Skip to main content

Best Practices zum Verhindern von Datenlecks in deiner Organisation

Hier findest du Anleitungen und Empfehlungen, mit denen du vermeiden kannst, dass private oder vertrauliche Daten in deiner Organisation verfügbar gemacht werden.

Über diesen Leitfaden

Als Organisationsbesitzer*in sollte die Verhinderung der Offenlegung privater oder vertraulicher Daten oberste Priorität haben. Ob absichtlich oder versehentlich, Datenlecks können erhebliche Risiken für die beteiligten Parteien darstellen. Während GitHub Maßnahmen ergreift, um dich vor Datenlecks zu schützen, bist du auch für die Verwaltung deiner Organisation verantwortlich, um die Sicherheit zu erhöhen.

Es gibt mehrere Schlüsselkomponenten, wenn es um die Abwehr von Datenlecks geht:

  • Proaktives Vorgehen bei der Prävention
  • Frühzeitige Erkennung möglicher Lecks
  • Verwalten von vorbeugenden Maßnahmen, wenn ein Vorfall auftritt

Der beste Ansatz hängt von der Art der Organisation ab, die du verwaltest. Beispielsweise erfordert eine Organisation, die sich auf Open-Source-Entwicklung konzentriert, möglicherweise eine lockerere Steuerung als eine vollständig kommerzielle Organisation, um eine externe Zusammenarbeit zu ermöglichen. Dieser Artikel enthält allgemeine Anleitungen zu den zu berücksichtigenden GitHub-Features und -Einstellungen, die du entsprechend deiner Anforderungen implementieren solltest.

Sichere Konten

Schütze die Repositorys und Einstellungen deiner Organisation, indem du bewährte Sicherheitsmethoden implementierst, z. B. durch Aktivieren und Erzwingen von 2FA für alle Mitglieder sowie durch Einrichten von Richtlinien für sichere Kennwörter.

  • Organisationsmitglieder, externe Mitarbeiter und Abrechnungsmanager müssen 2FA für ihre persönlichen Konten aktivieren, um böswilligen Akteuren den Zugriff auf die Repositories und Einstellungen einer Organisation zu erschweren. Dies ist ein Schritt zusätzlich zur Aktivierung der sicheren Authentifizierung. Weitere Informationen finden Sie unter Erfordern der zweistufigen Authentifizierung in deiner Organisation.

  • Benutzer*innen animieren, sichere Kennwörter zu erstellen und sie angemessen zu schützen, indem sie die empfohlenen GitHub-Kennwortrichtlinien befolgen. Weitere Informationen finden Sie unter "Ein sicheres Passwort erstellen".

  • Ermutigen Sie Ihre Benutzer, den Pushschutz für Benutzer in ihren persönlichen Kontoeinstellungen aktiviert zu lassen, damit sie unabhängig davon, an welches öffentliche Repository sie pushen, geschützt sind. Weitere Informationen finden Sie unter Pushschutz für Benutzer.

  • Eine interne Sicherheitsrichtlinie in GitHub einrichten, damit Benutzer*innen wissen, welche Schritte sie ausführen und wen sie bei Verdacht auf einen Vorfall kontaktiert müssen. Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.

Weitere Informationen zum Sichern von Konten findest du unter Bewährte Methoden zum Schützen von Konten.

Verhindern von Datenlecks

Als Organisationsbesitzer*in solltest du den Zugriff entsprechend dem Typ deiner Organisation einschränken und überprüfen. Berücksichtige die folgenden Einstellungen für eine striktere Kontrolle:

EmpfehlungWeitere Informationen
Deaktiviere die Möglichkeit, Repositorys zu forken.Verwalten der Forking-Richtlinie für dein Repository
Deaktivieren Sie die Änderungsmöglichkeit für die Repositorysichtbarkeit.Einschränken von Änderungen der Sichtbarkeit von Repositorys in deiner Organisation
Beschränke die Repositoryerstellung auf „Privat“ oder „Intern“.Einschränken der Repositoryerstellung in deiner Organisation
Deaktiviere das Löschen und Übertragen von Repositorys.Berechtigungen zum Löschen oder Übertragen von Repositorys festlegen
Lege den Bereich für personal access token auf die erforderlichen Mindestberechtigungen fest.Keine
Schütze deinen Code, indem du öffentliche Repositorys bei Bedarf in private konvertierst. Du kannst die Repositorybesitzer*innen automatisch über eine GitHub App über diese Änderung benachrichtigen.Verhindern öffentlicher Repositorys in GitHub Marketplace
Bestätige die Identität deiner Organisation, indem du deine Domäne überprüfst und E-Mail-Benachrichtigungen nur auf überprüfte E-Mail-Domänen beschränkst."Überprüfen oder Genehmigen einer Domäne für deine Organisation" and "Einschränken von E-Mail-Benachrichtigungen für deine Organisation"
Organisationen können ein Upgrade von den Standard-Nutzungsbedingungen auf die GitHub-Kundenvereinbarung durchführen.Upgrade auf den GitHub-Kundenvereinbarung
Verhindere, dass Mitwirkende versehentlich Commits durchführen.Entfernen vertraulicher Daten aus einem Repository

Erkennen von Datenlecks

Unabhängig davon, wie gut du deine Organisation stärkst, um Datenlecks zu verhindern, können einige immer noch auftreten, und du kannst mit secret scanning, dem Überwachungsprotokoll und Branchschutzregeln darauf reagieren.

