Cloud-Speicher für Unternehmensumgebungen

Verschlüsselung, Rechtevergabe und Management im Fokus

| Autor / Redakteur: Dr. Götz Güttich / Dr. Jürgen Ehneß

Gewusst, wie: Enterprise-Funktionen fürs Cloud-Speichern.
Gewusst, wie: Enterprise-Funktionen fürs Cloud-Speichern. (Bild: ©BillionPhotos.com - stock.adobe.com)

Für Cloud-Speicher in Unternehmensumgebungen gibt es Anforderungen, die weit über das hinausgehen, was bei Online-Storage für Privatpersonen nötig ist. In diesem Zusammenhang seien nur die Sicherheit, das Management und das Feature-Set genannt. Dieser Beitrag geht im Detail auf diese Anforderungen ein.

Cloud-Speicher sind aus dem heutigen Arbeitsalltag nicht mehr wegzudenken. Sie lassen sich als zentrales Speichermedium für verteilte Arbeitsgruppen nutzen, dienen zum File-Sharing und zur Collaboration und können sogar unter bestimmten Bedingungen als Remote-Site Teil des Backup-Konzepts eines Unternehmens sein. Damit all das funktioniert, muss aber eine Vielzahl an Anforderungen erfüllt werden.

Zugriffsrechte

Einer der wichtigsten Punkte beim Einsatz eines Cloud-Speichers liegt darin zu klären, welche Anwender Zugriffsrechte auf welche Dateien haben. In diesem Zusammenhang ist es wichtig, dass der Cloud-Speicher Funktionen bereitstellt, die es ermöglichen, Speichereinheiten wie beispielsweise Ordner einzurichten, auf die nur bestimmte Nutzer Zugriff haben. Innerhalb dieser Ordner sollte dann die Möglichkeit bestehen, den einzelnen Anwendern dedizierte Rechte wie „Lesen“, „Schreiben“, „Löschen“ und ähnliches zu geben.

So wäre zum Beispiel ein Szenario denkbar, in dem ein Anwender aus der IT-Abteilung im Ordner „IT-Rechnungen“, der sich innerhalb des Ordners „Buchhaltung“ befindet, Leserechte hat, während ein Mitarbeiter der Buchhaltung in demselben Unterordner alle Rechte besitzt.

Von genauso großer Bedeutung ist es, festzulegen, welche Benutzer überhaupt Rechte auf welche Dateien und Ordner haben. Leistungsfähige Cloud-Speicher kommen ohne zentralen Administrator aus, das heißt, es gibt im ganzen Unternehmen bei richtiger Konfiguration niemanden, der Zugriff auf alle Daten hat. Zu Beginn der Konfiguration des Cloud-Speichers existiert zwar ein Administrator, der die ersten Benutzerkonten und die ersten Ordner anlegt, dieser kann danach aber andere Mitarbeiter, wie beispielsweise die Abteilungsleiter, zu Administratoren der einzelnen (Abteilungs-)Ordner machen.

Anschließend haben diese „Unteradministratoren“ dann die Option, dem ursprünglichen Administrator die Rechte auf „ihre“ Datenräume zu entziehen. Auf diese Weise lassen sich Umgebungen realisieren, in denen immer nur die Anwender Zugriff auf die gespeicherten Informationen haben, die das auch wirklich müssen. Das spielt vor allem beim Bearbeiten sensibler Daten wie Gesundheitsdaten, Gehältern und ähnlichem eine Rolle.

Das Outlook-Plug-in, das in der Ribbon-Leiste oben rechts ein- und ausgeschaltet werden kann, sorgt bei Dracoon-Anwendern dafür, dass keine Attachments mehr unverschlüsselt über das Netz gehen.
Das Outlook-Plug-in, das in der Ribbon-Leiste oben rechts ein- und ausgeschaltet werden kann, sorgt bei Dracoon-Anwendern dafür, dass keine Attachments mehr unverschlüsselt über das Netz gehen. (Bild: Storage-Insider)

Verschlüsselung

Ein ähnlich wichtiges Thema: die Datenverschlüsselung. Bei einem Cloud-Speicher müssen Daten im Idealfall in drei unterschiedlichen Situationen verschlüsselt werden: auf dem Client, auf dem Server und im Transport. Heutzutage bieten die meisten Cloud-Anbieter Verschlüsselung auf dem Server und im Transport, beispielsweise über HTTPS-Anbindungen.

