicherheitsrisiken-in-der-cloud,3224964
https://www.internetworld.de/e-commerce/datenschutz/dsgvo-uhr-tickt-jetzt-zu-tun-1232674.html
https://www.computerwoche.de/a/eu-dsgvo-unternehmen-muessen-sich-jetzt-vorbereiten,3330971,2
https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf
http://www.zdnet.de/88294081/dsgvo-11-tipps-fuer-die-optimale-umsetzung/?inf_by=59dfabda671db80b328b481d
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
http://www.searchsecurity.de/lernprogramm/Was-Stand-der-Technik-in-der-DSGVO-bedeutet

22. Februar 2018

Einfache Userverwaltung in Benutzergruppen mit NINTEX Workflows





In dieser Blog-Reihe befassen wir uns mit einem mächtigen Drittanbieter-Tool, „NINTEX Workflows“ für den SharePoint, welches das Arbeiten nicht nur optisch ansprechend, sondern im Gegensatz zu den integrierten SharePoint Workflows, um ein Vielfaches einfacher darstellt. Der folgende Beitrag soll das Hinzufügen/Löschen von Benutzern zu und aus Benutzergruppen schrittweise darstellen.

Hintergrund: Es soll Mitarbeitern, die nur über Contribute-Berechtigungen im SharePoint verfügen, die Möglichkeit gegeben werden, automatisiert User zu Benutzergruppen hinzuzufügen oder zu entfernen. Als Technologie wird hierfür Nintex Workflow und Nintex Forms benutzt.

Folgende Listen werden benötigt:


Liste "Groups":


Liste "Users":


Hier ein Beispiel für Liste "User":


Workflows

Gesamtübersicht des Workflows für die Liste "Groups"




Der Workflow zur Erstellung einer neuen Gruppe startet, sobald ein neues Element in der Liste "Groups" angelegt wird. Über einen Webservice wird sodann die Gruppe erstellt:




Sofern bei der Erstellung der Gruppe ein Fehler aufgetreten ist, wird eine Mail an den Administrator versandt, der über den Fehler informiert wird und zeitnah einschreiten kann. 
Andernfalls verläuft der Workflow nach Plan und entfernt den Initiator aus der erstellten Gruppe (wird im SharePoint im Standard immer der Gruppe hinzugefügt):


In weiterer Folgen werden über "GetGroupInfo" alle Infos zu der Gruppe ausgelesen und in einer Variable "Groupinfo" gespeichert:


Aus dieser Variable wird anschließend die ID der Gruppe ausgelesen.


...und in die Eigenschaften der Datei geschrieben.




Dies ermöglicht es den Seitenmanagern (mit entsprechender Berechtigung) über den Link "Edit Membership“ direkt in die Administrationsoberfläche der Gruppe zu springen, da diese eine berechnete Spalte ist, die sich auf die GroupID bezieht.

(="<a href=""javascript:void();"" onclick=""OpenPopUpPage('/sites/epptt/ppmt/_layouts/15/people.aspx?IsDlg=1&MembershipGroupId="&GroupId&"',null,null,null,'"&Title&"');"">Edit membership</a>")



Workflow Users

Der gesamte Workflow, zur besseren Übersicht aufgeteilt in 4 Spalten:




Zuerst lesen wir die Spalte „Roles“ aus und fügen die einzelnen Rollen in eine Variable "AssignedRoles" vom Typ Collection:



Anschließend lesen wir den Benutzer aus und speichern den Namen in einer Textvariable:




Der folgende Webservice-Aufruf liest alle Gruppen zu dem User aus und speichert die Daten in einer Variable vom Typ „Multiple lines of text“:



Aus dieser Variable ziehen wir die Namen der Gruppen heraus und speichern sie in einer weiteren Collection:




Somit haben wir nun folgende Collection:
  • AssignedRoles: Rollen (Gruppen), die dem User zugewiesen werden sollen
  • CurrentRoles: Rollen (Gruppen), die der User aktuell bereits inne hat 
Nun müssen wir über eine „For-each-Funktion“ überprüfen, ob jede einzelne CurrentRole in AssignedRoles vorhanden ist. Hierzu speichern wir jede einzelne CurrentRole in einer Variable "Role",….



...prüfen, ob diese dann in der Collection "AssignedRoles" enthalten ist.



Falls der Wert nicht enthalten ist wird er in eine Collection "RoleToRemove" gespeichert,...




...alle anderen Werte werden aus der Collective "AssignedRoles" entfernt:



Info:

Die zwischengeschaltete If-Funktion prüft nur ab, ob der Rollen-/Gruppenname ein bestimmtes Wort enthält (gemäß der Bezeichnung der Website). Dies kann für den weiteren Verlauf ignoriert werden.

Die Ergebnisse, d.h. aus welchen Gruppen der User entfernt oder hinzugefügt werden muss, werden im Workflowverlauf hinterlegt:




Für jede Gruppe, aus der der User entfernt werden soll...




 ….wird eine User defined action (kurz: UDA) gestartet, der als Input der Gruppenname und der User Login Name übergeben wird. Diese UDA sieht wie folgt aus:




Die User defined action enthält folgende Funktionen:




Sofern Gruppenname oder Username leer sind wird eine Fehlermeldung erstellt und in der Variable Error gespeichert:





Bei ausgefülltem Gruppen- und Usernamen wird der entsprechende User aus der Gruppe entfernt:



Zurück im Hauptworkflow: Nachdem die For-each-Funktion zum Entfernen aus den Gruppen abgeschlossen ist wird die nächste For-each-Funktion zum Hinzufügen in die "AssignedRoles" gestartet:





Ebenfalls werden wieder Gruppen- und Username an eine User-defined-Action übergeben…




…und der User nach gleichem Schema der Gruppe hinzugefügt:


Zurück im Hauptworkflow:

Der User wurde aus speziellen Gruppen entfernt bzw. zu Gruppen hinzugefügt. Dies kann genutzt werden, um z.B. den Zugang für User zu bestimmten Bibliotheken zu gewährleisten oder zu entziehen. Was aber, wenn alle Benutzer generell einer allgemeinen Gruppe hinzugefügt werden sollen, die den allgemeinen Zugang zur Seite managed? Hierfür muss der User in eine "Default Group" aufgenommen werden:

An die UDA "Check Group Membership" wird der default group name übergeben sowie der Name des Users:




Die UDA prüft, ob der User Mitglied der default group ist (gleiche Vorgehensweise wie oben).

Sofern der User noch nicht Mitglied der Gruppe ist…





…wird er über die UDA zum Hinzufügen von Benutzern zu Gruppen (siehe weiter oben) in die default group aufgenommen: