Daten auf sicherer Wanderschaft

Peter Brunner - Vice President Products

Peter Brunner, Vice President Products, Brainloop AG

Der moderne Information-Worker arbeitet mit einer Vielzahl von Daten und muss dabei mehrere Endgeräte im Blick behalten. Smartphone und Laptop gehören zu seiner Grundausstattung. In vielen Fällen hantiert er darüber hinaus noch mit Tablet und einem zweiten Arbeitsrechner. Die Dokumente auf all diesen Geräten sollen möglichst ohne manuellen Aufwand auf dem gleichen, aktuellen Stand sein.

Zusätzlich tauscht sich der Information-Worker als typischer Angestellter mit Kollegen im eigenen Unternehmen, Partnern, Lieferanten und Kunden aus. Dieser Wissens- und Datentransfer verläuft in beide Richtungen und umfasst häufig wechselnde Arbeitsgruppen. Vor allem aber wandern Daten hinter die Firewall und andere Schutzmechanismen des Unternehmens und sind damit für unberechtigte Blicke zugänglich.

Die E-Mail als Sackgasse

Für den Austausch von Informationen gibt es eine Vielzahl technischer Möglichkeiten. Der Versand von Dateien per E-Mail ist weiterhin die gängigste Methode, obwohl eine ganze Reihe von Gründen dagegenspricht. Es ist kein Geheimnis, dass sich unverschlüsselte E-Mail-Anhänge mit sehr wenig Aufwand abfangen und auslesen lassen. Selbst für die absoluten Einsteiger im Hacker-Business ist diese Hürde nicht allzu hoch. Nach dem Versand von E-Mails mit unverschlüsselten Attachments können die Empfänger damit außerdem nach Lust und Laune verfahren und den Anhang an unbeteiligte Dritte weiterleiten. Selbst eine verschlüsselte Datei zu verschicken ist wenig hilfreich. Das Password muss an den Empfänger geliefert werden und kann von diesem zusammen mit der Datei an unberechtigte Dritte weitergegeben werden.

Neben solchen Sicherheitsproblemen sind es jedoch auch praktische Gründe, die gegen den Einsatz von E-Mails zum Datenaustausch sprechen: Größere Dateien lassen sich aufgrund von Speicherbegrenzungen nicht ohne weiteres verschicken, zudem kommen E-Mails nicht in jedem Fall an oder landen versehentlich im Spam-Filter. Im Übrigen entstehen beim Versand per E-Mail auch Probleme bei der Organisation der Informationsflut. Besonders wenn Dateien mit mehr als zwei Personen geteilt werden, bildet sich schnell eine E-Mail-Kaskade, an deren Ende niemand mehr weiß, welche Version eines Dokuments oder einer Datei die aktuellste ist.

Verlockende Consumer-Tools

Die zweite, häufig genutzte Möglichkeit für den Austausch von Daten sind Dienste wie Dropbox. Das virtuelle Laufwerk steht nach dem Installieren sofort zur Verfügung und ist nahtlos in sämtliche Endgeräte eingebunden. Doch selbst für den Fall, dass die Installation auf dem eigenen Gerät nicht funktioniert – oder nicht erlaubt ist – bietet eine HTML5-Oberfläche einen ähnlich hohen Komfort wie die Desktop-Version. Bereits 22 Prozent der Angestellten, die häufiger Informationen austauschen, nutzen laut einer Forrester-Umfrage solche Dienste aus der Cloud. Rund 70 Prozent der Dropbox-Nutzer gaben in dieser Befragung an, die Lösung sowohl beruflich als auch privat einzusetzen.

Aus Sicherheits- und Compliance-Gründen stellen diese Dienste ein erhebliches Risiko dar. So ist es selten ersichtlich, in welchem Rechenzentrum beziehungsweise Rechtsgebiet die die Dateien landen. Der Nutzer weiß also letztlich nicht, welcher Gesetzgebung sein Dienstleister unterliegt und welchen Behörden dieser Einblick in die gespeicherten Daten geben muss. Verlässt der Mitarbeiter das Unternehmen oder besteht der Verdacht auf einen Missbrauch, gibt es bei der Datenablage in einer „Privatlösung“ kaum eine Handhabe. Vordefinierte und legale Audit-Prozesse, mit deren Hilfe die Daten im Unternehmen bleiben, greifen in diesem Fall nicht.

