Sieben Sünden von File-Synchronisation und -Sharing

Rani Osnat wirft einen ungewöhnlichen Blick auf Clouddienste wie File-Sync und -Sharing oder Cloud-Storage und erklärt, wie man sich absichern kann.

Mit dem in der Presse ausgiebig behandelten Thema der gehackten iCloud-Konten berühmter Persönlichkeiten und dem ebenfalls gehackten Speicher- und Sync-Anbieter Dropbox ist nun die Zeit gekommen, sich die Risiken, die SaaS-File-Synchronisations- und -Sharing-Lösungen sowie Cloudspeicherdienste bergen, genauer anzuschauen. 

Es wird immer wieder betont, dass diese Lösungen nicht sicher sind. In diesem Artikel möchten wir jetzt hinter die Kulissen schauen und genau analysieren, was genau falsch gemacht wird und welche Konsequenzen Unternehmen daraus ziehen sollten. 

Um das Muster besser zu verstehen, schauen wir uns nun die sieben Todsünden von File-Synchronisation und -Sharing an, die Anwender unbedingt vermeiden sollten.

Wollust

Hacker sind begierig auf FSS-Daten: Konto-Hijacking ist eine weitverbreitete Bedrohung. 

Rani Osnat,
VP Strategic Marketing,
TERA Networks

Den Hackern stehen unendlich viele Möglichkeiten zur Verfügung – oft nutzten sie die Konten in der Vergangenheit nur, um Spam zu verschicken. 

Doch da FSS-Services Dateien mit Computern synchronisieren, laden diese Konten geradezu dazu ein, sie zu verwenden, um PCs mit Malware zu infizieren – das reicht von Keyloggern bis hin zum Infiltrieren von Unternehmenssystemen. 

Es liegt in der Natur der Sache, dass die am meisten verwendeten Dienste auch häufiger von Hackern angegriffen werden. Es gibt jedoch Möglichkeiten, diese Risiken so gering wie möglich zu halten. 

So können zum Beispiel die Benutzerauthentifizierung mit Active Directory, häufige Passwortwechsel sowie Zwei- oder Mehr-Faktor-Authentifizierungsmethoden einen wichtigen Beitrag dazu leisten, Konto-Hijacking zu verhindern.

Völlerei

Der Große Bruder verschlingt unsere Daten: Edward Snowden hat enthüllt, dass die NSA mit ihrem PRISM-Programm auf die Benutzerdaten verschiedener in den USA basierter Dienstleistungsanbieter wie Apple, Google und andere zugreift. Auch Dropbox hat bereits Offenlegungsanforderungen erhalten. 

Und wer weiß, wie viele Daten mit anderen Methoden gesammelt werden, um die die NSA nicht höflich bittet. Um Dateien weniger appetitlich zu machen und den Zugriff für Geheimdienste zu erschweren, können Unternehmen entweder eine vollständig private Infrastruktur verwenden oder einen Clouddienst nutzen, der es ermöglicht, die Daten direkt im Quellverzeichnis zu verschlüsseln und der alleinige Eigentümer der Verschlüsselungscodes zu bleiben.

Habgier

Ein globaler Verschlüsselungscode + Deduplizierung aller Konten = mehr Geld: Jeder FSS-Anbieter wird Ihnen versichern, dass Ihre Daten nach militärischen Standards verschlüsselt werden. Das ist ungefähr so sinnvoll wie zu wissen, dass ein Haus eine Tür hat, die verschlossen ist. Doch wer hat den Schlüssel? Und wie viele andere Türen können mit diesem Schlüssel geöffnet werden? Im Jahr 2011 wurde Dropbox wegen der Irreführung der Benutzer über die Sicherheit des Dienstes verklagt. 

In der Folge musste das Unternehmen seine Sicherheitserklärung ändern. Das hat jedoch nichts daran geändert, dass das Unternehmen (und viele andere Anbieter) die Dateien aller Benutzerkonten global dedupliziert, um den verfügbaren Speicherplatz und damit seine Gewinne zu optimieren. Wegen Fällen wie dem des Anbieters Box, der in gerade einmal 12 Monaten einen Verlust von knapp 170.00.000 US-Dollar verkraften musste, ist es verständlich, dass SaaS-Anbieter versuchen, Gewinne auf Kosten der Sicherheit zu machen. 