Bei vielen anderen Cloud-Speichern lässt sich die Verschlüsselung an allen drei Orten mit Hilfe von Drittanbieterwerkzeugen wie Boxcryptor oder Open-Source-Tools wie Cryptsync und Cryptomator hinzufügen. Es gibt aber auch Anbieter, wie beispielsweise Dracoon, die eine Komplettlösung aus einer Hand mit Verschlüsselung auf Client und Server sowie im Transport möglich machen. Das kann unter anderem im Zusammenhang mit der DSGVO-Konformität des Speichers eine große Rolle spielen.

Bei Dracoon lassen sich die Benutzerrechte und Einstellungen der einzelnen Ordner sehr genau regeln.
Bei Dracoon lassen sich die Benutzerrechte und Einstellungen der einzelnen Ordner sehr genau regeln. (Bild: Storage-Insider)

Weitere Enterprise-Funktionen

Für viele Unternehmen ist es auch von sehr großer Bedeutung, dass ihr Cloud-Speicher ihre Corporate-Identity widerspiegelt. Deswegen verfügen professionelle Cloud-Storage-Angebote über die Möglichkeit, das Branding an das Design der jeweiligen Organisation anzupassen.

Eine noch größere Rolle spielen aber die Zugriffs-Features zum Nutzen des Speichers. Alle Cloud-Speicher stehen immer über ein HTTPS-verschlüsseltes Web-Interface zur Verfügung. In den meisten Umgebungen ist es aber sinnvoll, darüber hinaus auch vom Client aus direkt auf den Speicher zugreifen zu können, ohne dazu den Umweg über den Browser nehmen zu müssen.

So bieten praktisch alle Hersteller wie Box, Dracoon, Dropbox oder auch Google Drive und Microsoft OneDrive Client-Programme für Windows- und MacOS-Systeme an, die den Cloud-Speicher über lokale Ordner oder Laufwerke einbinden, so dass die Anwender mit den Daten genauso arbeiten, wie wenn sie ausschließlich auf ihrer lokalen Festplatte lägen. Für sichere Umgebungen müssen diese Client-Programme – wie gesagt – dafür sorgen, dass die darin abgelegten Daten auch auf dem lokalen System verschlüsselt werden.

Die Konfigurationsoptionen des Dropbox-Clients für Windows.
Die Konfigurationsoptionen des Dropbox-Clients für Windows. (Bild: Storage-Insider)

Dropbox fällt im Zusammenhang mit der Betriebssystemunterstützung positiv auf. Dieser Pionier im Markt der Cloud-Speicher unterstützt mit seiner Client-Software nicht nur die Betriebssysteme MacOS und Windows, sondern auch Linux. Bei den meisten sonstigen Cloud-Speichern müssen Linux-User auf das Web-Interface oder auf eventuell vorhandene Linux-Bordmittel (letzteres funktioniert beispielsweise bei Google Drive) zurückgreifen.

Mobiler Zugriff

Ebenso wichtig ist heutzutage der Zugriff von mobilen Geräten. Während sich Notebooks in der Regel über dieselben Client-Programme wie Desktop-Systeme in die Umgebung einbinden lassen, müssen für Smartphones und Tablets unter Android und iOS spezielle Client-Lösungen vorhanden sein, die auch in der Lage sein sollten, verschlüsselte Informationen auf den genannten Endpoints nahtlos verfügbar zu machen.

Besonders leistungsfähige Cloud-Speicher lassen sich auch in den Workflow integrieren. So kann beispielsweise ein Outlook-Plug-in dafür sorgen, dass dieser E-Mail-Client Mail-Anhänge nicht mehr unverschlüsselt über das Netz verschickt. Stattdessen trennt das Plug-in die Attachments automatisch von der Mail und lädt sie in einen für den Empfänger zugänglichen Ordner in der Cloud hoch.

Teamarbeit, Datensicherung und mobiles Arbeiten mit Microsofts Cloudspeicher

OneDrive- und OneDrive-for-Business-Funktionen verstehen

Teamarbeit, Datensicherung und mobiles Arbeiten mit Microsofts Cloudspeicher

07.03.19 - Mit Microsoft OneDrive und der professionellen Office-365-Variante OneDrive for Business können Anwender Daten sichern und gleichzeitig freigeben und mobil nutzen. Es lohnt sich, die Möglichkeiten des Dienstes zu verstehen. Wir geben einen Überblick. lesen

Der Empfänger enthält in diesem Fall anstelle des Attachments in der Mail einen Download-Link, über den er den Anhang über eine sichere HTTPS-Verbindung herunterladen kann. Das Schöne an einer solchen Lösung ist, dass das auch mit Empfängern funktioniert, die in der Datenbank des Unternehmens nicht vorhanden sind und die keine besondere Client-Software einsetzen, also mit allen, die ein Mail-Konto haben.

