Data in Motion (DIMO): Dateiaustausch mit Qiata im Praxistest Gespeicherte Daten austauschen – aber sicher!

Die Zeiten, in denen alle Daten eines Unternehmens auf einem einzigen System zu finden waren, sind lange vorbei: Viele Daten – wichtige und sicherheitsrelevante ebenso wie „normale“ Daten und Dateien – sind heute in Bewegung. Das ist innerhalb eines Unternehmens kein Problem – doch was, wenn sie „hinaus“ müssen? Das Unternehmen Secudos bietet mit Qiata eine Lösung, die hier helfen kann. Wie haben das Tool getestet.

Firma zum Thema

Qiata von Secudos ist laut unseren Testern sowohl für Anwender als auch Administratoren eine ideale Unternehmensanwendung für den Dateitransfer. Warum das so ist, zeigt der Testbericht.
Qiata von Secudos ist laut unseren Testern sowohl für Anwender als auch Administratoren eine ideale Unternehmensanwendung für den Dateitransfer. Warum das so ist, zeigt der Testbericht.
(Bild: Secudos / Schlede, Bär)

Dateitransfer ist an sich eine einfache Sache. Wer heute seine Daten elektronisch versenden will, kann auf viele unterschiedliche Möglichkeiten zurückgreifen: Er kann die Daten einfach mit Hilfe einer E-Mail-Nachricht versenden, kann in seinem Unternehmen vielleicht auf einen FTP-Server zugreifen und die Daten so auf den Weg schicken oder aber auf eine der vielen Cloud-Lösungen wie DropBox, OneDrive und ähnliche Lösungen zurückgreifen. Dabei steht völlig außer Frage, dass es nicht erst seit der Covid-Pandemie im Jahr 2020 und der damit sich verbreitenden Dislozierung der Mitarbeiter in den Home-Offices notwendig ist, die Daten sicher „auf die Reise“ zu schicken.

So wird dann munter getauscht und verteilt, und in vielen Unternehmen feiert die Schatten-IT durch den Einsatz der verschiedensten Cloud-Lösung fröhliche Urständ. Verträge, Rechnungen und oftmals personenbezogene Daten werden zu „Daten in Bewegung“ (DIMO – Data in Motion). Ist das innerhalb des eigenen Unternehmensnetzwerks in vielen Fällen noch zu tolerieren – obwohl die Personalabteilung ihre Daten sicher auch nicht über ein für alle Mitarbeiter zugängliches Netzwerklaufwerk oder einen offenen FTP-Server verteilen sollte –, so sollte diese Art der Kommunikation und des Dateiaustausches mit externen Kontakten sicher nicht zum Einsatz kommen.

Bildergalerie
Bildergalerie mit 8 Bildern

Diese Probleme verspricht das deutsche Unternehmen Secudos aus Kamen in Nordrhein-Westfalen mit der eigenen Lösung, die den Namen Qiata trägt, für den digitalen Arbeitsplatz zu lösen. Die Firma hat den Schwerpunkt ihrer Techniken und Dienstleistungen auf die Bereiche IT-Sicherheit und Compliance gelegt. Zudem versteht sich Secudos als Spezialist für Techniken rund um virtuelle und Hardware-Appliances.

Wir haben für diesen Artikel einen genaueren Blick auf die Qiata-Lösung werfen können. Dabei haben wir uns dieser interessanten Lösung eingehend aus zwei Perspektiven genähert. Wir haben uns zunächst die administrative Seite angesehen, also die Dinge, die für die IT-Mannschaft wichtig sind, wenn sie Qiata für ihre Nutzer einsetzen und betreuen möchte. Dann haben wir uns an den virtuellen Schreibtisch der „normalen Nutzer“ gesetzt und angeschaut, wie sich die Lösung im Alltagsbetrieb schlägt. Hierbei ging es uns vor allen Dingen auch um die reibungslose Integration in die tägliche Arbeit und die gute Benutzbarkeit der Oberfläche. Denn unsere Erfahrung hat gezeigt, dass eine technische Lösung noch so gut und ausgereift sein kann – wenn die Oberfläche unverständlich, fehlerhaft und schwer bedienbar ist, werden die Nutzer schnell auf andere Lösungen ausweichen, auch wenn das von der IT nicht gewollt ist.

