Im Test: Dracoon Enterprise Cloud

Sicherer Cloudspeicher aus Deutschland

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Dracoon-Lösung bietet einen sicheren Cloudspeicher mit großem Funktionsumfang und leistungsfähigen Clients aus Deutschland.
Dracoon-Lösung bietet einen sicheren Cloudspeicher mit großem Funktionsumfang und leistungsfähigen Clients aus Deutschland. (Bild: Pixabay / CC0)

Dracoon bietet einen sicheren Cloudspeicher für Unternehmen an. Bei der Lösung des deutschen Anbieters werden die Daten auch client-seitig verschlüsselt. Das bedeutet, dass sämtliche Daten überall – auf dem Client, auf dem Server und im Transport – sicher sind. Somit kann nicht einmal Dracoon als Hersteller auf gespeicherte Kundendaten zugreifen. Das IAIT-Testlabor hat die Funktionen des Produkts unter die Lupe genommen.

Der Cloudspeicher von Dracoon wurde speziell auf die Anforderungen von Unternehmen zugeschnitten. Deswegen gibt es nicht nur die Option, sämtliche Daten sicher zu verschlüsseln, sondern das System bietet auch ein komplett eigenes Branding mit eigener URL und einem eigenen Design an. Zum Leistungsumfang gehören außerdem umfassende Administrationsfunktionen, die eine Vielzahl von Anwendungsszenarien abdecken. So lassen sich beispielsweise sogenannte Datenräume einrichten, auf die nur bestimmte Anwender Zugriff haben. Innerhalb dieser Räume ist es auch möglich, den Benutzern wiederum nur bestimmte Rechte zuzugestehen und Datenräume innerhalb von Datenräumen zu erzeugen. In der Praxis könnte man so beispielsweise dem Anwender „Andreas“, der in der Buchhaltung arbeitet, im Datenraum „Buchhaltung“ volle Schreib- und Leserechte auf alle Dateien (oder untergeordneten Datenräume) geben, ihm gleichzeitig im Datenraum der IT-Abteilung aber nur Leserechte auf den Sub-Datenraum „Rechnungen“ einräumen.

Interessant ist vor allem, dass die Dracoon-Lösung ohne zentralen Administrator auskommt. Der Anwender, der das Konto anlegt und die ersten Datenräume erzeugt, hat zwar zu Beginn Zugriff auf alle Daten, die im Cloudspeicher vorhanden sind, er kann aber andere User zu Administratoren der einzelnen Datenräume ernennen. Sobald diese Administratorrechte in ihren Datenräumen erlangt haben, besteht die Möglichkeit, dem ersten Administrator die Rechte zum Zugriff auf diese Datenräume zu entziehen und so dafür zu sorgen, dass immer nur die Mitarbeiter die Daten einsehen und modifizieren können, die das auch wirklich müssen, um ihre Arbeit zu erledigen. Diese Funktionalität vermeidet, dass die IT-Abteilung immer auf alles zugreifen kann, was im Unternehmen verfügbar ist.

Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im am Ende des Artikels verlinkten PDF-Dokument.

Verfügbare Benutzerrollen

Konkret unterscheidet Dracoon zwischen fünf verschiedenen Verwaltungsrollen, die vergeben beziehungsweise Benutzern zugewiesen werden können. Beispielsweise darf der „Konfigurationsmanager“ die Systemeinstellungen ändern, während der „Benutzermanager“ die Möglichkeit hat, weitere Benutzer anzulegen.

Die „Datenraumadministratoren“ wiederum verwalten die Rechte und Benutzer innerhalb der Datenräume, während die „Datenraum-User“, je nach den ihnen zugewiesenen Rechten, Daten hochladen, löschen und versenden können. Das gleiche gilt für die Erstellung von Down- und Upload-Links. Die letztgenannten Rechte haben alle Administratorkonten sowieso. Darüber hinaus können externe Benutzer via Down- und Upload-Freigaben temporär auf Datenräume zugreifen.

Verschlüsselung und Zugriffsoptionen

Insgesamt unterscheidet Dracoon zwischen der Verschlüsselung auf dem Client, auf dem Server und während des Transports. Während der Server und der Transport immer verschlüsselt sind, muss die client-seitige Verschlüsselung manuell aktiviert werden. Um DSGVO-konform zu agieren, sollten personenbezogene Daten übrigens immer client-seitig verschlüsselt sein.

