Gesetzliche Richtlinien und Sicherheitsbedenken erschweren die Wahl[Gesponsert]

Drei Faktoren für die Auswahl einer Enterprise Filesharing Lösung

Wenn Datenaustausch und Kollaboration von Unternehmen im öffentlichen Raum stattfinden, sind sichere Zugriffsmethoden unverzichtbar.
Wenn Datenaustausch und Kollaboration von Unternehmen im öffentlichen Raum stattfinden, sind sichere Zugriffsmethoden unverzichtbar. (Bild: mast3r - stock.adobe.com)

Die Wahl des richtigen EFSS-Verkäufers ist nicht einfach. Halten Sie sich an ihre Gesetzlichen Bedürfnisse und suchen Sie sich einen Lieferanten mit gutem Entwicklungsstand und starken Sicherheitskenntnissen – so landen Sie nicht auf der Liste von Unternehmen die von Data Leaks betroffen sind.

Der steigende Bedarf an Diensten, die Dateiaustausch und Zusammenarbeit vereinen, ist ein Grund, aus dem Unternehmen zunehmend cloudbasierte Enterprise File Sync & Storage (EFSS) Lösungen nutzen, um Daten sowohl in der eigenen Organisation als auch über Unternehmensgrenzen hinweg zu erstellen, zu verwalten und zu teilen.

Zu den bekannten EFSS-Anbietern gehören Google Drive, Microsoft OneDrive und Dropbox. EFSS als Dienstleistung zu nutzen ist zwar bequem, birgt jedoch auch Risiken. Privatsphäre und Sicherheit von sensiblen Informationen zu schützen ist zunehmend eine Herausforderung, vor allem im Hinblick auf die Datenschutz-Grundverordnung (GDPR), die 2018 in Europa in Kraft treten wird. Angriffe von Verschlüsselungstrojanern und gezielte Cyberattacken auf Organisationen sind durch Vernetzung und unsichere Systeme massiv auf dem Vormarsch. Ereignisse wie Brexit oder die Unsicherheit rund um den Privacy Shield Datenaustausch stellen ein rechtliches Risiko für Datenschutzbeauftragte und IT-Systemadministration dar, die gewährleisten müssen, dass sensible oder personenbezogene Daten nur in bestimmten Ländern gespeichert werden dürfen.

Wir zeigen drei Faktoren auf, die bei der Auswahl einer EFSS-Lösung zu beachten sind.

Rechtsfragen

Wenn Sie sich bei einem Dienst registrieren, wem gehören Ihre Daten? Sobald Ihre Wahl auf eine gehostete Lösung fällt, müssen Sie Geschäftsbedingungen akzeptieren. Der Anbieter hat ggf. Zugang zu Ihren Daten und kann sogar den Zugriff auf Ihre eigenen Daten sperren. Anbieter können gezwungen werden, Ihre Daten mit Regierungen zu teilen. Verträge des Anbieters können zudem verhindern, dass Sie von fremdem Zugriff auf Ihre Daten erfahren. Ebenso sind die Daten Ihrer Partner und Kunden einem Risiko ausgesetzt. Sie müssen dafür sorgen, dass Sie auf aktuelle und zukünftige Bestimmungen reagieren können, da die Migration zu einer anderen Lösung meist weder einfach noch kostengünstig ist. Um diesen Schwierigkeiten aus dem Weg zu gehen, sollten Sie Ihre Daten entweder in Ihrem eigenen Datenzentrum oder bei einem vertrauenswürdigen Server-Provider in Ihrem Land speichern.

Folgende Punkte sollten Sie überprüfen:

  • Welche sensiblen Daten könnten verarbeitet werden und wo werden sie momentan gespeichert?
  • Stellen Sie sicher, dass die ausgewählte Lösung es Ihnen und Ihren Mitarbeitern ermöglicht, unter Berücksichtigung der örtlichen Bestimmungen zu handeln.
  • Vergewissern Sie sich, ob Prozesse im Gange sind, die Ihre Privatsphäre schützen.

