Dateien sicher synchronisieren und teilen - was es zu beachten gibt

Sicherheit der Daten

Spätestens seit den Enthüllungen von Edward Snowden wird die Nachfrage nach sicheren IT-Lösungen immer größer. Eine der essentiellsten Eigenschaften für den Einsatz im professionellen Umfeld ist die Sicherheit im Umgang mit Daten, nämlich ihrer Speicherung und Übermittlung. Dabei muss die Dateiablage und Kommunikation vertraulich erfolgen. Dies bedeutet, dass die Daten bereits auf dem Endgerät des Anwenders und nicht erst auf den Servern des Anbieters verschlüsselt werden, um diese vor Enthüllung (Einblick), Manipulation (Authentizität) oder Datenabfluss (Nachhaltigkeit) abzusichern. Die Hinterlegung der Verschlüsselungskennwörter darf den privaten PC beziehungsweise das Unternehmen nicht verlassen, um einen Zugriff auf die Daten durch den Anbieter oder durch Dritte auszuschließen.

Damit der Datenschutz garantiert und der Zugriff durch mögliche Angreifer, darunter auch ausländische Geheimdienste, maximal erschwert wird, ist auf eine Sicherheitszertifizierung (z.B. ISO 27001) zu achten. Eine angemessen starke Autorisierung- und Authentifizierungsmöglichkeit, z.B. durch einen 2-Faktor-Authentifizierungstoken, ist gerade für Zugriffe außerhalb des Unternehmensnetzes zu empfehlen. Die Datenschutzklasse der abzulegenden Daten spielt hier eine entscheidende Rolle. Die Berechtigungen auf eine Datei sind granular auf Personen(-gruppen) zu definieren (z.B. Ansicht, Bearbeitungszugriff). Darüber hinaus ist aus Revisionsgründen eine lückenlose Übersicht notwendig, um nachweisen zu können, welcher Anwender Zugriff auf welche Dateien hatte.

Geschäftsmodell des Lösungsanbieters

Für Privatnutzer bieten die kostenlosen Dienste mit teilweise unbeschränktem Speicherplatz eine enorm einfache Nutzbarkeit der angebotenen Lösungen. Der Spruch "Ist ein Produkt kostenlos, bist Du das Produkt" ist bei jeder Auswahl einer Lösung zu beachten. Für Unternehmen ist die Nutzung derartiger Angebote jedoch aus Sicherheits- und Compliance-Gründen nicht gestattet.

Technischer Support

Abgesehen davon, dass Unternehmen in den Lizenzbedingungen prüfen müssen, ob eine Lösung für den gewerblichen Einsatz genutzt werden darf (und zu welchem Preis beziehungsweise unter welchen Auflagen), bedarf es bei dienstlichen Angeboten auch der Untersuchung hinsichtlich der Verfügbarkeit eines gebotenen Service-Level-Agreement (SLA). Ein SLA stellt dabei eine Vereinbarung zwischen Anbietern von IT-Dienstleistungen und einem Kunden (in diesem Fall das Unternehmen) dar. Diese verpflichtet einerseits den Anbieter zur Leistung in einem bestimmten Umfang und zu einer bestimmten Qualität. Andererseits wird festgelegt, inwieweit das Unternehmen beziehungsweise der Anwender zur Mitwirkung verpflichtet ist. Ein solcher SLA hat Vertragsstatus und ermöglicht es einem Anwenderunternehmen, bei Bedarf die Art und Weise eines technischen Supports zur Beseitigung von Problemen zu vereinbaren.

Usability

Die so genannte Usability stellt die (Be-)Nutzbarkeit einer Softwarelösung dar. Das Vorhandensein der perfekten Usability ist schwer zu beschreiben - fehlt sie aber, fällt dies dem Anwender sofort auf. Gerade unter dem Aspekt der Sicherheit ist Usability wichtig, denn schließlich soll die Sekurität nicht durch Fehlbedienung ausgehebelt, beziehungsweise durch komplizierte Initialisierung verhindert werden. Vor allem das Erzeugen und Verschlüsseln der Private/Public- Keys zur Sicherstellung der Ende-zu-Ende-Verschlüsselung sollte nicht alleine den dafür notwendigen Fachkenntnisse des Anwenders überlassen, sondern durch einfache und intuitive Automatismen unterstützt werden. Die Interaktion mit der EFSS-Lösung muss für den Anwender so einfach wie möglich sein. Wenn Anwender im Umgang mit einer EFSS-Lösung erst geschult werden müssen, bleibt die Akzeptanz gering und der Anwender sucht alternative Methoden, zum Beispiel unsichere Consumer-Lösungen (Schatten IT).