Kollaboration zwischen einfach Machen und nicht Dürfen

Betriebliche Zusammenarbeit in der Zwickmühle Kollaboration zwischen einfach Machen und nicht Dürfen

Es blieb keine Wahl: Wer seine Geschäfte im Corona-Lockdown weiterführen wollte, musste für Konferenzen, Abstimmungsgespräche oder Team-Meetings auf Videocalls oder Online-Konferenzen umsteigen. Wurden dabei Dokumente ausgetauscht, blieben Datenschutz und Informationssicherheit oft auf der Strecke.

In der realen Welt wissen wir recht genau, was wir im öffentlichen Raum oder in großer Runde besprechen können und was nicht. Auch was am Arbeitsplatz im Ablagefach liegen darf und was in den Tresor gehört, ist im Grunde klar und wird beachtet. Im digitalen Raum allerdings kommt dieses Bewusstsein eher weniger zur Geltung. Wie sonst ist es zu erklären, dass es in vielen Unternehmen gängige Praxis ist, auch vertrauliche Dokumente über Kanäle auszutauschen, die dafür nicht geeignet sind.

So werden Meetings etwa über Microsoft Teams oder andere gängige Kollaborations-Tools geführt und dort Inhalte abgelegt, die in dieser Umgebung nichts zu suchen haben. Denn diese Tools sind zwar praktisch, problemlos verfügbar und weit verbreitet, unter dem Aspekt von Datenschutz und Informationssicherheit jedoch alles andere als wasserdicht. Das heißt, hier sollten nur Daten mit niedriger Sicherheitseinstufung geteilt werden. Allein schon, dass Protokolle und andere Dokumente oft zeitlich unbegrenzt in Teams und den verbundenen Systemen wie OneDrive und SharePoint liegen, ist riskant. Dieses Risiko lässt sich minimieren, in dem man dafür sorgt, dass solche Inhalte nach 30 Tagen durch einen automatischen Job gelöscht werden. Zum dauerhaften Speichern empfiehlt es sich, andere, sichere Systeme anzubieten.

Cloud Act klaut Sicherheit

Das Problem ist bekannt und es betrifft viele namhafte und sehr beliebte Kollaborations-Produkte. Allen voran die Plattformen, die dem Cloud Act in den USA unterliegen, denn er öffnet dem unkontrollierbaren Zugriff durch US-amerikanische Behörden Tür und Tor. Selbst wenn das Produkt eines US-Anbieters in einem europäischen Rechenzentrum läuft, ist es vor solchen Zugriffen nicht sicher, wie der Landesbeauftragte für Datenschutz in Niedersachsen klarstellt: „Der US-Cloud Act (…) erlaubt US-Behörden, auf personenbezogene Daten zuzugreifen, die im Besitz oder unter der Kontrolle von US-Unternehmen sind – auch dann, wenn sich diese Daten außerhalb der USA befinden.“

Dennoch: Unter dem Druck der Corona-Ereignisse haben viele Unternehmen mit einfach nutzbaren Cloud-Angeboten kurz entschlossen Fakten geschaffen, die auf Dauer nicht haltbar sind. Denn sie stellen nicht nur die Vertraulichkeit interner Informationen zur Disposition, sie entsprechen auch nicht den Anforderungen der EU-DSGVO.

Insbesondere Cloud-Angebote wie Zoom, Cisco WebEx oder Microsoft Teams erfreuen sich großer Beliebtheit. Doch sie sind immer wieder Gegenstand der Kritik von Datenschützern. So hat die Berliner Landesbeauftragte für Datenschutz einige der gängigen Videokonferenzplattformen einer Kurzbewertung unterzogen – und sie mit einem Ampelsystem bewertet. Dabei kassierten einige der großen Anbieter rote Ampeln. Darunter auch die oben genannten.

Unsichere Plattformen dominieren

Sich ohne die marktbeherrschenden Produkte der US-Anbieter zu behelfen, erscheint kaum praktikabel. Denn selbst wenn man eine Videokonferenzplattform gefunden hat, die den geforderten Sicherheitsstandards genügt – im nächsten, von extern organisierten Online-Termin bekommt man es mit hoher Wahrscheinlichkeit wieder mit einer unsicheren Plattform zu tun.

Natürlich stellt das nicht grundsätzlich ein Problem dar. So gibt es viele Inhalte, die durchaus ohne besonderen Schutz geteilt werden können. Um sie von Content unterscheiden zu können, der auf einer unsicheren Plattform nichts zu suchen hat, sollte man Mitarbeiterinnen und Mitarbeiter dafür sensibilisieren. Das allerdings hilft nur dann weiter, wenn für solche schützenswerten Inhalte leicht zu bedienende Alternativen verfügbar sind. Lösungen, die in der Private Cloud oder gar on-Premises laufen, könnten dafür zum Beispiel dafür infrage kommen.

