Mehr Sicherheit durch Cloud-Dienste

Mehr als die Hälfte der befragten Firmen nutzt teilweise File Sharing und Synchronisationslösungen, um Daten und Dateien mit Kollegen oder Kunden zu teilen oder auf verschiedenen Endgeräten zu synchronisieren. Hierbei wurden auch die Mitarbeiter berücksichtigt, die zu diesem Zweck Lösungen aus dem privaten Umfeld nutzen. Fast ein Viertel der Unternehmen gab an, dass sie zwar File Sharing und Synchronisationslösungen nutzen, allerdings ohne das Wissen der IT-Abteilung. Als kritisch zu sehen ist bei dieser Form der Schatten-IT, dass Unternehmen die Kontrolle über ihre Daten verlieren. Eine ganzheitliche und von der IT gestützte Enterprise-Lösung wird derzeit von erst 23 Prozent der befragten Firmen eingesetzt. Die Berater gehen davon aus, dass dieser Anteil innerhalb der nächsten zwölf Monate auf 42 Prozent ansteigen wird.

Mobility-Strategie ist gefragt

Ein Großteil der Unternehmen ist nach eigenem Bekunden verstärkt an einer ganzheitlichen Mobility-Strategie interessiert. Das Thema Mobilität wie auch Consumerization der Endgeräte (BYOD) stellt für viele IT-Abteilungen eine große Herausforderung dar. Die Verantwortlichen haben erkannt, dass sie Mobilität nicht mehr ignorieren können, sondern daran pro-aktiv und strategisch herangehen müssen. Hierunter fallen nicht nur Mobile Device Management, Mobile Applications Managment und Mobile Security, sondern auch Mobile Content Management (MCM) einschließlich File Sharing und Synchronisationslösungen.

Mithilfe von MCM erhalten Mitarbeiter auf der Dokumentenebene einen mobilen und zugleich sicheren Zugriff auf Unternehmensdaten und unterstützen damit Collaboration im Unternehmen. Drei Viertel der Befragten gab an, Dokumente untereinander per E-Mail auszutauschen. Zugleich liegt aber das größte Sicherheitsrisiko im unkontrollierten Verschicken von Daten und Dokumenten, ohne überschauen zu können, was außerhalb des Firmennetzwerks damit passiert.

Deutscher RZ-Standort bevorzugt

Die Befragung brachte auch zutage, dass die Abhörskandale der letzten Zeit die Unternehmen verunsichert haben. Sicherheit der Daten und hier die Forderung nach Rechenzentren in Deutschland sowie TÜV- oder ISO-zertifizierte File-Sharing- und Synchronisationslösungen sind mit Abstand die wichtigsten Kriterien bei der Überlegung, Daten zentral abzulegen und zu bearbeiten.

Fünf Prozent der befragten Unternehmen halten File-Sharing- und Synchronisationslösungen für sehr sicher und haben generell keine Bedenken. Bei einem Großteil der Unternehmen herrscht jedoch eine gewisse Verunsicherung hinsichtlich möglichen Missbrauchs der Daten, Kontrollverlust oder Datendiebstahl.

„Trotz der Vorbehalte in Bezug auf Sicherheit ist die Akzeptanz der verschiedenen Cloud-Bereitstellungsmodelle auf Anwenderseite insgesamt aber sehr hoch, und zwar sowohl auf

IT- als auch auf Fachabteilungsebene“, erklärt Ariane Mackenzie, Research Manager bei IDC, die für die Studie verantwortlich zeichnet „Vor allem die Private Cloud liegt aktuell in der Gunst der Befragten eindeutig vorne. Um das grundsätzliche Vertrauen bei den Anwendern wiederzugewinnen, müssen die Anbieter von Lösungen in diesem Umfeld genau diese Sicherheitsbedenken adressieren“, so Mackenzie.

Nach Einschätzung von IDC ist die generelle Bereitschaft, Daten in der Cloud zu bearbeiten also durchaus vorhanden, Vorbehalte wie „Angst vor Datenklau und Datenmissbrauch“ müssen allerdings von den Lösungsanbietern berücksichtigt werden. Die meisten Unternehmen haben File Sharing und Synchronisationslösungen aus der Cloud auf dem Radar, lediglich 2 Prozent der befragten Unternehmen haben sich mit diesem Thema noch nicht auseinandergesetzt.