Bei der privaten Nutzung ist das vielleicht noch in Ordnung, aber für Unternehmen ist das völlig inakzeptabel, da so Sicherheits- und Datenschutzstandards nicht eingehalten werden können und man ernsthafte Compliance-Probleme bekommen kann. Unternehmen sollten daher immer sicherstellen, dass der Anbieter ihnen die alleinige Kontrolle über die Verschlüsselungscodes überlässt.

Trägheit

Bequemlichkeit sticht Sicherheit: Das gilt vor allem für die Benutzer. Beinahe alle FSS-Dienstleister bieten die Möglichkeit, eine Zwei-Faktor-Authentifizierung und sichere Passwörter zu verwenden, was Hackerangriffe wie die auf die iCloud-Konten von berühmten Persönlichkeiten verhindern kann. Doch all zu oft werden diese Möglichkeiten nicht genutzt. Die Benutzer gehen oft den Weg des geringsten Widerstands und setzen sich damit der Gefahr von Hackerangriffen aus. In Unternehmen sollte die IT daher geeignete Richtlinien umsetzen. Sie sollte zumindest die Kontrolle über die Verschlüsselungscodes haben und auf sichere Passwörter bestehen.

Zorn

Stellen Sie sich darauf ein, den Zorn Ihres CFOs auf sich zu ziehen: Unternehmensbenutzer, die nicht genehmigte FSS-Dienste oder andere Cloudangebote nutzen, können das Unternehmen mehr Geld kosten als gedacht. Eine kürzlich veröffentlichte Studie hat bestätigt, dass die Nutzung dieser Dienste durch die mangelnde Kontrolle der IT die Kosten für Datenlecks um ein Vielfaches steigen lässt. In der Vergangenheit konnten unsichere Anwendungen oder Server einfach beendet beziehungsweise heruntergefahren werden. Heutzutage muss man sich mit zahlreichen, manchmal unbekannten, Anbietern in Verbindung setzen. Dieser Umstand fügt Datenlecks, die durch Cloud-Services entstehen, eine weitere – geldwerte – Dimension hinzu. Der wichtigste Ratschlag für Benutzer ist es daher, nur Clouddienste zu nutzen, die von der IT abgesegnet sind, ganz gleich, wie verlockend andere Angebote erscheinen mögen.

Neid

Es hat sich herausgestellt, dass Microsoft OneDrive for Business Codes in synchronisierte Dateien einfügt und sie damit verändert. Dieser Umstand kam ans Licht, als es zu Kompatibilitätsproblemen mit Office-Dateien gekommen war. Es ist natürlich prinzipiell inakzeptabel, Dateien zu ändern, die einem anvertraut werden. Solch eine Politik kann auch zu einem großen Problem für Unternehmen werden, die Sarbanes-Oxley, HIPAA oder andere Datenschutzgesetze einhalten müssen, die erfordern, dass die Integrität und Unversehrtheit der Daten bewiesen wird. Unternehmen sollten daher sicherstellen, dass die Lösungen, die sie verwenden, Manipulationen ausschließen und Datenintegritätskontrollen anbieten.

Hochmut

Synchronisations- und Share-Anbieter behaupten immer wieder, dass Ihr Dienst Backups ersetzen kann. FSS ist ohne Zweifel sehr nützlich, aber der Service kann richtige Backups aus verschiedenen Gründen nicht ersetzen. Zum einen handelt sich um eine bidirektionale Synchronisation, was bedeutet, dass eine Datei, die lokal gelöscht wird, auch aus der Cloud verschwindet; zum anderen ist die Versionsverwaltung nur eingeschränkt möglich. Falls ein Unternehmen plant, FSS als Backup einzusetzen, lautet unser Rat, es nicht zu tun. Es sollte sich nach einer speziellen Backup-Lösung umsehen oder besser noch nach einer Lösung wie zum Beispiel CTERA suchen, die beide Funktionen über einen einzigen Client anbietet.

