Wenn Ihr Unternehmen so wie die meisten anderen ist, benutzen Ihre Angestellten vermutlich Cloud-Dienste, um Dateien zu speichern und diese mit dem Team oder auch externen Geschäftspartnern zu teilen. Selbst wenn Sie Schritte unternommen haben, um den Gebrauch bestimmter Cloud-Dienste zu unterbinden, mag es dennoch Anwendungen geben, die Mitarbeiter ohne das Wissen der IT-Abteilung weiterhin benutzen.

Laut einer  kürzlich vom Ponemon Institute, einer Forschungseinrichtung im Bereich Datenschutz, veröffentlichten Studie schätzen IT-Sicherheitsexperten, dass 36% der Anwendungen, die für ein Unternehmen entscheidend sind, über eine Cloud laufen, und 30% der Geschäftsdaten werden auch dort gespeichert. Allerdings sind 15% dieser Anwendungen und 35% dieser Daten für die IT-Abteilung völlig unsichtbar.

Das ist ein deutlicher Hinweis auf die potentiellen Risiken, denen Unternehmen ausgesetzt sind, bedenkt man einmal den Umfang der Geschäftsdaten, die in der Cloud gespeichert sind oder darüber weitergegeben werden, ganz besonders im Hinblick darauf, dass die firmeninterne IT darüber im Dunkeln gelassen wird.

Noch schlimmer: Selbst bei zugelassenen Cloud-Diensten haben IT-Angestellte und Experten für den Datenschutz einen bemerkenswerten Mangel an Vertrauen in die Sicherheit von Cloud-basierten Diensten zum Ausdruck gebracht.

Mehr als die Hälfte aller Befragten sagte aus, dass die Verwendung Cloud-basierter Dienste die Wahrscheinlichkeit von Verletzungen der Datensicherheit erhöht / deutlich erhöht. 69% waren nicht der Meinung, dass die Anbieter der Cloud-Dienste, die ihr Unternehmen nutzt, eine Basissicherheitstechnologie benutzt, um vertrauliche und/oder sensible Daten zu schützen.

Wenn es konkret um Lösungen für das Synchronisieren und Teilen von Dateien geht, teilten die Entscheidungsträger für den IT-Bereich ganz ähnliche Sorgen. Der von Intralinks veröffentlichte Bericht von Harris Poll fasst mit den Umfrageergebnissen diese Befürchtungen zusammen.

In der Umfrage stimmten 84% der Entscheidungsträger für IT-Belange überein, dass „das Benutzen kostenloser  Lösungen zum Synchronisieren und Teilen von Dateien ein potentielles Sicherheitsproblem schafft“. 46% waren der Meinung, dass „ihre Unternehmensdaten aufgrund von mangelnder Kontrolle und Steuerung der Produkte für Datenaustausch  nach außen gelangen“.

Am entgegengesetzten Ende des Spektrums ist das Ausmaß von Vertrauen, das die Verantwortlichen für Entscheidungen im IT-Bereich Cloud Sharing-Lösungen entgegen bringen, allerdings alarmierend. 38% dieser Entscheidungsträger sagen, dass sie Sharing-Apps wie die von Dropbox oder Box zum Austausch von Arbeitsunterlagen außerhalb ihrer Firewall als vertrauenswürdig ansehen. 31% meinen, dass sie diesen Apps auch den Austausch persönlicher Finanzdaten wie Bankdateien oder Steuererklärungen anvertrauen würden.

Das ist nun eine ausgesprochen risikofreudige Denkweise. Aufgrund der potentiellen Schwachstellen bei Verschlüsselung und Nutzerauthentifizierung stellt dieses Vertrauen in öffentliche Cloud Sharing-Lösungen wie Dropbox oder Box ein Risiko für sensible Geschäfts- und Kundendaten und natürlich auch für persönliche Daten dar. Tatsache ist, dass das noch nicht lange zurückliegende Hacken von über 7 Millionen Dropbox-Passwörtern eine deutliche Bedrohung aufzeigt, der jedes Unternehmen ausgesetzt ist, das die Verwendung von Sharing-Diensten ohne angemessene Verschlüsselung und ausreichenden Datenschutz erlaubt.

