Remote Teams können Dateien live in der Cloud teilen, bearbeiten und auf allen Geräten öffnen. Große Datenmengen können in die Cloud ausgelagert werden, um den eigenen Gerätespeicherplatz freizuhalten. Als zentraler, virtueller Arbeits- und Speicherort ist die Cloud im modernen, standortübergreifenden Unternehmensalltag oft nicht mehr wegzudenken.
Doch wenn alle Daten zentral gespeichert und über einfach über einen Internetbrowser abgerufen werden können, bietet das auch ein Sicherheitsrisiko. Das lässt sich zwar verringern, aber nur, wenn Unternehmen nicht leichtfertig auf Cloud-Dienste umsteigen.
Denn die Verantwortung für die Sicherheit in der Cloud trägt sowohl der Anbieter als auch der Nutzer. Während der Anbieter seine Server vor Cyberangriffen schützt, liegt es beim Nutzer selbst, seine eigenen Daten in der Cloud richtig zu verwalten und zu sichern. Wir zeigen dir, wie das geht.
Damit alle Nutzer in Echtzeit auf die aktuellen Daten zugreifen können, werden sie über eine Internetverbindung in die Cloud kopiert. Diese Kopie wird im Cloud-Server gespeichert und jeder, der sich mit einer Internetverbindung einloggt, kann theoretisch darauf zugreifen.
Eingeschränkt wird der Zugriff durch eine End-to-End-Verschlüsselung, die Dritte und den Cloud-Anbieter selbst von der Datenübertragung ausschließt. Aber Achtung: Das ist nicht bei jedem Cloud-Anbieter so. Selbst Google Drive bietet keine End-to-End-Verschlüsselung. Deshalb solltest du die AGB und Datenschutzbestimmungen eines Cloud-Dienstes aufmerksam lesen, bevor du sensible Unternehmensdaten hochlädst.
Um eine hohe Verfügbarkeit zu gewährleisten, wird eine Datei in der Cloud in der Regel nicht nur als einmalige Kopie auf dem Server gespeichert, sondern mehrfach in verschiedenen Rechenzentren. Das macht das Löschen und Entfernen von Daten in der Cloud schwieriger als auf dem eigenen Gerät.
Viele Cloud-Anbieter speichern Daten noch über den Zeitpunkt der “Löschung” hinaus, falls sie wieder rückgängig gemacht wird. Das kommt häufig vor und bietet auch eine Art zuverlässiges Backup für wichtige Dateien, ist also erstmal nicht verwerflich. Doch auch hier sollte wieder ein genauer Blick in die AGB geworfen werden, damit du wirklich weißt, wie lange und wo deine Daten gespeichert werden.
Wo die Daten gespeichert werden, ist bei Cloud-Diensten eine besonders heikle Frage. Werden die Daten auf einem deutschen Cloud-Server gespeichert, kannst du dich darauf verlassen, dass die DSGVO-Bestimmungen eingehalten werden und die Zugriffsrechte klar geregelt sind. Anders ist es, wenn die Daten auf Servern im Ausland gespeichert werden. Da ist die Gesetzeslage entweder nicht ganz klar oder erlaubt sogar Dritten den Zugriff.
Die Daten, die du auf einem Cloud-Server in den USA speicherst, dürfen von FBI, CIA und NASA unbegrenzt mitgelesen werden, ohne dass du davon etwas mitbekommst. Schutz vor Hackerangriffen bieten US-amerikanische Cloud-Server trotzdem, dennoch sollte man sich bei der Anbieter-Wahl bewusst sein, wem man dadurch Zugriff auf die Firmendaten gibt.
Die meisten Cloud-Anbieter bieten mehrere Möglichkeiten, um den Zugriff auf bestimmte Dateien zu beschränken. Das können zum Beispiel Passwörter oder individuelle Freigaben sein.
Sind alle Mitarbeiter in der Cloud angemeldet, kann ein Dokument über den Nutzernamen oder die E-Mail-Adresse ausschließlich mit einer bestimmten Person geteilt werden. Kein anderer hat Zugriff. Auch die Rechte zum Bearbeiten und Löschen können und sollten manuell bestimmt werden.
Es ist allerdings nicht zwingend notwendig, in der Cloud angemeldet zu sein, um auf Dateien zuzugreifen. Über einen öffentlichen Link können Dateien auch mit Außenstehenden geteilt werden.
