Zum Inhalt springen
Der Guide für ein smartes Leben.
Profil
Cloud-Sicherheit

Teamwork in der Wolke

Compliance und geregelte Zugriffsrechte sind die Grundlage für die geschäftliche Zusammenarbeit in der Cloud. Viele Europäische Cloud-Lösungen für einen sicheren Datenaustausch setzen die Anforderungen nach Transparenz und Sicherheit in der Wolke konsequent um.

Autor: Business & IT • 17.3.2014 • ca. 5:45 Min

Rückenwind für die Cloud
Rückenwind für die Cloud
© Melpomene - Fotolia.com

Cloud Compliance, die damit einhergehende Effizienzsteigerung und eine mobile Arbeitsweise sorgen für eine standortübergreifende Zusammenarbeit mit einem Höchtmaß an Datenschutz. Ein medienbruchfreier und mobiler Zugriff auf Informationen sind heute Grundvoraussetzungen, die die Unternehmens-I...

Cloud Compliance, die damit einhergehende Effizienzsteigerung und eine mobile Arbeitsweise sorgen für eine standortübergreifende Zusammenarbeit mit einem Höchtmaß an Datenschutz.

Ein medienbruchfreier und mobiler Zugriff auf Informationen sind heute Grundvoraussetzungen, die die Unternehmens-IT erfüllen muss. Cloud Computing bedient diese Erfordernisse und ist für viele Unternehmen die logische Folge, hin zu einer modernen und flexiblen IT-Landschaft. Wer nun in eine Cloud-Lösung investiert, sieht sich zwangsläufig mit den Themen Compliance und Zugriffsrechte konfrontiert.

Aber wer ist eigentlich für den Schutz sensibler oder vertraulicher Daten in einer Cloud-Umgebung in erster Linie verantwortlich? Entgegen der weitläufigen Meinung, die Verantwortung liege beim Anbieter, sind die Unternehmen selbst dazu verpflichtet, die Sicherheitsmaßnahmen des Dienstleisters vor der Auftragsvergabe und auch danach regelmäßig zu überprüfen. Aus Sicht des Datenschutzrechts stellt Cloud Computing in der Regel eine Form der Auftragsdatenverarbeitung dar.

Ein sensibler Umgang der Unternehmen mit Cloud Computing ist erforderlich, handelt es sich doch um Datenspeicherung außer Haus. Der mögliche Kontrollverlust über die eigenen Daten, die Unkenntnis darüber, wo sich die Daten befinden und die Schwierigkeiten, die gesetzlichen Compliance-Vorgaben nachweisbar umzusetzen, bereiten Unternehmen häufig Schwierigkeiten.

Potenzieller Kontrollverlust

Kontrollverlust von Firmendaten kann passieren, wenn ein Mitarbeiter Daten vom eigenen Arbeitsplatz ins Internet hinausschickt. Ist die Information erst einmal per Mail abgesendet, hat die IT-Abteilung keine Chance mehr, sie wieder zurückzuholen, und sie kann nicht kontrollieren, wer darauf Zugriff hat. Bei der Firmenzusammenarbeit über eine Cloud-Plattform besteht zudem die Gefahr der unkontrollierten Datenweitergabe. Vor allem dann, wenn die Authentisierung zum Cloud-Dienst mangelhaft ist.

Dabei kann die Cloud-Plattform noch so sehr geschützt und die Zugriffsberechtigungen perfekt durchdacht sein oder sich die Rechenzentren für die Datenspeicherung in rechtlich gut abgesicherten Ländern befinden - solange die Authentifizierungsvorgaben durchschnittlich sind, bleibt ein hohes Sicherheitsrisiko. Die Schwachstelle ist oft schon ein Zugriff, der nur mit einem Benutzernamen und einem Passwort geschützt ist.

Doch wie kann man dem Kontrollverlust der eigenen Daten vorbeugen? Bei der Wahl des Cloud-Anbieters, der idealerweise seine Rechenzentren und die Datenspeicherung in Europa betreibt, sollte bei der Anmeldung zumindest eine Zwei-Faktor-Authentifizierung (zusätzliche Abfrage eines "Mobile PIN" oder mit "Digitaler Identität") Anwendung finden. Zudem sind etwaige Ausstiegsszenarien nicht außer Acht zu lassen. So muss etwa bei einem Anbieterwechsel geklärt sein, dass die Daten vollständiges Eigentum des Unternehmens bleiben und auch gelöscht werden können.

Sicherer und kontrollierbarer Datenaustausch

In Zeiten von Clouds und Bring Your Own Device (BYOD) reicht eine Firewall allein zum Schutz sensibler Daten nicht mehr aus. Ein Cloud-Anbieter muss auf seiner Collaborations-Plattform den sicheren und kontrollierbaren Austausch von Daten gewährleisten - auch über mobile Geräte.