Verwenden von secret scanning

Secret scanning hilft dabei, Code zu sichern und Geheimnisse in Organisationen und Repositorys zu schützen, indem Geheimnisse überprüft und erkannt werden, die versehentlich über den vollständigen Git-Verlauf jedes Branchs in GitHub-Repositorys übertragen wurden. Für alle Zeichenfolgen, die mit Mustern übereinstimmen, die von Partnern für die Geheimnisüberprüfung oder anderen Dienstanbietern angegeben oder von dir oder deiner Organisation definiert wurden, werden Warnmeldungen auf der Registerkarte Sicherheit der Repositorys angezeigt.

Es stehen zwei Arten von secret scanning zur Verfügung: Warnungen zur Geheimnisüberprüfung für Partner und Warnungen zur Geheimnisüberprüfung für Benutzer*innen .

  • Warnungen zur Geheimnisüberprüfung für Partner: Diese werden standardmäßig aktiviert und werden automatisch in allen öffentlichen Repositorys und öffentlichen npm-Paketen ausgeführt.

  • Warnungen zur Geheimnisüberprüfung für Benutzerinnen: Um zusätzliche Überprüfungsfunktionen für deine Organisation erhalten, musst du Warnungen zur Geheimnisüberprüfung für Benutzerinnen aktivieren.

    Bei Aktivierung kann Warnungen zur Geheimnisüberprüfung für Benutzer*innen für die folgenden Repositorytypen erkannt werden: verfügen

    • Öffentliche Repositorys im Besitz von Organisationen, die GitHub Enterprise Cloud verwenden (kostenlos)
    • Private und interne Repositorys, wenn Sie über eine Lizenz für GitHub Advanced Security verfügen

Weitere Informationen zu secret scanning findest du unter Informationen zur Geheimnisüberprüfung.

Du kannst secret scanning auch als Pushschutz für ein Repository oder eine Organisation aktivieren. Wenn du dieses Feature aktivierst, verhindert secret scanning, dass Mitwirkende Code mit einem erkannten Geheimnis pushen. Weitere Informationen findest du Informationen zum Pushschutz. Schließlich kannst du die Erkennung auch auf benutzerdefinierte geheime Zeichenfolgenstrukturen erweitern. Weitere Informationen finden Sie unter Definieren von benutzerdefinierten Mustern für die Geheimnisüberprüfung.

Überprüfen des Auditprotokolls deiner Organisation

Du kannst IP-Adressen proaktiv schützen und die Compliance für deine Organisation sicherstellen, indem du das Überwachungsprotokoll deiner Organisation zusammen mit der Überwachungsprotokoll-API von GraphQL nutzt. Weitere Informationen findest du unter Auditprotokoll deiner Organisation überprüfen und unter Schnittstellen.

Einrichten von Branchschutzregeln

Um sicherzustellen, dass der gesamte Code ordnungsgemäß überprüft wird, bevor er mit dem Standardbranch zusammengeführt wird, kannst du den Branchschutz aktivieren. Durch Festlegen von Branchschutzregeln kannst du bestimmte Workflows oder Anforderungen erzwingen, bevor eine Mitwirkender Änderungen pushen kann. Weitere Informationen findest du unter Informationen zu geschützten Branches.

Alternativ zu Verzweigungsschutzregeln oder den Tagschutz können Sie auch Regelsätze erstellen. Regelsätze haben einige Vorteile gegenüber Verzweigungs- und Tag-Schutzregeln, wie z. B. Status und bessere Auffindbarkeit, ohne dass ein Admin-Zugang erforderlich ist. Sie können auch mehrere Regelsätze gleichzeitig anwenden. Weitere Informationen findest du unter Informationen zu Regelsätzen.

Minimieren von Datenlecks

Wenn eine Benutzerin vertrauliche Daten pusht, bitte ihn oder sie, sie mithilfe des git filter-repo-Tools oder des Open-Source-Tools BFG Repo-Cleaner zu entfernen. Weitere Informationen findest du unter Entfernen vertraulicher Daten aus einem Repository. Außerdem ist es möglich, fast alles in Git rückgängig zu machen. Weitere Informationen findest du unter the GitHub Blog.

Wenn du dich auf Organisationsebene nicht mit dem Benutzer bzw. der Benutzerin abstimmen kannst, der oder die die vertraulichen Daten per Push übertragen hat, um sie zu entfernen, wird empfohlen, den GitHub-Support mit dem entsprechenden Commit-SHA zu kontaktieren.

Wenn du dich nicht direkt mit demder Repositorybesitzerin abstimmen kannst, um Daten zu entfernen, von denen du sicher sind, dass du derdie Besitzerin bist, kannst du ein DMCA-Benachrichtigungsformular ausfüllen und den GitHub-Support informieren. Weitere Informationen findest du unter DMCA Takedown-Mitteilung.

Hinweis: Wenn eines deiner Repositorys aufgrund eines falschen Anspruchs entfernt wurde, solltest du ein DMCA-Widerspruchsformular ausfüllen und den GitHub-Support benachrichtigen. Weitere Informationen findest du unter DMCA-Widerspruchsformular.

Nächste Schritte