Sicherheit

Wann wurden Sie das letzte Mal von Ihrem Anbieter über ein Datenleck informiert? Wahrscheinlich noch nie. Bei Dropbox gab es im Jahr 2012 eine große Datenpanne, welche erst 2016 öffentlich bekannt wurde. Realistisch betrachtet ist keine Software immun gegen Bugs und Sicherheitslücken. Wenn Sie eine EFSS-Lösung als Dienst nutzen, können Sie in der Regel nicht darauf vertrauen, dass Sie über Datenpannen informiert werden oder zeitnah Softwareaktualisierungen erhalten.

Auch selbst gehostete Lösungen bergen ein Risiko: Anbieter verhalten sich oft feindselig gegenüber Sicherheitsexperten, die Schwachstellen melden. Viele Unternehmen investieren ungern in Aktionen, die nicht direkt medienwirksam sind.

Einige Faktoren, die Sie berücksichtigen sollten:

  • Entwickelt der Anbieter seine Software auf sichere Art und Weise? Ein transparenter Vorgang, der die Überprüfung neuer Designs und Codes sowie die Verwendung von Penetrationstest-Tools beinhaltet, ist essenziell, um Softwarefehler zu vermeiden und zu erkennen.
  • Wurden die Prozesse von einer unabhängigen Partei verifiziert? Es lohnt sich, Zertifizierungen zu erfragen und herauszufinden zu welchen Schlussfolgerungen die zertifizierende Institution gelangt ist.
  • Gibt es ein öffentliches Bug-Bounty-Programm mit entsprechenden Prämien? Auf Sicherheitsplattformen wie HackerOne gibt es die einfache Möglichkeit, Statistiken über Reaktionszeit und geleistete (Prämien-) Zahlungen abzurufen. Daran können Sie sehen, wie viel Wert der Anbieter auf Sicherheit legt.
  • Wie ist die Erfolgsbilanz bei der Behebung von Sicherheitsproblemen? Sicherheitslücken werden selten stark beworben, aber oft finden sich Berichte von unabhängigen Parteien, in welchen sie gegebenenfalls darauf hinweisen, dass gemeldeten Schwachstellen nicht ernst genommen wurden. Manche Fälle werden auch in Sicherheitslisten erwähnt oder diskutiert, z.B. in der bekannten Full Disclosure Liste. Eine Recherche in Archiven kann sich wirklich lohnen.

Und ein letzter Punkt: Verschlüsselung ist großartig. Moderne Verschlüsselungsverfahren sind als primärer Angriffsvektor eher die Ausnahme. Oftmals wird stattdessen die Verschlüsselung umgangen. Integrierte, prinzipiell funktionierende Schutzmechanismen, beispielsweise von Amazon Kindle und Samsung Galaxy, wurden einfach umgangen, indem der Schlüssel ersetzt oder der Signaturprüfcode entfernt wurde. Schlechte Entwicklungspraktiken und fehlende Sicherheitsüberprüfungen können nicht durch Verschlüsselung allein behoben werden.

Dazu ein Zitat von Drew Gross, forensischer Wissenschaftler:

“Ich liebe Verschlüsselung, sie zeigt mir genau, welchen Teil des Systems es sich nicht lohnt anzugreifen.”

Für alle die Sicherheit groß schreiben wollen, ist ein gut dokumentierter und transparenter Entwicklungsprozess die Hauptanforderung.
Für alle die Sicherheit groß schreiben wollen, ist ein gut dokumentierter und transparenter Entwicklungsprozess die Hauptanforderung. (Bild: Nextcloud)

Zukunft

Der Markt ist in ständigem Wandel und Sie benötigen eine Lösung, die mit der Zeit geht und sich Ihrem Bedarf anpasst. Momentan liegt Ihr Fokus auf dem Teilen von Dateien und der Nutzung von Kollaborationsfunktionen. Im nächsten Jahr benötigen Sie Präsentationen oder möchten Videokonferenzen abhalten. Und all das soll in Ihrer Infrastruktur integriert sein, unter direkter Kontrolle Ihrer IT-Abteilung.

