Autor – Christoph Volkmer, Regional Vice President DACH, Alfresco
Der NSA-Skandal lässt viele ratlos zurück. Spätestens seit bekannt wurde, dass auch der britische Geheimdienst mit seinem Programm Tempora nicht nur politische, sondern auch wirtschaftliche Interessen verfolgt, muss man sich fragen: Wie lassen sich wichtige Dokumente wirksam schützen? Denn wertvolles Know-how wird heute meist in elektronischen Dokumenten festgehalten. Wer an diese Aufzeichnungen gelangt, öffnet eine wahre Schatztruhe.
Am sichersten wäre es natürlich, Firmeninterna und Betriebsgeheimnisse erst gar nicht mit anderen zu teilen. In unserer arbeitsteiligen Welt ist dies aber nicht realistisch; besonders dann nicht, wenn man mit Geschäftspartnern in anderen Ländern kooperiert. Hart aber wahr: einen perfekten Schutz gibt es nicht. Unternehmen, die vertrauliche Dokumente wie beispielsweise Patente, schützen wollen, können dennoch einige sinnvolle und einfache Vorkehrungen treffen.
E-Mail: Standardweg für die Kommunikation
E-Mail ist der meistgenutzte Weg für das geschäftliche Information Sharing, gefolgt von Intranets, USB-Sticks und privaten Cloud-Diensten – dies ergab eine Umfrage des britischen Meinungsforschungsunternehmens Loudhouse im Auftrag von Alfresco. Die befragten Entscheidungsträger aus Europa, USA und Asien gaben zudem darüber Auskunft, anhand welcher Kriterien sie ein Medium auswählen, wenn sie Dateien mit Kunden, Partnern, Kollegen oder Lieferanten teilen.
Bild 1: Wie wurden Geschäftsdokumente in den letzten zwölf Monaten geteilt?
Als „entscheidend“ benannten 56 Prozent die Sicherheit, gefolgt von Geschwindigkeit/Effizienz mit 37 Prozent und Compliance-Vorgaben mit 36 Prozent. Dies zeigt: Vertraulichkeit genießt bei 56 Prozent Priorität. Man kann dieses Ergebnis aber auch anders lesen: Für 46 Prozent – also fast die Hälfte – gilt Sicherheit nicht als oberste Maxime. Unternehmen, die sichergehen wollen, dass ihre vertraulichen Dokumente nicht so offen übers Netz gehen wie eine Postkarte, müssen also zusätzliche Sicherheitsmaßnahmen ergreifen.
Bild 2: Entscheidungskritierien für den Austausch von Dokumenten
Dokumente schützen über Verschlüsselung, Authentifizierung und gesicherte Verbindungen
Vieldiskutiert war in den Monaten seit den Snowden-Enthüllungen das Thema Verschlüsselung. Und ohne Zweifel ist sie ein essenzieller Baustein jedes Sicherheitskonzepts, etwa für den Zugriff auf Webseiten. Im E-Mail-Verkehr verlangsamt Verschlüsselung jedoch die Kommunikation. Zudem ist sie als unternehmensübergreifendes Konzept nicht praktikabel, denn beide Partner benötigen das richtige Schlüsselpaar. Außerdem bringt E-Mail-Verschlüsselung zusätzlichen Arbeitsaufwand für das Einrichten und die Schlüsselverwaltung mit sich, sowie Zusatzkosten, deren Höhe nach oben hin offen ist.
Eine einfache Alternative zum Versand von Dokumenten im Anhang von E-Mails besteht darin, Dokumente mit einem ECM-System an zentraler Stelle zu speichern und nur den zuständigen Personen selektiv und kontrolliert Zugriff einzuräumen. Dabei besteht die Möglichkeit, Berechtigungen jederzeit wieder zu entziehen. Sollen Kollegen oder Geschäftspartner über ein neues Dokument oder eine neue Überarbeitung informiert werden, wird nur noch ein Link verschickt. Ein Klick darauf öffnet die Applikation beziehungsweise direkt das Dokument. Doch zuvor muss sich der Anwender identifizieren. Um dies für ihn so bequem wie möglich zu gestalten, sollte für die Authentifizierung – neben einer ausreichenden Passwort-Policy – eine Integration mit Active Directory für SAML Single Sign-on genutzt werden.
