Informationsklassifizierung in der Cloud – Wie Azure Information Protection bei dem Schutz von sensiblen Daten helfen kann
Das Thema Cloud ist längst in Deutschland angekommen und inzwischen auch für finanzregulierte Institute und kritische Infrastrukturen. Was zu Beginn noch wie eine Spielerei aus den USA schien, ist längst ein fester Bestandteil unseres Alltags. Auch wenn das Thema DSGVO nicht immer an erster Stelle der Agenda von amerikanischen Cloud-Hyperscalern stand, können Sie davon ausgehen, dass Ihre Daten in der Cloud sicher sind, wenn Sie gesamtheitlich, strategisch und risikoorientiert an die Sache rangehen. Jedoch scheuen sich insbesondere finanzregulierte Institute in Deutschland noch häufig vor dem Einsatz der Cloud.
Ein erster und essenzieller Schritt für eine rechts- und aufsichtskonforme Cloud-Nutzung ist die Herstellung der Cloud Readiness. Gerade in Deutschland verlangt das Kreditwesengesetz (KWG §25b), dass ein Unternehmen seine eigenen gesetzlichen und regulatorischen Verpflichtungen vollständig an einen Dienstleister weitergibt, wenn es Leistungen an diesen auslagert. Dies wiederum erfordert eine hohe und auch schriftlich fixierte Transparenz über die verarbeiteten Daten, Anwendungen, Systeme, IT-Organisation und Prozesse. Ein guter erster Schritt ist die Durchführung einer Schutzbedarfsanalyse und die damit einhergehende Informationsklassifizierung von sensiblen Unternehmensdaten. Gerade in Bezug auf die Cloud Transition stehen finanzregulierte Unternehmen in Deutschland häufig vor der Frage, wie Ihre Daten angemessen durch kryptographische Maßnahmen in der Cloud geschützt werden können. Diese ist durchaus berechtigt – und auch Sie werden schnell feststellen: je mehr man sich mit dieser Frage auseinandersetzt, umso mehr Fragen tauchen auf: Können E-Mails, sensible Daten und Dokumente innerhalb und außerhalb des Unternehmens auch bei einem Cloud-Einsatz angemessen geschützt werden? Wie werden die kryptographischen Maßnahmen zur Erreichung der Informationssicherheitsziele in der Cloud umgesetzt?
Diese vielen verschiedenen Aspekte können zu Beginn überfordernd wirken- was oft ein Hinweis ist, dass es bzgl. Readiness noch Handlungsbedarf gibt. In diesem Blogbeitrag zeigen wir Ihnen, wie Sie die oben genannten Fragen mithilfe von Azure Information Protection beantworten können. Je nach Lizenzmodell variieren auch die Möglichkeiten für die Azure Information Protection.
Warum eine Schutzbedarfsanalyse im Informationssicherheitsmanagement?
Bevor wir jedoch auf die verschiedenen Funktionalitäten von Azure Information Protection eingehen, wollen wir zunächst einen Blick darauf werfen, warum es für regulierte Unternehmen wichtig ist, sich intensiv mit den Einstellungsmöglichkeiten in der Azure-Cloud auseinanderzusetzen.
Die Grundlage der Regulatorik ist ein sicheres und wirksam etabliertes Risikomanagement in den Instituten, dass mit der Umsetzung diverser Einzelmaßnahmen sichergestellt werden kann. Eine davon ist die Durchführung einer Schutzbedarfsanalyse im Informationssicherheitsmanagement. Ziel ist es, den Schutzbedarf für die Ziele Integrität, Authentizität, Verfügbarkeit und Vertraulichkeit der verarbeitenden Unternehmensdaten zu ermitteln. Steht der Schutzbedarf fest, wird er von den IT-Anwendungen auf die dahinter liegenden IT-Systeme und Netzwerke vererbt. Konkret werden bei dieser Analyse IT-Systeme und Anwendungen, die Geschäftsprozesse, Daten und IT-Infrastrukturkomponenten im Institut betrachtet. So hat ein Geldautomat beispielsweise primär die Schutzbedarfsziele Integrität und Verfügbarkeit. Möchte ein Bankkunde Geld an diesem Automaten abheben, könnten sich falsche Angaben auf dem Kontoauszug negativ für den Kunden auswirken, wenn die Zahl auf dem Auszug von der tatsächlichen Zahl abweicht. Verfügbarkeit ist in diesem Zusammenhang ebenfalls von zentraler Bedeutung, da der Kunde an einem betriebsbereiten Geldautomaten jederzeit sein Geld abheben möchte.