Hier kann es sinnvoll sein, den Zugang zum Dokument später wieder zu entfernen. Wenn ein öffentlicher Link verschickt wurde, ist es unmöglich nachzuverfolgen, ob wirklich nur die gewünschte Person auf das Dokument zugegriffen hat oder noch weitere. Alternativ kann die geteilte Datei zusätzlich durch ein Passwort geschützt werden.
Ein großes Risiko von Cloud-Diensten besteht darin, dass Cyberkriminelle durch Phishing, Ransomware oder Passwortangriffe die Zugangsdaten der Mitarbeiter kompromittieren und so Zugriff auf alle in der Cloud gespeicherten Daten erhalten. Um das zu vermeiden, sind starke Passwörter in Kombination mit Zwei-Faktor-Authentifizierung notwendig.
Starke Passwörter sollten mindestens 8 Stellen mit 4 Zeichenarten aufweisen, keine ganzen Wörter enthalten und nicht doppelt für andere Konten verwendet werden.
Sollte ein Hacker dennoch das richtige Passwort in Erfahrung bringen, schützt die Zwei-Faktor-Authentifizierung. Denn statt sich ausschließlich mit dem Passwort einzuloggen, wird zudem ein einmaliger Code an ein anderes Gerät des Nutzers geschickt, der erst bestätigt werden muss, bevor der Zugang gewährt wird.
Die meisten Cloud-Dienste sowie auch Online-Banken und andere Dienste, die mit sensiblen Daten arbeiten, nutzen Zwei-Faktor-Authentifizierung bereits standardmäßig. In einigen Fällen ist es aber nötig, sie für deinen Cloud-Dienst manuell zu konfigurieren - und das solltest du dann auch tun.
Da Mitarbeiter über das Internet auf die Cloud zugreifen, besteht auch hier eine Sicherheitslücke. Denn schließlich nutzen Mitarbeiter nicht ausschließlich das gesicherte Firmennetzwerk, sondern auch das ungesicherte Heimnetzwerk oder öffentliches WLAN im Café.
Über ein ungeschütztes WLAN-Netzwerk kann ein Hacker sich unbemerkt in die Übertragung einklinken und Informationen abfangen oder manipulieren. Gerade bei öffentlichen WLAN-Netzwerken besteht dafür ein hohes Risiko. Aus diesem Grund sollten Mitarbeiter immer eine VPN-Verbindung nutzen, wenn sie über öffentliches WLAN auf die Cloud zugreifen. Damit werden IP-Adresse, Standort und alle übertragenen Daten verschlüsselt.
Mitarbeiter greifen mit Smartphone, Tablet, Laptop und PC auf die Cloud zu - teilweise von privaten Geräten zu Hause, teilweise von Firmengeräten. Bei jedem einzelnen Gerät besteht nicht nur das Risiko einer Malware-Infizierung, sondern auch, dass es gestohlen wird oder verloren geht.
Da viele gern ihre Passwörter auf dem Gerät speichern oder gleich angemeldet bleiben, könnte jeder, der das Gerät in die Finger bekommt, auf die Cloud zugreifen. Eine Mobile Device Management Richtlinie ist deshalb zur Sicherung der Endgeräte in jedem Unternehmen notwendig.
Die MDM-Richtlinie umfasst alle Regelungen zur Nutzung der Geräte:
Welche Apps und Websites sind erlaubt, welche nicht?
Ist ein Virenschutzprogramm Pflicht?
Dürfen Passwörter auf dem Gerät gespeichert werden oder nicht?
Aus Sicherheitsgründen empfehlen wir, dass Passwörter NICHT auf dem Gerät gespeichert werden und Mitarbeiter sich nach Feierabend immer aus ihren Firmenkonten abmelden. Auch ein Virenschutzprogramm sollte auf jedem Gerät vorhanden sein. Letztendlich wird die Richtlinie aber in jedem Unternehmen individuell festgelegt.
Die MDM-Richtlinie regelt außerdem genau, inwieweit das Unternehmen selbst auf die Geräte zugreifen darf. Das ist dann sinnvoll, wenn ein Gerät gestohlen wird und man die Firmendaten aus der Ferne löschen oder sperren will. Zudem kann der Unternehmenszugriff hilfreich sein, um auf allen Geräten die nötigen Sicherheitseinstellungen und Programme einzurichten. So wären die Firmengeräte einheitlich geschützt und alle auf demselben Stand.
