Secure File Transfer: A Day in the Life of a File

Sichere Dateiübertragung: Ein Tag im Leben einer Datei

Sichere Dateiübertragung: Ein Tag im Leben einer Datei

Was macht eine Datei, um eine sichere und effiziente Reise durchzuführen?
Haben Sie sich jemals gefragt, wie ein Tag im Leben einer Datei aussieht und welche Art von Dingen Sie in diesen Stunden erwarten können? Nun, ich schon, und nachdem ich mich auf die Suche nach den Details gemacht habe, frage ich mich das nicht mehr. Jetzt, da ich über ein gewisses Fachwissen über die einzelnen Stunden verfüge, fühle ich mich in der Lage, verschiedene Aspekte der Dateierstellung, -speicherung, -sicherheit und -handhabung zu erläutern, die Sie hoffentlich informativ und wertvoll finden werden. Also, fangen wir an. 

An jedem beliebigen Tag kann mit einer Datei eine Menge passieren. Offensichtlich werden Dateien erstellt, wenn wertvolle Informationen gespeichert werden. Diese Dateien müssen geschützt werden, und so werden verschiedene Sicherheitsmaßnahmen ergriffen, oft mit unterschiedlichem Erfolg. Dateien sind Bedrohungen ausgesetzt, und die von Ihnen angewendeten (oder nicht angewendeten) Sicherheitsmaßnahmen werden bei der Übertragung von Dateien erprobt und getestet. Alle Arten von Dateien werden zwischen Systemen, Personen und allen möglichen Endpunkten hin- und hergeschoben.  

Und schließlich ist da noch die Ausmusterung - die Nachwirkung des Lebenszyklus einer Datei -, bei der man sich fragt: "Sollte das passieren?" Haben Sie alles gesehen, was während der Lebensdauer der Datei passiert ist? 

All diese Ereignisse bilden den Lebenszyklus.

Bewerten des Werts einer Datei

Was macht eine Datei wertvoll? Es kommt auf den Kontext, die Akteure und die Qualität einer Datei an - und nicht nur einer Datei -, sondern auf alle Dateien. Es gibt eine Schätzung aus einer Studie der Stanford University, die darauf hindeutet, dass im nächsten Jahr über 2,3 Exabyte an Gesundheitsdaten produziert werden. Es wird gemunkelt, dass die New Yorker Börse bereits jetzt jeden Handelstag ein Terabyte an Daten produziert. Nicht alles ist so wichtig oder wertvoll wie die Gesundheitsdaten oder die Trades, die dazu beitragen, Ihre Rentenkonten zu erweitern - aber die Daten Ihres Unternehmens sollten von seinen Mitarbeitern als so wertvoll angesehen werden wie alle anderen.

Also, lasst uns darüber nachdenken. Was macht eine Datei wertvoll? Dies ist eine Übung, die es wert ist, mit Ihren Daten in Ihrer eigenen Organisation durchzugehen, da sie besonders hilfreich ist, um hervorzuheben, ob Sie wichtige Dateien haben, die zusätzliche Pflege benötigen, die Sie vielleicht vernachlässigen. Einige der folgenden Faktoren helfen bei der Beurteilung des Wertes der Dateien Ihres Unternehmens.

Grundlegendes zum Kontext einer Datei

Schauen wir uns zunächst den Kontext an. Was beinhaltet das? Sie müssen sich die Inhaltskategorie ansehen, sei es Gesundheitsdaten, Finanzdaten, möglicherweise Kauftransaktionen, persönliche Daten wie Sozialversicherungsnummern oder andere persönlich identifizierbare Informationen (PII), die Ihre Datei in eine sensible Kategorie eingeordnet werden können. Sie möchten überlegen, ob die Datei Daten enthält, die öffentlich oder privat sein sollten, und ob sie sich gerade in diesem Zustand befindet. Sie möchten die Quelle einer Datei berücksichtigen, unabhängig davon, ob Sie sie erstellt haben oder ob es eine andere Quelle gibt und Sie nur an diesen Daten festhalten. Sie möchten auch den Kontext des rechtlichen Schutzes rund um diese Daten berücksichtigen.

Sie sind wahrscheinlich mit Compliance-Vorschriften vertraut, die schwere Strafen haben, wenn sie nicht ordnungsgemäß eingehalten werden, wie HIPAA, PCI DSS, DSGVO und natürlich viele andere. Der Kontext ist also unglaublich wichtig.