Es gibt fünf entscheidende Punkte, die Sie bedenken sollten, um sicherzustellen, dass Ihre Cloud Sharing-Lösung die nötige Sicherheit aufweist, um Ihre sensiblen Geschäftsdaten zu schützen und kostspieligen Sicherheitsverletzungen vorzubeugen.

1. Hochmoderne Nutzerauthentifizierung

Die Sicherheit einer Sharing-Lösung für Unternehmen ist nur so gut wie die Sicherheit ihres Nutzerzugangs. Die Verwendung von Kombinationen aus Benutzernamen und Passwort stellen nicht länger ein ausreichend hohes Sicherheitsniveau  dar, um Nutzerkonten abzusichern. Dennoch benutzt praktisch jede Lösung für Dateiaustausch und -speicherung diesen überholten und sicherheitskritischen Ansatz für die Anmeldesicherheit. Ihre Nutzerkonten sind damit entsprechend anfällig gegenüber Angriffen durch Hacker, Phishing-Attacken und Schadprogramme.

Obgleich Dropbox und andere Cloud Sharing-Dienste versucht haben, dieses Problem anzugehen, indem sie mit einer zweistufigen Überprüfung fortgeschrittene Anmeldesicherheit anbieten, so wird diese Funktion dem Nutzer lediglich als eine Option angeboten. Das heißt, dass ein Nutzerzugang also nicht notwendigerweise mit einem zweiten Überprüfungsschritt abgesichert ist.

Entscheidender ist jedoch, dass zweistufige Überprüfungen normalerweise die Verwendung von Passwörtern einbeziehen, zusammen mit einem Einmalcode oder Einmalpasswort, das der Nutzer über SMS oder eine mobile App erhält und dann während der Anmeldung eingibt. Durch die Notwendigkeit der Zugriffsmöglichkeit auf ein auf den Nutzer registriertes Mobilgerät wird zwar die Sicherheit verbessert, aber es schafft auch wiederum einige Schwachstellen, die leicht ausgenutzt werden können.

Wie wir bereits seit vielen Jahren schon für Passwörter beobachten konnten, können letztlich alle Zugangsdaten, die während der Nutzeranmeldung eingegeben oder übertragen werden, abgefangen oder umgeleitet werden. Dies schließt auch Einmalcodes und Einmalpasswörter ein, wie bereits bei Man-in-the-Middle-Angriffen gezeigt wurde.

Weitere Bedrohungen für zweistufige Überprüfungen umfassen das Klonen von SIM-Karten. Dadurch erhalten Angreifer Kopien von über SMS geschickten Codes auf einem zweiten Gerät. Ebenso ist eine Portierung der Telefonnummer möglich. Damit können Angreifer ein bestehendes Mobilfunkkonto „kapern“ und es einem anderen Mobilgerät zuordnen.

Die deutlichste Schwachstelle ist aber der fortgesetzte Gebrauch von Passwörtern als Authentifizierungsfaktor im Anmeldevorgang, da sie – wie gesagt – während der Eingabe bei der  Anmeldung und der Übertragung an den Server, wo sie überprüft werden sollen, gestohlen werden können.

Die Verwendung von Passwörtern bedarf aber auch ihrer Speicherung auf dem Authentifzierungsserver, um die Identität nachzuweisen und Zugang zu den Konten zu gewähren. Das macht den Anmeldeserver zu einem begehrten Angriffsziel, da Angreifer sich über ihn gleich ganze Datenbanken von Passwörtern und sensiblen Zugangsdaten greifen können.