Die firmeneigene IT-Abteilung erarbeitet gemeinsam mit einem vertrauenswürdigen Cloud-Anbieter eine Cloud-Lösung, um so allen Mitarbeitern einen gesicherten Zugang auf Firmendaten zu ermöglichen. Ein Alleingang der Fachbereiche und der Mitarbeiter sollte vermieden werden, da dies ein enormes Sicherheitsrisiko durch eine schlechte Wahl der Cloud-Plattform oder unzureichende Sicherheitseinstellungen - vor allem auf mobilen Geräten - darstellt.

Mit dem richtigen Anbieter schützen Cloud-Nutzer ihre Daten auf höchstem Niveau. Mit einer speziell für Unternehmen zugeschnittenen Cloud-basierten Collaboration-Plattform haben Administratoren jederzeit und mit überschaubarem Aufwand die Kontrolle über Unternehmensdaten. Sie erfüllen dadurch Compliance-Anforderungen und gewährleisten eine revisionssichere Archivierung.

Auch der Nachweis, wer wann, wie lange und auf welche Daten zugegriffen hat, ist dokumentiert. Darüber hinaus werden Möglichkeiten für Zugriffskontrollen und flexible Zugriffsrechte im Rahmen einer individuellen Rechtevergabe für registrierte Benutzer aufgeführt. Idealerweise werden die Services des Anbieters über Standardschnittstellen (WebDAV, CMIS, SOAP) in bestehende IT-Systeme direkt und effektiv eingebunden. Kunden sollten in der Cloud auch Geschäftsprozesse abbilden und ausführen können, welche an ihre individuellen Abläufe und Bedürfnisse angepasst sind. So ziehen sie maximalen Nutzen aus dem Cloud-Dienst.

Drei Säulen für erfolgreiche B2B-Collaboration

Eine erfolgreiche Business-to-Business-Collaboration in der Cloud gründet sich auf drei Sicherheitssäulen, über die der Cloud-Anbieter Unternehmen optimal in Fragen der Datensicherheit unterstützen kann:

  • Land der Datenspeicherung
  • Compliance-Vorgaben
  • Zugriffsrechte und Zugriffssicherheit

Regionale Versorgungssicherheit und Unabhängigkeit von Cloud-Diensten außerhalb Deutschlands beziehungsweise Europas fördern die Sicherheit der gespeicherten Daten und den geschützten Zugriff. Die geschäftlichen Daten und Dokumente bleiben in Deutschland oder in einem Land der Europäischen Union und unterliegen den europäischen Richtlinien für Datenschutz und Datensicherheit. Manche Cloud-Anbieter geben dem Kunden die Wahlfreiheit, wo der Speicherort der Daten liegen soll.

Der Begriff Compliance bedeutet, Ablaufprozesse zu modellieren und Prozesse nachvollziehbar zu machen. Eine oft gelebte Arbeitsweise in der Zusammenarbeit innerhalb und außerhalb eines Unternehmens ist ein reger Mailverkehr. Die Information verliert sich in den E-Mail-Postfächern der verantwortlichen Personen. Im schlimmsten Fall werden diese Informationen durch Krankenstände oder Personalwechsel regelrecht begraben.

Aber auch bei normalem Betrieb erschwert ein "E-Mail-Postfach-Ablagesystem" die Arbeit deutlich. Der letzte Stand eines Dokuments ist auf den ersten Blick nicht ersichtlich, es ist nicht nachvollziehbar, wer wann welche Änderungen gemacht hat und gerade bei länger zurückliegenden Ereignissen haben die betroffenen Personen oft die dazugehörigen Mails bereits gelöscht. Alles in allem keine zufriedenstellende Lösung.

Cloud Compliance bezeichnet die nachweisliche Einhaltung von Regeln zur Nutzung oder Bereitstellung von Cloud Computing. Damit können beispielsweise die Abläufe der Freigabeprozesse automatisiert werden. Auch Jahre später ist noch nachvollziehbar, wer wofür verantwortlich war und wie lange etwas gedauert hat.

Wer war wann wofür verantwortlich?

Die wichtige Information verkümmert nicht in E-Mail-Postfächern, sondern ist auf einem Blick beispielsweise im Kontext eines Projekts oder eine Geschäftsbeziehung ersichtlich. Mittels Cloud Compliance leitet ein Unternehmen sein Wissen zielgerichtet und ohne Streuungsverlust. Zudem können Geschäftsprozesse modelliert und ausgeführt werden, was wiederum zu einer Effizienzsteigerung im Unternehmen führt.

Ein zusätzliches Feature, das zum Beispiel die Europäische Business Cloud von Fabasoft anbietet, sind Wasserzeichen. Diese gewährleisten die Nachvollziehbarkeit und Transparenz bei der Zusammenarbeit. Wasserzeichen hinterlegen die Daten zum Benutzer, der das Dokument abruft, sowie das Datum und eine Kennung. So ist nachvollziehbar, wer wann welches Dokument aus der Cloud entfernt, gedruckt oder versendet hat. Zusätzliche PDF-Security-Einstellungen können das Ausdrucken oder Kopieren gänzlich unterbinden.

