Leitfaden von CTERA Networks

Der Umgang mit sich ändernden Cloud-Sicherheitsbedrohungen

| Autor / Redakteur: Tom Grave* / Florian Karlstetter

Ein Leitfaden für sicheres Filesharing.
Ein Leitfaden für sicheres Filesharing. (Bild: gemeinfrei (HypnoArt / pixabay) / CC0)

Die IT befindet sich in einer ernsthaften Zwickmühle, wenn es um File Sharing geht. Auf der einen Seite steht die Corporate Governance mit dem Ziel, das Unternehmen bestmöglich zu schützen und Cyberangriffe zu verhindern. Auf der anderen Seite befinden sich die Endbenutzer, die effizienter – also gemeinsam – arbeiten möchte, indem sie ihre Dateien einfach teilen und speichern können.

Die beste Lösung ist wie so oft der goldene Mittelweg. Die Unternehmen müssen das richtige Gleichgewicht zwischen Sicherheit und Governance auf der einen Seite und den Bedürfnissen der Mitarbeiter auf der anderen Seite finden. Um beim Speichern oder Teilen von Dateien die Sicherheit in der Cloud zu gewährleisten, müssen die Unternehmen End-to-End-Verschlüsselung verwenden, die Kontrolle über den Speicherort ihrer Daten haben, interne und externe Mitarbeiter authentifizieren und eine gute Benutzererfahrung sicherstellen können.

Der erste wichtige Aspekt ist die End-to-End-Verschlüsselung. Sie kann nur erfolgreich sein, wenn sie latenzfrei ist und so die Leistung nicht beeinträchtigt. Außerdem muss das Unternehmen die Kontrolle über die Schlüssel haben, um die Verschlüsselung wirklich sicher zu gestalten.

Obwohl viele Unternehmen es schätzen, wenn ihr Service-Provider die Sicherheitsschlüssel verwaltet, weil ihnen das Arbeit abnimmt, hat diese Strategie doch recht viele Nachteile. Ein Drittanbieter kann unter Umständen verpflichtet werden, die Daten einer Behörde offenzulegen, wodurch die Kontrolle über die Dokumente verloren geht.

Gibt es eine Möglichkeit, diesen Kontrollverlust zu verhindern? Eine Möglichkeit ist es, nur dem Eigentümer der Verschlüsselungscodes zu erlauben, die Schlüssel in der öffentlichen Cloud zu entschlüsseln. Mit diesem Modell behalten sie die Kontrolle über die Hardware und die Schlüssel.

Eine weitere Möglichkeit ist es, die Hardware vor Ort zu haben. Dadurch bleiben die Daten und Metadaten im eigenen Rechenzentrum, was besonders attraktiv für Unternehmen ist, für die Sicherheit von höchster Priorität ist.

Zusammengefasst lässt sich also sagen, dass jede Organisation sich für eine Strategie entscheiden sollte, die sich am besten an ihre Bedürfnisse anpasst. Während es einige Unternehmen aufgrund ihrer Größe und der Flexibilität bei Änderungen des Geschäftsmodells vorziehen, die Kontrolle über die Schlüssel zu behalten, haben andere kein Problem damit, die Kontrolle abzugeben. Diese Strategie wird daher durch das erforderlichen Maß an Kontrolle und Anpassungsfähigkeit definiert.

Speicherort der Daten

Der zweite Faktor ist die absolute Kontrolle über den Speicherort der Daten; das ist etwas, das keine Organisation ausklammern darf. Durch die immer zahlreicher werdenden Vorschriften auf nationaler und regionaler Ebene wird der Speicherort von Daten immer wichtiger.

Diese Thematik steht vor allem in Europa und insbesondere in den EU-Mitgliedsstaaten im Vordergrund, obwohl sie auf der ganzen Welt von Bedeutung ist. Zahlreiche internationale Unternehmen möchten eine einzige Lösung implementieren und sie zum Standard machen. Die Erfüllung internationaler Gesetze ist für Unternehmen mit Niederlassungen in unterschiedlichen Regionen der Welt ein Muss. Ein US-amerikanisches Unternehmen mit Niederlassungen in Europa muss daher sowohl die US-amerikanischen als auch die europäischen Gesetze erfüllen. In den USA selbst können zudem die Gesetze von Staat zu Staat unterschiedlich sein. In Europa müssen in einigen Ländern die Daten in dem Land gespeichert werden, in dem sie erstellt wurden.

Und um die Sache noch komplizierter zu machen, müssen unterschiedliche Datenarten auch noch auf unterschiedliche Art und Weise gehostet und gespeichert werden. Ein Unternehmen braucht daher möglicherweise zwei Lösungen oder nur eine, die ihm die Einhaltung der Gesetze für alle Datentypen ermöglicht.

Da die Vorschriften häufig geändert werden, sollten die Unternehmen die Kontrolle über die Datenspeicherung und den Speicherort nicht abgeben. Die Fähigkeit, sich an neue Vorschriften anzupassen, kann nur von Vorteil für Unternehmen sein. Die mögliche Änderung von Vorschriften muss sorgfältig geprüft und in die strategische Planung aufgenommen werden, um sich einen gewissen Spielraum für neue Umstände zu bewahren.

Authentifizierung

Ein dritter Faktor ist die erweiterte Authentifizierung von internen Mitarbeitern. Die Zwei-Faktor-Authentifizierung ist eine gute Lösung, um das Risiko von gehackten Passwörtern so gering wie möglich zu halten. Viele Benutzer verwenden immer das gleiche Passwort oder sehr ähnliche Passwörter, was es Hackern und Angreifern sehr leicht macht, sie zu knacken. Um diese Schwachstelle zu eliminieren, ist die Zwei-Faktor- oder Mulit-Faktor-Authentifizierung ein Muss.