Qiata – der digitale Arbeitsplatz: Varianten und Möglichkeiten

Grundsätzlich steht die Qiata-Lösung in drei verschiedenen Ausprägungen zur Verfügung: als Software-Appliance (Q-SWA – Qiata Software Appliance), die Kunden auf eigener Hardware unter VMware, Hyper-V oder auch KVM betreiben können. Dabei verwendet das Unternehmen in der virtuellen Maschine mit DOMOS ein auf CentOS basierendes Linux-Derivat. Bei diesem Betriebssystem handelt es sich um eine Eigenentwicklung von Secudos, die sowohl eigene Backup-und-Restore-Techniken als auch eine ganze Reihe von Sicherheitsfunktionen zu bieten hat. DOMOS eignet sich sowohl für den Einsatz in virtuellen als auch in Hardware-Appliances. Folgerichtig kommt es auch bei der Hardware-Appliance mit der Bezeichnung Q-HWA (Qiata Hardware Appliance) und der als Q-CA bezeichneten Cloud-Appliance zum Einsatz.

Das Unternehmen setzt bei der Hardware-Appliance darauf, dass dieses Gerät in Hinblick auf die benötigte Leistung und die Anforderungen des Kunden optimiert werden kann. Dieser erhält die Appliance dann grundkonfiguriert und betriebsfertig. Secudos hebt hervor, dass mit der Lösung Dateien oder auch ganze Ordnerstrukturen sicher und verschlüsselt verschickt werden können. Dabei ist grundsätzlich jede der Verbindungen zu der dedizierten Appliance automatisch verschlüsselt. Das gilt auch für Empfänger außerhalb des eigenen Unternehmens, die problemlos die mit Qiata versendeten Nachrichten und Daten empfangen können, ohne dass sie dazu spezielle Hard- und Software benötigen.

Wir konnten im Rahmen unseres Tests auch einen kurzen Blick auf die Installation der virtuellen Appliance werfen. Dabei ist es im Prinzip nur nötig, die virtuelle Maschine auf dem entsprechenden Hypervisor einzurichten und zu starten. Administratoren mit entsprechenden Linux-Skills können über ein Log-in auf Linux-Ebene dann auch direkt auf das virtualisierte Betriebssystem zugreifen. Das ist aber für den Betrieb und die Einrichtung der eigentlichen Qiata-Lösung nicht nötig, denn diese lässt sich komplett über das Web-Interface im Browser bedienen.

Strikte Mandantentrennung

Das ist auch die Art des Zugriffs, der für uns auf einer Cloud-Appliance bereitstand, die uns von Secudos eingerichtet und zur Verfügung gestellt wurde. Die Firma hebt dabei hervor, dass jeder Qiata-Cloud-Appliance eine eigene Datenbank und ein eigenes Betriebssystem zugewiesen wird. So brauchen Unternehmen nicht zu befürchten, dass andere Unternehmen oder Nutzer auf ihre Cloud-Appliance und ihre Daten (etwa im Rechenzentrum des Providers) zugreifen können.

Eine weitere Besonderheit der Cloud-Appliance ist ein spezieller Speicherbereich in der Cloud-Appliance, der für jeden Nutzer einen eigenen „PersonalSpace“ bereitstellt. Dieser steht ausschließlich ihm selbst zur Verfügung und kann von keinem anderen Nutzer aus der eigenen Firma und auch nicht vom Administrator der Qiata-Software eingesehen. Etwas ganz Ähnliches bietet Microsoft in den aktuellen Versionen von OneDrive mit dem „Persönlichem Tresor“ an – wobei sich die Daten dabei aber immer, wenn auch verschlüsselt, auf einem Microsoft-Server befinden. Bei

Qiata steht der PersonalSpace dem jeweiligem Anwender exklusiv als eigener Speicherplatz zur Verfügung. Versendet er dann Informationen aus diesem Bereich gemäß den vom Unternehmen festgelegten Richtlinien und Restriktionen und hat das Unternehmen die File-Encryption in der Appliance aktiviert, so werden die Dateien automatisch mit einer AES-265-Verschlüsselung geschützt. Auf diese Weise bleibt das Unternehmen sowohl Betreiber als auch Schlüsselinhaber – der Schutz dieser Daten liegt also vollständig in der Hand der eigenen Firma.

Qiata-Cloud-Appliance: Was die IT interessiert – Administration und Verwaltung

Die eigene Cloud-Appliance steht den Nutzern nach der Einrichtung unter einer dedizierten Web-Adresse zur Verfügung. Ein Administrator kann sich dort ebenso wie ein anderer Nutzer des Unternehmens einloggen, wobei die „normalen Nutzer“ aber selbstverständlich nicht die gleichen Rechte wie ein Administrator besitzen. Natürlich ist es mittels dieser Appliance dann auch möglich, Daten an externe Nutzer sicher zu übertragen. Wir erläutern die dafür nötige Vorgehensweise noch ausführlich bei der Beschreibung aus der Nutzersicht.

