Blog: Eignen sich cloudbasierte Filesharing-Dienste für den Unternehmensgebrauch?

28.08.2014

Heutzutage werden immer mehr Dokumente und Dateien ausgetauscht, zudem steigt das Volumen der ausgetauschten Dateien zunehmend und beträgt oft pro Datei mehrere Gigabyte.

Dabei ist wichtig, dass Unternehmen sich der Risiken bewusst sind, die aus einer falsche Herangehensweise an den Datenaustausch entstehen können – ansonsten könnten ernste Konsequenzen drohen.

Datenaustausch wird für fast alle Unternehmen früher oder später zum Thema, da es eine Vielzahl von Szenarien gibt, in denen Daten ausgetauscht werden müssen. Sei es, dass ein Ingenieur der Entwicklungsabteilung eines  Automobilherstellers die neuesten Entwürfe mit seinen Kollegen an einem anderen Standort teilen und besprechen möchte oder eine Krankenhausangestellte die medizinischen Unterlagen eines Patienten mit seinem niedergelassenen Hausarzt austauscht.

Folglich bleibt Unternehmen heute gar nichts mehr anderes übrig, als ihren Mitarbeitern ein Filesharing-System zur Verfügung zu stellen damit diese ihrer Arbeit nachkommen können. Leider findet man heute bei vielen Unternehmen meist eine der folgenden zwei Situationen:

  • Es gibt eine Anwendung zum sicheren Austausch von Dateien, die aber zu kompliziert für nicht IT-affine Mitarbeiter ist.
  • Oder die Firma besitzt überhaupt kein Filesharing-System – ausgenommen E-Mail, wo in der Regel aber spätestens bei Dateianhängen grösser 10 MB Schluss ist.

Probleme

In beiden Fällen werden Mitarbeiter mit grosser Wahrscheinlichkeit auf Dienste wie iCloud, Google Drive oder DropBox zurückgreifen, die als einfach und komfortabel in der Nutzung gelten. Ausserdem sind diese den Mitarbeitern in der Regel auch schon durch persönlichen Gebrauch bekannt, so zum Beispiel um die Fotos vom letzten Urlaub mit Freunden und Verwandten zu teilen.

Viele sind sich entweder der Gefahren, die durch die Verbreitung von Unternehmensdaten entstehen können, gar nicht bewusst oder sie glauben, dass diese Dienste automatisch über die notwendigen Sicherheitsmassnahmen für den Unternehmensgebrauch verfügen.

In der Tat nutzt DropBox nach eigenen Aussagen „moderne Verschlüsselungsmethoden für den Transfer und die Speicherung“ von Daten in den Konten.

Darüberhinaus werden Applikationen und Infrastruktur laut Unternehmen regelmässig getestet, um mögliche Sicherheitslücken ausfindig zu machen.

Sicher erzielt dieser Ansatz grossen Erfolg, auch wenn er aller Wahrscheinlichkeit nach nicht zu einem komplett undurchdringbaren System führt.

Im Mai wurden Nutzer von Diensten wie DropBox vor undichten Stellen gewarnt.

Ein Wettbewerber behauptete, dass er sensible Daten wie Unterlagen zu Hypotheken gefunden habe, nachdem die „Teilen“-Funktion des Dienstes Links öffentlich machte, die innerhalb des Services geteilt wurden.

Nachdem man sich des Problems angenommen hatte, schrieb DropBox in einem Blog-Post: „Wir sind uns bewusst, dass viele Ihrer Arbeitsabläufe auf dem Teilen von Links basieren und entschuldigen uns für die Unannehmlichkeiten. Wir arbeiten weiter hart daran, dass Ihre Inhalte sicher sind und werden Sie über weitere Entwicklungen auf dem Laufenden halten. Wir arbeiten daran, Links, die nicht von dieser Schwachstelle betroffen sind, in den nächsten Tagen wiederherzustellen.“

Sorgen gehen über Hacker hinaus

Auch wenn Hacker natürlich zweifellos eine Bedrohung darstellen, sind sie nicht die einzige Bedrohung für Firmen, die Cloud-Filesharing-Dienste nutzen.

Die steigende Bedeutung der Datensicherheit hat dazu geführt, dass Compliance zu einem zentralen Faktor für viele Unternehmen geworden ist. Firmen, die sich nicht an Compliance-Regeln halten, riskieren harte Strafen und erhebliche Imageschäden.

