Enterprise-konformes Filesharing

Herausforderung Datenschutz in der Cloud

| Autor / Redakteur: Marc Schieder* / Florian Karlstetter

Anforderungen an sicheren Datenaustausch.
Anforderungen an sicheren Datenaustausch. (Bild: gemeinfrei - Sumanley xulx / Pixabay / CC0)

Filesharing gehört inzwischen zum festen Arbeitsalltag vieler Unternehmen. Auch wenn der Datenaustausch mithilfe der Cloud viele Vorteile bringt und Prozesse beschleunigt, läuft der Einsatz nicht immer reibungslos. Gerade beim Thema Datenschutz gilt es aufmerksam zu sein, um den Vorgaben der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) zu entsprechen.

In vielen Unternehmen stehen Mitarbeiter unter Druck. Projekte müssen in kurzer Zeit abgewickelt werden, Informationen sollen möglichst schnell bearbeitet und weitergegeben werden, damit Aufgaben zügig erledigt werden.

Gibt das Unternehmen keine bindende Filesharing-Lösung vor, greifen Mitarbeiter auf die verschiedensten Mittel zurück. Nicht selten kommen in diesem Fall beispielsweise private Speichermedien oder Cloud-Dienste zum Einsatz, um Firmendaten zu speichern oder weiterzugeben.

Sicherheitsrisiko Schatten-IT

Nutzen Mitarbeiter oder ganze Abteilungen verschiedenste Produkte und -Services auf eigene Faust, bildet sich eine Schatten IT. Diese parallel zur offiziellen Infrastruktur entstandene Welt lässt sich nicht kontrollieren. Darüber hinaus sind die Anwendungen weder technisch nocht strategisch in das IT-Servicemanagement eingebunden.

Die Folge ist, das Unternehmen mit der Zeit die Hoheit über die Daten verlieren – es besteht kein Überblick mehr, welche Dienste und Medien zum Einsatz kommen und vor allem ist unklar, wo sensible Geschäftsdaten überall kursieren. Das Ergebnis ist ein nicht nachvollziehbarer Datenabfluss, der innerhalb kurzer Zeit außer Kontrolle gerät.

Scheidet etwa ein Mitarbeiter aus dem Unternehmen aus, nimmt er – manchmal auch völlig unbedacht – Daten mit, zum Beispiel wenn er diese in seiner privaten Cloud gespeichert hat. Ein fataler Vorgang, gerade auch im Hinblick auf die strengen Regeln, die die neue EU-DSGVO vorgibt.

Unternehmen haften nicht nur für Datenschutzverstöße

Letzten Endes haftet immer das Unternehmen, wenn es zu einem Missbrauch von Daten kommt und das kann teuer werden. Deshalb ist es schon aus Selbstschutz zwingend erforderlich, Mitarbeiter in punkto Sicherheit zu sensibilisieren sowie ihnen eine einfach zu bedienende und umfassende Lösung für den Datenaustausch an die Hand zu geben.

Die Verwendung von privater Freeware sollte von Firmenseite in jedem Fall unterbunden werden. Denn neben allen Datenschutzverstößen bekommen Betriebe ein Problem, wenn sie die Nutzung von Freeware tolerieren, die eigentlich für den Privatgebrauch vorbestimmt ist.

Häufig sind diese kostenfreien Programme bei einer gewerblichen Nutzung nämlich mit Lizenzkosten verbunden. Die dadurch entstehende Unterlizenzierung verstößt gegen das Urheberrecht. Das kann nicht nur Schadensersatzansprüche, sondern auch eine strafrechtliche Verfolgung nach sich ziehen.

Verteilt gespeicherte Daten erschweren Umsetzung der DSGVO

Wenn auch nicht aus böser Absicht, gehen Mitarbeiter oft den Weg des geringsten Widerstands. Frei nach dem Motto: "Ich wollte doch nur schnell …" werden Informationen auf dem kürzesten Weg bereitgestellt. Nicht selten handelt es sich dabei um sensible Daten, die einem besonderen Schutz unterliegen. Auch heute noch werden diese Daten unverschlüsselt als Anhang übermittelt oder an vielerlei Orten gespeichert. Durch diese Mehrfachspeicherung ist es selbst für das Unternehmen, das die Daten verwaltet, kaum mehr erkennbar, wo diese Daten im Einzelnen liegen.