Der Zugriff auf den Cloudspeicher ist auf eine Vielzahl unterschiedlicher Wege möglich. Neben der Web-Anwendung, die via Internet zur sicheren Steuerung der Lösung dient und die auch den Up- und Download von Dateien ermöglicht, stehen Clients für die Desktop-Betriebssysteme MacOS (ab Version 10.8.3) und Windows (ab Windows 7) sowie die mobilen Betriebssysteme Android (seit Version 4.1) und iOS (ab Version 9.3) in Form einer eigenen App zur Verfügung. Darüber hinaus können die IT-Verantwortlichen Dracoon in ihre Active Directory-Umgebung integrieren und ein JSON/REST-API unterstützt die Anbindung von Drittlösungen wie SharePoint und ähnlichem.

Weitere Funktionen

Neben den bereits genannten Features bietet Dracoon auch ein Outlook-Add-In an, mit dem sich die Zustellung von Mail-Anhängen absichern lässt. Ebenfalls von Interesse sind die Dateiversionierung und das Reporting-Tool, darauf gehen wir später im Detail noch genauer ein.

Der Test

Für unseren Test verwendeten wir die kostenlose Free-Variante von Dracoon, die alle Funktionen (außer den Branding-Features) umfasst, zeitlich nicht beschränkt ist und als einzige Einschränkung das Speicherplatzvolumen auf – für ein Gratisangebot recht großzügige – zehn GByte und die Nutzerzahl auf zehn beschränkt. Um dieses Angebot zu nutzen, muss man als Anwender lediglich auf der Website des Herstellers einen Account anlegen, anschließend kann man sofort loslegen.

Neben dem Gratisangebot hat Dracoon auch noch diverse kostenpflichtige Enterprise-Varianten im Angebot: Bei der „Cloud-Unternehmenslösung“ werden die Daten in zertifizierten Dracoon-Rechenzentren mit unbegrenztem Datenvolumen gespeichert. Diese Variante greift ab 50 Usern. Bei der „Hybrid-Lösung“, die ebenfalls ab 50 Benutzern verfügbar ist, wird Dracoon aus der Cloud betrieben. Die Dateien speichert das System in diesem Fall im eigenen Rechenzentrum des Kunden. Die „On-Premises-Version“ hingegen ermöglicht ab 100 Usern die Installation und den Betrieb der Dracoon-Lösung im eigenen Rechenzentrum des Kunden.

Nachdem wir unseren Account eingerichtet hatten, legten wir erst einmal diverse Benutzerkonten an, erzeugten Datenräume, vergaben Rechte und überprüften, ob sich das System im Betrieb so verhielt, wie erwartet. Anschließend installierten wir auf diversen Rechnern unter Windows 10 den Windows-Client und nutzten diesen, um damit automatisch den Cloudspeicher zwischen diesen Clients zu synchronisieren. Danach verwendeten wir Smartphones unter Android 7 und 8, um mit Hilfe des Android-Clients mobil auf unsere Daten zuzugreifen. Unter iOS nutzten wir zu diesem Zweck diverse iPads. Außerdem nahmen wir auch noch die Funktionalität des Outlook-Add-Ins und des Reporting-Tools unter die Lupe.

Datenräume und Benutzer verwalten

Nach dem Anlegen unseres Test-Accounts machten wir uns – wie eben gesagt – daran, diverse Benutzerkonten sowie Datenräume einzurichten und darauf unterschiedliche Rechte zu vergeben. Das alles geht verhältnismäßig einfach über die Menüleiste des Konfigurationswerkzeugs und die Einträge „Benutzer & Gruppen“ sowie „Datenräume verwalten“. Soll die client-seitige Verschlüsselung für die lokale Verschlüsselung der Daten zum Einsatz kommen, so muss diese zunächst unter „Einstellungen“ aktiviert werden. Dazu müssen die zuständigen Mitarbeiter erst einmal ein System-Notfall-Kennwort definieren, mit dem sich Daten entschlüsseln lassen, wenn ein Benutzer eines Raums sein persönliches Entschlüsselungskennwort vergessen hat. Sobald das geschehen ist, erzeugt das System das Schlüsselpaar und die client-seitige Verschlüsselung wird aktiv. Anschließend müssen die Benutzer, die diese Technologie nutzen wollen, auf der Startseite noch ein persönliches Entschlüsselungskennwort festlegen, danach lässt sich die clientseitige Verschlüsselung für die vorhandenen Datenräume nutzen.