Logs und Berichte

Die Nachvollziehbarkeit der Aktionen, die mit den im Cloud-Speicher abgelegten Daten durchgeführt wurden, hat im Unternehmensumfeld eine besondere Bedeutung. Deswegen muss die Speicherlösung nicht nur loggen, welcher Benutzer wann auf welche Datei zugegriffen und welche Aktionen durchgeführt hat, sondern es muss gleichzeitig sichergestellt werden, dass die verantwortlichen Mitarbeiter dazu in der Lage sind, diese Informationen schnell und einfach zu nutzen.

Deshalb verfügen leistungsfähige Cloud-Speicher über umfassende Analysewerkzeuge, die es den Verantwortlichen ermöglichen, alle relevanten Informationen aus den Logs zu extrahieren und in einer verständlichen Form bereitzustellen. Oft ergibt auch der Einsatz automatischer Reports über die Speichernutzung Sinn, welche die Lösung in regelmäßigen Intervallen mit Hilfe zuvor festgelegter Parameter erstellt und den zuständigen Mitarbeitern beispielsweise per Mail zukommen lässt.

Microsoft One Drive bietet die Option, sämtliche Daten in der Cloud zu belassen und nur die Files auf die Clients herunterzuladen, die gerade benötigt werden.
Microsoft One Drive bietet die Option, sämtliche Daten in der Cloud zu belassen und nur die Files auf die Clients herunterzuladen, die gerade benötigt werden. (Bild: Storage-Insider)

Datenwiederherstellung

Der Umgang mit gelöschten Daten spielt bei der Auswahl eines Cloud-Speichers ebenfalls eine zentrale Rolle. In der Praxis kommt es oft vor, dass ein Anwender aus Versehen Daten löscht oder dass Dateien im Rahmen der Zusammenarbeit mehrerer Mitarbeiter so verändert werden, dass dabei Inhalte verloren gehen, die einem Verantwortlichen, der während der Überarbeitung nicht da war, wichtig sind. In diesem Fall ist es sinnvoll, wenn der Cloud-Speicher über einen Papierkorb verfügt, aus dem sich die Daten wiederherstellen lassen – im Idealfall mit einer Versionsverwaltung, die einen Restore nicht nur der letzten Variante eine Dokuments ermöglicht, sondern auch von Vorgängerversionen, beispielsweise von der vergangenen Woche.

Eine solche Funktion schützt auch effektiv gegen Ransomware-Angriffe. Fängt sich ein Anwender eine Ransomware ein, so verschlüsselt diese zwar die Daten auf seiner Festplatte, und wenn dieser Vorgang unbemerkt bleibt, bis alle Daten in die Cloud hochgeladen wurden, auch die Informationen im Cloud-Speicher. Die Daten im Papierkorb bleiben aber auf jeden Fall unangetastet, so dass ein Unternehmen stets die Möglichkeit hat, wenigstens die vorletzte Version wiederherzustellen.

Das HTTPS-gesicherte Web-Interface des Telekom-Cloud-Speichers „Magentacloud“.
Das HTTPS-gesicherte Web-Interface des Telekom-Cloud-Speichers „Magentacloud“. (Bild: Storage-Insider)

Fazit

Neben den ganzen hier erwähnten Funktionen müssen Entscheider, die nach einem sicheren Cloud-Speicher für ihr Unternehmen suchen, auch noch daran denken, dass es von großer Bedeutung sein kann, wo die Daten gelagert werden. Verfügt ein Anbieter nur über Speicher in den USA, so sind die Daten im Zweifelsfall trotz Verschlüsselung oftmals weniger sicher als in der EU, wo sich die Anbieter an strikte Vorgaben halten müssen. Für viele Anwender könnte auch ein Cloud-Speicher, der On-Premise eingerichtet wird, von Interesse sein. In diesem Fall verlassen die Daten die Speichersysteme des Unternehmens nicht.

Abgesehen davon müssen die Verantwortlichen jeweils selbst entscheiden, welche Funktionen sie für ihre IT-Umgebung als besonders wichtig erachten. Wenn sie zunächst einen kompletten Anforderungskatalog erstellen und diesen dann mit den Angeboten auf dem Markt abgleichen, haben sie eine gute Chance, eine Lösung zu finden, die ihren Anforderungen genau entspricht.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45824961 / Content Management)