Aus gutem Grund ist der Begriff Patriot-Act bei deutschen Administratoren zum Reizwort geworden. Als große Player im Datensicherungsgeschäft verkündeten, dass sie auch ihre in EU-Rechenzentren gelagerten Daten den US-Behörden vorlegen müssen, veränderte dies den Umgang mit Unternehmensdaten grundsätzlich. Nachdem dann Anfang Oktober 2015 vom Europäischen Gerichtshof klargestellt wurde, dass das Safe-Harbor-Abkommen in der Praxis keinen Schutz bietet, zeigte sich dann einmal mehr, dass europäische Daten am besten in Europa aufgehoben sind.

Ein weiterer wichtiger Faktor, der gegen den lockeren Austausch per E-Mail oder Consumer-Filesharing-Dienst spricht, ist der damit verbundene Kontrollverlust. Schließlich wissen Unternehmen und IT-Abteilung häufig nicht, mit wem Mitarbeiter welche Dokumente teilen. In Branchen mit strengen gesetzlichen Anforderungen, also etwa im Gesundheitswesen, bei Telekommunikationsunternehmen oder im Sicherheitsbereich ist dies schon allein aus Compliance-Gründen undenkbar.

Enterprise File Sync and Share als Lösung

Die Lösung für diese Herausforderungen sind Enterprise File Sync and Share (EFSS)-Lösungen. Diese sind voll und ganz auf den Einsatz im Unternehmen vorbereitet und ermöglichen den Austausch mit wechselnden Teammitgliedern im Unternehmen und darüber hinaus. Dazu kümmert sich die Software ganz automatisch darum, dass Daten sicher und synchron auf allen Endgeräten abgelegt werden. Da nur die Links versendet werden, die eigentlichen Dokumente jedoch auf dem Server verweilen, bleibt der Datentraffic per E-Mail gering. Somit wird das Storage-System des Unternehmens nicht mit dutzenden, identischen Dateien belastet.

Bei der Auswahl eines passenden Systems gibt es jedoch einige Kriterien, die beachtet werden sollten: Es versteht sich von selbst, dass Sicherheitsaspekte bei EFSS-Lösungen an erster Stelle stehen müssen. Da jedoch auch das beste Sicherheitskonzept nur dann aufgeht, wenn es im Alltag genutzt wird, sollte die Software einfach und komfortabel zu bedienen sein. Deshalb sollte die EFSS keine Standalone-Lösung sein, sondern einen nahtlosen Workflow mit den gängigen Betriebssystemen ermöglichen. Dazu gehört auch, über Standard-APIs mit bestehenden Lösungen zusammenarbeiten zu können.

Wichtig ist außerdem, dass die Plattform nicht nur auf PC und Mac, iOS-, Android- und Windows-Devices funktioniert, sondern über HTML5 plattformunabhängig abrufbar ist. Von zentraler Bedeutung ist auch, was mit den Daten im Anschluss passieren darf. So sollte es mehrere Berechtigungsabstufungen geben, also etwa den Lesezugriff, die Erlaubnis zum Bearbeiten von Inhalten eines Ordners und die Ernennung als Co-Owner. Mit dieser Berechtigung ist es möglich, einen Ordner mit weiteren Nutzern zu teilen. Dabei besteht die Möglichkeit, diese Ordner oder Links per Zwei-Faktor-Authentifizierung zu schützen. Dazu wird eine SMS-PIN über das Handy verschickt.

Zu einer zeitgemäßen Lösung gehört auch, dass die Möglichkeit zur Versionierung besteht, damit alle Beteiligten nachvollziehen können, was der aktuelle Stand eines Dokuments ist und welchen Weg es genommen hat. Aus rechtlichen Gründen ist es außerdem in vielen Fällen nötig, genau zu wissen, welcher Nutzer die Daten verändert hat und welche Dokumente an welchen Adressaten verschickt wurden. Im Idealfall kann der Nutzer einfach Gruppen auswählen und zusammenstellen, an die er eine Datei übermitteln möchte. Moderne EFSS-Systeme gleichen die Berechtigungen automatisch mit den Unternehmensregeln ab.

