auf der Datenautobahn

Fallstudie Varonis Kunzmann

Sicherheit ist nicht nur ein Thema im Autoverkehr, sondern auch im Autohaus. Zumindest in einer Handelsgruppe wie der Robert Kunzmann GmbH & Co. KG, Aschaffenburg. Dort fand man in Varonis quasi den Mercedes unter den Security-Tools – ein Softwarewerkzeug, das den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügen kann.

„Selbstverständlich ist Sicherheit auch jenseits der DSGVO wichtig“, sagt Claus Weller, IT- und CRM-Verantwortlicher der Autohandelskette Kunzmann: „Aber die Aktualisierung der EU-Anforderungen hat uns dabei geholfen, hier die Entwicklung nach vorn zu bringen.“

Consulting4IT

In einem Handelshaus, das hochwertige Autos mit dem Stern auf der Kühlerhaube verkauft, fallen häufig Daten an, die unmittelbar die Privatsphäre der Kunden betreffen. Nicht nur die üblichen Personendaten, sondern beispielsweise auch Konto- und Bonitätsinformationen. Daneben sind auch die Daten der Mitarbeiter und der Bewerber zu schützen. Sollte es dort irgendwo ein Leck geben, bekommt die Geschäftsführung ein Problem mit dem Gesetz. Auch der Partner Mercedes-Benz dürfte „not amused“ sein, wenn er seinen Namen im Zusammenhang mit Daten-Leaks in den Nachrichten findet.

Als vor etwa drei Jahren die Neufassung des EU-Datenschutzrechts ein Thema wurde, gab es im Prinzip also keine neuen Probleme, doch die vorhandenen wurden noch etwas dringlicher. 2017 unterwarf Kunzmann seine Datensysteme einer intensiven Analyse und fand ein paar Bereiche, die wohl besser überarbeitet werden sollten. Vor allem haperte es - wie in den meisten Unternehmen - am Berechtigungs-Management. Dafür gibt es heute ein ganz neues Konzept.

Die erste Entscheidung ist nicht immer die beste

Berechtigungen haben die Angewohnheit, sich zu perpetuieren, auch wenn ihre geschäftliche Notwendigkeit gar nicht mehr gegeben ist. Mit anderen Worten: Sie werden vergeben, aber selten entzogen. In manchen Unternehmen bestehen sie sogar fort, wenn die betreffenden Mitarbeiter längst weitergezogen sind.
Weller und sein Stellvertreter, Joachim Roßmeisl, der innerhalb der IT die Security verantwortet, fanden ein paar Indizien dafür, dass das vorhandene Berechtigungs-Management ausgereizt oder sogar überfordert war. Und diese Erkenntnis gaben sie an die Geschäftsleitung weiter. Die sah den Handlungsbedarf und beauftragte die beiden IT-Fachleute, eine tragfähige Lösung zu finden.

So machten sich Weller und Roßmeisl im Herbst 2017 auf die Suche nach einem neuen Berechtigungs-Management-System. Dabei hatten sie drei Produkte im Visier. Nach Testinstallationen und reiflicher Überlegung entschieden sie sich für eines dieser Administrations-Werkzeuge. Auf die Security-IT-Messe „ITSA“ fuhren sie mit der festen Absicht, ihre Entscheidung in die Tat umzusetzen. Doch es kam anders.

Fragen, die zu stellen man sich kaum traut

Bevor die beiden lT-Manager mit dem ausgewählten Lieferanten handelseinig wurden, liefen sie einem Berater der Consulting4IT GmbH über den Weg. Der „Systemintegrator mit Prozesserfahrung“ war auf das Nürnberger Messegelände gekommen, um die Sicherheits-Software von Varonis vorzustellen. „Die kannten wir bis dato überhaupt nicht“, räumt Roßmeisl ein. Aber der erste Eindruck war immerhin so interessant, dass die beiden sich die Sache noch einmal überlegen wollten.