Fest steht: Am Anfang der Lösungssuche muss die Analyse der konkreten Anforderungen stehen. Denn sie setzen die Rahmenbedingungen. Außerdem ist dringend anzuraten, die Informationsangebote der Landesbeauftragten für Datenschutz zu nutzen und in Sachen Informationssicherheit die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu berücksichtigen.

Die Lösung: Spezielle Tools für sensible Inhalte

Anders als beim Telefon, das unabhängig von der genutzten Hard- und Software weltweit gleich funktioniert, fehlt bei Kollaborations-Tools bislang ein einheitlicher Standard. Zwar werden Teilnehmende aus anderen Unternehmen nicht selten die gleiche Plattform wie man selbst einsetzen, da die Anzahl der verbreiteten Tools überschaubar ist. Aber natürlich kann es auch vorkommen, dass andere Unternehmen andere Tools nutzen.

Damit tauchen unter Umständen Fragen zur Sicherheit des Fremd-Tools auf. Und es kommt in aller Regel zu Anlaufschwierigkeiten, weil sich die Teilnehmenden auf ein ungewohntes Tool mit unbekannter Benutzeroberfläche einstellen müssen. Außerdem besteht die Gefahr, dass fremde Tools von der eigenen IT-Sicherheit gesperrt sind.

Ein Weg aus dem Dilemma: Gängige Plattformen nutzen und für sensible Inhalte spezielle Tools anbieten, die die gewünschte Sicherheit bieten. Entscheidend für die Akzeptanz und damit die tatsächliche Nutzung ist es dabei, die Hürden für die Nutzer möglichst niedrig zu halten. Dazu gehört eine Integration möglichst ohne Medienbruch. So lässt sich etwa MS Teams samt OneDrive nutzen, und zusätzlich für das File Sharing eine sichere Alternative integrieren. Beispiel für ein Tool, das dies leistet, ist die File-Sharing-Plattform von DoubleSlash.

Zweischneidig: Application Firewalls

Es gibt die Möglichkeit, bestimmte Service-Kategorien mittels Application Firewall zu sperren. Allerdings hinken die dahinterstehenden Sperrlisten oft der Realität hinterher. Zu bedenken ist dabei auch, dass eine Abschottung letztendlich zu Einschränkungen in der Kollaboration führt. Genau das aber gilt es so weit als möglich zu verhindern. Wer zu einer Application Firewall greift, sollte daher abwägen, wie weit eventuelle Einschränken gehen müssen und, ob sich das angestrebte Ziel auch erreichen lässt, indem man Mitarbeiter sensibilisiert und zugleich praktikable Lösungsangebote verfügbar macht. Bei dieser Abwägung sind unter anderem regulatorische Vorgaben, mögliche Risiken und das konkrete Schadenspotenzial ins Kalkül zu ziehen.

Das Fehlen einheitlicher Standards kann indes zu weiteren Hürden führen: Hat ein Unternehmen eine Kollaborationslösung sorgsam ausgewählt, kann es dennoch passieren, dass der Kommunikationspartner diese Lösung nicht akzeptiert und sperrt. Das macht dann einen Dateitransfer oder eine problemlose Kollaboration unmöglich.

Gemeinsame Standards dringend gefragt

Für eine wirklich sichere, globale Kollaboration brauchen wir daher gemeinsame Standards und Werte, wie sie Europa mit Gaia-X anstrebt. Das Projekt Gaia-X soll das Entstehen einer Open-Source-Software-Community auf europäischer Ebene fördern und unterstützen und zugleich den europäischen Datenschutz- und Sicherheits-Standards Rechnung tragen.

Neben der Datensouveränität geht es dabei vor allem um die reine Verfügbarkeit von Daten. Denn sie ist der entscheidende Faktor für den Erfolg der Digitalisierung. Konkret: Wir brauchen eine Dateninfrastruktur, auf der wir Daten vertrauensvoll, sicher und transparent austauschen und verarbeiten können. Nur so lassen sich die skalierenden Vorteile großer Datenbestände in Europa nutzen. Genau das sind die Ziele von Gaia-X. Allerdings ist das Projekt noch im Aufbau, Angebote, die wirkliche Datensouveränität und -verfügbarkeit effektiv unterstützen, gibt es schlicht noch nicht.

Praktikable Übergangslösungen

Abwarten ist allerdings angesichts der rasanten Entwicklung von Technologie und Marktmacht keine Option. Also werden wir, solange es keine standardisierten Verfahren gibt, praktikable Übergangslösungen brauchen.

Basis dafür können durchaus die weit verbreiteten (US-)Produkte sein. Microsoft Teams zum Beispiel bündelt inzwischen viele gute Kollaborationswerkzeuge wie Video Conferencing oder Filesharing. Sie sind einfach und bequem in der Nutzung, ebenso voll integrierte Tools wie MS OneDrive und SharePoint. Vor allem aber: Durch seine offene Architektur macht MS Teams Erweiterungen relativ einfach möglich. Auf dieser Basis lassen sich für den Austausch und die Ablage sicherheitsrelevanter Informationen sichere Alternativen wie de DoubleSlash Business Filemanager integrieren.

