Das Dropbox-Problem: Cloud-Dienste und ihre Risiken für Unternehmen (Teil 2)

7. April 2014 | Erstellt von Benjamin Schäfer in Fachartikel

Im ersten Teil dieser Artikel-Serie haben wir Ihnen bereits einige Probleme in Zusammenhang mit Cloud-Lösungen geschildert. Erfahren Sie in diesem Teil mehr über die möglichen Problemstellungen und wie Sie die Risiken in Ihrem Unternehmen minimieren können.

Sicherheitslücken im Dienst

offenes schlossWeil Menschen Fehler machen, gibt es auch keine gänzlich fehlerfreie Software. In manchen Fällen können Softwarefehler allerdings zu ernstzunehmenden Sicherheitslücken führen. Im Fall von Skype – obwohl kein File-Sharing-Cloud-Dienst im engeren Sinne – kam es zum Beispiel vor, dass private Nachrichten an falsche Empfänger gesendet wurden. Bereits hier kann das unangenehme Folgen haben. Stellt man sich denselben Fehler allerdings innerhalb eines Cloud-Dienstes vor, wo es eventuell um noch vertraulichere Daten und interne Firmendokumente geht, sind die Auswirkungen umso katastrophaler.

Auch wenn Cloud-Anbieter Sicherheit der Daten einen sehr hohen Stellenwert geben, lassen sich Sicherheitslücken nie gänzlich ausschließen. Man sollte deshalb immer im Hinterkopf behalten, dass solche oder ähnliche Fälle durchaus auch im eigenen Fall eintreten können.

Davon abgesehen sollte Skype überhaupt nicht zum Austausch sensibler Daten verwendet werden, da bereits bekannt ist, dass Microsoft gerne mitliest.

Andere Länder, andere Datenschutzbestimmungen

Allerdings gilt nicht jeder Fall, wo Ihre in der Cloud gespeicherten Daten vorerst auch ohne Ihr Wissen in weitere Hände gelangen, als Sicherheitslücke, denn unter Umständen geschieht das völlig legal. Die gültigen Datenschutzbedingungen hängen nämlich vom Land ab, in dem der Cloud-Anbieter angesiedelt ist und unterscheiden sich mitunter stark von den deutschen, die zu den striktesten der Welt gehören.

Gerade die großen Cloud-Anbieter (Google, Dropbox, Apple, Microsoft, Amazon, etc.) kommen alle aus den Vereinigten Staaten und unterliegen den dortigen Datenschutzbestimmungen. Die sehen allerdings vor, dass die Daten auch jederzeit von nationalen Sicherheitsbehörden (wie FBI, CIA und NSA) zugänglich sind, selbst ohne richterliche Anordnung. Gänzlich geklärt ist die rechtliche Lage in dieser Frage trotz „Safe-Harbor-Abkommen“ allerdings noch nicht. Laut einem Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein würden in der EU angesiedelte Unternehmen, die einen amerikanischen Cloud-Dienst verwenden, das europäische Datenschutzgesetz brechen.

Möglicher Zugriff durch Unbefugte

Will man über einen Cloud-Dienst Dateien mit anderen teilen (einer der Hauptgründe, warum solche Dienste genutzt werden), setzt das in der Regel voraus, dass die Empfänger ein Benutzerkonto beim selben Cloud-Dienst haben.

Ist dies nicht der Fall, gibt es teils auch die Möglichkeit, Dokumente per Link zu teilen. Dabei bekommt der Empfänger normalerweise eine Email mit einem kryptisch-aussehenden Link, durch den er Zugriff auf die Datei bekommt. Das ist an sich ein tolles Feature, hat allerdings einen großen Nachteil: Theoretisch ist die Datei jetzt frei im Netz verfügbar und jeder könnte darauf zugreifen. Natürlich sind die Links immer so kompliziert, dass keiner sie einfach so eingeben würde. Trotzdem ließen sie sich durch Crawler finden.

Auch versehentlich kann diese Funktion aktiviert worden sein, denn teils macht nur ein leicht zu übersehendes Häkchen einen großen Unterschied. Auf Dauer ist es auch nicht immer einfach, den Überblick zu behalten, welche Dateien wie und mit wem geteilt wurden.

Generell birgt es immer ein gewisses Risiko, Dokumente in die Cloud und damit ins Internet zu stellen. Angriffe durch Hacker und Passwortklau sind zum Glück zwar äußerst selten, im Fall der Fälle allerdings sehr unangenehme Angelegenheiten.