Erfolgsfaktoren für eine Mobility-Strategie

Erfolgsfaktor für Mobile Content Management ist die Einbindung in die gesamte Mobility-Strategie. IT und Fachabteilungen müssen Hand in Hand miteinander arbeiten, um Sicherheit der Unternehmensdaten und gleichzeitig Produktivität der Anwender zusammenzubringen. Die Befragung hat interessanterweise gezeigt, dass IT und Fachbereiche trotz der oftmals unterschiedlichen Blickwinkel und Sprachbarrieren bei anderen Herausforderungen sich bei diesen Thema weitestgehend einig sind. So ist allen Beteiligten die Notwendigkeit einer unternehmensübergreifenden Lösung bewusst und alle verfolgen die gleichen Ziele.

Mit File Sharing und Synchronisationslösungen wollen Unternehmen die Datensicherheit und das Datenmanagement verbessern. Steigende Mobilität und die wachsende Zahl der Mitarbeiter, die in virtuellen Teams arbeiten, fordern ein ganzheitliches System, das das Bearbeiten und Teilen von Daten jeder Art sicher und unkompliziert ermöglicht. Anwender wie auch IT-Manager sind sich bewusst, dass File Sharing und Synchronisationslösungen unerlässlich sind, wenn die Sicherheit der Firmendaten gewährleistet werden soll. Die IT-Verantwortlichen wissen jedoch auch, dass die Mitarbeiter selbstständig Lösungen aus dem privaten Umfeld implementieren werden, wenn es keine passende Enterprise-Lösung gibt. Grundsätzlich stehen die befragten Unternehmen Cloud-Services als Bereitstellungsmodell positiv gegenüber und suchen nach zur Unternehmenskultur passenden Lösungen. Anlässlich der Präsentation der Studie sprach IDC mit einigen Anbietern von File-Sharing- und Synchronisationslösungen.

1. Frage: Immer mehr Arbeitnehmer in Deutschland nutzen mobile Endgeräte und Applikationen für ihre Arbeit. Beim Content stoßen Mitarbeiter jedoch an ihre Grenzen, denn häufig sind die Daten noch nicht mobil verfügbar. Welche Hürden sind zu überwinden, damit Mitarbeiter bei File Sharing und Synchronisation optimal unterstützt werden?

2. Was empfehlen Sie Unternehmen, die Bedenken haben, Firmendaten zentral in der Cloud zu speichern? Wie können diese ihre Unsicherheiten hinsichtlich Datensicherheit und Datenschutz überwinden?

3. Welche Vorgehensweise empfehlen Sie Unternehmen, ihre Dokumente mobil zu machen?

Paul Steiner, Managing Director, EMEA, Accellion: 

1. Damit „Mobile Security“ effektiv ist, müssen Tools und Richtlinien oft an spezifische Benutzer, Aufgaben, Abteilungen oder Technologien angepasst werden. Um diese maßgeschneiderten Lösungen zu schaffen, sollte Ihre IT-Abteilung Inhalte, Aufgabenbereiche und Infrastruktur berücksichtigen. Listen Sie alle Arten von Inhalten auf, die von der IT verwaltet werden.

Definieren Sie die Sicherheitsanforderungen für jede Art von Inhalt. Erstellen Sie eine Liste der Aufgabenbereiche innerhalb jeder Abteilung. Legen Sie für jeden Bereich die Zugriffsrechte für vertrauliche Inhalte und deren Gefährdung durch Mobility fest. Notieren Sie, welche Arten von Inhalten in ECM-Systemen wie Sharepoint gespeichert werden und identifizieren Sie weitere IT-Infrastruktur, die eine besondere Herausforderung für den mobilen Zugriff darstellen könnte. Das Wichtigste ist aber, dass Sie die Mitarbeiter überzeugen, die Unternehmensinfrastruktur und von der IT genehmigte Lösungen zu nutzen, anstatt kostenfreie Consumer Apps.

2. Anstelle von öffentlichen Cloud-File-Sharing-Services sollten Unternehmen auf eine sichere private Cloud-File-Sharing-Lösung setzen. Der Einsatz einer Private-Cloud-Lösung bietet Unternehmen die verbesserte Collaboration und Flexibilität, ohne Datenverlust, Geldstrafen oder Compliance-Verstöße zu riskieren.