Akteure 

Als Nächstes betrachten wir die Akteure. Akteure können Datenproduzenten sein. Sie können Datenkonsumenten sein oder einfach nur Verwalter von Daten. Es ist wichtig, die Rolle zu kennen, die Sie und Ihr Unternehmen bei einer bestimmten Datei oder einem bestimmten Satz von Dateien spielen, um den Wert dieser Datei für Ihr Unternehmen zu verstehen. 

Qualität einer Datei

Und dann ist da natürlich noch die Qualität. Zur Qualität gehören Dinge wie Sicherheit, die Kenntnis der Aufbewahrungskette dieser Datei während ihres gesamten Lebenszyklus oder die Möglichkeit, die Integrität der Daten in dieser Datei zu wahren. All diese Faktoren zusammengenommen geben Aufschluss darüber, was Sie benötigen, um Dateien während ihres gesamten Lebenszyklus zu verwalten. 

Wert und Risiko einer Datei sind eng miteinander verknüpft. Je höher der Wert einer Datei ist, desto größer ist das Risiko, dass sie ordnungsgemäß gespeichert, geschützt, übertragen und überwacht wird. Je besser Sie das Risiko im Zusammenhang mit einer Datei beherrschen, desto besser können Sie den Wert der Datei für sich und Ihr Unternehmen erhalten und nutzen. 
 

Schutz einer Datei

Es gibt mehrere Möglichkeiten, eine Datei zu schützen: Speicherort, Bewusstsein, Autorisierung und Verschlüsselung. Es werden nicht alle auf einmal angewendet. Tatsächlich wird jede dieser Kategorien des Dateischutzes nur in dem Maße angewendet, in dem jemand daran gedacht hat, sie auf eine bestimmte Gruppe von Dateien anzuwenden. Sie müssen auch berücksichtigen, ob Ihr Unternehmen in der Lage ist, diese Maßnahmen zum Schutz der Dateien umzusetzen. Schauen wir uns also jede dieser Kategorien der Reihe nach an

Speicherort der Datei

Beginnen wir mit dem Speicherort, d. h. mit einer Datei oder einer Gruppe von Dateien. Woher stammt sie? Wo ist sie jetzt gespeichert? Ist dies die einzige Kopie? Wo soll die Datei gespeichert werden, wenn Sie sie nicht mehr benötigen? Wenn es sich um eine sehr sensible Datei handelt, sollten Sie sich wirklich fragen, ob Sie oder Ihre Mitarbeiter oder ein anderer Beteiligter diese Datei gerade ins Internet gestellt haben. 

Sie müssen unbedingt wissen, wo sich Ihre Dateien befinden, wie viele Kopien es gibt und ob sie dort sein sollten, wo sie sind. Letztendlich müssen Sie nur wissen, wo sich die Datei befindet und ob sie dort ist, wo sie sein sollte. 

Dateierkennung

Zu wissen, wo man eine Datei abgelegt hat, ist wichtig. Wissen die richtigen Personen, dass Sie diese Datei erstellt haben? Haben Sie diese Information an andere weitergegeben? Wissen sie, wo die Datei zu finden ist? Und vielleicht eine der wichtigsten Fragen: Weiß Ihr IT-Team, dass Sie diese Datei erstellt haben - und dass sie für Sie wichtig ist?

Dateiautorisierung

Zu den Autorisierungsfragen gehören: Verfügen Ihre Dateien über die richtigen Freigabeberechtigungen, Betriebssystemberechtigungen oder Richtlinien? Haben Sie in Bezug auf Richtlinien Regeln aufgestellt, mit denen Sie angemessen reagieren können, wenn ein nicht authentifizierter Akteur versucht, auf eine Datei zuzugreifen oder sie zu verwenden? Verhindern diese Richtlinien, dass nicht authentifizierte Benutzer die Datei anzeigen, auf sie zugreifen oder ihren Status beeinflussen können? Haben Sie Richtlinien eingeführt, die helfen, den Fluss von Dateien zwischen Systemen und Endpunkten zu kontrollieren? 

