Häufige Lücken und NIST-Compliance-Risiken im Dynamics 365-Dokumentenmanagement

Häufige Lücken und NIST-Compliance-Risiken im Dynamics 365-Dokumentenmanagement

Ana NetoProducts and Solutions Leave a Comment

Sicherstellen NIST-Konformität wird für Unternehmen, die mit sensiblen Daten und Dokumenten umgehen, immer wichtiger, zumal die Einhaltung von Vorschriften immer wichtiger wird. oft eine Voraussetzung für die Vertragsberechtigung.

Vor einem Jahr wurde die Publikation NIST Cybersecurity Framework v. 2.0die laut Kevin Stine, Leiter der NIST-Abteilung für angewandte Cybersicherheit, wurde "in enger Zusammenarbeit mit Interessenvertretern entwickelt und spiegelt die neuesten Cybersicherheitsherausforderungen und Managementpraktiken wider", und "wird Organisationen, Sektoren und sogar ganzen Nationen helfen, ihre Cybersicherheitsrisiken besser zu verstehen und zu verwalten".

Dennoch stehen viele Unternehmen, die Dynamics 365 für die Dokumentenverwaltung nutzen, immer noch vor der Herausforderung, die wichtigsten NIST-Anforderungen zu erfüllen, insbesondere die in NIST SP 800-171 und SP 800-53.

Ein Hauptgrund für diese Diskrepanz ist, dass die Standardkonfigurationen von Dynamics 365 nicht immer den NIST-Standards entsprechen. Dies ist nicht nur im Hinblick auf die Einhaltung der Standards ein Problem, sondern auch, weil Organisationen unwissentlich Sicherheitslücken aufweisen können.

Warum stimmen diese Konfigurationen nicht mit NIST überein? Die Schlüsselthemen in Dynamics 365 Umgebungen sind:

  • Übermäßige Zugriffsberechtigungen führen zu unkontrollierter Dateizugriff
  • Schwache Authentifizierungsmechanismen Offenlegung von Dokumenten für nicht autorisierte Benutzer
  • Fehlen einer ordnungsgemäßen Audit-Protokollierungwas die Aufdeckung und Untersuchung von Vorfällen erschwert.

Die gute Nachricht ist, dass Unternehmen diese Risiken mit einer proaktiven Konfiguration und einer koordinierten Anstrengung von Sicherheits-, Compliance- und IT-Teams effektiv vermeiden können.

Dieser Artikel befasst sich damit, wie man das in der Dynamics 365-Umgebung macht.. Wir werden die folgenden Themen behandeln:

1. Was NIST für die Konformität des Dokumentenmanagements verlangt

NIST legt Leitlinien für die Cybersicherheit fest für Schutz von kontrollierten, nicht klassifizierten Informationen (CUI) und für Organisationen, die mit diesen Informationen umgehen.

Wenn Ihre Organisation Folgendes verwendet Microsoft Dynamics 365 für das Dokumentenmanagement, sollten Sie sich insbesondere mit den folgenden Punkten befassen:

  • NIST SP 800-171 (Sicherer Umgang mit nicht klassifizierten Regierungsdaten)
  • NIST SP 800-53 (Sicherheits- und Datenschutzkontrollen für staatliche und private Unternehmenssysteme)
  • NIST SP 800-207 (Zero Trust Architektur - ZTA - Durchsetzung einer kontinuierlichen Authentifizierung und des Zugriffs mit geringsten Rechten)

2. Die wichtigsten Sicherheitslücken in Dynamics 365, die zur Nichtkonformität führen

Wie wir bereits erwähnt haben, sind trotz der integrierten Sicherheitseinstellungen von Microsoft viele Standardkonfigurationen in Dynamics 365 nicht vollständig mit den NIST-Kontrollen abgestimmt, was zu potenziellen Compliance-Risiken führt.

Nachstehend sind die wichtigste Risiken für die Einhaltung der Vorschriften in Dynamics 365:

