«Sharing means caring»
Frei zugängliche File-Sharing-Webdienste mögen mit ihrem Angebot verlockend sein, grosse Dateien rasch und unkompliziert auszutauschen. Doch wenn es um sensible Unternehmensdaten geht, haben die – meist kostenlosen – Anwendungen so ihre Tücken. Eine sichere Lösung zeichnet sich durch einige wesentliche Funktionalitäten aus.
Unternehmen erstellen, speichern und teilen laufend Dokumente mit unterschiedlichen Vertraulichkeitsstufen – Dateien mit Kundendaten, Produkteinführungsplänen, Wettbewerbsanalysen oder Umsatzprognosen. Doch die Mitarbeitenden sitzen häufig nicht mehr Tür an Tür, sondern in der Schweiz, in Tschechien oder Spanien. Oder sie sind unterwegs, als mobile Vertriebsmannschaft oder im Kundendienst vor Ort. Auf die Kundenlisten, Verträge oder Preiskalkulationen müssen sie oftmals dennoch zugreifen können.
Zudem werden die Daten, die ausgetauscht, geteilt und gemeinsam bearbeitet werden müssen, immer komplexer und die Datenanhänge voluminöser. Auch der Kreis der Nutzer wird umfangreicher. Die Konstrukteure eines Ingenieurbüros beispielsweise müssen komplexe CAD-Dateien für eine Fertigungsanlage mit ihrem Kunden austauschen, der sie wiederum für OEMs, Lieferanten oder weitere Produktionspartner freigeben muss. Dateianhänge von über 50 Gigabyte müssen dabei ebenso unkompliziert und sicher «geshared » werden können wie ihre Compliance- und IT-konforme Freigabe gewährleistet sein muss.
Studien gehen davon aus, dass 80 Prozent der Mitarbeitenden in globalen Unternehmen ausserhalb des Büros auf Dokumente zugreifen müssen. 66 Prozent von ihnen nutzen hierfür kostenlose File-Sharing-Tools. Und die Hälfte davon informiert darüber nicht einmal die interne IT-Abteilung. Doch der freie Datenaustausch birgt Tücken und stellt hohe Anforderungen an die Netzwerke und an die Sicherheit. Zudem verstossen die Mitarbeitenden womöglich wissentlich oder unwissentlich gegen Richtlinien der IT- und Datencompliance. Denn etliche wesentliche Punkte müssen gewährleistet sein, damit das Datenmanagement sicher und zuverlässig sowohl intern als auch über Unternehmensgrenzen hinweg abgewickelt werden kann.
Verschlüsselung für sicheren Datenaustausch
Ein sicheres Datensharing verschlüsselt und speichert praktisch jede Datei jeder Grösse; es gibt Tools, mit denen dies unkompliziert per Drag-and-Drop- Technik erledigt werden kann. Die Daten werden vorteilhafterweise an der Quelle – also direkt auf dem Gerät des Nutzers oder im Browser – verschlüsselt und sind für die gesamte Lebensdauer der Datei geschützt, sowohl stationär als auch mobil. Eine Browserintegrierte Verschlüsselung darf allerdings die User Experience nicht behindern und muss auch alle gängigen Browser unterstützen.
Jedes Datenobjekt sollte mit einem starken und eindeutigen AES-256- Schlüssel verschlüsselt werden. Der Advanced Encryption Standard gilt derzeit noch als weitestgehend «unknackbar », wenn auch immer nur ein kryptografischer Schlüssel pro Datei vergeben wird. Und der Schlüssel darf in der Tat dann auch jeweils nur einmal pro Datei funktionieren. Zudem sollten die Daten in dem Moment verschlüsselt werden, in dem sie hochgeladen werden, und sie sollten auch beim Transport von Ende zu Ende und in allen Applikationen verschlüsselt bleiben, unabhängig davon, wie sie übertragen und wo sie gespeichert werden. Entschlüsselt werden sie erst, wenn sie beim angegebenen Empfänger angekommen sind. Wird eine Anforderung zur Entschlüsselung eines gesicherten Datenobjekts gesendet, so muss das File-Sharing-Tool jedes Mal eine Zugriffsprüfung durchführen und die Identität des Empfängers positiv verifizieren, damit er auf das Datenelement zugreifen kann.