3. Laxe Mobile Security kann erhebliche Auswirkungen auf das operative Geschäft und die gesamte IT-Sicherheit haben. Unzureichende Sicherheitsmaßnahmen können zum Missbrauch vertraulicher Informationen, Wettbewerbsnachteilen und Strafzahlungen führen. Wenn jedoch die Sicherheitsmaßnahmen so strikt sind, dass der Zugriff auf die Dateien behindert wird, leidet die Produktivität. Mobile Mitarbeiter werden Workarounds finden und zum Beispiel Dateien auf nicht verwaltete Geräte kopieren oder in persönlichen Cloud Files Shares veröffentlichen. Anstatt in monolithische Sicherheitslösungen zu investieren und Sicherheitsrichtlinien durchzusetzen, die alle mobilen Anwender gleich behandeln, ist es besser, Strenge und Nachsicht, so gut es geht, ins Gleichgewicht zu bringen – und dabei sicherzustellen, dass vertrauliche Daten niemals gefährdet sind.

Sandra Adelberger, Director Product Marketing, Acronis:

1. Es gibt zwei Anforderungen in Bezug auf File Sharing und Synchronisation, die sich auf den ersten Blick zu widersprechen scheinen: Einerseits möchte der Anwender für sein mobiles Arbeiten seine gewohnte Umgebung und die gewohnten Tools einsetzen. Außerdem möchte er zu jeder Zeit und von überall her auf Daten zugreifen, auch von mehreren Endgeräten aus, gegebenenfalls private Endgeräte eingeschlossen. Auf der anderen Seite stehen die Unternehmensinteressen: das Unternehmen muss verhindern, dass Daten unkontrolliert nach außen gelangen. Deshalb ist es entscheidend, dass die Unternehmens-IT die Kontrolle über den Datenfluss und die Zugangsberechtigungen behält. Das schließt private Geräte mit ein, die beruflich genutzt werden. Eine File-Sharing- und Synchronisierungslösung sollte die Anforderungen sowohl der Anwender als auch der Unternehmens-IT erfüllen können.

2. Unternehmen können ihre Unsicherheiten in Sachen Datensicherheit und Datenschutz überwinden, indem sie eine eigene Lösung in Bezug auf File Sharing und Synchronisierung auf einem Unternehmensserver implementieren – und damit innerhalb der Unternehmensinfrastruktur. Diese Lösung sollte Zugriffsmöglichkeiten und Berechtigungen bieten, wie das in der vorherigen Frage bereits beantwortet wurde. Damit liegen die Daten selbst und alle Aspekte rund um Datensicherheit und Datenschutz wieder in den Händen der IT.

3. Folgende fünf Tipps gibt Acronis für den sicheren mobilen Datenzugriff und mobile Zusammenarbeit:

1. Stellen Sie eine Sicherheitsrichtlinie für mobile Geräte auf! Verpflichten Sie beispielsweise Ihre Anwender, ihre Geräte mit Kennwörtern zu schützen.

2. Hören Sie auf, Ausnahmen von Ihren Regeln zu gestatten! Oftmals gibt es für Mitarbeiter, die auf sensible Daten im Unternehmen zugreifen, Ausnahmen von der BYOD-Richtlinie.

3. Machen Sie alle Mitarbeiter für „sicheres BYOD“ mitverantwortlich und bieten Sie Trainingsmöglichkeiten an, um Mitarbeitern die Risiken von BYOD für die Datensicherheit zu erklären.

4. Bereiten Sie sich auf die Apple-Welle vor! Begegnen Sie der steigenden Anzahl von Apple-Geräten in Ihrem Unternehmen mit Lösungen, um sie problemlos in bestehende Windows-IT-Umgebungen zu integrieren.

5. Unterschätzen Sie nicht die Gefahren öffentlicher Clouds! Öffentliche Clouds bieten einen praktischen Zugriff, sind aber unter anderem nicht sicher. Stellen Sie daher eine Richtlinie zum File Sharing in öffentlichen Clouds auf.