Keine Angst vor der Cloud

Bedeutet all das nun, dass die Cloud von Natur aus nicht sicher für Unternehmen ist? Nein. Nichts ist 100prozentig sicher, und Cloud-Services können genauso sicher (oder eben auch unsicher) wie IT-Services am eigenen Standort sein. Im Falle von kleinen Unternehmen ist die Cloud manchmal sogar sicherer, da Tier-1-Cloud-Anbieter sich an die strengsten Vorgaben ihrer Blue-Chip-Kunden halten.

Nur sehr wenige Unternehmen können sowohl Dienste für private Benutzer als auch für Unternehmen anbieten und beiden Gruppen voll gerecht werden. In diesen Fällen sollten beide Lösungen vollständig voneinander getrennt sein. Sie sollten von verschiedenen Geschäftsbereichen betreut und in unterschiedlichen Rechenzentren mit unabhängigen Administratoren und Supportmitarbeitern betrieben werden. 

Die Anforderungen und der wirtschaftliche Anreiz für Privatkunden- und Unternehmenslösungen sind diametral entgegengesetzt und es ist so gut wie unmöglich, sie in Einklang zu bringen. Wenn ein Unternehmen plant, für beide Publikumstypen einen Service zu verwenden, muss es sich der Maßnahmen sicher sein, die beide Angebote voneinander trennen.

Zudem sollten Unternehmen sich nicht nur auf die Werbeversprechen der Anbieter verlassen, sondern sich ausführlich informieren, um sicherzustellen, dass die Services und Software, die sie verwenden, über folgende Eigenschaften verfügen:

  • Verschlüsselung im Quelllaufwerk: Verschlüsselung der Dateien, bevor sie zur Cloud gesendet werden. Das gilt zusätzlich zur TLS/SSL-Verschlüsselung bei der Übertragung.
  • Private Verwaltung der Verschlüsselungscodes: Die Möglichkeit, Verschlüsselungscodes exklusiv zu kontrollieren, damit weder die Mitarbeiter des Anbieters noch andere dritte Parteien auf die Dateien zugreifen können, wenn sie in der Cloud gespeichert werden.
  • Umsetzen einer Passwortrichtlinie: Die Möglichkeit, die Verwendung von sicheren Passwörtern und Gültigkeitsfristen für Benutzer festzulegen.
  • Zwei-Faktor-Authentifizierung: Die Möglichkeit, eine Zwei-Faktor-Authentifizierung (über E-Mail oder SMS) für die Aktivierung von Konten/Geräten sowie den Zugriff auf geteilte Links zu erfordern.
  • Kontrollen der Datenintegrität: Verhindern von Man-in-the-Middle-Angriffen und Dateimanipulation, indem sichergestellt wird, dass die Daten, die in der Cloud ankommen, die gleichen, wie die auf dem Gerät sind. Das wird üblicherweise über die Verwendung von Hash- oder Fingerprint-Funktionen wie zum Beispiel den SHA-1-Standard erreicht.

CTERA nennt das End-to-End-Cloud-Storage-Sicherheit und bietet Cloud-Eigentümern damit eine sicherere Benutzererfahrung direkt „out of the box“.

Über den Autor: 
Rani Osnat ist VP Strategic Marketing bei CTERA Networks. Rani Osnat verfügt über mehr als 20 Jahre Erfahrung in der High-Tech-Industrie sowie in der Unternehmensberatung. Vor seinem Wechsel zu CTERA war er VP Marketing bei Sentrigo, ein Anbieter von Datensicherheit. Vorher arbeitete er als Unternehmensberater bei Booz & Co in London und hatte verschiedene Marketing-Positionen bei Enigma inne.

Folgen Sie SearchStorage.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juli 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sichere Datenspeicherung

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Wir waren auch sehr lange auf der Suche nach der richtigen und vor allem sicheren Cloud-Plattform zum Austausch von Dateien und Kommunikation. Schlussendlich sind wir bei www.stackfield.com gelandet, da sich die Plattform vom Funktionsumfang nicht von der Konkurrenz unterscheidet, wir aber gleichzeitig eine End-to-End Verschlüsselung erhalten.
Abbrechen

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close