Seit Inkrafttreten der neuen EU-DSGVO hat jede Person jedoch verstärkte Rechte und Möglichkeiten, über ihre eigenen Daten zu bestimmen. Unter anderem muss ein Unternehmen jederzeit darüber Auskunft geben können, welche Daten für welchen Zweck an welchem Ort gespeichert werden. Darüber hinaus kann man auf sein Recht auf Löschung – und zwar an allen gespeicherten Orten – bestehen. Und spätestens hier beginnt ein massives Problem, wenn der Weg für den Datenaustausch und die damit verbundene Speicherung nicht klar definiert ist.

Zentrale Speicherung verschlüsselter Daten

Datensilos müssen also dringend abgebaut werden und es muss einen einheitlichen und sicheren Speicherort für die verwendeten Daten geben. Um sicherzugehen, dass Daten vor fremdem Zugriff geschützt sind, sollten sie jederzeit verschlüsselt werden. Eine clientseitige Verschlüsselung, bei der die Daten bereits am Endgerät codiert werden, gewährleistet, dass nur autorisierte Personen Zugriff erhalten.

Flexibles Berechtigungsmanagement

Besonders wichtig ist in jedem Unternehmen, dass Zugriffsrechte individuell vergeben werden, sodass Mitarbeiter je nach Zuständigkeit Leserechte erhalten, anderen auch das Bearbeiten und Löschen von Daten gestattet wird. Somit behält beispielsweise die IT-Abteilung die organisatorische Hoheit, hat aber keinen Zugriff auf Finanz- oder Personaldaten.

Ein modernes Berechtigungsmanagement mit zentraler Administration erleichtert auch die Zusammenarbeit mit externen Dienstleistern, Zugriffsrechte lassen sich in ihrer Verfügbarkeit zudem zeitlich befristen.

Integrierter Datenschutz

Unternehmen sind gut beraten, wenn sie auf Filesharing-Lösungen zurückgreifen, die nach dem Grundsatz "Privacy by Design" (Datenschutz durch Technikgestaltung) entwickelt worden sind. Dies bedeutet, dass der Datenschutz bereits in der Grundeinstellung integriert ist. Infolgedessen muss sich der Anwender keine Gedanken mehr machen, welche Schritte er beim Abspeichern von Daten beachten muss. Vielmehr ist von vorneweg sichergestellt, dass die Datenschutzrichtlinien beachtet werden.

Deutschen Anbieter wählen

Filesharing-Lösungen, die aus Deutschland kommen, unterliegen dem hier geltenden Datenschutzgesetz. Daten, die etwa bei einem amerikanischen Cloud-Anbieter gespeichert sind, können hingegen dank des kürzlich verabschiedeten Cloud Acts jederzeit von den US-Behörden eingesehen werden.

Auch wenn eine Regierungsvereinbarung zwischen den europäischen Staaten und den USA erwartet wird, können Anwender erst einmal nicht sicher sein, dass ihre Daten unangetastet bleiben. Daher ist es ratsam, auf einen deutschen Anbieter zurückzugreifen.

IT- und Fachabteilungen müssen sich annähern

Auch beim Thema Datenschutz sollten Unternehmen ihre Ressourcen sinnvoll einsetzen. Das heißt Dinge, die nicht zwingend intern erledigt werden müssen, können von Dienstleistern übernommen werden. Das sind in vielen Fällen IT-Basis-Systeme, die zwar von strategischem Interesse sind, deren Betrieb aber auch gut von externen Spezialisten übernommen werden kann.

Marc Schieder ist CIO & Managing Director bei Dracoon.
Marc Schieder ist CIO & Managing Director bei Dracoon. (Bild: Petra Homeier (http://www.petra-homeier.de/) / Dracoon)

Mitarbeiter müssen an neue Strukturen herangeführt und gegebenenfalls geschult werden – Business-Architekten sind ein seltenes Gut, das die meisten Unternehmen intern ausbilden (lassen) müssen.

Die Zusammenarbeit zwischen IT und den Fachabteilungen muss verbessert werden. Viele IT-Verantwortliche gelten unternehmensintern als Bedenkenträger und Verhinderer, viele IT-Abteilungen als langsam und unflexibel. Wenige Fachabteilungen haben Verständnis für die Ressourcenlage in der IT.

Dieses Bild kann sich nur langsam verbessern, indem die ersten beiden Punkte konsequent umgesetzt werden, um für Projekte und die IT-seitige Begleitung von Business-Initiativen die notwendigen Ressourcen verfügbar zu haben.

Der Autor: Marc Schieder ist CIO & Managing Director bei Dracoon.

*Diesen Beitrag haben wir von unserem Schwesterportal CloudComputing-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45533002 / Daten)