Eine Verletzung der Schutzbedarfsziele kann nicht nur für den Einzelnen bzw. das Institut fatal sein. Vielmehr kann es, sollte die Problematik sehr viele Personen betreffen, dazu führen, dass die Stimmung in der Gesellschaft kippt und aus der falschen Zahl auf dem Papier oder stark verzögerte Zubuchungen eine gesellschaftliche Krise entsteht. Sie sehen, die Einhaltung der Schutzziele hat bei Banken und Finanzdienstleistern eine besondere Tragweite, da der Zahlungsverkehr zu den kritischen Infrastrukturen (KRITIS) gehört. Es ist somit unerlässlich für die Institute, sich intensiv mit der Schutzbedarfsanalyse auseinanderzusetzen.
Als Ergebnis der Schutzbedarfsanalyse erhalten Sie ein klares Bild darüber, welcher Schaden entstehen würde, wenn ein Geschäftsprozess oder bestimmte Funktionalitäten Ihres Business ausfallen würden.
Um dieses Risiko zu mitigieren, müssen Maßnahmen definiert und umgesetzt werden, die dem Schutz der Vertraulichkeit, Integrität und Authentizität der Daten dienen. Typische Maßnahmen in diesem Kontext sind beispielsweise die Verschlüsselung der Daten beim Transport, Integritätsprüfungen für die Daten oder ein Berechtigungsmanagement nach dem Least-Privileged- und Need-to-Know-Prinzip.
Das Mapping der Ergebnisse der Schutzbedarfsanalyse auf die Maßnahmen zum Schutz der Daten kann in der Azure Cloud durch Azure Information Protection (AIP) unterstützt werden.
Was ist Azure Information Protection?
Prinzipiell schützt AIP die E-Mails, Dokumente und vertraulichen Daten innerhalb des Unternehmens und über die Unternehmensgrenzen hinaus. Kritische Unternehmensdaten können durch Azure Information Protection verschlüsselt werden. Dadurch wird gewährleistet, dass nur die Benutzer die Daten öffnen können, die auch die notwendige Berechtigung dafür haben. Andere Benutzer können diese Dateien nicht entschlüsseln. Zudem können die Daten anhand ihres Vertraulichkeitsgrads klassifiziert werden. Dies erfolgt mit AIP vollumfänglich automatisch. Der Benutzer, ein IT-Administrator, kann diese steuern und Richtlinien konfigurieren, um die Daten anhand des Vertraulichkeitsgrads zu klassifizieren und zu schützen.
Azure Information Protection erweitert die Microsoft Information Protection-Lösung durch die Bezeichnungs- und Klassifizierungsfunktion von Microsoft 365, beziehungsweise ist Azure Information Protection durch den AIP Client, On-Premises Scanner und Microsoft Information Protection SDK (MIP SDK) erweitert.
Werfen wir nun einen Blick darauf, was hinter diesen einzelnen Features konkret steckt.
Der AIP Client erweitert vor allem die Klassifizierungs- und Schutzfunktion der Daten auf weitere Dateitypen und auf den Datei-Explorer sowie PowerShell.
Der On-Premises Scanner bietet die Möglichkeit für Administratoren, die lokalen Datei-Repositorys auf vertrauliche Inhalte zu überprüfen.
Mithilfe des MIP SDK können Sie die Vertraulichkeitsbezeichnungen auf Anwendungen von Drittanbietern erweitern. Konkret bedeutet dies, dass bspw. eine Branchenanwendung, die Klassifizierungsbezeichnungen beim Exportieren auf Dateien anwendet.
Das klingt schon alles sehr vielversprechend. Nun Fragen Sie sich sicher, wie Sie vorgehen müssen, um die Vorteile von Azure Information Protection vollumfänglich in Ihrer Azure-Umgebung zum Einsatz zu bringen. Generell gibt es fünf Voraussetzungen, die für die Nutzung von Azure Information Protection erfüllt sein müssen:
Schritt 1: Abschluss eines Azure Information Protection Abonnements
Im ersten Schritt müssen Sie über ein Abonnement für Azure Information Protection verfügen, um die Features einsetzen zu können. Wie eingangs erwähnt, stehen Ihnen unterschiedliche Funktionen zur Verfügung – je nachdem, für welches Lizenzmodell Sie sich entschieden haben. Deshalb ist es bereits vor der Entscheidung für eine Lizenz wichtig zu wissen, welche Features Sie zwingend in Ihrem Institut benötigen und einsetzen wollen. Je nachdem, welche Features verwendet werden, benötigen Sie entweder noch einen Azure Information Protection-Plan oder einen O365-Plan, der Azure Information Protection einschließt. Generell gibt es vier Azure Information Protection Lizenzen, die unterschiedliche Features enthalten:
Schritt 2: Einrichtung von Azure Active Directory
Wenn Sie sich für eine der vier Azure Information Protection-Lizenzen entscheiden haben, müssen Sie im nächsten Schritt sicherstellen, dass Ihr Institut über ein Azure Active Directory verfügt. Sollte dieses bei Ihnen noch nicht etabliert sein, müssten Sie zunächst an dieser Stelle nachbessern, bevor Sie mit der erfolgreichen Umsetzung von Azure Information Protection durchstarten können. Dies dient vor allem zur Unterstützung der Authentifizierung und Autorisierung für AIP. Das Single Sign-On, das einmalige Anmelden, wird durch AIP unterstützt. Der Benutzer muss aufgrund dessen nicht wiederholt seine Anmeldedaten eingeben. Die Multi-Faktor Authentifizierung wird ebenfalls mit der erforderlichen Clientsoftware unterstützt.
