Enterprise-Lösungen für Online-Speicher

Dropbox & Co. im Unternehmen

21.11.2013 von Uwe  Wöhler
Online-Speicher sind in. Hunderte Millionen Anwender nutzen Dropbox und ähnliche Services – oft auch für berufliche Zwecke. Aus Sicherheitsgründen sollten Unternehmen eigene Lösungen anbieten, doch welche?
Sichere Varonis Infrastruktur
Foto: Computacenter

von Uwe Wöhler
Die vielen aus dem Boden schießenden Dienste zeigen, dass Online-Speicher zur Sicherung und zum Austausch von Dateien derzeit angesagt sind. Rund hundert Anbieter preisen momentan ihre Dropbox-ähnlichen Lösungen in vielen unterschiedlichen Varianten an. Den Überblick zu bewahren, ist nahezu unmöglich, auch weil sich Funktionen, Umfang und Installationsmöglichkeiten laufend ändern. Aufgrund dieser Tatsachen resignieren viele Unternehmen und lassen ihre Mitarbeiter einfach gewähren, nach dem Motto: Sollen sie ihren Lieblingsdienst doch nutzen. Diese Haltung ist jedoch fatal und birgt Gefahren, weil öffentlich verfügbare Online-Speicher in der Regel nicht die Sicherheit und Vertraulichkeit bieten, die Unternehmen für ihre täglichen Geschäftsprozesse benötigen.

Vorsicht vor der Public Cloud

Die meisten Lösungen für Privatanwender werden über die Public Cloud angeboten. Dazu zählen zum Beispiel die Basisvariante von Dropbox sowie Amazon Cloud Drive, SugarSync oder HiDrive. Bei diesen Diensten gibt es in der Regel keine Aussage, wo die Daten gespeichert werden. Dies gilt selbst dann, wenn der Anbieter in Deutschland beheimatet ist. Da es sich aber meist um US-amerikanische Betreiber handelt, unterliegen sie dem Patriot Act, so dass die dortigen Regierungsbehörden prinzipiell jederzeit die abgelegten Daten auslesen können. Damit gefährden deutsche Unternehmen ihre zumeist strengen Compliance-Regeln für den Datenschutz sowie ihr geistiges Eigentum.

Aus diesem Grund sollten Betriebe Public-Cloud-Lösungen nur in Ausnahmefällen nutzen. Das ist beispielsweise dann unproblematisch, wenn die Daten keiner speziellen Geheimnispflicht unterliegen und prinzipiell von jedem eingesehen werden dürfen. Das können beispielsweise Marketing-Materialien oder allgemein verfügbare Produktinformationen sein. Daher eignen sich diese Dropbox-Dienste etwa für die Nutzung durch PR- oder Marketing-Abteilungen, um große Dateien mit einzelnen Ansprechpartnern oder auch einer Vielzahl von Personen zu teilen.

Doch ein Dateitausch in einem öffentlich zugänglichen Speicherdienst ist allemal sicherer als der Versand per E-Mail. Denn in dem Fall verschicken Mitarbeiter selbst sensible oder personenbezogene Daten meist unverschlüsselt. Zudem gibt es keinerlei Kontrolle darüber, wie der Empfänger mit den Daten umgeht. Er kann sie an einem unsicheren Ort speichern, an Unbefugte weiterleiten oder sogar veröffentlichen. Dagegen lässt sich in einem Online-Speicher der Dateizugriff auf bestimmte Nutzer sowie auf eine festgelegte Zeitspanne begrenzen. Selbst wenn diese Festlegungen so nicht erfolgt sind, kann eine Datei vom Filesharing-Dienst gelöscht werden. In diesem Fall verschwindet sie dann auch von den damit synchronisierten Ordnern auf PCs. Trotzdem bleiben bei Public-Cloud-Diensten erhebliche Sicherheitsrisiken bestehen. Dies hat hauptsächlich zwei Gründe:

Daher eignen sich diese Dienste nicht für den Austausch oder die Speicherung vertraulicher Unternehmensdaten.

