Grant Thornton

Wie Grant Thornton Berechtigungen kontrolliert und Vergaberichtlinien verschärft, insbesondere in Verbindung mit sensiblen Daten

PDF download


Der Kunde

Standort: Frankreich

Branche: Buchhaltung

Produkte: DatAdvantage

Grant Thornton France, ein Mitgliedsunternehmen der Grant Thornton International, einer der weltweit führenden internationalen Organisationen für unabhängig geführte und verwaltete Wirtschaftsprüfungsgesellschaften, verfügt über 25 Geschäftsstellen und beschäftigt 1300 Mitarbeiter, von denen 101 Partner sind. Als eine der führenden Prüfungs- und Beratungsorganisationen ist Grant Thornton France auf sechs wesentliche Bereiche spezialisiert: Wirtschaftsprüfung, Beratung, Buchhaltung, Outsourcing, Rechtsberatung, Steuern und Sozialversicherung. Zu den Kunden gehören börsennotierte Gesellschaften und große internationale Organisationen aus verschiedensten Branchen, wie Einzelhandel, Fertigung, Vertriebsorganisationen, Bewirtung und Dienstleistungen. Erfahrene Mitarbeiter aus anderen Mitgliedsfirmen von Grant Thornton International erhalten häufig das Angebot für eine Folgeanstellung von mindestens zwei Jahren bei Grant Thornton France. Das fördert nicht nur die persönliche und kulturelle Entwicklung der Mitarbeiter, sondern stärkt die Beziehungen zwischen den Mitgliedsunternehmen.

Seit wir DatAdvantage einsetzen finden wir nicht nur verlorene Verzeichnisse wieder auf, sondern identifizieren nachweislich, welche Benutzer für das Verschieben oder Löschen verantwortlich waren. Das spart Zeit und verbessert die Effizienz.

– Eric Mege, Security Officer, Grant Thornton France

Die Herausforderung

Vor zwei Jahren hatte Grant Thornton France Probleme damit, den Zugriff auf seine 30 Dateiserver zusammenzuführen, die zu diesem Zeitpunkt ungefähr vier Terrabytes an Daten enthielten.
Helpdesk verbrachte durchschnittlich 20 % seiner Zeit im Gespräch mit Benutzern, die auf „verschwundene“ Daten zugreifen wollen, oder damit, manuell die fehlenden Verzeichnisse zu finden und die Informationen wiederherzustellen. Benutzer behaupteten meistens, keine Schuld am Verschwinden der Informationen zu haben und das Gegenteil ließ sich nicht nachweisen. Zunächst versuchte das Unternehmen dieses Problem über Audit-Funktionen innerhalb von Microsoft Exchange Server zu beheben. Das erwies sich allerdings als schwierig, da das System bei jedem Aktivieren der Funktionen erheblich an Leistung einbüßte und sogar Fileserver abstürzten.

Eric Mege, Security Officer bei Grant Thornton France: „Wir haben festgestellt, dass die Zugriffsüberwachung ein erheblicher Stolperstein für uns ist. Wir wussten, dass die Daten nicht einfach verschwinden, sondern, dass ein Benutzer daran beteiligt war. Die Benutzer beteuerten jedoch stets ihre Unschuld. Wir wendeten also viel Zeit auf um menschliche Fehler zu beheben. Jedes Mal, wenn wir versuchten, die Audit-Funktionen innerhalb von Exchange zu aktivieren, wurde die Leistung derart beeinträchtigt, dass es zum Systemabsturz kam.“

Evaluierung

Grant Thornton war klar, dass sie mehr Transparenz im Hinblick darauf brauchten was die Benutzer innerhalb des Systems anstellten. „Mit nur 13 Mitarbeitern in unserem IT-Team haben wir viel zu viel Zeit damit verbracht, Dinge richtig zu stellen, die niemals derart falsch hätten laufen sollen. Wir wissen, dass Fehler vorkommen können, aber es war frustrierend, dass die Benutzer uns verantwortlich machten, während wir wussten, dass die Probleme überwiegend durch Benutzer selbst verursacht wurden. Mit einem Datenwachstum von 20 bis 30 % pro Jahr oder sogar etwas mehr, und da wir mittlerweile rund fünf bis sechs Terrabytes an Daten vorhalten, war klar, dass dieses Problem nicht einfach verschwinden, sondern nur noch schlimmer werden würde. Wir brauchten eine Möglichkeit, um den genauen Moment zu definieren, an dem Daten verschoben wurden, damit der Vorgang rückgängig gemacht werden und alle Beteiligten ihre Arbeit erledigen können – das verbessert für uns die Infrastruktur.“ Ein Lieferant von Grant Thornton, der sich des Problems ebenfalls bewusst war, empfahl dann Varonis.