Ein wichtiger Aspekt von Compliance ist die Ermittlung, wer Zugang zu Unternehmensunterlagen hat. Werden Dateien auf Cloud-Plattformen geteilt, hat der Besitzer in der Regel kein Wissen darüber, ob der Cloud-Provider und dessen Mitarbeiter Zugriff darauf haben.

Die meisten Dienstleister behaupten, dass sie nicht auf die Inhalte der Dateien zugreifen, aber:

  • Die Tatsache, dass viele Provider Nutzer mit Inhalten bewerben, die auf deren jeweilige Interessen zugeschnitten sind, lässt Zweifel an dieser Aussage aufkommen.
  • Einige Unternehmen speichern die Dateien nicht für jeden Nutzer einzeln ab. Stattdessen werden die Files auf Basis des ermittelten Hash-Wertes verglichen und dann nur eine Version der Datei abgespeichert. Um den Hash-Wert aber überhaupt errechnen zu können, muss man den Inhalt der Datei kennen.

Nutzen die Mitarbeiter einer Firma verschiedene Cloud-Dienste, sind die Daten über mehrere Plattformen verteilt, oft Seite an Seite mit persönlichen Files der Mitarbeiter. Ein Albtraum für das Unternehmen, da die Daten ausser Reichweite und Kontrolle sind.

Nicht nur weiss die Firma nicht, wo genau die Dateien liegen und wer Zugriff darauf hat, sie kann auch nicht wissen für wie lange. Im schlimmsten Fall liegen sie für immer dort – selbst wenn der betreffende Mitarbeiter das Unternehmen schon längst verlassen hat. Die für Compliance ausserordentlich wichtigen Audit Logs können unter diesen Voraussetzungen nicht erstellt werden.

Unternehmen begeben sich also in Teufels Küche wenn sie zulassen, dass Mitarbeiter konsumentenorientierte Cloud-Filesharing-Plattformen für das Teilen von Unternehmensdaten nutzen.

Datensammlung durch die Hintertür

Eines der wahrscheinlich wichtigsten Probleme in der Post-Prism-Ära ist die Tatsache, dass geistige Eigentumsrechte an Daten auf vielen cloudbasierten Plattformen scheinbar nur durch einen Klick geändert werden können.

So kann die US-Regierung unter dem US Patriot Act Zugriff auf Daten erlangen, die auf Servern US-amerikanischer Firmen und deren Tochterunternehmen liegen, selbst wenn es sich bei den Töchtern nicht um US-Firmen handelt. Die Eigentümer der Daten haben in der Regel wenige bis gar keine Möglichkeiten, das zu verhindern.

Auch wenn dies in den meisten Fällen kein Problem darstellt, führt es dennoch bei vielen Organisationen mit potentiell sensiblen Informationen zurecht zu Unbehagen.

Daher ist die Thematik rund um das geistige Eigentum vielleicht der überzeugendste Grund für Unternehmen, der Nutzung von cloudbasierten Filesharing-Diensten zu widerstehen.

So ist Organisationen zum Beispiel oft nicht klar, dass viele Anbieter sich in ihren AGB das Recht vorbehalten, die hochgeladenen Daten in jeglicher ihnen angemessen erscheinender Weise zu verwenden.

Das bedeutet dass eine Firma, die in irgendeiner Form geistiges Eigentum hochlädt, um es mit ausgewählten Personen zu teilen, damit rechnen muss, dass diese Daten frei genutzt werden und sie als eigentlicher Eigentümer rechtlich machtlos ist.

Was nun? Do it yourself!

Statt nun angesichts dieser Probleme einfach den Kopf in den Sand zu stecken, sollten Unternehmen das Heft selbst in die Hand nehmen und ihren Mitarbeitern eine Alternative bieten, denn nur eine brauchbare, einfach zu nutzende Lösung wird diese davon abhalten, auf konsumentenorientierte Dienste zurückzugreifen.

Suchen Sie sich also einen Lösungsanbieter, der Ihnen einerseits den Bedienkomfort einer Konsumenten-Lösung bietet, andererseits jedoch die Sicherheit einer On-Premise Filesharing-Plattform für den Unternehmensgebrauch.


von Marcel Mock, CTO

Marcel