So lassen sich Risiken minimieren

Cloud ist nicht gleich Cloud. Risiken lassen sich minimieren, Sicherheit steigern. Es gibt Lösungen, die weithin die Vorteile der großen Cloud-Dienste bieten und dennoch manche negative Seiten ausmerzen. Damit lässt sich eine Lösung finden, die zum eigenen Unternehmen passt und besonders kritische Risiken vermeidet:

Möchte man unabhängig sein von Dritten bzw. der Verfügbarkeit ihrer Dienste, empfiehlt sich „On Premise“-Software. Denn anders als die „Software as a Service“-Lösungen der großen Cloud-Anbieter kann die Cloud bei „On Premise“ selbst betrieben werden. Unsicherheiten bei der Laufzeit des Cloud-Dienstes oder der Uptime erspart man sich hier. Selbst im Fall von notwendigen Wartungsarbeiten kann man sie selbst planen und unterliegt nicht den Entscheidungen eines anderen Unternehmens.

serverDie Lösungen aller großen Cloud-Anbieter sind sogenannte „public Cloud“-Produkte. Hochgeladene Dokumente sind dann mit einem berechtigten Benutzerkonto von überall aus verfügbar. Das schafft eine hohe Mobilität und Flexibilität und erleichtert auch die Anbindung Externer. Ist Ihnen die mobile Verfügbarkeit ihrer Firmendaten allerdings nicht so wichtig, oder gefällt Ihnen nicht, dass sie von überall aus verfügbar sind, eignen sich sogenannte „private Cloud“-Lösungen. Sie bieten alle Funktionen eines normalen Cloud-Dienstes, sind allerdings nur innerhalb des Firmennetzwerks verfügbar. Die Daten liegen auf der eigenen Hardware und nichts verlässt die eigenen vier Wände (wo Daten in der Regel immer am sichersten sind).

Aber auch wenn es eine Public Cloud sein soll, empfiehlt sich Hosting innerhalb Deutschland (im besten Fall sogar auf der eigenen Hardware), denn auf deutschen Servern gilt das deutsche Datenschutzgesetz. Laut Cloud Monitor 2013 zählt deutsches Hosting zu den Top-3-Anforderungen deutscher Unternehmen an Cloud-Lösungen – und das nicht zu unrecht.

Teilen von Dokumenten innerhalb eines Unternehmens sollte niemals über Public-Links geschehen, sondern immer über die interne Funktion zwischen Benutzern des Cloud-Dienstes, damit keine Unbefugten Zugriff auf vertrauliche Firmendaten bekommen.

Ob man die eigenen Angestellten gänzlich davon abbringen kann, Privataccounts zu verwenden, ist fraglich. Der Mensch ist ein Gewohnheitstier und bevorzugt Dinge, die er kennt. Hier kann man nur durch die Anschaffung einer vergleichbar leicht bedienbaren Cloud-Lösung Abhilfe schaffen, und durch ständige Ermutigung zur Nutzung der vorgesehenen Mittel. Andere Cloud-Dienste zu blockieren ist ein Fass ohne Boden und Internetzensur sorgt auch nicht immer für die beste Firmenatmosphäre.

Letzten Endes muss man sich darüber im Klaren sein, was man teilt und was nicht. Besonders wichtige und vertrauliche Daten sollte man besser außerhalb der Cloud lassen, besonders aus „public Clouds“. Wie sicher oder risikoreich der Einsatz einer Cloud-Lösung ist, hängt zum Großteil von den Nutzern selbst ab.

Fazit

Cloud-Dienste haben in Punkto Sicherheit in Deutschland nicht immer den besten Ruf, allerdings sind sie hilfreiche Werkzeuge, die sich zu einem Großteil in der Unternehmenswelt eingegliedert haben und eigentlich nicht mehr wegzudenken sind. Dabei gibt es Möglichkeiten, die Vorteile der Cloud genießen zu können, ohne Abstriche in Sicherheit und Komfortabilität machen zu müssen.

Rewoo Scope erhalten Sie nach Wahl als „On Premise“ oder „SaaS“ und lässt sich sowohl als „Private Cloud“ als auch als „Public Cloud“ einsetzen. Die Lösung kann auf deutschen Servern oder Ihrer eigenen Hardware betrieben werden und unterliegt damit den Standards des deutschen Datenschutzgesetzes. Rewoo Scope bietet die Einfachheit gängiger Cloud-Dienste, als ECM-System aber auch viele weitere Funktionen, die den Arbeitsalltag im Büro erleichtern. Erfahren Sie mehr…

Benjamin Schäfer

Benjamin Schäfer

Leidenschaftlicher Kaffee-Trinker und Software-Tester bei REWOO Technologies AG

Twitter Google+ 

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

One Response

Kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.