Hamburg, Starnberg, 05. Juli 2023 - Der Hamburger Hochsicherheits-Clouddienste-Anbieter TeamDrive kommentiert mögliche Risiken; zu sorgloser Umgang mit Daten…
Zum Hintergrund: Die bei Großunternehmen gängigen granularen IT-Berechtigungssysteme sind im Mittelstand aus Kostengründen leider häufig nicht vorhanden. Im Kern werden dabei jedem Nutzer nur diejenigen Zugriffsrechte auf Datenbestände eingeräumt, die für den jeweiligen Arbeitsplatz zwingend erforderlich sind. „Viele mittelständische Unternehmen gehen zu sorglos mit betriebskritischen Daten um“, kommentiert der Datensicherheitsfachmann und Geschäftsführer des Hamburger Hochsicherheits-Clouddienstes TeamDrive Detlef Schmuck. Vor allem werde dem „Einfallstor der IT-Administration“ viel zu wenig Beachtung geschenkt. „Bei vielen Mittelständlern hat nicht nur der IT-Administrator uneingeschränkten Zugang zu allen betrieblichen Daten, sondern auch der IT-affine Azubi. Wenn dieser später das Unternehmen verlässt, behält er häufig seine Zugriffsrechte, weil schlichtweg niemand daran denkt.“
Allerdings erfordert die Verwaltung individueller Zugriffsberechtigungen einen hohen Aufwand, zumal es auf Nutzerseite stets die Tendenz gibt, mehr Zugangsrechte erlangen zu wollen als für den Job tatsächlich benötigt werden, so jedenfalls sind die Erfahrungen aus zahlreichen Projekten im Mittelstand. Dazu die Firma TeamDrive: „Konnten in der analogen Welt Unterlagen mit sensiblen Informationen wie etwa Gehaltslisten oder Businesspläne sicher verschlossen und nur den beteiligten Mitarbeitern zugänglich gemacht werden, so ist das in der digitalen Welt um ein Vielfaches schwieriger.
Gemeinsam genutzte Ordner auf einem Fileserver oder einem NAS-System können stets zusätzlich zu den autorisierten Mitarbeitern von jedem Systemadministrator für den Server eingesehen werden. Dieses Risiko ist vielen Unternehmen gar nicht bewusst. So erhält beispielsweise ein befähigter Kollege, der sich um den Server kümmern soll, ganz nebenbei Zugang zu sämtlichen sensiblen Daten, ohne dass es weiter auffällt. Denn sobald derjenige das Server-Passwort für die Administration kennt, stellen alle sonstigen Zugriffsbeschränkungen keinen Schutz mehr dar.“
Cloud-Datenmanagement als Abhilfe
Der Einsatz eines Cloud-basierten Datenmanagement-Systems mit entsprechenden Leistungsmerkmalen wie Ende-zu-Ende Datenverschlüsselung und Zero-Knowledge-Architektur kann hier Abhilfe schaffen. Das bedeutet erstens, dass alle Daten in der Cloud lückenlos verschlüsselt sind und nur bei berechtigtem Zugriff entschlüsselt werden, und zweitens, dass selbst der Cloud-Administrator keine Schlüssel zu den Daten besitzt.
Das steht im Gegensatz zu den IT-Umgebungen in vielen mittleren Unternehmensgrößen, bei denen jeder Mitarbeiter mit Administrationsrechten Zugriff auf die E-Mail-Korrespondenz aller Beschäftigten hat. Zwar sind die eigenen Rechner häufig durch Verschlüsselung gut geschützt, aber sobald die Daten den lokalen Rechner verlassen, sind sie potentiell einem hohen Risiko ausgesetzt.
Alle externen Systemadministratoren sind danach ebenso zum Kreis derjenigen zu zählen, die unberechtigte Einsicht in vertrauliche Unterlagen nehmen können. Weiterhin besteht dieses Risiko auch für den Exchange- oder andere E-Mail-Server. Auf dem Server liegen in der Regel alle E-Mails und Anlagen unverschlüsselt und werden erst bei der Übertragung verschlüsselt.
Bildquelle Grafik Datensicherung: Teamdrive
TeamDrive erzeugt über die Software eine automatische Datenverschlüsselung und sorgt für sichere Schlüsselverwaltung sowie den sicheren Schlüsselaustausch. Dadurch erhält jeder Nutzer nur Zugang zu den Daten, die er für seine betriebliche Aufgabe tatsächlich benötigt. Zudem werden alle Zugriffe lückenlos protokolliert, so dass sich auch im Nachhinein jederzeit feststellen lassen soll, wer sich wann an welche Informationen herangemacht hat. Nach dem Zero-Knowledge-Prinzip besitzt auch der Cloudbetreiber selbst, hier TeamDrive, keine Zugangsschlüssel zu Kundendaten.
Gesetzliche Anforderungen erfüllen
TeamDrive erfüllt nach eigenen Angaben alle in Deutschland geltenden gesetzlichen Anforderungen gemäß DSGVO (Datenschutz-Grundverordnung) und GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Das bedeutet, dass sowohl vertrauliche personenbezogene Daten etwa zur Lohn- und Gehaltsabrechnung als auch Betriebsgeheimnisse wie beispielsweise Kalkulationen oder Verträge rechtskonform in der Cloud abgelegt werden können. Das Unternehmen TeamDrive ist vollständig in deutscher Hand und auch alle Kundendaten verbleiben nach den Informationen des Anbieters im Rechtsraum der Bundesrepublik Deutschland.
Querverweis:
Unser Beitrag > TeamDrive zieht Kundendaten zu deutscher Cloud in IONOS Rechenzentren um
Unser Beitrag > EU Data Act bleibt laut ZVEI hinter den Erwartungen zurück
Unser Beitrag > Sourveräne Clouds im Kommen: Untersuchung beleuchtet Hintergründe und Herausforderungen