Dateiverschlüsselung

Die Verschlüsselung ist für die Dateisicherheit entscheidend. Sie sollten sich fragen: "Ist meine Datei bei der Übertragung verschlüsselt?", d. h. ist sie geschützt, wenn sie von einem Ort zum anderen gesendet wird. Sie sollten auch fragen: "Ist sie im Ruhezustand verschlüsselt?", wenn sie nur auf dem Speicherplatz liegt, für den sie bestimmt ist. Kann man sicherstellen, dass alle wichtigen Dateien lückenlos auf dem gleichen hohen Verschlüsselungsniveau sind? Was passiert, wenn jemand den Schlüssel zu Ihrer Verschlüsselung knackt?  

Dies sind wichtige Fragen, die Sie auf Ihre eigenen einzelnen Dateien und Dateigruppen anwenden können, um zu verstehen, ob Sie Ihren Dateien den richtigen Wert beimessen und ob Sie ein zu großes Risiko eingehen, indem Sie diese Dateien nicht vollständig schützen. 

Bedrohungen für Dateien

Natürlich gibt es zu jeder Zeit Bedrohungen. Es gibt sowohl interne als auch externe Bedrohungen, und deshalb müssen Sie wissen, wer es möglicherweise auf Sie oder Ihre Dateien abgesehen hat. 

Intern könnte es sich um kompromittierte Benutzer handeln, d. h. Personen, die sich für den Zugriff auf Ihre Dateien authentifiziert haben, aber auch böswillige Absichten hegen. Es könnte sich um Auftragnehmer oder Dritte handeln, die Zugriff auf Ihre Dateien erhalten, ohne dass Sie dies beabsichtigen. Intern kann es zu einem versehentlichen Missbrauch oder zur Offenlegung einer Datei kommen. Möglicherweise haben Sie Partner oder Joint Ventures, die eine laxe Dateisicherheit haben, so dass die Sicherheit, die Sie auf Ihre Dateien angewandt haben, nicht mehr gegeben ist, wenn eine Datei Ihr Unternehmen verlässt. Es könnte sein, dass Dienstanbieter und System- oder Anwendungsanbieter Zugriff auf Ihre Dateien haben, den Sie nicht beabsichtigt haben. 

Von außen können Phishing-, Spear-Phishing- und Whaling-Angriffe erfolgen. Es kann sich um Malware und Ransomware handeln. Es kann zu verteilten Denial-of-Service-Angriffen kommen, um den Zugriff auf Ihre Dateien zu verhindern. Es kann sich um fortgeschrittene anhaltende Bedrohungen, Botnet-Angriffe, bösartige Makros und Skripte handeln. 

Einblick in das Leben einer Datei 

Bei all diesen Bedrohungen lassen sich die Risiken anhand der Auswirkungen auf Ihr Unternehmen, der Bußgelder, die Sie möglicherweise für einen Verstoß gegen die Vorschriften zahlen müssen, und der Haftung für den Verlust der Kontrolle über Ihre Dateien berechnen. Schauen wir uns also an, was an einem beliebigen Tag mit einer Datei passieren kann. 

Neue Dateien werden erstellt. Sie werden irgendwo gespeichert. Manchmal an mehreren Orten. Diese Dateien erfordern möglicherweise die Einhaltung gesetzlicher Vorschriften. Diese Dateien werden mit anderen Parteien geteilt. Sie könnten an einem anderen Ort gesichert werden. Sie können einen oder mehrere mobile Endpunkte erreichen, was in den meisten Unternehmen ständig der Fall ist. Ihre Dateien können Audits zur Datensicherheit und Einhaltung von Vorschriften unterzogen werden. Der Stand der Dateisicherheit kann mit Führungskräften und anderen Beteiligten besprochen werden. Die IT-Governance misst die Wirksamkeit dieses gesamten Prozesses. Bedrohungen können an fast jedem Punkt dieses Prozesses auftreten, und jedes Unternehmen sollte bestrebt sein, diese Risiken zu verstehen und sie so weit wie möglich zu reduzieren. 

Wie kann man also den Tag im Leben unserer Akte gewinnen? Nun, zu den am häufigsten übersehenen Aspekten einer ordnungsgemäßen Aktenverwaltung gehören die folgenden: 

Workflow und Automatisierung

Als Erstes sollten Sie einen zentral verwalteten Workflow für die sichere gemeinsame Nutzung von Dateien einrichten. In vielen Unternehmen gibt es Mitarbeiter in der IT-Abteilung und außerhalb des IT-Teams, die versuchen, Dateien sicher zu übertragen und dafür verschiedene Tools einsetzen. Vielleicht laden sie ein Tool herunter, z. B. ein kostenloses FTP-Tool aus dem Internet. Das Fehlen eines zentral verwalteten Arbeitsablaufs öffnet alle möglichen Sicherheitslücken und stellt ein unangemessenes Risiko für Ihre Dateien dar. 