In den Varonis-Tools fanden die IT-Chefs von Kunzmann die Antwort auf einige Fragen, die sie sich bis dahin kaum zu stellen getraut hatten, weil sie eigentlich nicht mehr auf Antworten hofften:

  • Welche sensiblen Dateien sind wo gespeichert?
  • Wie lassen sie sich segmentieren und charakterisieren?
  • Auf welche Weise sorge ich dafür, dass die Dateien nicht aus dem zugewiesenen Bereich herausgelangen können?
  • Wo bekomme ich einen verlässlichen Überblick darüber, wer welche Dateien nutzen kann beziehungsweise wer sie auch tatsächlich nutzt oder genutzt hat?
  • Genau solche Fragen sind es, die im Zusammenhang mit der DSGVO zählen

Licht ins Dunkel bringen

Diese Fragen hatten die Kunzmann-ITler zwar auch den Anbietern der Konkurrenz-Tools gestellt. Die Antworten waren eher ausweichend. „Das heißt nicht, dass diese Tools in einem überwiegend administrativen Kontext verkehrt wären“, so Roßmeisl, „aber sie haben nicht den dezidierten Security-Fokus wie Varonis. Und der hat am Ende den Ausschlag gegeben.“

Was bedeutet das? – „Wir haben bei Varonis das gefunden, was wir eigentlich brauchten“, sagt Weller, „also eine transparente und überwachte Berechtigungsstruktur sowie eine Klassifikation der Daten, sprich: ein Inhaltsverzeichnis der kritischen Dateien.“ Nur mit Varonis lasse sich im Nachhinein feststellen, wer unberechtigterweise auf eventuell abgeflossene Daten zugegriffen hat, durch welches Tor die Daten verschwunden seien, und wo im Falle eines Falles ein Leck zu stopfen ist.

Mit Hilfe des Moduls „DatAdvantage“ ist es möglich, alle Dateien anhand vorgefertigter und/oder selbst definierter Patterns präventiv auf ihre immanenten Risiken hin zu scannen. Damit lässt sich leicht herausfinden, ob beispielsweise sensible Kundendaten irgendwo anders als im geschlossenen CRM-System abgelegt wurden oder ob in Bereichen mit breiter Zugangsberechtigung etwa Dateien mit Kreditkarteninformationen schlummern. Oder auch ob – wissentlich oder versehentlich – private Daten der Mitarbeiter in leicht zugreifbaren Sektoren gespeichert sind. Da es sich überwiegend um unstrukturierte Daten handelt, ist ein solcher Überblick im Allgemeinen schwer zu bekommen. Dazu Weller: „Varonis ist dazu da, Licht ins Dunkel zu bringen.“

Investition in eine Art Versicherung

Die ausgebetene Bedenkzeit nutzten die Kunzmann-Manager für eine Testinstallation von Varonis. „Es war spannend, die Features, die Varonis zusätzlich bot, einmal genauer anzuschauen“, erläutert Roßmeisl. Am Ende entschieden sie sich für Varonis, obwohl die Lösung teurer war als der Wettbewerb.„Das billigste Produkt ist nicht immer das preiswerteste“, erläutert Weller: „Letztlich müsse man die Investition in ein solches System aber wie die Einzahlung in eine Versicherung betrachten. Denn neben empfindlichen Strafen wiegt im oberen Marktsegment der Imageschaden bei der RoI-Betrachtung mindestens genauso schwer.“ Hier lassen maßgeschneiderte Security-Reports die Unternehmensleitung deutlich besser schlafen.

Teil dieser Versicherung war auch die Verpflichtung des Beratungsunternehmens Consulting4IT, das Kunzmann bei der Einführung beriet und unterstützte. „Allein hätten wir erheblich mehr Zeit benötigt“, führt Weller aus, „da hat es sich ausgezahlt, in externe Beratung zu investieren.“

Je mehr sich die Verantwortlichen bei der Einführung mit dem Thema Berechtigungen beschäftigten, desto klarer wurde ihnen eines: Die Freigabe eines Datenzugriffs fällt organisatorisch nicht in den Verantwortungsbereich der IT, sondern in den der Fachbereichsleiter. Das klingt erst einmal trivial, hat in der Praxis aber eine immense Bedeutung: Berechtigungs-Management muss sich am Business orientieren! Es ist quasi die Brücke zu den Geschäftsprozessen.