Damit können gesetzliche Compliance-Anforderungen vollständig umgesetzt werden. Der Cloud-Anbieter sollte dem Unternehmen bei der Umsetzung und der nachvollziehbaren Erfüllung der konkreten Compliance-Anforderungen zur Seite stehen, damit die Konformität mit gesetzlichen Vorgaben, branchen- und industriespezifischen Normen und Standards sowie internen Richtlinien gewährleistet ist.

Exakt definierte Zugriffsrechte und -sicherheit

Noch einfacher funktioniert die B2BCollaboration, wenn die Cloud-Lösung für Content-Sharing optimiert ist. Die Zusammenarbeit zwischen Geschäftspartnern erfolgt so auf Basis von Teamrooms, in denen rollenbasierte Zugriffsrechte vergeben werden. Dort werden auch die Dokumente abgelegt. Mitglieder erhalten individuelle Zugriffsrechte und können - je nach Berechtigung - Dokumente nur lesen oder auch bearbeiten. Die maßgeschneiderte Rechtevergabe unterstützt Compliance-Anforderungen zusätzlich, da schon im Vorfeld definiert ist, wer Dokumente ändern darf.

In Europa ist der Schutz der Daten in der Cloud ein zentrales Grundbedürfnis. Das betrifft besonders den geschützten Zugang zu Cloud-Daten (Login). Neben der Anmeldung mit Login-Name und Passwort sorgt die schon erwähnte Zwei-Faktor-Authentifizierung für noch höhere Sicherheit bei der Anmeldung.

Die Nutzung von digitalen Identitäten, wie dem elektronischen Personalausweis, der österreichischen Bürgerkarte oder der Swiss ID, kann den Zugang zu Geschäftsdokumenten nachhaltig schützen, und die Gewissheit schaffen, dass Geschäftspartner in der Cloud nicht mit gefälschten Identitäten zusammenarbeiten.

Zusätzlich besteht die Möglichkeit, sich mit einem Active-Directory-Account einzuloggen. Dies erlaubt eine sichere und einfach zu verwaltende Integration in die firmeneigenen IT-Sicherheitsinfrastrukturen. Unternehmen sollten abwägen, welchem Provider sie ihre Daten in der Cloud anvertrauen. Nur durch die Wahl eines seriösen und geprüften Cloud-Anbieters steht ihnen ein hochverfügbarer, kostensparender und sicherer Cloud-Dienst zur Verfügung.

Fazit

Geht ein Unternehmen mit der Datenhaltung in der Cloud sensibel um und beachtet Empfehlungen zu Datenspeicherung, Collaboration und Zugriffsrechten, kann es die Effizienz deutlich steigern. In einem immer schneller agierenden Business-Umfeld ist geschäftliche Zusammenarbeit über Unternehmens- und Ländergrenzen hinweg bereits Alltag. Die Herausforderung derzeit: B2B-Collaboration noch sicherer zu machen und Compliance-Anforderungen noch stärker umzusetzen.

Nächste passende Artikel
Online_Haufe-Gef-hrdungsbeurteilung_Packshot-3D_rechtsgedreht
Business-Cloud-Dienst Im Test: Das Cloud-Angebot Haufe Gefährdungsbeurteilung
90,0%
Online_Haufe-Onboarding_Einklinker
Online-Fachinformationssystem Der Cloud-Dienst Haufe Onboarding im Test
96,0%
Buchhaltungskomplettlösungen im Test: Software & Cloud-Dienste
Kaufmännische Komplettlösungen Buchhaltungskomplettlösungen im Test: Software & Cloud-Dienste
Der Passwort-Diebstahl der CyberVor-Hacker macht sich bemerkbar.
Cloud-Dienst Shadow: 500.000 Kundendaten gestohlen und zum Verkauf angeboten
Cloud-Speicher
Cloud-Speicher OneDrive und Dropbox: Schluss mit unendlichem Business-Speicherplatz
Lupus-mobilfunkrauchmelder
Vernetzter Rauchmelder mit eigener Cloud-Anbindung LUPUS Mobilfunkrauchmelder im Test: Komfortabler Wächter
Apps für NAS-Systeme: Wir geben Tuning-Tipps für Netzwerkfestplatten.
Sicherheit Western Digital: Kein Cloud-Zugang mehr bei veralteter Firmware
Online_Haufe-X360_Einklinker_Devices
Unternehmens-Software Haufe X360, die Unternehmens-Software aus der Cloud im Test.
94,0%
Mehr zum Thema
Europa,IT-Netzwerk,Sicherheit
EU-Report Netzwerk-Sicherheit als EU-Vorgabe
image.jpg
Verordnungen für den PC Ergonomie-Richtlinien am Arbeitsplatz
lassedesignen - Fotolia.com
IT-Strategien Unerschöpflicher Datenfluss
apops - Fotolia.com
IT-Strategien Video wird zum Standard
Weiter zur Startseite