Nach der Anmeldung an der Appliance stellt sich die Oberfläche für den Administrator schlicht und sehr übersichtlich da. An dieser Stelle ist es wichtig zu wissen, dass für das jeweilige Unternehmen unter Qiata verschiedene Administrator-Level existieren: Der „oberste Administrator“, der vom Systemadministrator beim Einrichten der Appliance angelegt wird, ist der so genannte „Primäre Organisationsadministrator“. Wer sich mit diesem Konto an der Appliance anmeldet, bekommt die Administrationsoberfläche zu sehen und kann unter anderem Nutzer und Gruppen anlegen sowie Regeln definieren und zuweisen. Weiterhin kann dieser Nutzer auch so genannte „Technische Administratoren“ einrichten, die ihn bei der Verwaltung unterstützen. Der Organisationsadministrator kann nicht aus dem System herausgelöscht werden.

Ein weiterer wichtiger Hinweis: Der Nutzer dieses Kontos kann es nicht dazu verwenden, Daten via Qiata zu versenden – es dient ausschließlich der Administration. Administratoren müssen sich also eines zusätzlichen Kontos bedienen, wenn sie Daten auf diesem Weg verschicken möchten.

Die aufgeräumte Startseite für den Administrator zeigt nach der Anmeldung Daten zur letzten Anmeldung, zum letzten Kennwortwechsel und zur verfügbaren Speicherkapazität an. Außerdem erinnert sie den Organisationsadministrator daran, dass er Rollen verwalten oder auch Gruppenadministratoren zuweisen kann. Auch sein Kennwort sowie persönliche Einstellungen wie die Anzeigesprache seines Accounts kann er hier direkt ändern. In der Menüleiste am oberen Rand stehen dem Nutzer die Einträge „System“, „Audit-Log“, „Zur Wiedervorlage“ und „Organisation“ zur Verfügung.

Bildergalerie
Bildergalerie mit 8 Bildern

Alles im Griff: Von Rollen und Richtlinien

Wählt der Administrator nun beispielsweise den Menüeintrag „System“ aus, so kann er sich einen Überblick über die auf dem System bereits eingerichteten Nutzer verschaffen, aber er kann hier natürlich auch neue Nutzer und Gruppen anlegen. Besonders interessant an dieser Stelle: Der Administrator kann mit Hilfe dieses Menüs neue Nutzerrollen über den Eintrag „Neue Rolle“ definieren. Dabei stehen unterschiedliche Stufen an Berechtigungen bereit, die der Systemverwalter dieser neuen Rolle zuordnen kann. So kann er einen Firmen-Admin oder beispielsweise auch einen Nutzer einrichten, der lesenden Zugriff auf das interne Audit-Log bekommt, in dem die Appliance alle Transferaktionen speichert, und gewünschte Einträge suchen und herausfiltern kann. Ein solches Konto kann dann beispielsweise einem Auditor bei einer Compliance-Untersuchung zugeordnet werden.

Die möglichen Rollenfeatures lassen sich problemlos miteinander kombinieren: So kann der Systembetreuer zum Beispiel das so genannte „App Setting“, wodurch ein Nutzer mit dieser Rolle die Möglichkeit erhält, unter anderem auch Dinge wie Speicherbegrenzungen zu verwalten, mit der Rolle „Encrypt Config“ verbinden. Dieser Nutzer kann dann zusätzlich auch die Konfiguration und Erstellung des „Encryption Schlüssels“ durchführen. Hat der Administrator eine neue Rolle erfolgreich angelegt, so steht sie sofort beim Anlegen eines neuen Nutzers im Pulldown-Menü „Rolle“ zur Auswahl bereit.

Uns hat besonders die Flexibilität dieses Rollenkonzepts überzeugt. Ein Organisationsadministrator kann Teile seiner Aufgabe so an andere Nutzer delegieren, was besonders im größeren Unternehmensumfeld sehr sinnvoll sein kann.

In diesem Abschnitt des Menüs finden sich ebenfalls die Einstellungen für die Richtlinien. Sie stellen ein weiteres Feature zur Kontrolle des Datentransfers dar. Richtlinien definieren Regeln, die bei einem Dateitransfer überprüft werden. Trifft eine solche Regel zu, so wird dann eine bestimmte Aktion gestartet. Hier stellt Qiata die Auswahl zwischen „Markiert zur Vorlage“, „Alarm“ oder „Blockieren“ bereit. Damit bieten die Richtlinien sehr gute und weitreichende Möglichkeiten, sowohl die Sicherheit als auch die Vertraulichkeit der Daten zu garantieren.