Als «schreibgeschützt» definierte Daten sollten nicht weitergeleitet oder für weitere Nutzer freigegeben respektive heruntergeladen werden können. Doch Einschränkungen sollten möglich sein, indem etwa der «Besitzer» einer Datei den Zugriff auf fixe Personenkreise limitieren, «nur lesen» gestatten oder zeitliche Verfügbarkeiten festlegen kann. Zugriffsberechtigungen sollten auch wieder entzogen werden können. Eine Widerrufsmöglichkeit stellt sicher, dass auf Dateien nicht mehr zugegriffen werden kann, selbst wenn sie freigegeben worden sind.
Architektur und zusätzliche Sicherheit
Während für den privaten Austausch oftmals ein unkompliziertes kostenloses Tool seinen Zweck erfüllt, macht es für ein Unternehmen Sinn, eine skalierbare Lösung zu evaluieren, die nach Bedarf und aus der Cloud bezogen werden kann. Auch die Mandantenfähigkeit einer solchen Lösung bedarf einer genaueren Prüfung. Mit einem Multi-Tenant-Konzept können schnell, unkompliziert und kostengünstig zusätzliche Unternehmen (bzw. Teile davon) oder Partner und Kunden eingebunden werden.
Zudem ist durch eine Multi-Tenant- Architektur gewährleistet, dass alle Benutzer jegliche Updates oder Erweiterungen gleichzeitig und automatisch erhalten. Ein Vorteil ergibt sich daraus, dass jegliche administrative Aufgaben beim Betreiber der Plattform liegen. Die Nutzung der gleichen physischen Instanz bedeutet jedoch nicht, dass alle Benutzer Zugriff auf alle Daten der anderen Benutzer haben. Hieraus erfolgt eine sichere und geschützte Trennung in verschiedene Datenbereiche. Zusätzliche Sicherheit können Watermarks und Fingerprints schaffen. Damit lassen sich die Dateien eindeutig kennzeichnen und lückenlos zurückverfolgen. Dieses Feature bietet Schutz für Bereiche, in denen höchst vertrauliche und sensible Daten verwendet werden.
Datenhoheit und administrative Kontrolle
Wichtig ist, beim Einsatz einer File- Sharing-Lösung abzuchecken, ob man als Unternehmen selbst bestimmen kann, wo die kryptografischen Schlüssel abgelegt werden: vor Ort, in der Cloud oder in einem vertrauenswürdigen Rechenzentrum, das vom Unternehmen selbst gewählt wird. Es klingt banal, sollte aber doch erwähnt werden: Schlüssel und Daten müssen natürlich getrennt gespeichert werden. Darüber hinaus sollte die Datenspeicherung im Einklang mit den Unternehmensrichtlinien erfolgen. Noch wichtiger ist, dass das Unternehmen auch die volle Kontrolle darüber hat, wo die Daten gespeichert werden. Das ist insbesondere im Falle von vertraulichen Daten oder für bestimmte Branchen, wie beispielsweise Banken, ein wesentliches Kriterium.
Last but not least zeichnet sich eine gute Lösung auch durch ihr Funktionsspektrum an Kontrollen und Informationsmanagement aus. Können Nutzer, Dateien und Berechtigungen möglichst detailliert administriert werden? Werden alle Devices, unabhängig vom Hersteller und Betriebssystem und egal ob Firmen- oder Privatgerät, unterstützt? Können Unternehmens-Directories mit Whitelisting von E-Mail-Domains und individuelles Branding integriert werden? Wie international ist das Tool und welche Sprachen deckt es ab? Auch eine Integration in bestehende Plattformen im Unternehmen, wie etwa Share- Point, sollte problemlos möglich sein.
So behalten Unternehmen die volle Hoheit über ihre Daten und über deren Sicherheit, wenn diese ausgetauscht werden. Zentrale Bausteine für sicheres File-Sharing wie Identitätssicherung, Echtzeit-Kontrolle und Verschlüsselung sind so gewährleistet, ohne dass Mitarbeitende ihren Workflow umständlich umstellen müssten. Denn ist die Nutzerakzeptanz hoch, wird auch die IT-Abteilung nicht umgangen, um vermeintlich bequemere, aber wesentlich unsicherere Lösungen eigenmächtig einzusetzen.
Thomas Williams
Portfolio Manager, T-Systems Schweiz