Lösungen für fast jeden Bedarf

Der Markt bietet heute für fast jeden Bedarf eine Lösung. Es gibt Angebote, die oft nur einen sehr spezifischen Aspekt bedienen, und solche, die ein ganzes Anwendungsbündel abdecken. Durch ihre Spezialisierung sind erstere tendenziell besser geeignet, um die Anforderungen in ihrem spezifischen Umfeld abzudecken. Dagegen haben breiter angelegte Tools oft den Vorteil, dass die einzelnen Teile sehr gut ineinander integriert sind. Plattformen als Mischform – wie MS Teams – erlauben es in der Regel, Funktionen oder auch einen Kanal für den Austausch besonders schützenswerter Inhalte hinzuzufügen.

Die einzelnen Tools reichen von den Klassikern wie E-Mail, Chats, Video Conferencing und Filesharing-Tools. Sie umfassen Blogs, Wikis und Aufgabenverwaltungs-Tools wie etwa die weit verbreiteten Atlassian Produkte Jira, Confluence und Trello, oder auch Alternativen wie Asana oder Hive. Welches eingesetzt wird, bestimmen letztendlich der konkrete Bedarf und die eigenen Anforderungen. Generell gilt: Je höher die Anforderungen in Sachen Datensicherheit sind, desto härter und restriktiver die Maßnahmen. Wichtig ist hier, dass die Restriktionen angemessen und die Tools einfach zu bedienen sind. Das sicherste Werkzeug ist nichts wert, wenn es wegen fehlender Akzeptanz umgangen wird.

Bei der Prüfung, ob ein Produkt für die eigene Anwendung tauglich ist, sollte die erste Frage sein, ob ein schlüssiges Sicherheitskonzept vorliegt. Dabei geht es unter anderem darum, welche Angriffsvektoren dort in Betracht gezogen und wie diese abgesichert sind. Eine Rolle spielt auch, ob das Berechtigungskonzept die Bedarfe abdeckt und ob die Daten zumindest verschlüsselt übertragen beziehungsweise bei Public Cloud Angeboten sogar Ende-zu-Ende verschlüsselt werden.

Natürlich sollte sich das Produkt an das eigene Identity & Access Management im Unternehmen anbinden lassen, um Nutzerkonten schnell sperren zu können. Wie die Qualitätssicherung in Software-Entwicklung und Wartung aussieht, ist ebenso relevant wie die Frage, ob aussagekräftige Zertifizierungen für die Entwicklung und den Betrieb (ISO 27001) vorliegen. Außerdem: Wird das Tool in Europa betrieben und handelt es sich um europäische Anbieter? Ideal ist es, wenn eine Bewertung durch Landesdatenschützer vorliegt. Diese und viele andere Fragen sollten im Vorfeld geklärt werden.

„German Angst“ überwinden, Wandel aktiv gestalten

Fest steht: Während der Grad der Digitalisierung steigt, wachsen auch die Anforderungen an die Produkte und Services auf dem Markt. Technischer Fortschritt, sich ändernde regulatorische Rahmenbedingungen, Generationswechsel und kulturelle Änderungen in den Unternehmen stehen hier in Wechselwirkung.

Der Digitalisierungs-Zug fährt längst, und er beschleunigt sich. Wer nicht zurückbleiben will, muss den stetigen Wandel mitgehen und aktiv gestalten; muss die fast schon sprichwörtliche „German Angst“ überwinden und Online-Kollaboration als Chance sehen, die es zu ergreifen und zu gestalten gilt.

Unter anderem sollten Unternehmen jetzt verstärkt darauf achten, dass ihre bestehenden Lösungen gut zu migrieren sind. Und sie sollten die in Corona-Zeiten schnell eingeführten Public Cloud Anwendungen möglichst schnell durch sichere Lösungen zu ersetzen. Vor allem geht es darum, dass sich die in der Cloud abgelegten Daten verlustarm und schnell zu anderen Anbietern migrieren lassen.

Wichtig: Der Wandel muss gewollt und wohl geplant sein. Der vielzitierten Schatten-IT muss durch geprüfte, sichere Anwendungen der Boden entzogen werden. Dabei geht es nicht nur darum, die richtigen Tools einzusetzen. Vielmehr gilt es auch, Generationenkonflikte zu berücksichtigen und Medienkompetenz aufzubauen. Nicht zu vergessen: Der mit der Digitalisierung einhergehende Kulturwandel darf nicht außer Acht gelassen werden.“

* Der Autor Wolfgang Kleinertz ist Associated Partner bei DoubleSlash. Als Senior Software Consultant hat er mit Kunden wie der BMW AG oder der Deutschen Post gearbeitet und bringt viel Erfahrung von der Analyse bis zur Umsetzung von IT-Projekten mit. DoubleSlash bietet zur Auswahl eines Fileshare-Tools eine Evaluierungsmatrix an. Sie dient dazu, im Vorfeld die richtigen Fragen zu stellen und beim Erheben der Anforderungen und der Evaluierung zielgerichteter und schneller vorzugehen.

(ID:47982100)