Wählt der Nutzer hier den Eintrag „Neue Richtlinie“ aus, so kann er zunächst seiner Richtlinie einen Namen vergeben und dann anschließend eine der drei Aktionen für seine Richtlinie auswählen. So können der Transfer zur Wiedervorlage bestimmt, ein Alarm ausgelöst oder der Transfer einfach nur blockiert werden. Dabei stellt die Einstellung „Alarm“ die geringste Einschränkung aus Sicht der Anwender dar, da in diesem Fall lediglich der Administrator via E-Mail über den Verstoß gegen die Richtlinie informiert wird.

Bei der Einstellung „Markiert zur Wiedervorlage“ wird der Transfer hingegen zunächst nicht ausgeführt. Dann werden sowohl der Organisationsadministrator als auch die Gruppenadministratoren benachrichtigt. Auf diese sehr sinnvolle Art und Weise bekommt der Genehmigungsprozesse eine größere Breite, da so eine Person allein nicht mehr dazu in der Lage ist, den Vorgang zu genehmigen oder zu blockieren.

Unter dem Menüpunkt „Zur Wiedervorlage/Transfers“ kann dieser Personenkreis die entsprechende Übertragung einsehen. Dort erhalten die Administratoren auch alle nötigen Informationen zum Absender, dem Zeitpunkt des Absendens, der Dateigröße und dem Empfänger, für den diese Übertragung bestimmt war. Dann können sie gemeinsam entscheiden, ob sie diese Übertragung freigeben oder doch blockieren möchten. Die strikteste Variante ist dann das Blockieren, bei dem die Nachricht grundsätzlich nicht weitergeleitet wird.

Der Administrator muss bei der Erstellung einer solchen Regel natürlich auch auswählen, welche Parameter zutreffen müssen, damit die erstellte Richtlinie greift. Dazu stehen ihm die folgenden vier Bereiche zur Auswahl:

  • Empfänger einschränken,
  • Dateityp einschränken,
  • Dateinamen einschränken und
  • Dateigröße einschränken
Bildergalerie
Bildergalerie mit 8 Bildern

Über verschiedene Parameter, wie beispielsweise nur Office-Dokumente für den Empfänger in der eigenen Domäne zuzulassen, die eine Größe von 10 Megabyte nicht überschreiten, können die Systemverwalter mit Hilfe dieser Richtlinien sehr genau festlegen, ob ein Dateitransfer abläuft oder geblockt wird. In der Zusammenarbeit von Rollen und Richtlinien können die Systemverantwortlichen sehr genau festlegen, wie die Richtlinien des eigenen Unternehmens für den Datenverkehr sicher und zuverlässig umgesetzt werden.

Erschien es uns zunächst so, als seien das sehr viele Möglichkeiten, die der Nutzer unmöglich ausschöpfen könnte, so zeigt es sich bei der Erstellung einiger Testrichtlinien schnell, dass es recht einfach ist, entsprechende Vorgaben mit Hilfe dieser Einstellungen durchzusetzen. Dabei hilft es auch nicht unerheblich, dass der Administrator beim Parameter für erlaubte (oder nicht erlaubte – eine Negation ist auch möglich) auch mit Wildcards der Form „*@redaktionsgemeinschaft.net“ arbeiten kann, damit die Regel alle Nutzer einer Domäne erfasst.

Da sich die meisten Administratoren ohne Zweifel bereits mit Booleschen Operatoren und Script-Sprachen befassen, sollte es für sie kein Problem sein, hier die entsprechend richtigen Regeln und Ausnahmen zu formulieren. Die Appliance setzte die von uns testweise eingesetzten Regeln problemlos und zuverlässig um.

Mit dieser Beschreibung sind auf keinem Fall schon alle Möglichkeiten und Einstellungen beschrieben, die einem Systembetreuer hier zur Verfügung stehen – eine solche Beschreibung würde den Umfang dieses Artikels ohne Zweifel sprengen. Wir konnten jedoch feststellen, dass die Menüs und Einstellungen durch die Bank so klar und übersichtlich aufgebaut sind, dass es einem erfahrenen Systembetreuer sicher keine Probleme bereiten wird, hier die richtigen Parameter in den Menüs zu finden.

(ID:47155053)

Über den Autor