Der vierte Faktor ist die Authentifizierung von externen Mitarbeitern. Dieser Authentifizierung birgt inhärente Risiken. Natürlich ist es im Rahmen des normalen Geschäftsablaufs unumgänglich, Daten mit externen Partnern, Lieferanten und Kunden zu teilen. Die IT muss jedoch kontrollieren können, was mit wem und wie geteilt wird. Zudem muss die IT wissen, wie lange Daten freigegeben werden sollen, und sie muss die Freigabeberechtigungen kontrollieren und bei Bedarf wieder aufheben können. Es gibt viele Beispiele für Sicherheitsrisiken, die durch die Freigabe von Daten und den Zugriff auf Dateien entstehen können. Ein Beispiel sind die Teilnehmer eines Webinars, die über fünf Jahre hinweg Zugriff auf einen gemeinsamen Unternehmensordner hatten. Während dieses Zeitraums hat der Eigentümer des Unternehmens gewechselt, aber die Zugriffsmöglichkeit auf die freigegebenen Informationen hatte sich nicht geändert.

Der Grund für die hohe Bedeutung dieses Faktors ist das Risiko, dass geistiges Eigentum ungewollt Dritten offengelegt wird. Bei der gemeinsamen Arbeit mit Dritten an Projekten werden regelmäßig Daten ausgetauscht. Dafür benötigt man aber Sicherheitsmaßnahmen, damit alle Beteiligten wissen, wer das Recht hat, auf bestimmte Informationen zuzugreifen oder sie zu teilen, und wie die Zugriffsbedingungen lauten. Die IT muss die richtigen Tools bereitstellen, damit auch Einzelpersonen die Berechtigungen verwalten können. Die Aufgabe des Sicherheitsteams ist es, jederzeit zu wissen, welche Daten geteilt werden.

Wenn die Zusammenarbeit zwischen internen Mitarbeitern erfolgt, kann man davon ausgehen, dass das Risiko in einem gewissen Maß begrenzt ist, da die Daten die Unternehmensgrenzen nicht verlassen. Heutzutage müssen aber häufig die Anforderungen von externen Partnern wie Selbstständigen, Designern und anderen erfüllt werden, die an ausgelagerten Projekten arbeiten.

Für die IT stellt es eine große Herausforderung dar, die Vertraulichkeit und Integrität von Daten sicherzustellen, die sich nicht unter ihrer Kontrolle befinden. Zu diesem Zweck müssen Unternehmen lückenlose Authentifizierungsrichtlinien für Partner umsetzen und den vollen Überblick über die gewährten Berechtigungen behalten.

Die Wahl des richtigen File Sharing Service

Der letzte Faktor ist das Risiko von benutzerfreundlichen File Sharing Services, die die vertraulichen und sensiblen Daten einer Organisation gefährden. Die vermehrte Zusammenarbeit und neue Verhaltensmuster bei Mitarbeitern können schwerwiegende Folgen für Unternehmen haben. Es muss attraktive Vorteile die Verwendung von sicheren, vom Unternehmen kontrollierten File Sharing Services geben, damit die Benutzer sich von ihrer aktuell verwendeten Methode abwenden.

Den Benutzern stehen immer bequeme File Sharing Services wie Google Drive und Dropbox zur Verfügung. Sie ermöglichen es ihnen, jederzeit und überall von jedem beliebigen Gerät aus auf Dateien zuzugreifen und Änderungen in Echtzeit vorzunehmen. Für die Unternehmen besteht die Herausforderung darin, interne Datei-Synchronisierungstools und relevante Richtlinien zu implementieren, bevor die Benutzer beginnen, unerwünschte Lösungen zu verwenden.

Doch das ist nur die halbe Lösung. Die Unternehmen müssen daran denken, dass File Sharing nur ein Teil der gesamten Herausforderung ist, die, wenn nicht angegangen, langfristig zu Problemen führen wird. Benötigt wird eine Lösung, die die umfassende sichere Zusammenarbeit am Arbeitsplatz ermöglicht.

Es ist grundlegend, dass die Benutzererfahrung ebenso gut wie die von anderen Services wie Google Drive ist. Wenn das nicht der Fall ist, wollen die Benutzer schlichtweg nicht wechseln. Die Erwartungen der Benutzer an File Sharing Services müssen einfach erfüllt werden, damit sie auf die sichereren Plattformen umsteigen.

Bei der Entwicklung einer File Sharing Strategie in Kombination mit der Einrichtung von virtuellen Desktops ist es logisch, dass die Benutzererfahrung besser als die Laptop-Erfahrung sein muss, damit das Projekt erfolgreich sein kann. Im Bereich des File Sharings muss die Strategie die von den Benutzern erwarteten Standards erfüllen. Eine Möglichkeit dafür ist es, mehr Funktionen bereitzustellen.

Tom Grave ist Senior Vice President Marketing bei CTERA Networks.
Tom Grave ist Senior Vice President Marketing bei CTERA Networks. (Bild: Rick Bern Photography / CTERA Networks)

Eine bewährte Technik ist schnelles File Sharing mit Datensicherung und Backup, das gleichzeitig die Arbeit an Remote Offices und Zweigstellen ermöglicht. Dadurch werden beide Ziele erreicht – Einrichten einer sicheren Umgebung für das Unternehmen und eine ausgezeichnete Benutzererfahrung.

Zusammengefasst lässt sich sagen, dass die hier beschriebenen Techniken grundlegende Komponenten für die absolute Sicherheit in der Cloud sind. Sie ermöglichen es der IT, ihre Aufgaben effektiv wahrzunehmen und die Geschäftskontinuität zu gewährleisten.

*Der Autor: Tom Grave ist Senior Vice President Marketing bei CTERA Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44941736 / Content Management)