108x92_business_blog_logo_speechbubble.png

Sicherer Datenaustausch mit Kunden und Partnern

Autor Michael Veronese am 2.2.2016

In IT Sicherheit

Seit dem Boom der Cloud haben auch Online-Speicher zur Sicherung und zum Austausch von Daten Hochkonjunktur. Entsprechende Dienste sollen nach Expertenmeinung in den kommenden beiden Jahren um knapp 25 Prozent pro Jahr wachsen. Mittlerweile gibt es über hundert Angebote an Diensten zum Datenaustausch, die im Grunde dem bekanntesten von allen, Dropbox, nachempfunden sind.

Laut einer Umfrage in den USA ist Dropbox in Unternehmen die beliebteste Cloud-Speicherlösung zum Synchronisieren und Teilen von Daten. Dropbox wurde dabei von über 40 Prozent der Unternehmen genannt, Microsoft OneDrive von mehr als 25 Prozent und Google Drive von mehr als 20 Prozent. Der Grund dafür ist recht simpel: Diese Hersteller-Clouds werden oft mit entsprechenden Geräten oder Programmen mitgeliefert. Viele Unternehmen lassen ihre Mitarbeiter einfach gewähren und schränken die Verwendung dieser Speicher-Lösungen wenig bis gar nicht ein.

In diesem Artikel erfahren Sie worauf Sie beim sicheren Datenaustausch mit Kunden und Partnern achten müssen.

Das muss ein Datenspeicher können

Dass dieser Weg vor allem hinsichtlich der Security ein russisches Roulette ist, liegt auf der Hand. Ein Unternehmen muss sich zuallererst überlegen, welche Funktionalitäten der Speicherdienst haben soll. Die Kosten stehen hier weniger im Mittelpunkt, da sie bei allen Anbietern ungefähr gleich sind und durch den Cloud-Betrieb für Unternehmen ohnehin kaum ins Gewicht fallen.

Kostenloses Whitepaper - Was Sie als Chef über IT Sicherheit wissen sollten - jetzt herunterladen

Diese Kriterien sollte ein Speicherdienst für den sicheren internen und externen Datenaustausch bieten:

  • Skalierbarer Speicherplatz
  • Verschlüsselung und idealerweise Zwei-Stufen-Authentifizierung
  • Keine Einsicht in die Daten seitens des Cloud-Anbieters
  • Leichte Bedienung und schnelle Ladezeiten
  • Einfacher Zugriff auch mobil
  • Kontrolle über Zugriffsbeschränkungen
  • Unterschiedliche Bearbeitungs-Stufen
  • Nachweisbarkeit von Zugriffen
  • Wiederherstellung von Daten bzw. Datei-Historie
  • Europäischer Server-Standort, da der Anbieter dann auch den EU-Gesetzen unterliegt
  • Möglichkeit, auch große Daten zu verschicken (mindestens ein Gigabyte)

Der Speicherdienst von T-Mobile, Evernote, erfüllt beispielsweise all diese kritischen Faktoren und ist daher vor allem als Cloud-Service zum Speichern von Notizen zu empfehlen.

Schritt für Schritt zur passenden Datentransfer-Lösung

Unternehmen sollten bei der Einführung eines eigenen Online-Speichers verschiedene Punkte berücksichtigen. Das sind die wichtigsten Schritte bei der Auswahl eines Online-Speichers, um schlussendlich sicheren Datenaustausch zu gewährleisten:

  • Frühzeitige Einbindung der Mitarbeiter: Viele Mitarbeiter nutzen als Privatpersonen schon Cloud-Speicher. Wenn sich die Funktionalität und Bedienung ähnelt, erhöht sich auch die Akzeptanz.
  • Fokus bestimmen: In diesem Schritt müssen Unternehmen entscheiden, ob es Ihnen in erster Line um die Speichermöglichkeit geht oder vielmehr um die Collaboration-Möglichkeiten und die Verwaltbarkeit des Dienstes.
  • Auswahl der Datentransfer-Lösung: In diesem Schritt sollten einerseits die Bedienoberflächen und bereitgestellten Funktionen der Lösungen verglichen werden, andererseits die im Unternehmen zu erwartenden Anwendungsszenarien und einzuhaltenden Sicherheitsrichtlinien. Es ist zu berücksichtigen, wo die Daten gespeichert sind und wie der Zugriff geregelt ist.
  • Pilotversuch als Zweitlösung: Die ausgewählte Speicherlösung sollte zuerst im Parallelbetrieb laufen. Nur wenn die Mitarbeiter das neue System auch wirklich annehmen und ein deutlicher Mehrwert zur bestehenden Datentransfer-Lösung besteht, lohnt sich auch ein Wechsel.