Nach dem authentifizierten Login bekommt der User nur diejenigen Dokumente zu Gesicht, für die ihm die Rechte eingeräumt wurden. Der Zugriff geschieht über eine gesicherte Verbindung, mittels https. Der Datenverkehr wird dabei mit einer 256 Bit SSL-Verschlüsselung übertragen. Zwar kursierten in den heißen Phasen der Snowden-Enthüllungen immer wieder Gerüchte, auch die https-Verschlüsselung sei „geknackt“. Bislang hat sich dieser Verdacht aber nicht erhärtet und so gilt SSL nach wie vor als sicherster Weg, ein Dokument aufzurufen.
Inhouse-Kommunikation über ECM-Systeme
Laut der oben zitierten Loudhouse-Studie verfügt ein durchschnittlicher Entscheider aus Deutschland über mehr als 3.700 Geschäftskontakte. Neben den Kollegen gehören dazu Dienstleister, Zulieferer, Partner und Kunden. Bei 35 Prozent, also mehr als jeder dritten E-Mail, die verschickt wird, befinden sich Sender und Adressat im selben Gebäude. Hier muss die Frage erlaubt sein, warum eine E-Mail nötig ist, um Dokumente im eigenen Haus zu teilen. Moderne Lösungen für Enterprise Content Management (ECM) bietet neben der Dokumentenverwaltung zudem die Möglichkeiten der „Online-Diskussion“ wie sie den Anwendern heute aus den Sozialen Netzwerken geläufig ist. Neben der höheren Sicherheit bieten ECM-Systeme noch einen weiteren Vorteil: Sie helfen, die ständig wachsende E-Mail-Flut etwas einzudämmen.
Zugegeben: Ebenso wie die Verschlüsselung verursacht auch die Einführung eines ECM-Systems Kosten. Diese werden aber durch erhöhte Produktivität wettgemacht. So zeigte eine Studie von Forrester, dass sich die Investition im Durchschnitt bereits innerhalb von 10 Monaten amortisiert. Grundvoraussetzung für die Akzeptanz ist aber, dass die User keinen Mehraufwand haben. Um die liebe Gewohnheit zu durchbrechen, muss die Arbeit mit dem ECM-System so einfach und schnell gehen wie mit E-Mails.
Zusammenarbeit mit externen Partnern „umgeht“ Security-Systeme
Aus diesen Erwägungen heraus erscheint es vielen IT-Verantwortlichen als sicherste Lösung, Dokumentensysteme selbst zu hosten. Ausgewählten „Externen“ wird dann der Zugriff via VPN ermöglicht. So hat man die volle Kontrolle über seine Dokumente und es kann nichts passieren – wenn das On-Premise-System fachgerecht vor Hackern geschützt ist. Dazu sind weitere, hochkomplexe und sehr leistungsstarke Systeme nötig, die das Eindringen fremder Späher erkennen oder vermeiden. Sie gehören unbedingt in Expertenhände. Wer sein sogenanntes Intrusion-Detection-/Intrusion-Prevention-System nicht richtig konfiguriert, es nicht laufend wartet und an neue Bedrohungen anpasst, öffnet Unbefugten erst recht Tür und Tor.
Doch selbst wenn sämtliche Security-Software professionell aufgesetzt und laufend gewartet wird, bringt ein derart abgeschottetes Repository ein Problem mit sich: Die dicken Schutzmauern sind komplett undurchlässig für die Zusammenarbeit mit Externen. Für interne Geschäftsprozesse sind sie zwar perfekt geeignet, aber wenn Consultants, Agenturen, Partner, Kunden eingebunden werden sollen, erweisen sie sich als Barriere. Als Folge greifen die Mitarbeiter wieder zur E-Mail – oder zum privaten Filesharing-Dienst a la Dropbox. Auch das zeigte die Loudhouse-Studie. So gut wie jeder dritte Befragte nutzte in den zurückliegenden 12 Monaten einen öffentlichen File-Sharing-Dienst wie etwa Dropbox für den Austausch geschäftlicher Dokumente. Dies bedeutet: Firmendateien kursieren unkontrolliert irgendwo in der Cloud. Und weil keine Synchronisation zwischen den verschiedenen Plattformen existiert, entstehen mehr und mehr „Dokumenten-Silos“. Den Kampf gegen Dropbox haben die meisten CIOs aufgegeben. Denn es zeigt sich: Verbote helfen hier nichts. Denn wenn es schnell gehen muss, geht Bequemlichkeit vor Policy.