Die Lösung

Grant Thornton startete den Prozess mit einer Machbarkeitsstudie und erkannte schnell, dass DatAdvantage die schnelle und klare Antwort bringen würde, die das Unternehmen brauchte.
„Wir begannen mit DatAdvantage zunächst auf einem Fileserver. Ich erstellte eine Benutzeranleitung für den Helpdesk und innerhalb eines Vormittags war die IT in der Lage, mithilfe der Lösung verlorene Daten ausfindig zu machen. Die Ergebnisse waren so überzeugend, dass wir uns dafür entschieden die Lösung auf allen Fileservern einzusetzen.“ DatAdvantage überwacht automatisch alle Datenberührungen auf dem Server und speichert die gesammelten Metadaten ab. Diese Berichte können im Nachhinein durchsucht werden, um genau den Moment zu bestimmen, an dem eine Datei verschoben oder gelöscht wurde oder um Fragen zur Aktivität eines bestimmten Benutzers zu beantworten. Für Grant Thornton war es genau das Wissen, das bisher fehlte um verlorene Daten ausfindig zu machen.

Darüber hinaus ließ sich nachweisen wer verantwortlich war. „DatAdvantage war ein guter Lehrer für unsere Benutzer. Sie konnten nämlich nicht länger auf ihrer Unschuld bestehen, weil wir letztendlich nachweisen können, wer für das Verschwinden einer Datei verantwortlich war, und wann genau es dazu kam.“ Helpdesk arbeitet jetzt wesentlich effizienter und die gewonnene Zeit verwendet das IT-Team wieder auf den alltäglichen Betrieb und andere Bereiche der Infrastruktur. Verbesserungen sind auch ohne zusätzliche Mitarbeiter wieder möglich.

Kaum war das eine Problem gelöst befasste sich Grant Thornton bereits mit anderen Bereichen, in denen man sich von DatAdvantage Verbesserungen versprach. Die Berechtigungen sind ein weiterer Bereich, den Grant Thornton vor DatAdvantage nicht effizient verwalten konnte. Eric Mege: „Ich persönlich glaube, dass alle Organisationen, die ein erhebliches Informationsvolumen bewältigen müssen, d. h. mehrere Terrabytes an Daten, eine Automatisierung benötigen, um Berechtigungen ordnungsgemäß zu verwalten. Eine manuelle Prüfung ist praktisch nicht mehr möglich. Wir haben 1300 Benutzer – das sind eine Menge Berechtigungen.“

In einem relativ neuen Projekt setzt Grant Thornton DatAdvantage ein, um sämtliche Berechtigungen auf einem Fileserver zu kontrollieren. Durch die Kombination von Benutzer- und Gruppeninformationen, die direkt aus Active Directory und anderen Verzeichnisdiensten übernommen werden, kann ein vollständiges Bild des Dateisystems und der Berechtigungsstruktur erstellt werden. Betrachtet man auf welche Ordner von welchen Benutzer und Gruppen zugegriffen wird, kann man auch die Dateneigentümer identifizieren. Anschließend werden automatisch Berichte erstellt, die klare, aber dennoch detaillierte Informationen über alle Benutzer und Gruppen enthalten, die tatsächlich auf die Daten zugreifen. Diese Informationen werden an die Leiter der entsprechenden Abteilungen geschickt, damit diese Änderungen oder Aufhebungen von Berechtigungen bestätigen.

Bevor Änderungen wirklich umgesetzt werden, kann Grant Thornton alle Änderungen modellieren und in einer Sandbox simulieren, um sicherzustellen, dass sie keine nachteiligen Auswirkungen haben. Mege bestätigt: „Die Sandbox ist eine fantastische Funktion, da nichts umgesetzt wird, was nicht zuvor getestet wurde. Das bringt eine erhebliche Zeitersparnis, da mögliche Fehler nicht dazu führen, dass die gesamte Umsetzung wieder zurückgesetzt werden muss. Ich weiß bereits vorab um die Folgen der Änderungen und kann das Ergebnis entsprechend bewerten. So verfahren wir für alle Server. Nicht nur weil ich diese Funktion für wertvoll halte, sondern auch, um die schiere Menge besser zu unterteilen. Wenn ich die Berichte für alle 30 Fileserver auf ein Mal bekäme, wäre ich der Aufgabe kaum gewachsen. So handelt es sich um ein laufendes Projekt, bei dem wir sukzessive weitere Fileserver kontrollieren und hinzufügen.“