Benutzerrechte & dezentrale Administration

Bei den Benutzerrechten unterscheidet das System zwischen den Rollen „Auditor“, der das Audit-Log einsehen kann, in dem die Nutzeraktivitäten protokolliert werden und der dazu in der Lage ist, mit dem Recherche-Tool Auswertungen vorzunehmen und „Raummanagern“, die alle Datenräume der obersten Ebene verwalten. Sie haben dabei die Möglichkeit, Räume anzulegen, zu löschen, umzubenennen und Quotas zu vergeben. Das Recht, auf die Inhalte der Räume zuzugreifen, erhalten sie allerdings nur dann, wenn ein entsprechender Raum-Administrator das zulässt.

Außerdem gibt es noch die Rechte „Benutzermanager“ und „Gruppenmanager“ zum Verwalten von Benutzerkonten und Gruppen. „Konfigurationsmanager“ können die Systemeinstellungen einsehen und modifizieren und „Alle Rollen“ erklärt sich selbst.

Ransomware-Schutz durch Papierkorbfunktion

Der aktivierbare Papierkorb eignet sich übrigens hervorragend zur Abwehr von Ransomware-Angriffen. Befällt eine solche Malware einen Client, so verschlüsselt sie zwar auch die Daten in einem angebundenen Dracoon-Webspace, diese lassen sich aber jederzeit unversehrt aus dem Papierkorb wiederherstellen. Die Rechte, die für den Papierkorb des Datenraums vergeben werden können, umfassen dabei die Funktionen „Leeren“, „Inhalte wiederherstellen“ und „Frühere Dateiversionen einsehen“.

Der Client für Windows

Nachdem wir unsere Benutzerkonten mit ihren Rechten und den Datenräumen entsprechend unserer Wünsche eingerichtet hatten, installierten wir auf diversen Windows 10-Rechnern den Windows-Client und luden diverse Dateien von einem Rechner aus auf den Dracoon-Speicher hoch. Wie erwartet wurden die Daten dann auf die anderen Rechner synchronisiert und die Client-Software verhielt sich ähnlich wie von anderen Diensten, wie Dropbox oder Box her, bekannt.

Die Apps für Android und iOS

Im nächsten Schritt installierten wir noch die Client-Programme für Android und iOS auf entsprechenden Endgeräten und konnten dort ebenfalls die Daten auf unserem Dracoon-Speicher nutzen. Der Zugriff auf client-seitig verschlüsselte Ordner funktionierte auf allen Client-Systemen problemlos, genau wie die Arbeit mit den hochgeladenen Daten. Auch bei der Arbeit mit den Zugriffsrechten, den Benutzerkonten und den Gruppen kam es zu keinen Überraschungen und alles verhielt sich wie erwartet.

Das Outlook-Add-In und das Reporting-Tool

Gehen wir zum Schluss noch kurz auf die weiteren Features der Lösung ein. Das Outlook-Add-In hilft den Anwendern, den Versand von Dateianhängen via E-Mail sicherer zu gestalten. Dazu trennt es nach seiner Installation die Anlagen von den Mails ab, lädt sie in einen dafür festgelegten Ordner in den Dracoon-Speicher und schickt den Empfängern lediglich einen Download-Link, über den sie die Daten herunterladen können. Dieses Verhalten lässt sich bei Bedarf jederzeit deaktivieren.

Nun zum Reporting-Tool: Dieses bietet Nutzern mit Auditor-Rechten einen Überblick über sämtliche Zugriffsrechte innerhalb des Cloudspeichers, die Datenräume und Benutzer und Gruppen. Das Werkzeug hilft darüber hinaus beim Identifizieren von Nutzern mit unerwünschten Rechten und sorgt so für ein Anheben des Sicherheitsniveaus. Die Lösung steht als Web-Anwendung unter reporting.Dracoon.com zur Verfügung. Bei Bedarf lassen sich alle vorhandenen Daten auch als CSV-Dateien exportieren.

Fazit

Die Lösung von Dracoon bietet einen sicheren Cloudspeicher, der sich dank des großen Funktionsumfangs und der leistungsfähigen Clients genauso einfach nutzen lässt wie „traditionelle“ Cloudspeicher US-amerikanischer Anbieter – im Vergleich dazu jedoch mit einem hohen Sicherheitsniveau punktet. Damit stellt die Lösung, nicht zuletzt dank der Vielzahl an Collaboration-Optionen für Mitarbeiter, eine hochinteressante Alternative zu diesen Anbietern dar, insbesondere für europäische Unternehmen, die auf die Vorgaben der DSGVO achten müssen.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Anmerkung: Das unabhängige Testlabor IAIT (Institut zur Analyse von IT-Komponenten) hat diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.

Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im unten verlinkten PDF-Dokument.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45534055 / Content-Security)