- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Sicherheitsbedenken bei Cloud-Services


Checkliste zu Vorteilen und Risiken: "Enterprise File Sync" und "Share ein IT-Top Thema 2015"
Ohne eine Unternehmenslösung für EFSS werden Dokumente meist per E-Mail oder FTP transportiert

(03.12.14) - Mehr als die Hälfte des gesamten Datenverkehrs im Netz stammt heute aus den Bereichen File Sharing und Media Streaming. Das belegen aktuelle Auswertungen von Anbietern wie YouTube sowie Webhosting-Dienstleistern. Gartner bestätigt diese Entwicklung auch im Unternehmensmarkt mit dem starken Wachstumstrend im Segment für "Enterprise File Share and Sync-Lösungen" (EFSS). Während der Markt für Unternehmenslösungen reift, befindet er sich momentan in einer Übergangsphase, in der viele Mitarbeiter aus Gründen der einfachen Handhabung private Lösungen auch beruflich nutzen, wenn ihr Unternehmen keine Alternative anbietet.

Damit können allerdings große Sicherheitslücken für die Unternehmen entstehen. Auch aus diesem Grund steht die Evaluierung einer Business-Lösung für Datenaustausch und Synchronisation bei vielen Firmen zurzeit auf der Agenda. IT-Sicherheitsexperte SSP Europe hat die Vorteile von EFSS sowie die Kriterien, auf die man bei der Lösungswahl achten sollte, zusammengestellt.

Der große Bedarf an Lösungen für das Synchronisieren und Austauschen von Daten und Dateien ist mit der zunehmenden Mobilität und dem Verwenden verschiedener Geräte, wie PC, Laptop, Smartphone und weiteren mobilen Endgeräten weiter gewachsen. Alle sogenannten Office-, Information- oder Knowledge-Worker – laut Forrester sind das heute rund 30 Prozent aller Arbeitskräfte weltweit – arbeiten auf Basis von Informationen.

Diese sind meist digitalisiert verfügbar, bisher allerdings nicht automatisch auf jedem Endgerät. Mitarbeiter sollten heute von allen Endgeräten aus Zugriff auf ihre Informationen haben und diese mit Kollegen, Kunden und Geschäftspartnern austauschen können. Das ermöglichen die sogenannten Enterprise File Sync and Share (EFSS)-Lösungen. Darunter verstehen sich On-Premise oder Cloud-basierte Lösungen, die es ermöglichen, Dokumente, Abbildungen, Videos und Dateien über mehrere Geräte, wie Smartphones, Tablets und PCs zu teilen und zu synchronisieren.

Ohne eine Unternehmenslösung für EFSS werden Dokumente meist per E-Mail oder FTP transportiert. Andere Wege sind viel aufwändiger, weil dabei externen Personen Zugang zu den Unternehmensnetzen gewährt werden muss, was vielfältige Administrations- und Sicherheitsaufgaben nach sich zieht. "Wenn Unternehmen keine anwenderfreundliche Lösung bereitstellen, nutzen Mitarbeiter der Bequemlichkeit halber häufig private File-Sharing-Lösungen wie DropBox oder ähnliche Dienste, die in Gratisversionen verfügbar sind, dafür aber keine Sicherheitsstandards bieten, die den Unternehmensstandards entsprechen", erläutert Dr. Steiner, CEO bei SSP Europe.

Lesen Sie zum Thema "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)

Im vergangenen Jahr nutzten laut Forrester (Mobile Workforce Adoption Trends) bereits 22 Prozent der Information-Worker File Sync and Share-Dienste aus der Cloud. 70 Prozent der Dropbox-Nutzer gaben in der Forrester-Umfrage an, dass sie den Dienst sowohl für berufliche als auch für private Zwecke nutzen. Dabei sind die Sicherheitsbedenken bei solchen Cloud-Services mittlerweile weitreichend bekannt. Eine Unternehmenslösung für EFSS ermöglicht dagegen eine höhere Produktivität und effizientere Zusammenarbeit für Mitarbeiter, die mit mehreren Geräten arbeiten und verbessert gleichzeitig die Datensicherheit gegenüber vielen herkömmlichen Methoden zum Datenaustausch wie E-Mail oder FTP. Bereits wenn Mitarbeiter pro Tag nur fünf bis zehn Minuten Zeit einsparen, in denen sie ihre Daten nicht manuell mit ihren Mobilegeräten synchronisieren müssen, steigt die Produktivität des Unternehmens.

