Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 21.04.2020] Cloud-Storage- und File-Sharing-Anwendungen bringen Unternehmen aufgrund ihrer Skalierbarkeit und komfortablen Nutzung viele Vorteile. Wird File-Sharing jedoch nicht ordnungsgemäß verwaltet, kann dies schwerwiegende Auswirkungen auf die Datensicherheit haben. Jedes Mal, wenn Mitarbeiter Technologien zum Dateienaustausch verwenden, ist dies mit Risiken wie Malware-Infektionen, Verlust oder Offenlegung sensibler Informationen verbunden. Ohne geeignete Sicherheitsmaßnahmen können die Nachteile durch File-Sharing deutlich überwiegen, wenn kritische Unternehmensdaten wie Kunden-, Finanzinformationen, Geschäftsgeheimnisse und geistiges Eigentum zusätzlichen Bedrohungen ausgesetzt sind.

Bild: Digital Guardian

Christoph Kumpa, Director DACH & EE bei Digital Guardian

Maßnahmen für die File-Sharing-Sicherheit

Um Datensicherheitsrisiken zu minimieren, sollten Unternehmen einige Security-Maßnahmen bei der Nutzung von File-Sharing ergreifen. Hierzu gehören:

1. Aufklärung über Schatten-IT
   Der erste Schritt für eine effektive File-Sharing-Security besteht darin, alle Mitarbeiter über die Risiken aufzuklären, insbesondere im Hinblick auf Schatten-IT – heißt, die Nutzung von IT-Lösungen, die nicht offiziell von der IT-Abteilung implementiert und genehmigt wurden. File-Sharing per Schatten-IT beinhaltet die Nutzung privater E-Mail-Konten, kostenloser Cloud-Storage-Dienste und anderer File-Sharing-Systeme für Privatanwender. Diese entsprechen möglicherweise nicht den Sicherheitsstandards des Unternehmens und liegen in vielen Fällen außerhalb der bestehenden Sicherheitskontrollen.
2. File-Sharing-Richtlinien implementieren
   Neben der Aufklärung der Mitarbeiter über die Risiken durch Schatten-IT, schafft die Umsetzung einer formalen File-Sharing-Richtlinie Klarheit. Die IT- und Security-Teams sollten die Nutzung und Sicherheit von Filesharing-Systemen bewerten. So können sie entscheiden, ob sie eine Verwendung zulassen oder nicht, sowie Sicherheitsmaßnahmen ergreifen, falls ein System zugelassen wird. Zudem sollten Unternehmen die Entwicklung und Implementierung einer allgemeinen Richtlinie für die Nutzung von Dateien erwägen, die speziell für die Verwendung aller File-Sharing-Methoden gilt – einschließlich der Cloud-basierten und der, die zwischen Dateisynchronisierungs- und Datenfreigabe-Anwendungen eingesetzt werden.
3. Anwendungs- und Datentransparenz sowie Datenkontrolle
   Wichtig ist, dass die IT-Abteilung einen vollständigen Überblick über alle File-Sharing-Anwendungen hat, die von den Mitarbeitern für die gemeinsame Nutzung von Daten verwendet werden. Zudem sollte das IT-Team in der Lage sein, den Benutzerzugriff auf sensible Unternehmensdaten zu verwalten und zu kontrollieren. Auch müssen Mitarbeiter speziell über die Risiken von Datenverlust oder Diebstahl durch File Sharing aufgeklärt sowie über die Einhaltung der geltenden Vorschriften informiert werden. Zusätzlich helfen regelmäßig Audits, um die File-Sharing-Praktiken des Unternehmens zu analysieren und Sicherheitsrisiken zu identifizieren.
4. Datensicherheitslösungen für die File-Sharing-Security
   Die letzte Verteidigungslinie der File-Sharing-Security ist eine Datensicherheitslösung, die vor Datenverlust und Diebstahl durch File Sharing schützt. Data-Loss-Prevention-Technologien (DLP) bieten Sicherheit für File-Sharing-Anwendungen und Cloud-Storage durch eine Kombination aus Zugriffs- und Anwendungskontrolle, Endgerätesteuerung, Netzwerksicherheits-Appliances und anderen proaktiven Maßnahmen, die den Austausch sensibler Unternehmensdaten für nicht autorisierte Anwendungen, Endgeräte und Benutzer wirksam verhindern. Zu den Vorteilen der Einführung einer Datensicherheitslösung für die Sicherheit von File Sharing gehören:
   • Kontinuierliche Überwachung und Transparenz für alle Dateninteraktionen mit Web- und Cloud-Speicheranwendungen
   • Granulare Steuerung der Dateibewegung basierend auf Browser- und Betriebssystemereignissen, die Webanwendungen wie SharePoint, Dropbox und Google Apps betreffen
   • Automatische Klassifizierung und richtlinienbasierter Schutz von Daten, die von Webanwendungen heruntergeladen werden
   • Forensische Ereignisprotokolle für eine effektive Alarmierung, Berichterstattung und Richtlinienerstellung
   • Automatische Verschlüsselung sensibler Daten vor dem Austritt
   • API-Integration mit führenden File-Sharing-Anwendungen, um die Erweiterung der Datensicherheitsmaßnahmen des Unternehmens auf die Cloud zu ermöglichen

