Was macht einen Cloudspeicher sicher? 3 Tipps, um den für Ihr Unternehmen besten Anbieter zu finden
Wenn Sie einen sicheren Cloudspeicheranbieter auswählen, um ihm Ihre sensibelsten Dokumente anzuvertrauen, ist die Sicherheit Ihrer Dateien selbstverständlich oberste Priorität. Alle gängigen Plattformen, die einen verschlüsselten Cloudspeicher für Unternehmen anbieten, werden von sich behaupten, sicher zu sein. Wenn Sie jedoch ein wenig an der Oberfläche kratzen, werden Sie schnell erkennen können, dass Cyberschutz nicht gleich Cyberschutz ist.
Mit diesem Artikel möchte wir Ihnen helfen, die richtigen Fragen zu stellen, um sichergehen zu können, dass Ihr Cloudspeicher wirklich sicher ist. Darüber hinaus werden wir ansprechen, wie verschlüsselter Datentausch sich von Anbieter zu Anbieter unterscheiden kann, und erklären, warum zum Datenschutz mehr als nur Zwei-Faktor-Authentifizierung gehört.
Es gibt drei wichtige Bereiche, die Sie recherchieren sollten, bevor Sie sich für einen Anbieter entscheiden:
A) Wie regelmäßig führt der Anbieter Updates für den Service aus?
B) Wie ausgereift ist das Information Security Management System (ISMS) des Anbieters?
C) Wie viel Kontrolle haben Sie über Ihre Daten? Wie werden Ihre Daten verschlüsselt?
Produkt-Updates
Regelmäßige Updates sind ein Muss für jede sichere Cloudspeicherplattform – nicht nur, um potenzielle Schwachstellen zu beheben, sondern auch, um die Nutzererfahrung zu verbessern.
Die meisten sicheren Cloudspeicheranbieter werden Ihnen Zugriff auf Ihre Dateien über Ihren Desktop, Ihr Mobilgerät oder Ihren Internetbrowser bieten.
Glücklicherweise können Sie diese Desktop- und Mobilanwendungen nutzen, um nach dem Veröffentlichungsdatum für Updates zu suchen. Sie werden diese Informationen entweder im App Store, via Google Play oder im Zeitstempel der digitalen Signatur finden. Die Regelmäßigkeit der Updates sagt eine Menge über den Anbieter des Produkts und über dessen Engagement in Bezug auf das Angebot neuer Features und Sicherheitspatches aus.
Reifegrad des Sicherheitsmanagements
Es kann ein kniffliges Unterfangen sein, den Reifegrad der Sicherheitsmanagementprozesse eines Unternehmens zu beurteilen. Jedes Unternehmen hat seine Eigenheiten und wird sich auf unterschiedliche Bereiche konzentrieren müssen, abhängig vom jeweiligen Risikoprofil. So müssen z. B. manche Firmen ihren Fokus vielleicht eher auf physische Sicherheit richten, andere eher auf die Erkennung interner Bedrohungen und wieder andere auf die Verhinderung externer Cyberattacken. Das Einsehen von Informationen, die Anbieter in Bezug auf ihre Compliance bereitstellen, und die Prüfung des Vorhandenseins eines ISO-27001-Zertifikats sind ein guter Ausgangspunkt. Ihr Sicherheitsteam sollte sich außerdem mit den Dienstleistungen des Anbieters vertraut machen und sämtliche Risiken identifizieren, die der Service für Ihr Unternehmen verursachen kann.
Indem Sie die Bedürfnisse Ihres Unternehmens erwägen, sollten Sie auch dazu in der Lage sein, zu ermitteln, ob das Sicherheitssystem Ihres Anbieters ausgereift und etabliert genug ist, um Ihren Anforderungen nachzukommen.
Jedes Unternehmen ist anders und bedarf extra Sicherheit in unterschiedlichen Bereichen, je nachdem, welches Risikoprofil es hat. Für einige Firmen wird es wichtiger sein, sich auf physische Schutzmaßnahmen zu konzentrieren, andere werden ihr Augenmerk eher auf interne Bedrohungen richten und wieder andere werden in erster Linie Angriffe durch externe Hacker verhindern wollen.
Bevor Sie sich an einen Anbieter wenden, sollten Sie eine Vorstellung davon haben, ob die von Ihrem Unternehmen genutzte Cloud- oder Datentauschlösung bestimmte Auflagen erfüllen muss, z. B. ob Compliance mit der DSGVO, FINRA, HIPAA oder ITAR gewährleistet werden muss.
Darüber hinaus sollten Sie genau wissen, welche Art von Dateien Sie in der Cloud speichern werden – werden Sie sie hauptsächlich zum Teilen finanzieller Unterlagen, zum Speichern von Rechtsdokumenten oder zur Verwaltung von Personalakten verwenden? Prüfen Sie außerdem, wie viele Personen Zugriff auf diese Dateien haben werden. Ein sicherer Cloudspeicher für kleine Betriebe wird sich von einem solchen für Großunternehmen unterscheiden.
Sobald Sie diese Anforderungen auf den Punkt gebracht haben, sollten Sie dazu in der Lage sein, zu visualisieren, wie sich ein sicherer Cloudspeicher in Ihre täglichen Arbeitsabläufe einfügen wird. An dieser Stelle sollten Sie auch entscheiden können, ob Sie einen Anbieter benötigen, der zusätzliche Funktionen bereitstellen kann, wie z. B. die Möglichkeit, Dokumente zu versenden, die eine digitale Signatur benötigen, oder passwortgeschützte Dateien zu erstellen.
Datenverschlüsselung
Die wichtigste Frage, die Sie Ihrem Anbieter stellen sollten, lautet jedoch: Wer wird Zugriff auf die hochgeladenen Daten haben? Alle Anbieter werden angeben, dass sie eine Form von Verschlüsselung nutzen – gewöhnlich AES 256-Bit Encryption, auch als AES265 bekannt. Bei dieser Angabe handelt es sich jedoch selten um die ganze Wahrheit.
Die meisten Plattformen werden sogenannte At-Rest-Verschlüsselung verwenden: In diesem Fall können Ihre Daten nicht gelesen werden, während Sie auf der Festplatte des Datencenters gespeichert sind, aber der Anbieter selbst hat trotzdem Zugriff auf Ihre Dateien. Um das höchste Sicherheitslevel zu gewährleisten, müssen Sie sich für Ende-zu-Ende-Verschlüsselung entscheiden. Diese garantiert, dass nicht einmal der Anbieter Ihre Dokumente einsehen kann. Eine derartige Ende-zu-Ende-verschlüsselte Architektur ist sehr viel schwieriger zu implementieren. Aus diesem Grund wird dieser Service nur von einer Handvoll Anbieter bereitgestellt, wie z. B. Tresorit.
Eine Möglichkeit festzustellen, ob ein Anbieter Ende-zu-Ende-Verschlüsselung anwendet, besteht darin, herauszufinden, ob er eine Funktion zur Passwortzurücksetzung anbietet. Falls ja, bedeutet dies, dass der Anbieter Zugriff auf Ihre Daten und die vertraulichen Dateien Ihres Unternehmens hat.
Um mehr zum Thema zu erfahren, können Sie hier Tresorits vollständigen Leitfaden nachlesen.