Von Beginn an hat man auch die Daten identifiziert auf die Benutzer zugreifen konnten, die diesen Zugriff gar nicht benötigten. „Beispielsweise hatte eine interne Abteilung einige Dateien, auf die ein Benutzer einer anderen Abteilung zugreifen konnte, obwohl es eigentlich keinen stimmigen Grund dafür gab. Die Information haben wir direkt an den Abteilungsleiter gegeben, damit er nach seinem Ermessen entscheiden kann. Am Ende des Tages liegt es nicht in meiner Verantwortung mit neugierigen Benutzern umzugehen. Aber wenn Benutzer wissen, dass diese Art von Aktivität überwacht wird, werden sie seltener herumstöbern“, so Eric Mege.

Grant Thornton unterliegt zwar keiner der diesbezüglichen Regularien, verwendet DatAdvantage aber trotzdem um interne Sicherheitsaudits durchzuführen. Die erstellten Berichte dokumentieren,
wer auf Daten zugreift, und was mit diesen Daten passiert. „Für mich ist eine Lösung wertlos deren Berichterstattung unzureichend ist. Mit Varonis kann ich Berichte erstellen, die sich über Monate oder sogar nur Stunden in Bezug auf Aktivitäten erstrecken, je nachdem, was ich erreichen möchte. Ich kann Berichte erstellen, die die Aktivität über einen Zeitraum vergleichen, um Verhaltensänderungen zu identifizieren, die man manuell niemals erkennen würde. Darüber hinaus habe ich fest eingeplante Berichte, die automatisch in regelmäßigen Abständen erstellt und an die zuständigen Abteilungsleiter verschickt werden. Die Berichte sind in allgemein verständlicher Sprache, sodass ich sie nicht vorher auswerten und sozusagen „übersetzen“ muss. Das ist wirklich unbezahlbar, weil ich mich auf andere Aufgaben konzentrieren kann.“

Der geschäftliche Nutzen

Verschobene oder gelöschte Daten können schnell aufgefunden und wiederhergestellt werden.

Der treibende Faktor warum Grant Thornton sich für DatAdvantage entschieden hat war, dass die Suite automatisch alle Dateiberührungen auf dem System überwacht und diese Informationen in einer Datenbank abspeichert. Diese Berichte können im Nachhinein durchsucht werden, um genau den Moment zu bestimmen, an dem eine Datei verschoben oder gelöscht wurde oder auch um Fragen zur Aktivität eines bestimmten Benutzers zu beantworten. Dadurch liegen Informationen vor, die man braucht um Anfragen sofort beantworten zu können. Dadurch ändert sich sowohl die Eigenwahrnehmung der Benutzer als auch die der IT-Abteilung, die jetzt informiert ist und die Kontrolle über die Daten wiedererlangt hat.

Die Effizienz des Helpdesks verbesserte sich um mindestens 20 %.

Die vom Helpdesk durchgeführten Aufgaben sind relativ einfach. Dennoch wurden 20 % der Arbeitszeit darauf verschwendet, Probleme zu beheben, die auf menschliche Fehler zurückzuführen sind. Mit einer nur minimalen Schulung konnte Helpdesk fehlende Daten auffinden und den Zugriff wiederherstellen. Damit wurde nicht nur die eigene, sondern auch die Effizienz der Benutzer verbessert, da diese zügig wieder auf die benötigten Daten zugreifen können.

Berechtigungen werden kontrolliert und die Berechtigungsvergabe enger gefasst, insbesondere für sensible Daten.

DatAdvantage bietet detaillierte Informationen darüber, auf welche Dateien Benutzer und Gruppen Zugriff haben sowie über den tatsächlichen Zugriff auf Daten und die dahinter steckenden Benutzer. Dank dieser Informationen hat Grant Thornton jetzt wieder die Kontrolle über seine Berechtigungen und gewährleistet die Sicherheit vertraulicher Daten.

Eine klare und präzise Berichterstattung ermöglicht es den Dateneigentümern, Entscheidungen zu deren Daten zu treffen.

Grant Thornton kann mittels der Berichte die Dateneigentümer identifizieren und die Reports automatisch an sie weitergeben, da sie in einer allgemein verständlichen Sprache verfasst sind. Das legt die Verwaltung und Kontrolle wieder in die Hände der Personen, die am ehesten fundierte Entscheidungen zu diesen Daten treffen können und die IT muss nicht länger „vermuten“.