Datenverschlüsselung für die Cloud
Dabei ist ein Cloud-Service nicht zwingend schlecht und unsicher. Einige Angebote wurden sogar gezielt für den geschäftlichen Gebrauch entwickelt. Wem die Sicherheit seiner Dokumente in der Cloud am Herzen liegt, sollte den jeweiligen Lösungsanbieter und dessen Hoster zuvor sehr genau unter die Lupe nehmen. Diese sollten in der EU ansässig und somit auch den Datenschutzbestimmungen der EU verpflichtet sein. Der Hoster sowie der Betreiber einer Cloud-Lösung sollten außerdem wichtige Sicherheitszertifkate vorweisen können, wie etwa die SOC2-Zertifizierung. Wenn die Daten in der Cloud verschlüsselt gespeichert sind und auch der Transfer und der Zugriff auf die Cloud-Inhalte verschlüsselt vonstatten gehen, kann dies bereits als solider Schutz gelten.
Über das Spähprogramm des britischen Geheimdiensts wurde bekannt, dass diese die abgehörten Informationen nicht ausschließlich für die innere Sicherheit nutzen, sondern auch zum Schutz eigener wirtschaftlicher Interessen einsetzen. Der Skandal deckte auf, dass Geheimdienste E-Mail-Provider und Cloud-Anbieter verpflichten, mit ihnen zu kooperieren. Diese müssen dann sogenannte „Backdoors“ einrichten, damit die Regierungsorganisationen Verschlüsselungen umgehen und die Kommunikation mitprotokollieren können. Solche „Hintertüren“ werden in vielen Systemen, auch namhafter Hersteller, vermutet. Die Suche nach diesen trieb bisweilen seltsame Blüten. So berichteten Ende September mehrere Medien, die Firma RSA hätte Entwickler vor der Verwendung der eigenen Software gewarnt.
Wem soll und kann man vor diesem Hintergrund also noch vertrauen? Sicherheitsexperten sehen aus diesem Dilemma lediglich einen Ausweg, nämlich Open Source. Denn Anwender der quelloffenen Systeme können sich auf eine zusätzliche und sehr verlässliche Kontrollinstanz stützen: Eine Vielzahl an Entwicklern arbeitet ständig an dem jedermann zugänglichen Quellcode. So werden Sicherheitslücken oder Schadcodes schnell entdeckt und zuverlässig geschlossen beziehungsweise gelöscht.
Risikoabschätzung für geschäftskritische Dokumente
Eines ist aber klar: Eine vertrauliche Firmeninformation, die so geschäftskritisch ist, dass sie für das Unternehmen einem Staatsgeheimnis gleich kommt, gehört nicht in die Cloud – egal wo und bei wem gehostet. Aber mal ehrlich: Wie viele solcher Dokumente gibt es in einem Unternehmen?
Eine Risikoanalyse bringt Klarheit – verbunden mit einer entsprechenden Klassifikation von Dokumenten und Geschäftsprozessen. Um das Risiko einzuschätzen, kann eine Frage hilfreich sein, die eigentlich aus dem Coaching kommt: „Was ist das Schlimmste, was passieren könnte“. Die Antworten darauf zeigen in der Regel schnell: Eine Vielzahl vertraulicher Daten ist zwar schützenswert, aber gleichzeitig auch nicht so unternehmenskritisch, dass sie nicht in einem gut gesicherten Cloud-Umfeld mit Partnerunternehmen oder Marketing-Agenturen geteilt werden könnte. Man sollte sich also von den vielen Diskussionen rund um den NSA-Skandal nicht kopfscheu machen lassen, sondern die Bemühungen verstärkt auf solche Dokumente und Akten konzentrieren, die echte Unternehmensgeheimnisse beinhalten. Dabei ist es unerlässlich, Mitarbeiter über die Risikoklassifizierung von Dokumenten zu unterrichten und entsprechend einzuschwören.