Sichere Dropbox-Alternative im Test
Novell Filr dient dazu, den Benutzern eine einheitliche Sicht auf ihre Dateien zu bieten, unabhängig davon, auf welchen Servern oder Storage-Systemen sie gespeichert sind. Es unterstützt dabei den Zugriff durch verschiedene Clients, auch von mobilen Geräten außerhalb der Firewall.
Das Abonnieren von Dateien ...
... und Ordnern sorgt für eine Benachrichtigung, sobald es etwaige Änderungen gibt.
Aus den Benutzereigenschaften ...
... der Verwaltungskonsole sind auch die jeweiligen Benutzerprofile erreichbar.
Der Filr-Admin kann jedem Benutzer ...
... individuelle Freigaberechte einräumen, die ggf. gesetzte globale Freigaberechte überschreiben.
Hinsichtlich des Zugriffs externer Benutzer ...
... unterstützt Filr eine Gastzugriffoder den Zugriff via OpenD.
Im Web-Client lassen sich ...
... Dateien online und offline bearbeiten direkt aus dem integrierten Viewer.
Das Hochladen von Dateien ...
... ist auch via Drag&Drop möglich.
Eine Versionierungverwaltung gibt es nicht.
Die entspricht nicht der Philosophie von Filr als auf DateisystemEbene arbeitende File-Sharing-Lösung.
Filr lässt sich in einem schmalen Setup ...
... mit einer VA oder getrennten VA für Filr, Lucene und Datenbank betreiben.
Das Vergeben ...
... von Freigaben auf Objekt-Ebene.
Der Filr-Admin kann sämtliche ...
... eingerichteten Freigaben zentral verwalten.
Ein mobiler Zugriff ...
... muss vom Filr-Admin explizit erlaubt werden.
Den Standard-Editor ...
... kann jeder Benutzer individuell festlegen.
Die Konfiguration der Appliance ...
... an sich ist ebenfalls über ein Web-Interface möglich.
Filr bietet neben Web- und Mobil-Client ...
... auch eine native Software für Windows und Mac.
Der native Client schließt ...
... unter anderem Zugang zur Filr-Konsole.
Der native Client synchronisiert ...
... nach Benutzereingriff, nach Zeitplan oder automatisch beim Login.
Selbstverständlich arbeitet auch der ...
... native Client durchgängig SSL-verschlüsselt.
Der Mobil-Client ...
... unterstützt derzeit das Löschen und Freigeben von Dateien und Ordnern noch nicht.

On-Premise-Lösungen in RZ-Infrastruktur einbinden

Um eine maximale Sicherheit zu gewährleisten, setzen viele Unternehmen auf einen Speicherdienst im eigenen Rechenzentrum. Diese Secure File Shares lassen sich zum Beispiel mit strengen Identifizierungs- und Authentisierungsmethoden über Zwei-Faktor-Authentifizierung mit komplexen Passwörtern nutzen. Zudem sind ein umfassendes Rechte-Management sowie aktuelle Verschlüsselungsmethoden auf Dateiebene vergleichsweise einfach einzurichten. Der Zugangsschlüssel kann dabei zentral im Rechenzentrum oder auf allen zugreifenden Geräten liegen. Mischformen, zum Beispiel dass ein Anbieter für das Datei-Management und der Kunde selbst für das Schlüssel-Management zuständig ist, werden meist zu kompliziert.

Anbieter solcher On-Premise-Lösungen wie Varonis, Hyperdrive oder SSP Europe bieten ein Secure Gateway an. Dabei werden etwa die Dateizugriffe überwacht sowie die Daten nach Sicherheitsstufen klassifiziert. Es stehen unter anderem automatische Antiviren-Scans, voreingestellte Ablaufdaten, Kommentarfunktionen oder Sortiermöglichkeiten zur Verfügung. Damit können verschiedene Partner gemeinsam an Projekten arbeiten oder Daten durch die detaillierte Benutzerverwaltung zentral für den Außendienst oder die Geschäftsleitung zur Verfügung gestellt werden.