Schritt 3: Überprüfung der eingesetzten Clientgeräte und Betriebssystem-Versionen
Im nächsten Schritt müssen Sie die Funktionalitäten der in Ihrem Institut eingesetzten Clientgeräte und Betriebssysteme überprüfen. Denn nur, wenn die minimalen Systemanforderungen, die AIP stellt, eingehalten werden, bringt Azure Information Protection Ihrem Institut auch wirklich einen Mehrwert. Deshalb ist es essenziell, dass der auszuführende Computer oder das mobile Endgerät ein Betriebssystem verwendet, das durch AIP unterstützt wird.
Konkret werden unter anderem die Windows-Betriebssysteme Windows 10, Windows 8.1 oder Windows Server 2019 unterstützt.
Bei der Verwendung von virtuellen Computern müssen Sie sich bei dem Softwareanbieter der virtuellen Desktoplösungen erkunden, ob der Azure Information Protection Client ausgeführt werden kann.
Schritt 4: Überprüfung der eingesetzten Microsoft-Anwendungen
Grundlegend bezeichnen und schützen die AIP-Clients Dokumente und E-Mails. Jedoch werden lediglich spezielle Microsoft-Anwendungen aus Word, Excel, Outlook und PowerPoint unterstützt, wie z.B. Microsoft 365 Apps for Enterprise, Office Professional Plus 2019 oder Office Professional Plus 2010 mit Service Pack 2.
Sollten Sie keine der zuvor genannten Office-Suiten im Einsatz haben, können weder Dokumente noch E-Mails durch den Rights-Management-Dienst geschützt werden. Es werden lediglich die Klassifizierungen durch AIP unterstützt.
Schritt 5: Richtige Konfiguration der Firewalls und Netzwerkinfrastruktur
Im letzten Schritt müssen Sie darauf achten, dass Ihre Firewall so konfiguriert ist, dass Azure Information Protection auch zuverlässig arbeiten kann. Wenn Sie beispielsweise Firewalls verwenden, die spezifische Verbindungen erlauben, müssen Sie die Netzanforderungen an die O365-URLs und IP-Adressbereiche erfüllen. Des Weiteren müssen Sie bei der Verwendung eines Webproxys darauf achten, dass er so konfiguriert ist, dass er die integrierte Windows-Authentifizierung mit den AD-Anmeldeinformationen des Benutzers verwendet.
Wenn Sie die zuvor genannten Schritte bei der Implementierung von Azure Information Protection beherzigen, sind Sie der Umsetzung mitigierender Maßnahmen, die aus Ihrer Schutzbedarfsanalyse resultieren, schon ein ganzes Stück nähergekommen. Sie sehen, auch für regulierte Unternehmen lohnt es sich, einen genauen Blick auf die Funktionalitäten der Azure Cloud zu werfen, denn bei intensiver Auseinandersetzung mit der Thematik werden Sie feststellen, dass sicherlich auch in Ihrem Institut Daten existieren, die Sie ohne Bauchschmerzen in die Public Cloud auslagern können. Wichtig ist dabei, dass Sie Ihr Vorhaben strukturiert angehen, sich der vorhandenen Risiken im Klaren sind und entsprechende Maßnahmen zur Mitigation definieren – Azure Information Protection ist eine davon.
Checkliste: Public Cloud im BaFin-regulierten Umfeld
In dieser Checkliste haben wir Ihnen die wichtigsten regulatorischen Anforderungen für eine aufsichtskonforme Cloud Nutzung zusammengefasst. Sie enthält die Empfehlungen der BaFin und die Anforderungen, die in den BAITs bzw. VAITs sowie dem C5-Katalog des BSI niedergeschrieben sind. So haben Sie alle Anforderungen im Blick und können einfach abhacken, welche Sie bereits erfüllen sowie feststellen, wo gegebenenfalls Handlungsbedarf besteht.