"Wichtig bei der Wahl einer Lösung ist es, dass diese den Kontroll-, Compliance- und Managementansprüchen des Unternehmens genügen", betont Dr. Steiner. "Gleichzeitig sollte die Lösung genauso anwenderfreundlich sein, wie die privaten Lösungen, die die Mitarbeiter kennen. Denn nur dann ist eine sofortige Mitarbeiterakzeptanz garantiert und eine Schatten-IT mit sicherheitsgefährdenden Privatlösungen wird verhindert."

Wichtige Kriterien für die Lösungswahl:

>> On-Premise vs. Cloud: Zunächst steht für jedes Unternehmen die Entscheidung an, ob die Lösung On-Premise, Cloud-basiert oder eine Hybridlösung sein soll.

>> Sicherheit: Dazu gehören der Standort der Rechenzentren genauso wie eine umfassende Verschlüsselung bei der Datenübertragung und -speicherung auf Geräten und Servern. Idealerweise sollte der Anbieter der Lösung und Infrastruktur keinen Zugriff auf die Daten haben (Zero Knowledge). Ausgereifte Produkte sorgen dafür, dass Dateien, die die Plattform verlassen, verschlüsselt sind und nur autorisierten Personen Zugriff darauf haben. Weitere Sicherheitsfunktionen umfassen Passwortschutz, Schutz vor Datenverlust, Digital Rights Management (DRM), Zugangs-Tracking und -Reporting sowie Audit und Compliance-Unterstützung. Sind diese Funktionen vorhanden, dann erfüllen auch Cloud-Lösungen höchste Sicherheitsansprüche.

>> Benutzerfreundlichkeit: Dazu gehört die automatisierte Verschlüsselung, der schnelle und unkomplizierte Zugriff auf Informationen, automatisierte Synchronisation von Daten oder weitere anwenderfreundliche Funktionen wie Drag und Drop zur Datenablage.

>> Mobilität: Der einfache und schnelle mobile Zugriff über den Web Browser und/oder eine Mobile-App trägt ebenfalls zur Anwenderfreundlichkeit bei.

>> Funktionen für die Zusammenarbeit: Hierbei sollte beispielsweise die Bearbeitung eines geteilten Dokuments mit nachverfolgbaren Änderungen ermöglicht werden.

>> Firmeneigenes Design: Die moderne EFFS-Lösung sollte auf den ersten Blick als der "Business Account" für Data Exchange erkennbar sein und so schon visuelles Vertrauen schaffen (vergleiche Business-Mailaccount). Dazu gehört nicht nur das Branding des Webclients, sondern auch das aller APPs und Clients. Nicht zu vergessen, dass die Plattform auch mit den richtigen Texten und Mailadressen arbeitet.

>> Administration und Verwaltung: Hier ist eine eindeutige IT-Admin Rolle wichtig. Diese muss die Hoheit über die Lösung und deren Zugriffe (vor allem extern) haben. Im Bestfall sollte es eine Zwischen-Admin-Rolle geben, so dass einfache Konfigurationen oder Zugriffe in der Fachabteilung gesteuert werden können. Nur so sind Konfigurationen schnell möglich und die IT-Abteilung wird dabei entlastet. Eine Active Directory Integration kann optional für große Umgebungen hilfreich sein.

>> Integration: Prüfen sollte man auch, ob die Lösung standardisierte und beschriebene Schnittstellen bietet, so dass beispielsweise Unternehmenssoftware wie CRM, ERP, Warenwirtschaft, Sharepoint etc. angebunden werden können, dies ermöglicht wiederum die effektive Integration in die Unternehmensprozesse.
(SSP Europe: ra)

SSP Europe: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.

So wird mobiles Shopping sicherer RAID erspart kein Backup