Ein großer Vorteil dieser Lösungen ist neben ihrem Funktionsumfang die meist einfache und schnelle Einbindung von mobilen Geräten wie Smartphones oder Tablets. Teilweise lassen sich die Dienste hier automatisch voreinstellen oder per App installieren. Dieser Fileshare funktioniert dann auf allen modernen Geräten und erlaubt auch unterwegs den schnellen Zugriff auf Dateien sowie eine Synchronisierung über alle Devices hinweg. Bei mobilen Geräten wird aus Kapazitätsgründen häufig nur ein kleiner Teil der Daten ad hoc verschlüsselt. So lassen sich zum Beispiel Quartalszahlen präsentieren, ohne dass der Benutzer einen vollständigen Zugriff auf den Management-Ordner hat.

Das Management der On-Premise-Lösungen obliegt zwar dem Unternehmen selbst und stellt einen gewissen Mehraufwand dar, doch bleibt dieser aufgrund grafischer Benutzeroberflächen meist überschaubar. Eine deutlich größere Herausforderung ist meist die Integration des Online-Speichers in die Infrastruktur des Rechenzentrums. So müssen die verschiedenen File-Server, Benutzer-Directories oder Datenbanken damit verknüpft werden. Zahlreiche Lösungen bieten zwar Schnittstellen für die üblichen Lösungen, doch die ideale Konfiguration für einen schnellen Zugriff ist häufig nicht einfach und erfordert viele Tests. Zudem kann die Einbindung proprietärer Altlösungen hier erhebliche Probleme bereiten und einen nicht mehr zu vertretenden Entwicklungsaufwand erfordern.

Secure Cloud bietet mehr Sicherheit und Skalierbarkeit

Einen Mittelweg bieten Hybrid-Cloud-Lösungen mit zahlreichen Sicherheitsvorkehrungen, die häufig als „Secure Cloud“ vermarktet werden. Dazu zählen zum Beispiel Services von FileLocker, Accellion oder Citrix. Sie nutzen in der Regel strenge Dateiverschlüsselungen und Zugriffsrechte sowie sichere, getunnelte Leitungen zum Cloud-Dienst. Diese Sicherheitsmaßnahmen können sogar einen besseren Schutz für die Daten liefern als das Unternehmen selbst im eigenen Rechenzentrum. Der Grund: Die Anbieter sind auf ein hohes Vertrauen ihrer Kunden angewiesen und setzen daher oft umfassende, ständig aktualisierte und überprüfte Security-Lösungen ein.

Integration hybrider Lösungen
Foto: Computacenter

Allerdings dürfen hier die Schlüssel nicht in der Cloud gespeichert sein, sondern müssen auf den jeweiligen Geräten oder im Rechenzentrum liegen. Nur so ist ein Zugriff durch den Provider ausgeschlossen. Alternativ können eigenständige Lösungen zur Dateiverschlüsselung wie SafeGuard LAN Crypt oder Digital-Rights- Management verwendet werden. Diese sichern dann auch Speicherorte auf USB-Sticks oder PCs.

Zu den weiteren Vorteilen für den Kunden zählen das einfachere Management, da ein zentrales Portal für den Dateiaustausch zur Verfügung steht und sich der Dienstleister um die Einbindung der Datenquellen kümmert. Die Cloud-Dienste sind im Vergleich zu On-Premise-Lösungen auch deutlich flexibler skalierbar und können von fast beliebig vielen Teilnehmern überall erreicht werden. Je nach Arbeitsprozess oder Sicherheitsstufe liegen die Daten dabei entweder beim Cloud-Anbieter oder im eigenen Rechenzentrum des Kunden. Für die Nutzer macht dies keinen Unterschied, da sie eine einheitliche Sicht auf alle Datenquellen erhalten.

Dies gilt aber nur für Daten mit geringer Sicherheitsstufe. Denn sensible Informationen werden bei hybriden Lösungen trotz der hohen Sicherheitsmaßnahmen meist nur internen Mitarbeitern zur Verfügung gestellt. So können diese Projektgruppen meist nicht mit externen Partnern zusammenarbeiten und verschicken dann Dokumente unter Umständen trotzdem per E-Mail. Daher sollten sich Unternehmen hier überlegen, ob sie nicht trotzdem dem Dienstleister und seinen Sicherheitsmaßnahmen vertrauen. Doch dazu muss gewährleistet sein, dass sensible Daten an einem sicheren Ort beim Provider gespeichert sind. Auch wenn es nirgendwo eine hundertprozentige Sicherheit gibt, gewährleistet die Rechtslage in Deutschland zumindest ein hohes Datenschutzniveau.