  • Unerlaubter Zugang- Benutzerrollen gewähren übermäßige Privilegien und verletzen Geringstes Privileg (NIST SP 800-53 AC-6 "Wenden Sie das Prinzip der geringsten Privilegien an, indem Sie nur autorisierte Zugriffe für Benutzer zulassen, die für die Erfüllung der zugewiesenen organisatorischen Aufgaben erforderlich sind"). Ein weiteres Problem ist, dass Privilegien nicht aktualisiert werden, wenn dies erforderlich ist, da dies gegen AC-6 (7) "Der Bedarf an bestimmten zugewiesenen Benutzerprivilegien kann sich mit der Zeit ändern" verstößt.
  • Fehlende Mikrosegmentierung - Die Mikrosegmentierung ist eine wichtige Sicherheitsmaßnahme bei Dynamics 365- und SharePoint-Integrationen. Ohne Mikrosegmentierung erhalten Benutzer oft unnötigen Zugang zu Dokumenten, die nicht für sie bestimmt sind. Für weitere Informationen hierzu empfehlen wir die Lektüre dieser Artikel über Mikrosegmentierung in einer Dynamics 365- und SharePoint-Integration.
  • Aufbewahrung von Daten - Obwohl NIST keine genauen Zeitrahmen vorgibt, verlangt die NIST SP 800-53 SI-12 "Information System Logging", dass Organisationen "Informationen innerhalb des Systems und Informationen, die vom System ausgegeben werden, in Übereinstimmung mit den geltenden Gesetzen, Anordnungen, Richtlinien und Vorschriften verwalten und aufbewahren".
  • Keine Multi-Faktor-Authentifizierung (MFA) - Viele Dynamics 365-Umgebungen verlassen sich immer noch ausschließlich auf die kennwortbasierte Authentifizierung. Allerdings, NIST SP 800-171 (3.5.3) schreibt MFA für den administrativen Zugang und die Fernanmeldung vor, während NIST SP 800-53 IA-2 erfordert MFA, um die Identitätsprüfung systemübergreifend zu verbessern. MFA ist auch eine Grundpfeiler der Zero-Trust-Sicherheit.
  • Unvollständige Audit-Protokolle - Ein Mangel an umfassende Verfolgung von Aktenaktivitäten in Dynamics 365 macht es schwierig, die NIST AU-2, AU-12 und AU-14 (Kontrollen für die Prüfungsprotokollierung)) und schafft Sicherheitslücken, die zu unentdeckten Verstößen und Strafen für die Einhaltung der Vorschriften führen können. Die NIST-Checkliste 1169 schreibt eine automatische Protokollierung aller Zugriffsversuche, Änderungen und fehlgeschlagenen Autorisierungsvorgänge vor. Um die Integrität von Audit-Protokollen zu gewährleisten, sollten Unternehmen fortschrittliche Lösungen einsetzen wie Truth Enforcer. Solche Lösungen sollten über Mechanismen zur Überprüfung der Authentizität verfügen.

Werden diese Probleme nicht angegangen, erhöht dies die Sicherheitsrisiken in Dynamics 365 und führt zu Lücken in der NIST-Konformität.

3. Risiken der NIST-Nichtkonformität: Ein Szenario

Das folgende Szenario veranschaulicht häufige Konformitätsmängel im Zusammenhang mit Dynamics 365 und der Zugriffskontrolle auf Dokumente:

Szenario: Zugangskontrolle für Finanzdienstleister

  • Ein Finanzdienstleistungsunternehmen, das Dynamics 365 und SharePoint einsetzte, setzte keine Mikrosegmentierung durch und ermöglichte so einen breiten internen Zugriff auf vertrauliche Daten.
  • Die Finanzunterlagen waren für Mitarbeiter außerhalb der Buchhaltungs- und Rechtsabteilung zugänglich.
  • Das Unternehmen ist bei einer NIST-Prüfung durchgefallen.
  • Ergebnis: Das Unternehmen einen Bundesauftrag verloren im Wert von mehreren Millionen Dollar aufgrund der Nichteinhaltung der Vorschriften.

Dieses Szenario ist hypothetisch, spiegelt aber reale Probleme und hebt hervor, warum die Sicherung des Dokumentenzugriffs in Dynamics 365 entscheidend ist für Unternehmen, die regulierte oder sensible Daten. Abgesehen von verlorenen Verträgen kann das Versäumnis, den Dokumentenzugriff in Dynamics 365 zu sichern, zu Reputationsschäden und Finanzielle Sanktionen unter anderen Regulierungsstandards wie GDPR.  

4. Wie man die NIST-Konformität im Dynamics 365-Dokumentenmanagement erreicht

Sicherstellen Dynamics 365-Sicherheit entspricht den NIST-Anforderungen erfordert eine proaktive Risikominderung.