Keine schnell mal abgelegten Lieferscheine mehr

Der Aufwand für ein solches Vorhaben wird häufig unterschätzt. „Wir hatten gehofft, wir wären in sechs Monaten durch“, räumt der IT-Chef ein, „aber wir sind gerade mit den wichtigsten Themen fertig geworden“. Als da wären: die Klassifikation der Daten nach ihrer Sensibilität, die Sicherung der Personalinformationen, der Gesellschaftsverträge und der Kundendaten. Im Prinzip war eine völlige Revision des Berechtigungskonzepts nach dem Data-Owner-Prinzip notwendig, stellte sich beim Daten-Scan heraus.

So ein Scan nach EU-konformen Patterns ist umfangreicher, als man gemeinhin annimmt. Der überwiegend automatische Vorgang nahm bei Kunzmann immerhin fast drei Arbeitstage in Anspruch. Der Grund war die – in jedem Unternehmen – große Anzahl an gewachsenen unstrukturierten Daten. Zum Glück benötigte der Vorgang keinen Shutdown, sondern er lief neben dem Tagesgeschäft ab.

Am Ende war den beiden ITlern klar: Das Berechtigungs-Management gehörte auf neue Füße gestellt; Urlaubsfotos auf Server-Laufwerken oder mal schnell irgendwo als PDF abgelegte Lieferscheine mussten der Vergangenheit angehören.
„Das braucht man nicht ständig zu machen“, findet Weller, „aber von Zeit zu Zeit sollte man sich Gewissheit verschaffen, dass nicht wieder der alte Schlendrian eingekehrt ist. Wenn wir im Herbst das Projekt abgeschlossen haben, werden wir es beispielsweise wieder einmal tun.“

Resümee

Das Autohaus verfügt heute durch Varonis über eine Datensicherheit, die weit über dem Marktdurchschnitt liegt. Damit wird Kunzmann nicht nur seinem Premium-Anspruch hinsichtlich der Automarke gerecht, sondern liefert auch entsprechende Qualität bei der Datensicherheit. „Unstrukturierte Daten auf den Fileservern und intransparente Zugriffsberechtigungen sind für uns heute kein Buch mit sieben Siegeln mehr“, so der IT-Chef: „Wir wissen, wer wann wo welche Daten abgelegt hat. Entsprechend der Klassifizierung haben beispielsweise nur diejenigen Zugriff auf sensible Word und Excel-Dateien, die diesen Zugriff für ihre tägliche Arbeit benötigen. Wie bei unseren Autos liefern wir auch hinsichtlich der Privacy ein deutliches Plus an Sicherheit für unsere Kunden.“

Über Robert Kunzmann GmbH & Co. KG

Die Robert Kunzmann GmbH & Co. KG mit Stammsitz in Aschaffenburg ist an zehn Standorten im Rhein-Main-Gebiet ansässig. Sie beschäftigt mehr als 1.000 Mitarbeiter und bilanziert rund eine halbe Milliarde Euro Umsatz im Jahr.
Zwar verkauft Kunzmann in erster Linie neue und gebrauchte Autos der Marke Mercedes-Benz, aber die etwa 250.000 Kunden können sich auch für Inspektionen und Reparaturen an das Unternehmen wenden. Als Mercedes-Partner muss sich Kunzmann, neben der Datenschutzgrundverordnung, auch an den strengen Security-Richtlinien des Automobilherstellers orientieren.

Die Unternehmens-IT betreut mit einem runden Dutzend Mitarbeiter etwa 900 Anwender. Zudem betreibt sie ein eigenes Rechenzentrum, das 2005 mit Hilfe des modularen Rittal-Konzepts errichtet wurde. Ein eigener Datenschutz-Beauftragter und der Einsatz hochentwickelter Tools sind auch im Hinblick auf den Abschluss einer Cyber-Versicherung hilfreich; den strebt Kunzmann derzeit ernsthaft an. Die Versicherer bewerten den Einsatz solcher Werkzeuge positiv, erlauben also höhere Abschlusssummen.

Führender Spezialist für Matrix42, Nexthink und Varonis!

Unser Know-how für Ihren Erfolg

Wir sind der Spezialist, wenn es um IT Service Management, IT Client Management, Analytics und IT Security geht! Profitieren Sie von unserem Know-how und vereinbaren Sie jetzt einen unverbindlichen Termin, um uns kennen zu lernen.

© 2023 Consulting4IT GmbH
Einstellungen gespeichert

Datenschutzeinstellungen

You are using an outdated browser. The website may not be displayed correctly. Close