Das Anlegen und die Verwaltung der Benutzer erfolgt zudem oft online über ein Portal, oder es ist sogar ein Task einzurichten, im Zuge dessen der Provider über Federation oder Lightweight Directory Access Protocol (LDAP) auf das Nutzer-Directory im Unternehmensnetz zugreifen muss, um die Benutzer zu verwalten. Unter Sicherheitsaspekten ist dieses Procedere sehr bedenklich. Daher bietet zum Beispiel der deutsche Anbieter SSP Europe getrennte Benutzerverzeichnisse für interne und externe Mitarbeiter an, die vom Unternehmen im Netz beziehungsweise vom Provider online verwaltet werden. Eine Zusammenarbeit beider Gruppen ist somit möglich.

SSP Secure Data Space
Foto: Computacenter

Hersteller-Clouds fordern die IT-Abteilung

Eine besondere Herausforderung für Unternehmen stellen die sogenannten Hersteller-Clouds dar, weil sie oft mit den entsprechenden Geräten oder Programmen mitgeliefert werden. Dazu zählen zum Beispiel SkyDrive von Microsoft, iCloud von Apple oder Google Drive. Da diese Dienste bereits vorinstalliert sind, neigen viele Mitarbeiter dazu, sie auch zu nutzen. Deshalb sollte jede IT-Abteilung darauf reagieren und diese Dienste in die Gesamtlösung einbinden und entsprechend verwalten. So kann eine Firma zum Beispiel SkyDrive Pro als On-Premise-Lösung in Sharepoint integriert oder als Hybrid Cloud mit einem entsprechenden in Deutschland beheimateten Dienstleister nutzen oder private Accounts der Basisversion von SkyDrive einbinden.

Die Integration verschiedener Dienste in eine Gesamtlösung ist meist relativ einfach per SAML-Logon (Security Assertion Markup Language) auf Basis der Nutzer-Accounts möglich. Denn die Basis für den Zugriff auf die Dokumente bildet das Ordnerverzeichnis. Der Speicherdienst stellt dafür nur die entsprechende Eingabemaske für die Zugangsdaten und die Nutzeroberfläche bereit. So ist es grundsätzlich kein Problem, wenn Mitarbeiter oder auch externe Partner andere Filesharing-Dienste nutzen. Sie müssen nur die entsprechenden Sicherheitsmaßnahmen erfüllen. Auch eine Migration auf einen anderen Dienst ist einfach möglich.

Cloud-Software für hochsichere Eigenentwicklung

Eine weitere Variante bietet die Installation einer Filesharing-Software im eigenen Rechenzentrum, ohne einen Cloud-Anbieter zu involvieren. Diese Programme können entweder Eigenentwicklungen sein oder von Anbietern stammen. Eigenentwicklungen bieten sich an, wenn Unternehmen sehr spezifische Anforderungen haben und ungewöhnliche Funktionen benötigen. Die meisten dürften aber mit einer von Drittanbietern bereitgestellten Lösung besser fahren, da der Programmieraufwand entfällt und in der Regel nur kleinere Anpassungen im Layout oder den Funktionen nötig sind. Entsprechende Software bieten zum Beispiel ownCloud, Syncany oder SparkleShare.

Bei der Variante Cloud-Software liegen die Einrichtung und Konfiguration sowie die Integration entsprechender Sicherheitsmaßnahmen ausschließlich in der Verantwortung des Unternehmens. Meist steht kein ausreichender Support des Herstellers zur Verfügung, da er im Prinzip nur für den Download der Software sorgt. Dafür kann die Firma aufgrund der Unabhängigkeit vom Provider eine hochsichere, eigenständige Lösung einrichten, die sich komplett von der Umwelt abschotten lässt.