Andreas Dangl, Geschäftsführer bei Fabasoft Cloud: 

1. Heute fehlen größtenteils einheitliche Standards zu Datenspeicherung und Zugriffsregelung. Erfahrungsgemäß verwenden Mitarbeiter für den mobilen Zugriff auf Firmendaten häufig Cloud-Anbieter mit klingenden Namen wie Apple, Google oder Dropbox. Diese sind auf mobilen Geräten teilweise sogar vorinstalliert, können aber nicht für ausreichende Datensicherheit bürgen, da die Datenspeicherung außerhalb Europas erfolgt. Mitarbeiter, die ihre mobilen Geräte eigenständig für den Datenaustausch verwenden, stellen ein erhebliches Sicherheitsrisiko dar. Firmendaten über nicht integrierte Cloud Services auszutauschen, ist naiv, gefährlich und unprofessionell. Die größte Hürde für sicheren Datenaustausch in der Cloud liegt derzeit darin, die Fachbereiche davon zu überzeugen, gemeinsam mit der IT-Abteilung eine Basis für eine sichere Cloud-Umgebung zu schaffen und diese auf mobilen Endgeräten umzusetzen. Nur so können Arbeitgeber ihre Mitarbeiter in Bezug auf File Sharing und Synchronisation bestmöglich unterstützen.

2. Aus sicherheitstechnischer Sicht spricht nichts dagegen, Firmendaten zentral in der Cloud zu speichern, insbesondere solche Daten, die ohnehin für den Austausch mit Dritten, zum Beispiel Kunden oder Geschäftspartnern, verwendet werden. Wichtig ist hierbei nur die richtige Wahl des Cloud-Anbieters. Damit dieser vertrauenswürdig ist, muss die Datenspeicherung in Europa erfolgen. Nur so unterliegen die Daten auch den strengen Datenschutzrichtlinien des jeweiligen europäischen Landes. Beim Standard für die Zugriffssicherheit sollte neben Benutzernamen mit Passwort zumindest eine Zwei-Faktor-Authentifizierung (Anmeldung per PIN auf das Mobiltelefon oder mit digitaler Identität) möglich sein. Noch sicherer wäre, sich mittels Zertifikat oder Active Directory einzuloggen. Dies erlaubt eine sichere und einfach zu verwaltende Integration in die IT-Sicherheitsinfrastrukturen von Unternehmen. Darüber hinaus muss der Anbieter die Professionalität seines Rechenzentrumsbetriebs objektiv nachweisen können, beispielsweise durch Zertifizierungen wie ISO 27001, ISO 20000 oder eine TÜV-Zertifizierung.

3. Ein Unternehmen sollte abwägen, welche Daten es in der Cloud speichert, und definieren, wie die Zusammenarbeit und das Bereitstellen der Dokumente für Mitarbeiter in der Cloud funktionieren soll. Gemeinsam mit der firmeneigenen IT erfolgt die Festlegung der Zugriffsrechte auf den mobilen Geräten der Mitarbeiter. Idealerweise stellt der seriöse und geprüfte Cloud-Anbieter Rechenzentren in einem europäischen Land zur Verfügung.

Dr. Georgios Rimikis, Senior Manager Solutions Strategy,
Hitachi Data Systems: 

1. Unternehmen müssen den Mitarbeitern bei der IT entgegenkommen, ohne dabei natürlich andere Belange wie Kosten oder Sicherheit aus den Augen zu verlieren. Es war bisher häufig doch viel einfacher für Mitarbeiter, sich ein paar Gigabyte kostenlosen öffentlichen Cloud-Speicher zu holen, um Daten zu teilen, als über die unternehmenseigene IT-Abteilung Speicher zu erhalten. Darüber hinaus haben unternehmensinterne Lösungen oft nicht den gewohnten Bedienkomfort geboten. Die bekannten Public-Cloud-Speicher verfügen jedoch nicht über das nötige Sicherheitsniveau. Folglich gilt es, die einfache Bedienung, die Mitarbeiter aus dem Privatumfeld gewohnt sind, mit den Anforderungen von Unternehmen zu kombinieren. Dabei darf es keine Kompromisse geben, sonst leiden entweder Akzeptanz oder Sicherheit.

2. Ich empfehle ihnen, einen gesunden Respekt beizubehalten – wenn es sich um Public Clouds handelt. Diese sind für nicht sensible Inhalte geeignet, etwa frei verfügbare Marketing-Unterlagen. Sobald jedoch ein Dokument auch nur über eine geringfügige Sicherheitsstufe verfügt, hat es in einer öffentlichen Cloud nichts verloren. Hier lautet die Empfehlung ganz klar: Bauen Sie sich eine eigene, eine sogenannte Private Cloud! Sie bietet das Beste aus beiden Welten: Effizienz, Sicherheit und Kontrollierbarkeit sind ebenso gegeben wie die Zugänglichkeit und damit Nutzung von Informationen und Daten. Unternehmen müssen nur dafür Sorge tragen, dass Mitarbeiter von überall her und von jedem Gerät aus sowie zu jeder Zeit auf die Daten der Private Cloud zugreifen können.