Mit der zunehmenden Verbreitung von Cloud Computing kann es für Unternehmen eine große Herausforderung sein, die Nutzung von Cloud-Storage und File-Sharing durch Mitarbeiter effektiv zu blockieren. Mit der richtigen Kombination aus Mitarbeiterschulungen, umfassenden Sicherheitsrichtlinien für den Dateiaustausch sowie Data-Loss-Prevention-Technologien können Unternehmen jedoch die Vorteile von Cloud Computing und File-Sharing nutzen und gleichzeitig Datensicherheitsrisiken minimieren.

Weitere Informationen zum Thema:

Digital Guardian
Enterprise IP & DLP Software

datensicherheit.de, 01.04.2020
Cloud Account Hijacking: Best Practices gegen Kontenmissbrauch durch Cyberkriminelle

datensicherheit.de, 23.03.2020
Digital Guardian führt Managed Detection & Response-Service ein

datensicherheit.de, 08.01.2020
Datenlecks: Kosten in Millionenhöhe

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz

[datensicherheit.de, 06.03.2014] Einen Überblick über das Angebot von Cloud-Speicherdiensten hat kurz vor Beginn der CeBIT das Hasso-Plattner-Institut (HPI) vorgelegt. Die Potsdamer Informatikwissenschaftler verglichen etablierte Cloud Storage Provider wie Amazon S3, Google Cloud Storage, Microsoft Windows Azure BLOB Storage, HP Cloud Object Storage und Rackspace Cloud Files. Keiner dieser Anbieter könne pauschal als der für alle Einsatzmöglichkeiten am besten geeignete identifiziert werden, heißt es in dem Technischen Bericht Nr. 84 (ISBN 978-3-86956-274-2, Universitätsverlag Potsdam) des HPI. Die Wahl des Dienstes sei stark von dem Standort und den spezifischen Bedürfnissen des Nutzers abhängig. Die sichere Speicherung großer Mengen von Daten ist eines der Hauptthemen der Messe in Hannover.

In seinem Technischen Bericht macht das HPI unter anderem darauf aufmerksam, das bei keinem der Anbieter vertraglich geregelt sei, was im Fall der Insolvenz des Providers mit den Daten geschehe. In die HPI-Untersuchung war noch der Anbieter Nirvanix Public Cloud Storage einbezogen worden, der mit 99,999 Prozent die höchste Verfügbarkeit garantierte. Allerdings meldete Nirvanix im Herbst 2013 Insolvenz an.

Beim Aspekt Sicherheit weisen die Potsdamer Wissenschaftler darauf hin, dass Google und Rackspace im Gegensatz zu allen anderen untersuchten Anbietern nach Vertragsende keinen Zugriff auf die Daten erlauben und auch keine Verschlüsselung der Daten selbst anbieten.