Fazit

Für Online-Speicher gibt es zahlreiche Lösungen, die sich häufig auch in verschiedenen Varianten und Szenarien von der reinen Softwarelösung bis zur Public Cloud nutzen lassen. Viele Anbieter stellen jedoch neben dem eigentlichen File-Service noch Zusatzfunktionen bereit, die Unternehmen eventuell nicht benötigen oder bereits mit anderen Lösungen abdecken. Daher müssen sie sehr genau prüfen und auswählen, welche Option für ihre spezifischen Anwendungsfälle die richtige ist. Ein spezialisierter Dienstleister kann hier wertvolle Hilfestellung leisten.(pg)

Schritt für Schritt zum Online-Speicher

Unternehmen sollten bei der Einführung eines eigenen Online-Speichers verschiedene Punkte berücksichtigen. Dabei bieten sich zum Beispiel folgende Schritte an:

• Bei der Auswahl der Lösung ist eine frühzeitige Einbindung der Mitarbeiter dringend zu empfehlen, da viele schon einen Online-Speicherdienst nutzen. Falls sich die eingeführte Anwendung ähnlich bedienen lässt, erhöht sich die Akzeptanz deutlich. Daher sollte im ersten Schritt festgestellt werden, wie viele Mitarbeiter welche Online-Speicherlösung nutzen. Dabei ist nicht nur die berufliche, sondern auf freiwilliger Basis auch die private Nutzung abzufragen.

• Anhand der Ergebnisse sind die in Frage kommenden Speicherdienste auszuwählen. Dabei sollten einerseits die Bedienoberflächen und bereitgestellten Funktionen der Lösungen verglichen werden, andererseits die im Unternehmen zu erwartenden Anwendungsszenarien und einzuhaltenden Sicherheitsrichtlinien. Dabei steht nicht so sehr der Filesharing-Dienst an sich im Fokus, sondern die Collaboration-Möglichkeiten innerhalb des Unternehmens und mit externen Partnern sowie die Verwaltbarkeit. Zudem ist zu berücksichtigen, wo die Daten gespeichert werden und wie der Zugriff darauf geregelt ist.

• Nach der Entscheidung für ein System sollte dieses zuerst als zusätzliche Option bereitstehen. Um die Mitarbeiter zum Ausprobieren zu bewegen, ist eine verständliche Präsentation und Erklärung der Funktionen ratsam sowie ein zusätzlicher Anreiz, etwa ein Gewinnspiel oder Wettbewerb. Im Vergleich zu den bisherigen Diensten sollte die neue Lösung einen echten Mehrwert bieten wie zum Beispiel einfachere Bedienung, schnellere Synchronisierung zwischen Mobilgeräten oder Integration in berufliche Anwendungen.

• Ist der Enterprise-Speicher etabliert, sollte er schrittweise vorgeschrieben werden. Dabei hilft es, wenn er sich per Mausklick in immer mehr Anwendungen öffnen lässt oder als mobile App zur Verfügung steht. Denn je einfacher und praktischer Zugriff und Nutzung sind, desto eher verwenden ihn die Mitarbeiter.

Zusatzfunktionen von Online-Speicher

Viele Filesharing-Lösungen bieten Zusatzfunktionen an. Welche dies sind, hängt hauptsächlich von der Herkunft des Anbieters ab. Stammt dieser aus dem Sicherheitsbereich, verfügt er meist über viele Backup-Funktionen. Microsoft bietet vor allem Dokumentenbearbeitung an, Google den einfachen Dateiaustausch zwischen mehreren Nutzern. Weitere Anbieter ergänzen ganze soziale Netzwerke oder Lösungen für Virtualisierung, Content-Management, Dokumenten-Management oder Mobile-Device-Management.

Falls das Unternehmen genau diese Zusatzfunktionen benötigt, kann das ein großer Vorteil sein. Besitzt es bereits ausreichende Lösungen dafür, sind die Zusatzfunktionen meist überflüssig und verteuern den Online-Speicher unnötig. Daher können anstelle von Standardlösungen auch einzelne Module gekauft werden, die genau die benötigten Bedürfnisse abdecken. Weitere spezielle Funktionen lassen sich dann oft durch Anpassungen ergänzen. (rb)