Davon abgesehen ist es möglich, dass ein Kunde dieselbe Kombination aus Passwort und Benutzernamen auch für andere Dienste benutzt. Wenn diese Zugangsdaten also irgendwo entwendet werden, bedeutet das, dass sie gleichzeitig für den Zugriff auf die Konten bei all diesen anderen Diensten genutzt werden können. Genau das ist die Bedrohung, mit der Dropbox Anfang des Jahres zu tun bekam, als seine Nutzerkonten durch das Hacken anderer Dienste in Gefahr gerieten.

Die Lösung für eine wirkliche Anmeldesicherheit bei jedem Cloud Sharing-Dienst ist hochmoderne Authentifizierung unter Verwendung von Public Key Infrastructure (PKI). Damit werden all die erwähnten Schwachstellen beseitigt und die bestmögliche und sicherste Authentifizierung geliefert, um den Zugang zu Cloud Sharing-Diensten zu schützen.

Ähnlich wie bei den Anforderungen für die Sicherheit von Geldautomaten und Smartcards, bietet die PKI-Authentifizierung eine echte Zwei-Faktor-Authentifizierung, die mindestens zwei unterschiedliche Faktoren benutzt, darunter Wissen, Besitz und/oder biometrische Faktoren.

Anstatt Passwörter oder andere angreifbare Zugangsdaten zu benutzen, verwendet die Authentifizierung mit PKI verschlüsselte asymmetrische Softwareschlüssel, von denen der eine durch den Authentifizierungsserver und der andere durch das Mobilgerät des Nutzers erstellt und verwendet wird. 

Passwörter oder andere sensible Zugangsdaten werden niemals über die Anmeldeoberfläche eingegeben und genauso wenig an einen Server übertragen oder zum Zweck der Authentifizierung auf einem Server gespeichert. Dies macht es aus physischer Sicht praktisch unmöglich, dass über Hacking- und Phishingangriffe bzw. Schadprogramme Nutzeranmeldungen für Sharing-Dienste in Gefahr geraten. Ebenfalls nimmt man hierdurch Hackern den Anreiz, den Authentifizierungsserver des jeweiligen Dienstes ins Visier zu nehmen, um gleich an ganze Datenbanken mit Benutzernamen und Passwörtern zu gelangen. 

Die Identitätsüberprüfung wird mithilfe einer mobilen App abgeschlossen, die eine einfache vierstellige PIN bzw. einen Passcode oder einen Scan des Fingerabdrucks verwendet. Keiner dieser Faktoren wird jemals an den Anmeldeserver übertragen. Selbst die verschlüsselten Softwareschlüssel werden getrennt erstellt und gespeichert und zu keiner Zeit übertragen und sind niemals ungesichert.

Das Beste an alledem: Schnelligkeit und einfache Handhabung einer PKI-basierten Authentifizierung bedeuten, dass Anmeldung und Authentifizierung innerhalb weniger Sekunden abgeschlossen sein können. Jeder Augenblick des Anmeldeprozesses kann mit ihr gesichert werden, ohne zu einer Belastung für den Nutzer zu werden. Dieser muss sich keine komplexen Passwörter merken oder verwalten. Anmeldung und Authentifizierung sind trotz der hohen Sicherheit einfach und benutzerfreundlich.

Selbst wenn Benutzernamen und Passwörter von einem Dienst, den ein Dritter außerhalb der eigenen Kontrollmöglichkeit betreibt, gestohlen werden sollten, so könnte der Sharing-Dienst mit einer PKI-basierten Authentifizierung, die keine angreifbaren Kombinationen aus Benutzernamen und Passwort verwendet, hier keinen Schaden nehmen. Ein Zugriff mithilfe der gestohlenen Zugangsdaten ist in diesem Fall also gar nicht möglich.