Dokumentenschutz auch auf mobilen Geräten
Neben E-Mails und der Cloud hat die Sicherheitsdiskussion noch einen weiteren kritischen Bereich im Visier: Smartphones und Tablets. Doch auch wenn sich der russische Geheimdienst laut Zeitungsmeldungen gerade mit mechanischen Schreibmaschinen der Marke Olympia eindeckt: Im täglichen Geschäftsleben ist es nicht möglich, die Uhren zurückzudrehen. Für Mobile Devices müssen und sollten daher dieselben Rahmenbedingungen gelten wie für „stationäre Geräte“, etwa eine verschlüsselte Speicherung der Daten und die Nutzung von SSL für den Zugriff auf Dateien. Ist dies gelebte Praxis, birgt die Nutzung eines Smartphones oder Tablet-PCs als Datenträger und Zugriffstool auf Dokumente und andere Inhalte kein erhöhtes Risiko mehr.
Für zusätzlichen Schutz und Bequemlichkeit sorgen zudem praktische Hilfen moderner ECM-Lösungen. Sie erlauben es, Dokumente mit einem „Ablaufdatum“ zu versehen. Das Dokument wird nach einer festgelegten Zeitspanne automatisch von dem mobilen Gerät gelöscht. So lässt sich vermeiden, dass Dokumente zu lange unverändert auf einem Device lagern, nicht mehr aktuell sind oder in falsche Hände geraten. Ein weiteres Sicherheitsnetz zieht die Möglichkeit eines Remote Wipe ein, wie ihn Mobile-Device-Management-Lösungen bieten. Dadurch wird ein Gerät per „Fernsteuerung“ auf den Werkszustand zurückgesetzt – alle persönlichen Daten und Einstellungen verschwinden fast im Handumdrehen.
Notfallplan zur Schadensbegrenzung
Wichtig für den Ernstfall: Ist das Smartphone oder der Tablet-PC tätsächlich weg, gilt es schnell zu handeln. Damit jeder Mitarbeiter sofort die korrekten Maßnahmen ergreift, muss ein Notfallplan existieren, mit dem jeder im Unternehmen vertraut ist. Genau wie beim Verlust der privaten Kreditkarte gilt auch hier: Ein Anruf an der richtigen Stelle ist der erste und wichtigste Schritt zur Schadensbegrenzung und zur Bewahrung wichtiger Betriebsdaten.
Unternehmen, die ihre Dokumentensicherheit verbessern wollen, sollten pragmatisch und konsequent ihren Handlungsbedarf durchleuchten. Die Lösung kann nicht sein, Cloud-Projekte auf zu Eis legen. Es geht eher um das „gewusst wie“ als darum, den Rückwärtsgang einzulegen.
Dokumentensicherheit – Die wichtigsten Tipps auf einen Blick:
1. Prozesse: Geschäftsprozesse durchleuchten und Risiken realistisch evaluieren
2. Mails: Limitieren von E-Mails – vertrauliche Dokumente nach Möglichkeit nicht als Attachments senden
3. Dokumente: Inhalte klassifizieren – je weniger Stufen umso besser
4. Mobile: Verschlüsselung von Dokumenten auf sämtlichen PCs und mobilen Devices, die für den Abruf von Dokumenten genutzt werden
5. Rechte: Dokumentenmanagement mit User-spezifischen Zugriffsrechten für interne und vor allem auch externe „Nutzer“, die die Dokumente bearbeiten oder auch nur lesen
6. Cloud: In der Cloud abgelegte Dokumente müssen dort verschlüsselt und redundant gespeichert werden. Auch die Datei-Übertragung muss ausschließlich über eine verschlüsselte Verbindung mit 256-Bit erfolgen. Die Einhaltung von EU-Datenschutz-Vorgaben ist dabei ein Muss und sollte vom Anbieter einer Cloud-Lösung bestätigt werden.
7. Policies: Verbote helfen nicht: Statt „Geboten“ muss die IT-Abteilung benutzerfreundliche Lösungen anbieten.
8. Notfallplan: für Datenverlust ausgearbeitet und an Mitarbeiter kommuniziert
www.alfresco.de
Christoph Volkmer, Regional Vice President DACH, Alfresco. Mit Alfresco können Teams ihre geschäftlichen Inhalte über eine einzige Plattform im Unternehmen, in der Cloud oder auf mobilen Endgeräten teilen, speichern und verwalten. Über sieben Millionen Anwender in über 180 Ländern nutzen Alfresco, um mit anderen zusammenzuarbeiten. Das 2005 gegründete Unternehmen hat seinen Hauptsitz in Maidenhead bei London, die US-Zentrale befindet sich in San Mateo.
