Atlassian Jira: Filter und Dashboards sicher konfigurieren

jberneburg

Filter und Dashboards in Atlassian Jira lassen sich mit der Öffentlichkeit teilen. Das ist ein starkes und sinnvolles Feature für die Zusammenarbeit mit einer öffentlichen Community. Kritisch wird es allerdings, wenn Filter und Dashboards ungewollt auf "jeder" bzw. "öffentlich" gestellt werden und somit sensible Informationen im Internet sichtbar sind. Das Teilen der Filter und Dashboards wird in den Standardeinstellungen jedes Users ermöglicht, was für Administratoren und Datenschutzverantwortliche die Frage aufwirft, wie eine sichere Konfiguration aussieht. Hier sind einige Tipps.

Stolperstellen in der Konfiguration

Für das Teilen von Filtern gibt es im Arbeitsalltag diverse Anwendungsfälle. Allerdings sollte sich jeder Benutzer über die Auswirkungen der Einstellung "public" bzw. "öffentlich" im Klaren sein. In Versionen vor Jira Server 7.2.2 wurden die Begriffe "everyone" und "alle" verwendet, was viele Nutzer irrtümlich für "alle mit Login" gehalten haben.

Unsere Erfahrung zeigt, dass es in vielen großen Instanzen eine nennenswerte Anzahl von Filtern gibt, die Benutzer mit der Öffentlichkeit geteilt haben. Die Vorgänge an sich bleiben zwar geschützt, allerdings kann jeder Internetnutzer die Filterabfragen, die Filternamen mit Beschreibung und die Filterbesitzer mit Namen sowie Nutzernamen sehen. Im Zweifelsfall sind diese Informationen sogar über Suchmaschinen auffindbar. Die Filterabfrage kann Details zu Usern, Projektnamen, Status und weiteren Informationen zeigen.

Einen Eindruck dessen, was Fremde auf Ihrem System sehen können, bekommen Sie, wenn Sie mal die Liste der Populären Filter aufrufen, ohne eingeloggt zu sein: meinsystem.de/secure/ManageFilters.jspa?filterView=popular.

Analog finden Sie die öffentlichen Dashboards unter meinsystem.de/secure/ConfigurePortalPages!default.jspa?view=popular. (Hier werden etwas weniger Daten sichtbar als bei den Filtern: Dashboard-Namen mit Beschreibungen sowie Besitzern mit Namen und Nutzernamen gelangen an die Öffentlichkeit.)

Die vollständige Übersicht der betroffenen Filter bzw. Dashboards finden Sie in den Bereichen Manage Dashboards bzw. Manage Filters, wenn Sie nach Shared with "Anyone" suchen.

Sensible Daten zukünftig schützen

Der erste Schritt seitens Atlassian, um an dieser Stelle für mehr Sicherheit zu sorgen, hat darin bestanden, die Begrifflichkeit auf das eindeutigere "public" bzw. "öffentlich" zu ändern und für den Nutzer beim Teilen von Filtern und Dashboards eine explizite Warnmeldung einzublenden. Diese Änderung ist in Jira Server ab der Version 7.2.2 umgesetzt.

Seit dieser Version besteht auch die Möglichkeit, das Teilen mit der Öffentlichkeit auszuschließen, was wir in jedem Fall empfehlen, wenn Sie die Funktion nicht bewusst einsetzen möchten. Dies konfigurieren Sie unter Jira-Admin-Bereich > System > Allgemeine Konfiguration > Einstellungen bearbeiten. (Die Änderung der Einstellung hat keinen Einfluss auf bereits öffentlich geteilte Elemente.)

Bei früheren Versionen bleiben zwei Wege:

  1. Sie können das Erstellen von geteilten Filtern/Dashboards grundsätzlich unterbinden (Jira-Admin-Bereich > System > Globale Berechtigungen), was für die tägliche Arbeit im Team aber in aller Regel hinderlich ist.
  2. Alternativ müssen die Nutzer geschult und für die Tatsache sensibilisiert werden, dass mit "alle" nicht "jeder angemeldete Benutzer" gemeint ist, sondern sämtliche User mit Zugriff auf die Jira-URL. Ab Version 7.2.2 ist dann die Option "alle" in "öffentlich" umbenannt und eine neue Option "jeder angemeldete Benutzer" verfügbar.