Eine einfache Checkliste:

  • Wie gut kann die Lösung in unsere Infrastruktur integriert werden? Unterstützt sie Benutzerverzeichnisse, vorhandene Speicherlösungen, Überwachungs- und Sicherheitsprozesse, Betriebs- und Regelüberwachung?
  • Kann diese Lösung mit uns wachsen? Können wir damit eine Niederlassung in einem anderen Land oder sogar Kontinent eröffnen und unsere Vorgänge beibehalten und innerhalb gesetzlicher Grenzen arbeiten, wie z.B. Daten örtlich begrenzt zu speichern?
  • Können wir einfach von einem Anbieter zum anderen wechseln? Das ist nicht nur für Ihre Daten relevant, sondern auch für die zugehörigen Metadaten: Kommentare, ältere Versionen, geteilte Informationen und vieles mehr.
  • Hat der Anbieter gesunde Entwicklungsprozesse und werden Funktionen, die wir möglicherweise in der Zukunft brauchen, auch entwickelt? Zeiten ändern sich und während Anbieter manchmal die geringe Investition in die Weiterentwicklung mit einem “Schwerpunkt auf Stabilität” rechtfertigen, ist es nicht vorteilhaft, Kunde eines solchen Unternehmens zu sein, denn Sie erhalten weniger als Ihnen zusteht. So landen Sie bei einer Lösung, die nicht mit Ihren Anforderungen wächst und werden sich möglicherweise nach wenigen Jahren veranlasst sehen, eine kostspielige Migration auf einen anderen Anbieter zu vollziehen.

Schlussfolgerung

Alle drei Punkte haben eines gemeinsam: Transparenz des Anbieters ist essenziell für Sie als Kunde. Sie haben Zugriff auf den Software-Quellcode, der auf Ihren eigenen oder gemieteten Servern in Betrieb ist. Sie erleben selbst, wie Sicherheitsprozesse ablaufen und können Einfluss auf die Entwicklung nehmen oder sich gegebenenfalls sogar an der Entwicklung beteiligen. Diese drei Faktoren beweisen, wie Open Source Lösungen Sie in rechtlichen und sicherheitstechnischen Themen unterstützt und Sie auf die Zukunft vorbereitet.

Obwohl es viele bekannte Open Source Lösungen zum sicheren Austausch von Dateien gibt, sticht eine heraus. Vom visionären Gründer von ownCloud zusammen mit einem großen Team von erfahrenen Entwicklern ins Leben gerufen, gehört Nextcloud heute zu den renommierten und am schnellsten wachsenden Anbietern von Enterprise File Sync & Storage.

Nextcloud hat sich als führende Lösung für Organisationen und Unternehmen etabliert, die Wert auf erstklassige Sicherheit und Skalierbarkeit legen; vereint in einer selbst gehosteten Technologie, die das Teilen von Dateien und die einfache Zusammenarbeit ermöglicht. Das umfangreiche Ökosystem mit Partnern und Mitwirkenden rund um Nextcloud hat bereits über 80 Applikationen entwickelt, die Nextcloud um Funktionen und Fähigkeiten erweitert, die von Authentifizierung über externe Speichermechanismen bis hin zu Online-Zusammenarbeit und Infrastruktur-Integrationen reichen.

Die Auswahl des richtigen EFSS-Anbieters ist nicht einfach. Beziehen Sie die gesetzlichen Anforderungen mit ein und wählen Sie einen Anbieter mit einem gesunden Entwicklungszyklus und großer Sicherheitsexpertise, um nicht auf einer Liste mit Unternehmen zu landen, die Opfer eines Datenlecks geworden sind. Entscheiden Sie sich für eine Lösung, die die Sicherheit Ihrer Daten garantiert!

Storage-Insider Awards 2017: Jetzt für Nextcloud abstimmen!

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44858730 / Advertorials)