Bild: HPI

Vergleich der größten Cloud Storage Provider

Die Kosten pro GB und Monat liegen nach dem Bericht bei den allermeisten Anbietern zwischen 0,04 und 0,09 US-Dollar, je nach Speicher-Menge und  -Standort. Bei der Untersuchung der Leistungsfähigkeit gab es nach Angaben des Instituts große Unterschiede bei den Zeiten für die Antwort auf eine Anfrage und für das Herunter- und Hochladen von Daten. Der 84-seitige Technische Bericht enthält dazu eine Reihe von Tabellen und Diagrammen. Das HPI hat die entsprechenden Untersuchungsreihen von November 2012 bis Juli 2013 durchgeführt.

Die ausgewählten Anbieter weisen alle eine eigene physikalische Infrastruktur auf. Diese Basic Storage Provider kommen für die Einsatzszenarien Primärspeicher, Backup, Archiv und Content Delivery in Frage. Die Kriterien, welche die HPI-Wissenschaftler bei der objektiven Gegenüberstellung anlegten, stammen aus den Bereichen Recht, Sicherheit, Verfügbarkeit, Kosten, Zertifikate, genutzte Standards, Zugriffsmöglichkeiten und Leistungsfähigkeit.

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2012
Microsoft-Studie: Datenschutz und Compliance entscheidende Faktoren für die Wahl des Cloud-Anbieters

[datensicherheit.de, 12.11.2011] Der Archivierungs- und Informationsmanagement-Spezialist ARTEC IT Solutions warnt vor möglichen Risiken für deutsche Unternehmen bei der Nutzung von Rechenzentren außerhalb der EU:
Mit zunehmender Beliebtheit von „Cloud Storage“ böten auch immer mehr ausländische Anbieter ihre Leistungen auf dem deutschen Markt an. Wie die Datenschutzbeauftragten des Bundes und der Länder kürzlich betont hätten, ergäben sich für deutsche Unternehmen jedoch beispielsweise bei der Nutzung US-amerikanischer „Cloud Services“ teilweise erhebliche rechtliche Probleme.
Als Anbieter von Lösungen für die Archivierung und das digitale Informationsmanagement könnten sie Unternehmen nur eindringlich dazu raten, sehr genau zu prüfen, mit welchem Anbieter sie sich in Sachen Cloud-Speicher einließen, sagt Jerry J. Artishdad, „Managing Director“ der ARTEC IT Solutions AG. Wie von den Datenschutzbeauftragten ganz klar herausgestellt, stelle die Speicherung unternehmensrelevanter Daten in US-Rechenzentren aus rechtlicher Sicht eine große Herausforderung dar – wenn Unternehmen Daten in den USA hosteten, dann sei dies nur unter ganz bestimmten Voraussetzungen möglich. Dabei kämen etwa Fragen der Anerkennung des EU-Rechts, der Speicherung personenbezogener Daten, der Weitergabe von Daten an US-Behörden, etwa im Rahmen des „Patriot Act“, sowie viele weitere Aspekte ins Spiel. Wer diesen Schritt geht, sollte sich in jedem Fall rechtlich gut beraten lassen, damit nicht später, etwa im Rahmen einer Steuerprüfung, eine böse Überraschung folge.
Um die Datenhaltung in Cloud-Infrastrukturen generell sicherer zu machen, habe ARTEC seine Archivierungs- und Informationsmanagement-Appliances wie „EMA“ und „ediscovery“ (globale Suche) mit einem umfangreichen Security-Konzept versehen. Informationen und Inhalte seien damit unabhängig vom Speicherort jederzeit zugänglich und per Volltextsuche recherchierbar. Durch die Appliance-basierte Verschlüsselung und die sichere Verwaltung des Zugangsschlüssels verblieben Hoheit und Kontrolle über die gespeicherten Daten jederzeit komplett beim Anwender. Darüber hinaus sei es bei Bedarf jederzeit problemlos möglich, archivierte Daten auf einen anderen Speicher zu migrieren.