Öffentlich geteilte Elemente wieder einschränken

Offen bleibt die Aufgabe, die bereits öffentlich geteilten Elemente auf eingeloggte Nutzer zu beschränken. Wenn es sich um einige wenige Elemente handelt, lässt sich das per Hand erledigen, indem man nach den Filtern sucht und anschließend jeweils eine Änderung vornimmt:

  • Unter Vorgänge > Filter verwalten > Eigene können das die Benutzer selbst tun.
  • Als Admin können Sie jeden Filter einzeln bearbeiten:
    • Zunächst müssen Sie den Besitzer des Filters auf sich selbst (Admin) ändern. Suchen Sie im Jira-Admin-Bereich unter System > Freigegebene Filter nach dem betroffenen Filter und tragen Sie dann via Zahnrad > Besitzer ändern den eigenen User ein (den bisherigen Besitzer merken).
    • Anschließend öffnen Sie den Filter (verwenden oder unter Filter verwalten > Eigene). Folgen Sie dem Pfad Details > Berechtigungen bearbeiten; hier entfernen Sie nun den Viewer "Öffentlich" und fügen "Jeder angemeldete Benutzer" als Viewer hinzu.
    • Dann setzen Sie den Besitzer wieder auf ursprünglichen Wert. Suchen Sie im Jira-Admin-Bereich unter System > Freigegebene Filter nach dem Filter und tragen Sie via Zahnrad > Besitzer ändern den eigentlichen User ein.

Für den Fall, dass es sich um sehr viele geteilte Elemente handelt, schlägt Atlassian als Workaround einen direkten Fix über die Datenbank vor. (Dafür muss Jira heruntergefahren sein.) Hier finden Sie Details zum Vorgehen.

Allgemeine Maßnahmen

Falls Sie unsicher sind, wie es in Ihrem System um die Öffentlichkeit von Filtern und Dashboards bestellt ist, empfehlen wir für jüngere Jira-Versionen (Jira Server 7.2.2 und höher) die folgenden Sicherheits- und Überprüfungsmaßnahmen:

  • Sofern im Unternehmen keine Freigabe für die Öffentlichkeit benötigt wird, ist es sinnvoll, die Funktion zu unterbinden: Jira-Admin-Bereich > System > Allgemeine Konfiguration > Einstellungen bearbeiten.
  • Prüfen Sie, ob Filter "öffentlich" sind, indem Sie als nicht eingeloggter Benutzer meinsystem.de/secure/ManageFilters.jspa?filterView=popular aufrufen.
  • Prüfen Sie, ob Dashboards "öffentlich" sind, indem Sie als nicht eingeloggter Benutzer meinsystem.de/secure/ConfigurePortalPages!default.jspa?view=popular aufrufen. (Das System-Dashboard ist immer öffentlich.)
  • Wenn keine Filter "öffentlich" sind und nur das System-Dashboard sichtbar ist, ist Ihre Filter- und Dashboard-Konfiguration sicher.

Ihr Partner für Atlassian Jira

Haben Sie Fragen zu Atlassian Jira? //SEIBERT/MEDIA ist Atlassian Platinum Solution Partner. Wir unterstützen Sie gerne bei allen Aspekten rund um eine Einführung und produktive Nutzung der unterschiedlichen Jira-Deployments in Ihrem Unternehmen – von der strategischen Beratung über die Lizenzierung bis zur Implementierung, Optimierung und Erweiterung. Melden Sie sich bei uns!

Weiterführende Infos

Atlassian Jira 8: Performance und Stabilität für mehr Produktivität und bessere Skalierbarkeit
Ist Jira in Ihren IT- und Entwicklungsteams gefangen?
Team-Workflows: Atlassian Jira hilft, Arbeitsprozesse wiederholbar und skalierbar zu machen
Atlassian Server oder Atlassian Data Center – Wann ist ein Upgrade sinnvoll?


Mehr über die Creative-Commons-Lizenz erfahren

In dieser Jira Admin-Schulung lernen IT- und Projektverantwortliche, wie sie ihr Jira-System technisch administrieren und Projekte sowie User verwalten.

Schreibe einen Kommentar