Verschlüsselung nicht vergessen

Ein weiterer übersehener Aspekt: die Verschlüsselung der Daten sowohl im Ruhezustand als auch bei der Übertragung. Das bedeutet, dass Sie Ihre Dateien mit starken, dem Industriestandard entsprechenden Verschlüsselungsprotokollen sichern, die für die Daten gelten, unabhängig davon, ob sie gesendet werden oder nicht. Die meisten einfach zu bedienenden und nicht zentral zu verwaltenden Tools bieten bestenfalls eine gewisse Verschlüsselung bei der Übertragung, aber keine Verschlüsselung der Daten im Ruhezustand. Das ist also etwas sehr Wichtiges, das Sie im Auge behalten sollten. 

Audit-Trails

Ein weiterer Aspekt, der häufig übersehen wird, ist die Erfassung eines immerwährenden Prüfpfads zur Messung der Sicherheitseffektivität. Auf diese Weise kann Ihr Unternehmen mit Gewissheit sagen: "Ich weiß, wo meine Dateien sind, ich weiß, wo sie waren und wer versucht hat, auf sie zuzugreifen, ob es ein authentifizierter autorisierter Benutzer war oder nicht." Dies ist etwas, das Ihnen nur eine ordnungsgemäße Dateiverwaltung bieten kann. 

Einhaltung der Vorschriften

Schließlich ist die Bereitstellung eines einheitlichen Ansatzes für sichere Dateiübertragungen, der strenge Compliance-Standards erfüllt, von entscheidender Bedeutung. Hier geht es darum, die Anforderungen von HIPAA, DSGVO, PCI DSS und so weiter zu erfüllen. Es gibt sehr spezifische Anforderungen in jedem dieser Compliance-Standards, und es gibt hohe Strafen für die Nichteinhaltung dieser Standards. Dies wird oft übersehen, wenn wir einen Workflow für die sichere Dateiübertragung zusammenstellen, und es ist etwas, das wir angehen müssen.

Die Managed File Transfer-Lösung

Letztendlich können alle diese Best Practices mit einer Managed File Transfer (MFT) Lösung erfüllt werden. Progress MOVEit ist unsere sichere und konforme MFT-Lösung. Sie wird von Tausenden von Unternehmen weltweit für die sichere Übertragung sensibler, unternehmenskritischer Daten eingesetzt. Sie ermöglicht es Ihnen, kritische Daten zwischen Benutzern, verschiedenen Standorten und sogar Partnern außerhalb Ihres Unternehmens zu übertragen. Vor allem aber können Sie Arbeitsabläufe für den sicheren Dateitransfer automatisieren und so menschliche Fehler, die Ihre Dateien unnötigen Risiken aussetzen, reduzieren oder sogar ausschließen. 

Werfen wir einen Blick auf die verschiedenen Komponenten, aus denen sich die Progress MOVEit-Plattform zusammensetzt. Im Grunde handelt es sich um einen kompletten Satz von Software-Tools für den sicheren Dateitransfer. Es beginnt mit MOVEit Transfer, dem Secure File Transfer Server. Er läuft unter Microsoft Windows, ist sehr einfach einzurichten und intuitiv zu bedienen.  

Ich habe bereits die Automatisierung erwähnt. MOVEit Automation ermöglicht die automatisierte und einfach zu konfigurierende Übertragung von Dateien auch für sehr komplexe Arbeitsabläufe. Wir bieten MOVEit Gateway an, einen DMZ-residenten Reverse-Proxy für eine zusätzliche Sicherheitsebene. Dann gibt es MOVEit Cloud, MOVEit Transfer, das von Progress für Sie in der Microsoft Azure Cloud gehostet und als Managed File Transfer as a Service angeboten wird. 

MOVEit gibt es schon lange und es ist ein führendes Unternehmen in der Branche für verwaltete Dateiübertragung. MOVEit belegte in diesem Sommer den ersten Platz in den G2-Berichten für Managed File Transfer, und wir wurden in mehreren Kategorien als führend anerkannt, darunter beste Benutzerfreundlichkeit, einfachste Bedienung und bestgeschätzter ROI.  

Zusammenhängende Posts


Kommentare
Comments are disabled in preview mode.
Thanks for subscribing! Loading animation