Cloud-Speicher: Hauptsache sicher
Einfache Bedienung, schneller Datenaustausch, Zugriff von überall: Cloud-Speicher werden immer beliebter. Die meisten großen Anbieter haben mittlerweile auch Business-Versionen ihrer Dienste im Programm. Worauf mittelständische Unternehmen bei Speichern in der Datenwolke achten müssen.
Ob Dropbox oder Google Drive: Cloud-Speicher werden immer populärer. Privatnutzer können darüber beispielsweise schnell, einfach und kostengünstig Fotos mit Freunden tauschen, Dateien sichern und Dokumente synchronisieren. Aber auch für Unternehmen sind diese Services hilfreich: Mitarbeiter können bequem gemeinsam an dort abgelegten Dokumenten und Dateien arbeiten, diese unkompliziert und schnell austauschen, auf unterschiedlichen Endgeräten synchronisieren und von überall – auch mobil – darauf zugreifen.
Auf Datenschutz und Datensicherheit achten
Bei der Wahl des passenden Cloud-Speichers geht es aber nicht nur um Kosten, Funktionsumfang und Skalierbarkeit. Je nach Relevanz der zu verarbeitenden Daten ist vor allem die Sicherheit von Cloud-Speichern wichtig. Geht es gar um Kunden- oder Personaldaten, müssen Unternehmen zudem das deutsche Datenschutzrecht beachten.
Mit deutschem Anbieter auf Nummer sicher
Wichtig für die Einhaltung des Datenschutzes ist unter anderem der Hauptsitz des Providers. Zwar bieten die großen, populären US-Dienstleister auch in Deutschland Services speziell für Unternehmen an. Doch die Anbieter von Amazon S3, Google Drive for Work und Microsoft OneDrive for Business oder auch Dropbox Business und Box Business, die ebenfalls in der Amazon-Cloud gehostet werden, unterliegen US-Recht. Dort gespeicherte personenbezogene Daten sind daher – selbst nach Inkrafttreten des EU-US-Abkommens „Privacy Shield“, das im Juli 2016 das umstrittene „Safe Harbor“-Abkommen abgelöst hat – nicht in jedem Fall vor dem Zugriff von US-Behörden sicher. Deutsche Unternehmen verstoßen also möglicherweise gegen die strengen deutschen Datenschutzanforderungen, wenn sie diese Services nutzen.
Für die Übermittlung personenbezogener Daten ins Ausland müssen Unternehmen laut Bundesdatenschutzgesetz nämlich „ein angemessenes Datenschutzniveau“ gewährleisten (§4b BDSG). Wer hier auf Nummer sicher gehen will, sollte einen deutschen Anbieter wählen, der die Daten in Deutschland speichert. Provider mit Sitz und Rechenzentrum in Deutschland sind zum Beispiel DriveOnWeb Business, Strato HiDrive oder YourSecureCloud. In der Schweiz gelten laut Berufsverband der Datenschutzbeauftragten Deutschlands ähnlich strenge Datenschutzregelungen wie hierzulande. Anbieter von Cloud-Speicherdiensten aus der Schweiz mit ähnlichem Funktionsumfang wie Dropbox sind beispielsweise SecureSafe Business oder Tresorit.
Das „Zero Knowledge“-Prinzip
Außerdem sollte ausschließlich das Unternehmen über den Schlüssel verfügen. In den Nutzungsbedingungen vieler Cloud-Angebote wird dem Provider jedoch Zugang zum Schlüssel und damit Einblick in die Daten eingeräumt. Genau dies hatte einst Whistleblower Edward Snowden an Dropbox kritisiert und eine „Zero Knowledge“-Verschlüsselung gefordert, bei der der Service-Provider keine Kenntnis vom Passwort des Nutzers hat. Nach diesem Prinzip arbeitet etwa der Schweizer Anbieter Tresorit, der „Zero Knowledge“ anschaulich mit einem Hotel vergleicht, in dem jeder Gast sein Zimmer mit einem eigenen Schloss sichert.
Datensicherheit durch Ende-zu-Ende-Verschlüsselung
Zudem sollten Unternehmen bei der Wahl ihres Cloud-Speicher-Anbieters auf eine automatische Ende-zu-Ende-Verschlüsselung achten: Nur wenn Personendaten bereits auf dem Kundenrechner verschlüsselt werden und auch während der Übertragung sowie auf dem Cloudserver verschlüsselt bleiben – also erst beim Empfänger wieder in Klartext umgewandelt werden –, ist die Datensicherheit gewährleistet.
Doppelte Absicherung mit Zwei-Faktor-Authentifizierung
Zusätzlich sollten Nutzer stets die Zwei-Faktor-Authentifizierung aktivieren, wenn der Dienst diese Option anbietet. Diese zweistufige Überprüfung soll den Nutzer eindeutig identifizieren, falls er sich von einem anderen Gerät aus beim Cloud-Speicher anmelden will. Dazu gibt man beispielsweise eine Mobilnummer an, an die der Provider bei der Anmeldung einen Code sendet. Diese Nummernfolge muss anschließend zusätzlich beim Einloggen eingegeben werden, um auf den Speicher zugreifen zu können. Zudem sollte der Administrator im Unternehmen die Kontrolle über alle Zugriffsberechtigungen haben und jederzeit Zugriffe nachweisen können. Dropbox beispielsweise hat seiner Business-Variante für diesen Zweck Team-Ordner hinzugefügt, über die der Admin Nutzerzugänge verwalten und Nutzern individuelle Zugriffsberechtigungen erteilen kann.
Dieser Artikel erschien ursprünglich auf Digitales-Wirtschaftswunder.de, dem Themenblog der QSC AG