 

Wichtige Lösungen für die NIST-Konformität in Dynamics 365

Sicherheitsproblem

Lösung

Unerlaubter Zugang / Keine Mikrosegmentierung

  • Beschränkung des Dokumentenzugriffs in Dynamics basierend auf Dynamics 365-Benutzerrollen. 
  • Verwenden Sie bei der Integration von Microsoft 365 / SharePoint mit Dynamics Tools wie CB Dynamics 365 to SharePoint Permissions Replicator um sicherzustellen, dass Dynamics 365 Benutzerrollen und Berechtigungen sind automatisch synchronisiert mit SharePoint. Dadurch wird eine Mikrosegmentierung auf Dokumentenebene durchgesetzt, die einen übermäßigen Zugriff verhindert und die Einhaltung von NIST SP 800-53 (AC-3, AC-6).

Aufbewahrung von Daten
  • Automatisieren Sie die Datenaufbewahrung, um jederzeit die Übereinstimmung mit NIST- und anderen Anforderungen zu gewährleisten.
  • Umsetzung einheitlicher Klassifizierungsrichtlinien, damit die Automatisierung der Datenaufbewahrung korrekt ist.
  • Verwenden Sie Tools wie Drag & Drop und Metadaten für Dynamics 365 CE um sicherzustellen, dass jeder die Dateien entsprechend der Klassifizierung kennzeichnet.

Keine Multi-Faktor-Authentifizierung (MFA) 
  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für alle Dynamics 365-Benutzer, um die Anforderungen an die Identitätssicherung in NIST SP 800-53 (IA-2).
  • Verwenden Sie Microsoft Entra ID (früher Azure Active Directory), um MFA-Richtlinien für alle Microsoft 365- und Dynamics 365-Zugangspunkte durchzusetzen.
  • Durchsetzung von Richtlinien für den bedingten Zugriff, um den unbefugten Zugriff von nicht verwalteten oder riskanten Geräten zu verhindern.

Fehlende Audit-Protokolle 
  • Aktivieren Sie die Audit-Protokollierung in Dynamics 365 und stellen Sie sicher, dass alle Verwaltungsaktivitäten, Datenzugriffe und Berechtigungsänderungen aufgezeichnet werden.
  • Speichern Sie Audit-Protokolle sicher und konfigurieren Sie Protokollaufbewahrungsrichtlinien gemäß den Anforderungen von NIST SP 800-53 (AU-2, AU-6, AU-12).
  • Verwenden Sie Microsoft Purview oder native Auditing-Tools in Microsoft 365 für eine einheitliche Sichtbarkeit und Protokollintegrität.

 

Durch die Umsetzung diese Lösungenkönnen Organisationen die Risiken zu verringern und kontrollierte, nicht klassifizierte Informationen (CUI) in Dynamics 365 zu schützen.

5. Rekapitulieren

Das Dynamics 365 bietet zwar leistungsstarke Funktionen, seine Standardkonfigurationen entsprechen jedoch nicht vollständig den NIST-Sicherheitskontrollrahmen. Ohne proaktive Überwachung sind Unternehmen echten Risiken ausgesetzt: Datenschutzverletzungen, fehlgeschlagene Audits und verlorene Bundesverträge.

Die gute Nachricht: Mit den richtigen Tools und teamübergreifender Koordination ist es durchaus möglich, die Lücken zu schließen, das Risiko zu verringern und die NIST-Anforderungen für das Dokumentenmanagement in Dynamics 365 zu erfüllen.

Die wichtigsten zu berücksichtigenden Aspekte sind:

  • Strenge Zugriffskontrolle, ermöglicht durch die Durchsetzung von Least Privilege, Mikrosegmentierung und Multi-Faktor-Authentifizierung, um die unberechtigte Offenlegung von Daten zu verhindern. Sicherstellen, dass die Zugriffskontrollen über Dynamics 365 und Microsoft 365 hinweg konsistent bleiben, wodurch das Risiko der Nichteinhaltung von Vorschriften aufgrund von verstellte Berechtigungen.
  • Sichtbarkeit und Rückverfolgbarkeit durch robuste Audit-Protokollierung, einheitliche Klassifizierung und automatische Aufbewahrungsrichtlinien.

Ist Ihre Dynamics 365-Dokumentensicherheitskonfiguration NIST-konform? Ist dies nicht der Fall, sollten Sie zunächst unsere Checkliste verwenden, um herauszufinden, welche Probleme Sie haben könnten.

Schaltfläche "Kontakt

Über den Autor

Ana Neto

Durch Ana Neto,Fachberaterin bei Connecting Software.

"Ich bin seit 1997 Software-Ingenieur, und seit kurzem schreibe ich gerne und halte öffentliche Vorträge. Haben Sie Fragen oder Kommentare zu diesem Artikel? Ich würde mich über Ihr Feedback freuen. Hinterlassen Sie unten einen Kommentar!"

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.