Neben dem Betreiber der EFFS-Lösung soll häufig auch dem Administrator der Blick auf die Daten verwehrt bleiben. Gerade wenn es in den Dokumenten um sensible Sachverhalte geht, also etwa Übernahmen und Umstrukturierungen, müssen diese Informationen einem engen Kreis von Mitarbeitern vorbehalten sein. Eine weitere Anforderung, die auf technischer Ebene unter anderem durch eine konsequente Abschirmung erfüllt werden kann.

Sicherheit aus der Cloud – oder nicht?

Wie bei vielen modernen IT-Projekten sind auch EFSS-Lösungen in der Cloud oder als On-Premise-Anwendung denkbar. Dabei lagern bei der reinen Cloud-Variante sowohl die Daten selbst als auch die EFSS-Anwendung im Rechenzentrum eines Providers.

Bei der On-Premise-Variante dagegen bleiben die Daten im eigenen Rechenzentrum. Von dort aus werden die Devices versorgt. Insbesondere Unternehmen mit sehr strengen Sicherheitsvorgaben bevorzugen eine solche Architektur. Dafür muss natürlich gewährleistet sein, dass das Firmen-Datacenter nicht nur absolut sicher gestaltet ist, sondern dass auch genügend eigenes Know-how vorhanden ist, um den vielfältigen Sicherheitsbedrohungen gewachsen zu sein.

Darüber hinaus ist auch eine Hybrid-Variante denkbar. Bei dieser sind die Daten wie bei der On-Premise-Variante im eigenen Rechenzentrum abgelegt. Die Software für deren Verteilung läuft jedoch im Datacenter des Spezialisten.

Fazit

Wo Daten innerhalb eines Teams ausgetauscht werden müssen, darf ein EFSS nicht fehlen. Im Zusammenspiel mit einer Collaboration-Lösung macht diese den Austausch von Daten sicher. Damit dies reibungslos klappt, ist die Usability entscheidend. Nur wenn die Lösung selbsterklärend ist, wird sie im Alltag auch tatsächlich genutzt und bietet im Ergebnis das gewünschte Sicherheitsniveau. Andernfalls ist es für die Mitarbeiter wesentlich verlockender, doch zu einer Consumer-Lösung zu greifen.

Wie wohl jedes IT-System hat auch EFSS seine Grenzen. Wenn es um Anwendungsfälle mit hohen Prozessanforderungen oder Team-Collaboration mit gemeinsamen Ordnerstrukturen geht – also etwa die Kommunikation von Aufsichtsrat oder Vorstand, Due-Dilligence-Prozesse oder Lizenzverhandlungen im Biotech-Sektor – ist eine Datenraum-Lösung als Collaboration-Plattform die bessere Wahl. Diese bietet ein noch granulareres Rechtesystem mit einem gemeinsamen, zentral verwalteten Workspace und einem integrierten Dokumentenmanagement. Dazu gehören personalisierte, mit Wasserzeichen versehene Dokumente, die über das Adobe Digital Rights Management nach einer voreingestellten Zeit nicht mehr lesbar sind. Damit bietet eine solche Lösung über den Datenaustausch hinweg ein ganzes Bündel zusätzlicher Funktionen, die sich in die Prozesse der Anwender einfügen.

www.brainloop.de

Peter Brunner, ist Vice President Products bei der Brainloop AG, einem Lösungsanbieter für bereichsübergreifende Zusammenarbeit mit vertraulichen Informationen und Dokumenten in Unternehmen sowie mit externen Partnern. Zu den Kunden der Brainloop AG mit der Zentrale in München und Standorten in Österreich, der Schweiz, Frankreich und Großbritannien zählen zahlreiche mittelständische Unternehmen sowie die Mehrheit der DAX 30-Konzerne.