Auch sollte eine PKI-basierte Authentifizierungslösung eine bequeme API anbieten, mit der Sie Ihre Lösung zur Freigabe und Speicherung von Daten mit den Anwendungen und der Software, die Sie von Drittanbietern nutzen, integrieren können. So kann Ihre Fremdsoftware Daten sicher in Ihrem geschützten Sharing-Dienst speichern. Lediglich der autorisierte Nutzer kann darauf zugreifen. Die API stellt sicher, dass hochmoderne PKI-Authentifizierung die Identität des Nutzers überprüft, um Zugang zu Ihren Dateien und Daten abzusichern.

Mit einer solchen API können Sie mit den Verkäufern Ihrer Software ausarbeiten, dass diese hochmoderne Authentifizierung und extrem sichere Datenspeicherung in die von Ihnen gewünschten Anwendungen integriert wird. Wenn Sie eigene Softwareanwendungen verwenden, können Sie die API nutzen, um diese Funktionen in Ihre eigenen Lösungen einzubinden, und das ohne spezielles Fachwissen in IT-Sicherheit oder Verschlüsselung.

2. Umfassende Datenverschlüsselung

Man darf nicht davon ausgehen, dass Datenverschlüsselung auch heißt, dass ihre Geschäftsdaten während Übertragung, Speicherung, Upload bzw. Download, also zu jeder Zeit geschützt sind. Tatsächlich lassen einige Verschlüsselungsprogramme Daten durch kurzfristiges Vorliegen im Systemspeicher als Klartext verwundbar und potentiell ungeschützt. Um wirklichen Schutz für Ihre Daten zu erlangen, muss eine Cloud Sharing-Lösung eine AES-256-Verschlüsselung in jedem Augenblick der Übertragung und Speicherung liefern. Diese umfassende Sicherheit stellt sicher, dass Daten niemals, auch nicht kurzfristig, in entschlüsselter Form vorliegen.

3. Kontrolle von Dateien und Infrastruktur

Der richtige Cloud Sharing-Dienst bietet Expertenwissen für IT-Sicherheit, fortgeschrittene Kryptographie und praktische Tools und Admin-Kontrollen, die es Ihnen leicht machen, Ihre wichtigen und vertraulichen Geschäftsdaten zu schützen und Ihren Sharing-Dienst über die Cloud zu verwalten.

Das ist aus dem Grunde schon ausgesprochen wichtig, weil man bei vielen Cloud-Diensten nicht sagen kann, wie die Rechenzentren geschützt werden. So können Sie sich vielleicht nicht sicher sein, ob Ihre Daten zu jeder Zeit verschlüsselt sind, und wer alles Zugang zu den Daten hat (einschließlich der Mitarbeiter Ihres Anbieters).

Deshalb ist es entscheidend, sicher zu gehen, dass die von Ihnen ausgewählten Dienste Verschlüsselung und zusätzlichen Zugangsschutz stellen, der verhindert, das nicht-autorisierte Nutzer Zugriff auf Ihre Daten bekommen können. So sollte z.B. ein Anbieter einen Shared Secret-Mechanismus verwenden, der die gleichzeitige Freigabe mehrerer authentifizierter Administratoren benötigt, um auf die verschlüsselten Schlüssel für die Server in seinem Rechenzentrum zuzugreifen.

Wenn Ihr Unternehmen lieber Daten und Architektur und Sharing-Dienst vollständig unter der eigenen Kontrolle haben möchte, würde eine ideale Drittanbieterlösung auch die Möglichkeit bieten, die eigene Cloud Sharing-Technologie auf Ihren eigenen Servern und hinter der Firewall Ihres Unternehmens zu installieren.

Das ergibt eine private Cloud-Sharing-Lösung, die Ihnen vollständige Kontrolle über die zugrundeliegende Architektur gibt und die sicher stellt, dass Ihre Daten nicht auf externen Servern oder zusammen mit Daten anderer Unternehmen gespeichert werden. Außerdem behalten Sie bei einer Inhouse-Installation oder einer privaten Cloud-Lösung immer die Kontrolle über Nutzerdatenbank und Nutzerkonten. Weiterhin erhalten Sie mit Ihrem eigenen Shared Secret-Mechanismus zusätzliche Sicherheit, da Sie den Zugriff auf Ihre Serverschlüssel auf einige autorisierte Personen beschränken, die den Zugriff zeitgleich freigeben müssen.