3. Der beste Ansatz ist es, das Teilen und das automatische, geräteübergreifende Synchronisieren von Inhalten innerhalb der unternehmenseigenen IT zu etablieren. Hierfür müssen die Daten in einen zentralen Pool wandern, der sich nahtlos in die vorhandene Infrastruktur integrieren sollte. Mitarbeiter erhalten über diesen Pool Zugriff auf die Daten, sei es über Desktop-Rechner, Laptops oder Smartphones beziehungsweise Tablet-Rechner. Dieser Zugriff entspricht im besten Fall bewährten Mustern aus dem Consumer-Umfeld. Die Unternehmens-IT bleibt Herr über die Informationen, ihre Nutzung, ihre Verwaltung und ihre Bereitstellung. Die Sicherheit der Informationen ist so zu jeder Zeit gewährleistet. Darüber hinaus ist es effizienter, wenn eine zentrale Stelle eine solche „Synch- und Share-Lösung“ bereitstellt, als wenn einzelne Abteilungen oder gar einzelne Mitarbeiter anfangen, Services zu buchen.

Richard Werner, Regional Solution Manager bei Trend Micro:

1. Zu den Hürden zählen in erster Linie die vielen Vorurteile, was dieses Thema betrifft. Zahlreiche Nutzer kennen Filesharing aus dem privaten Bereich und assoziieren damit automatisch den Zugriff auf persönliche Daten über „offene“ Webserver. Zudem sind infolge der vielen Meldungen in den Medien über Abhörskandale usw. einige der bekanntesten Namen dieser Branche in Verruf geraten. Dabei löst Filesharing an sich viele Probleme, die gerade jetzt diskutiert werden, so beispielsweise die sichere Weitergabe umfangreicher Daten an bestimmte Personen oder Verteiler sowie deren gemeinsame Überarbeitung durch überregionale Projektgruppen inklusive externer Mitarbeiter. Eine weitere Hürde stellt sicher auch die Auswahl und richtige Einführung einer solchen Technik dar. Die Auslagerung von zum Teil kritischen Daten auf externe Maschinen, die Einhaltung von Compliance-Prozessen, aber grundsätzlich die „Cloud“ als neuer Formfaktor stellen gerade die interne IT oft vor schwierige Aufgaben.

2. Zum einen sollten sich Unternehmen bei der Auswahl des Anbieters überlegen, welche industrieabhängigen Bedingungen grundsätzlich eingehalten werden müssen. Hier sind verschiedene Standards (wie ein ISO 27001) hilfreich. Weitere Auswahlkriterien können Standortwahl der Rechenzentren beziehungsweise der Rechtsprechung sein. Auch sollten Anwenderunternehmen auf vernünftige Service Level Agreements Wert legen, etwa solche, die die Verfügbarkeit des Dienstes garantieren. Cloud muss auch nicht immer gleich Cloud sein. So können heute Partner, bei denen Unternehmen vielleicht bereits andere Dienste einkaufen, über einen derartigen Service verfügen oder für den Kunden einrichten. Für den Fall schließlich, dass ein Unternehmen zwar Content Management nutzen will, aber grundsätzlich jede Form von „Cloud“ ablehnt, bieten wir die Option, eine solche Lösung direkt selbst im eigenen Rechenzentrum zu betreiben.

3. Wir empfehlen Anwendern, sich zunächst festzulegen, wozu Filesharing eingesetzt werden soll und daraus einen Anforderungskatalog zu erstellen. Bei diesem Prozess sollten durchaus auch Erfahrungen einzelner Mitarbeiter einfließen. Als zweiten Schritt empfiehlt es sich zu definieren, was das Unternehmen fördern, tolerieren oder grundsätzlich verbieten will. Dabei sollte vor allem klar sein, wie viel Kontrolle die Organisation selbst haben beziehungsweise behalten möchte. Partner und /oder Hersteller können hier beratend zur Seite stehen, etwa wenn es darum geht, welche Lösungen aufgrund der definierten Anforderungen am besten zur Organisation passen. Nach der Einführung einer Lösung ist es auch empfehlenswert, sich darüber Gedanken zu machen, ob Alternativlösungen, die gegebenenfalls aus dem privatem Umfeld der Mitarbeiter stammen, nicht grundsätzlich durch Perimeter- oder Systemeinstellungen blockiert werden sollten. (ak)