Umgesetzt wird das mithilfe einer MDM-Software, in der alle im Unternehmen genutzten Geräte registriert sind. Über die Software können dann zum Beispiel Apps aus der Ferne installiert oder gelöscht, Updates gemacht und Zugänge verwaltet werden.
Gerade wenn Mitarbeiter ihre eigenen Geräte für die Arbeit nutzen, ist der Zugriff durch das Unternehmen allerdings unerwünscht und auch oft nicht datenschutzkonform. Die MDM-Software muss also in der Lage sein, berufliche und private Daten DSGVO-konform zu trennen.
Beispiele für gute MDM-Software sind unter anderem Microsoft Intune, Relution oder VMWare. Der Markt ist aber unglaublich vielfältig, weshalb wir dir gern helfen, einen vernünftigen Überblick über MDM-Software zu erhalten.
In einer Public Cloud werden auf einem Server Daten von zahlreichen unterschiedlichen Unternehmen und Kunden gespeichert. Es gilt das Prinzip der gemeinsamen Verantwortung: Während der Cloud-Anbieter die Cloud-Infrastruktur selbst auf Bedrohungen überwacht und davor schützt, ist jeder Nutzer selbst für den Schutz seiner Daten, Anwendungen und Betriebssysteme verantwortlich.
Doch nicht jeder Public-Cloud-Nutzer agiert nach den gleichen Cybersicherheitsstandards. Durch die gemeinsame Nutzung der Cloud ist dein Unternehmen also auch Sicherheitsrisiken ausgesetzt, die andere Nutzer hervorrufen.
Hinzu kommt, dass die Sicherheitsvorkehrungen der Cloud-Anbieter in der Regel zwar sehr hoch sind, gerade für behördliche Unternehmen mit extremen Sicherheitsansprüchen allerdings nicht unbedingt ausreichend. Eine Lösung dafür ist eine Private Cloud, die ausschließlich vom eigenen Unternehmen genutzt und teilweise auch verwaltet wird.
So profitiert das Unternehmen von Cloud-Computing-Vorteilen wie standortübergreifender Zusammenarbeit und hoher Speicherkapazität, hat aber gleichzeitig die volle Kontrolle über die Sicherheitsrichtlinien.
Eine Private Cloud kann sich entweder intern im Unternehmen befinden (Internal Private Cloud) oder von einem externen Host verwaltet werden (Hosted Private Cloud).
Eine Internal Private Cloud setzt voraus, dass das Unternehmen über die notwendigen Räumlichkeiten, Kapazitäten und das Personal für den Betrieb der Server verfügt. Eine Hosted Private Cloud bedeutet dagegen deutlich weniger Aufwand.
Bei Rent Your Admin bieten wir maßgeschneiderte Private Cloud Lösungen für Unternehmen an, deren Anforderungen mit den Cloud-Angeboten auf dem Markt nicht erfüllt werden. Hosting und Support übernehmen wir ebenfalls - Natürlich in Deutschland.
Da Private Clouds in der Regel deutlich teurer sind und mehr Aufwand benötigen als Public Clouds, sind sie nicht immer die richtige Lösung. Immerhin gibt es viele sehr sichere und leistungsfähige Public Clouds, die für die meisten KMUs völlig ausreichen.
Viele Unternehmen finden sich aber eher dazwischen: Manche Vorgänge haben sehr hohe Sicherheitsanforderungen, z.B. die Speicherung personenbezogener Daten oder Zahlungsbearbeitungen. Andere Aktivitäten wie gewöhnliche E-Mails und Instant Messaging sind mit den Standard-Sicherheitsvorkehrungen der Public Cloud bereits ausreichend geschützt.
Die Lösung sind Hybrid-Clouds: Während Prozesse mit geringem Risiko in der kostengünstigen Public Cloud durchgeführt werden, nutzt das Unternehmen für bestimmte, anfälligere Funktionen eine Private Cloud.
So kombiniert man die höhere Sicherheit der Private Cloud mit der Kosteneinsparung der Public Cloud und hat obendrein eine flexiblere IT-Struktur.