4. Funktionalität und Leistung

Natürlich ist keine Lösung zur Datenfreigabe und Datenspeicherung wirklich von Nutzen, solange sie nicht auch eine Bandbreite von Funktionen für die Online-Zusammenarbeit sowie Verlässlichkeit und Effizienz bietet. Mit ihr sollen Mitarbeiter einfach und sicher  miteinander und mit externen Partner zusammenarbeiten können. Premiumlösungen bieten zusätzlich verschlüsselten Nachrichtenversand an. Somit können  Nutzer mit dem gleichen stabilen Schutz, der ihre Dateien und Ordner sichert, auch Nachrichten und Anhänge versenden. Mit E-Mail-Verschlüsselung innerhalb eines hochsicheren Tools für die Online-Zusammenarbeit gehören Schwachstellen in der Datensicherheit, die bei konventioneller E-Mail-Infrastruktur und Software zu finden sind, der Vergangenheit an.

Um Mitarbeitern dabei zu helfen, effizienter Online zusammenzuarbeiten, sollte die Nutzeroberfläche einfach und benutzerfreundlich sein und Kontrollfunktionen und Features aufweisen, die den Austausch von Dateien unkompliziert machen. Ebenso muss die Möglichkeit gegeben sein, Dateien und Ordner mit externen Nutzern sicher zu teilen, entweder über kostenlose Benutzerkonten für die externen Nutzer oder über sichere, passwortgeschützte Links. Über diese Links erlangt ein externer Nutzer Zugriff auf bestimmte Daten. Der interne Nutzer, der den Link freigibt, kann dabei eine Gültigkeitsdauer für diesen bestimmen. Sobald diese abgelaufen ist, hat der externe Nutzer keinen Zugriff mehr auf diese Daten.

Idealerweise sollte der Anbieter einer sicheren Lösung für Online-Zusammenarbeit Ihnen auch anbieten, diese auf Ihrer eigenen Architektur und hinter Ihrer Firewall zu installieren. Dies bietet Ihren Adminstratoren nicht nur größere Kontrollmöglichkeiten, sondern kann auch eine höhere Geschwindigkeit und Reaktionsbereitschaft liefern, die Sie so in der Cloud nicht erreichen würden.

5. Integration und kundenspezifische Anpassung

Wenn Sie Gefallen an der Idee gefunden haben, die Kontrolle über Ihre Sharing-Lösung auszuüben und die Lösung auf Ihren eigenen Servern anzuwenden und zu verwalten, ist es zu guter Letzt noch wichtig, die Optionen bezüglich Integration und möglicher Anpassung an Kundenwünsche zu berücksichtigen.

Im Idealfall sollte Ihr sicherer Sharing-Dienst leicht in Ihre Architektur und andere Anwendungen zu integrieren sein. Das beinhaltet auch, dass Ihre Anwendungen so konfiguriert werden können, dass die Daten sicher an Ihre eigene private Cloud geschickt werden und dort gespeichert werden können. Ebenso sollte es möglich sein, den Dienst in Ihr Backup-System zu integrieren, so dass Sie Ihre Daten in regelmäßigen Abständen auf einem anderen Server oder auch auf einer externen Festplatte sichern können.

Ein weiterer wichtiger Faktor ist die Anpassung an Ihre spezifischen Bedürfnisse. Ein privater Cloud Sharing-Dienst könnte Ihnen also ermöglichen, Ihr eigenes Logo und die Firmenfarben in der Lösung zu verwenden und so das Auftreten Ihres Unternehmens für Mitarbeiter und externe Partner abzubilden, was auch eine kundenspezifische URL für den Webzugang einschließt.