Die meisten Datentransfer-Lösungen werden über die Public Cloud angeboten. Dazu zählen zum Beispiel die Basisvariante von Dropbox sowie Amazon Cloud Drive, SugarSync oder HiDrive. Bei diesen Diensten gibt es in der Regel keine Informationen des Anbieters, wo die Daten gespeichert werden. Da die meisten Dienste von US-amerikanischen Betreibern angeboten werden, unterliegen sie dem Patriot Act.

Der Patriot Act ist allerdings mit vielen Compliance-Richtlinien europäischer Unternehmen nicht vereinbar. Für den sicheren Datentransfer sollten Unternehmen deshalb nur in Ausnahmefällen auf eine Public-Cloud-Lösung setzen. Unsensible Daten wie Marketing-Materialien oder Produktinformationen können mit Diensten wie Dropbox natürlich gespeichert und ausgetauscht werden.

Maximaler Schutz im eigenen Rechenzentrum

Um eine maximale Sicherheit beim sicheren Datenaustausch zu gewährleisten, setzen Unternehmen vermehrt auf Speicherdienste im eigenen Rechenzentrum. Diese sogenannten Secure File Shares lassen sich zum Beispiel mit strengen Identifizierungs- und Authentisierungsmethoden über Zwei-Faktor-Authentifizierung mit komplexen Passwörtern nutzen. Zudem sind ein umfassendes Rechte-Management sowie aktuelle Verschlüsselungsmethoden auf Dateiebene vergleichsweise einfach einzurichten.

Der Zugangsschlüssel kann dabei zentral im Rechenzentrum oder auf allen zugreifenden Geräten liegen. Anbieter solcher On-Premise-Lösungen wie Varonis, Brainloop oder SSP Europe bieten ein Secure Gateway an. Dabei werden etwa die Dateizugriffe überwacht sowie die Daten nach Sicherheitsstufen klassifiziert.

Was Sie über das Safe-Harbor-Urteil wissen sollten

Wenn Daten zwischen unterschiedlichen Unternehmen in verschiedenen Ländern getauscht werden sollen, kommen viele Unternehmen nicht umhin, eine Cloud-Lösung einzusetzen. Seit Oktober 2015 müssen Unternehmen ein zusätzliches Kriterium beachten: Das Safe Harbor-Urteil. Die als Safe Harbor bekannte Vereinbarung besagt, dass personenbezogene Informationen in andere Länder übermittelt werden dürfen, wenn diese Länder ein „angemessenes Schutzniveau“ garantieren.

Der Europäische Gerichtshof hat aber entschieden, dass die EU-Kommission im Jahr 2000 mit dem Safe-Harbor-Abkommen ihre Kompetenz überschritten hat. Die Richtlinie ist nunmehr ungültig. Jedes Unternehmen im In- und Ausland, das personenbezogene Daten im Netz erhebt, speichert und verarbeitet, könnte von der Safe-Harbor-Entscheidung betroffen sein.

Jeder Transfer personenbezogener Daten unterliegt nun den nationalen datenschutzrechtlichen Vorgaben. Wenn die erhobenen oder gespeicherten Daten in irgendeiner Art und Weise mit den USA in Berührung kommen, sollten also Unternehmen ihre Allgemeinen Geschäftsbedingungen, Datenschutzerklärungen und Übermittlungsprozesse dringend anwaltlich prüfen und überarbeiten lassen.

Fazit: sicherer Datenaustausch

Wenn ein Unternehmen keine sensiblen Daten speichert oder austauscht, gibt es eine Vielzahl von Diensten wie Dropbox, die sich im Preis und der Funktionalität kaum unterscheiden. Da dies jedoch nur in Ausnahmefällen zutrifft, müssen Unternehmen sehr genau darauf achten, auf welchen Servern in welchen Ländern die Daten gespeichert sind.

Verstöße gegen das Datenschutzrecht können mit Pönalen von bis zu 50.000 Euro geahndet werden. Die Datentransfer-Lösung muss in jedem Fall für alle Mitarbeiter verbindlich sein, eine sogenannte Schatten-IT ist bei Cloud-Speicherdiensten eine sehr gefährliche Sache.

Holen Sie sich jetzt dieses Whitepaper:

cta whitepaper datenschutz