Bei vielen Mittelständlern hat nicht nur der IT-Administrator uneingeschränkten Zugang zu allen betrieblichen Daten, sondern auch der IT-affine Azubi. Wenn dieser später das Unternehmen verlässt, behält er häufig seine Zugriffsrechte, weil schlichtweg niemand daran denkt, erklärt Datensicherheitsfachmann Detlef Schmuck.
Die bei Großunternehmen gängigen granularen IT-Berechtigungssysteme werden im Mittelstand aus Kostengründen häufig eingespart. Im Kern werden dabei jedem Nutzer nur diejenigen Zugriffsrechte auf Datenbestände eingeräumt, die für den jeweiligen Arbeitsplatz zwingend erforderlich sind. „Allerdings erfordert die Verwaltung individueller Zugriffsberechtigungen einen hohen Aufwand, zumal es auf Nutzerseite stets die Tendenz gibt, mehr Zugangsrechte erlangen zu wollen als für den Job tatsächlich benötigt werden“, weiß Detlef Schmuck aus zahlreichen Projekten im Mittelstand. Er sagt: „Viele Mittelständler sind mit den Herausforderungen der Digitalisierung vor allem in Sicherheitsfragen nach wie vor überfordert.“
Zu viele haben Zugang zu sensiblen Daten
Detlef Schmuck gibt Beispiele: „Konnten in der analogen Welt Unterlagen mit sensiblen Informationen wie etwa Gehaltslisten oder Businesspläne sicher verschlossen und nur den beteiligten Mitarbeitern zugänglich gemacht werden, so ist das in der digitalen Welt um ein Vielfaches schwieriger. Gemeinsam genutzte Ordner auf einem Fileserver oder einem NAS-System können stets zusätzlich zu den autorisierten Mitarbeitern von jedem Systemadministrator für den Server eingesehen werden. Dieses Risiko ist vielen Unternehmen gar nicht bewusst. So erhält beispielsweise ein befähigter Kollege, der sich um den Server kümmern soll, ganz nebenbei Zugang zu sämtlichen sensiblen Daten, ohne dass es weiter auffällt. Denn sobald derjenige das Server-Passwort für die Administration kennt, stellen alle sonstigen Zugriffsbeschränkungen keinen Schutz mehr dar.“
Cloud-Datenmanagement als Abhilfe
Als Abhilfe rät Detlef Schmuck zum Einsatz eines Cloud-basierten Datenmanagementsystems mit entsprechenden Features. Er nennt dabei als die wichtigsten Kriterien eine Ende-zu-Ende Datenverschlüsselung und eine Zero-Knowledge-Architektur. Das bedeutet erstens, dass alle Daten in der Cloud lückenlos verschlüsselt sind und nur bei berechtigtem Zugriff entschlüsselt werden, und zweitens, dass selbst der Cloud-Administrator keine Schlüssel zu den Daten besitzt.
Das steht im Gegensatz zu den IT-Umgebungen in vielen mittelständischen Unternehmen, bei denen jeder Mitarbeiter mit Administrationsrechten Zugriff auf die E-Mail-Korrespondenz aller Beschäftigten hat. Zwar sind die eigenen Rechner häufig durch Verschlüsselung gut geschützt, aber sobald die Daten den lokalen Rechner verlassen, sind sie meist einem hohen Risiko ausgesetzt, weiß Detlef Schmuck aus Projekten. Er ergänzt: „Alle externen Systemadministratoren sind ebenso zum Kreis derjenigen zu zählen, die unberechtigte Einsicht in vertrauliche Unterlagen nehmen können. Weiterhin besteht dieses Risiko auch für den Exchange- oder andere E-Mail-Server. Auf dem Server liegen in der Regel alle E-Mails und Anlagen unverschlüsselt und werden erst bei der Übertragung verschlüsselt.“
Zugang nur zu den benötigten Daten
Detlef Schmuck ist Geschäftsführer des Hamburger Hochsicherheits-Clouddienstes TeamDrive und postuliert: „In unserem Cloudservice sind die Betriebsdaten sicherer aufgehoben als bei den meisten mittelständischen Firmen in Deutschland.“ Bei TeamDrive übernimmt die Software nicht nur die automatische Verschlüsselung, sondern sorgt auch für eine sichere Schlüsselverwaltung und den sicheren Schlüsselaustausch. Dadurch erhält jeder Nutzer nur Zugang zu den Daten, die er für seine betriebliche Aufgabe tatsächlich benötigt. Zudem werden alle Zugriffe lückenlos protokolliert, so dass sich auch im Nachhinein jederzeit feststellen lässt, wer sich wann an welche Informationen herangemacht hat. Gemäß dem Zero-Knowledge-Prinzip besitzt auch der Cloudbetreiber selbst, also TeamDrive, keine Zugangsschlüssel zu Kundendaten.
Alle gesetzlichen Anforderungen werden erfüllt
Ebenfalls wichtig: TeamDrive erfüllt alle in Deutschland geltenden gesetzlichen Anforderungen gemäß DSGVO (Datenschutz-Grundverordnung) und GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Das bedeutet, dass sowohl vertrauliche personenbezogene Daten etwa zur Lohn- und Gehaltsabrechnung als auch Betriebsgeheimnisse wie beispielsweise Kalkulationen oder Verträge rechtskonform in der Cloud abgelegt werden können. Zur Sicherheit trägt bei, dass TeamDrive trotz des anglisierten Firmennamens vollständig in deutscher Hand liegt und auch alle Kundendaten im Rechtsraum der Bundesrepublik Deutschland verbleiben.
Mehr bei TeamDrive.com
Über TeamDrive TeamDrive gilt als „sichere Sync&Share-Software made in Germany“ für das Speichern, Synchronisieren und Sharing von Daten und Dokumenten. Grundlage bildet eine durchgängige Ende-zu-Ende-Verschlüsselung, die gewährleistet, dass nur der Anwender selbst die Daten lesen kann – weder TeamDrive noch irgendeine Behörde auf der Welt kann die Daten entschlüsseln. Diese technische und rechtsverbindliche Sicherheit wissen über 500.000 Anwender und mehr als 5.500 Unternehmen aus allen Branchen zu schätzen.