Es gibt Medienberichte über Sicherheitslücken bei sogenannter Kollaborations-Software. Solche Programme für Office- und Telekommunikationsanwendungen in der Cloud sind vor allem seit der Corona-Pandemie aus Unternehmen nicht mehr wegzudenken. Allerdings haben sich zahlreiche Unternehmen bei der Auswahl nur oberflächlich mit der Datensicherheit beschäftigt. Das geschah vor allem aufgrund des damals herrschenden Zeitdrucks, die Unternehmensabläufe mittels Homeoffice und Remote Work aufrechtzuerhalten. Die Frage der Sicherheit von Daten bei der Nutzung entsprechender Programme war zweitrangig. Eine eng damit verbundene Frage ist, wie relevant Server- und Datenstrukturen für die Sicherheit sind.
Zwei verschiedene Dinge – Sicherheitslücken & Datenschutz-Risiken
Beim Thema Sicherheitslücken geht es um klassische Server- und NAS-Lösungen. NAS- und Datei-Server erhöhen zwar durch Redundanzen die Ausfallsicherheit von Daten (etwa durch fehlerhafte Laufwerke), sind aber gleichzeitig anfälliger für Ransomware-Attacken.
Bei der Nutzung von Cloud-Diensten stehen dagegen Datenschutz-Risiken im Fokus. Während der letzten Monate gab es verschiedene Gerichtsurteile, die bestätigten, dass es bisher keine einwandfreie Rechtsgrundlage gibt. Auf deren Basis lässt sich ausschließen, dass personenbezogene Daten in die USA übermittelt werden. Der US-Cloud-Act ermöglicht eine solche Übermittlung, wenn der US-Anbieter deutsche Rechenzentren besitzt.
Größere Sicherheit durch Private Cloud bzw. Hybrid Cloud Lösungen
Eine Lösung sind „Private Cloud“ oder „Hybrid Cloud“ Anwendungen. Sie zeichnen sich durch zentrale Wartung aus, aufgrund derer sie ähnlich sicher und vor allem komfortabel, wie Cloud-Dienste sind. Gleichzeitig minimieren sie das Datenschutzrisiko dadurch, dass die Datenspeicherung am Firmenstandort oder in deutschen Rechenzentren geschieht.
Roman Leuprecht, technischer Leiter und Gründer des Startups UNIKI rät Unternehmen zusätzlich, eine Failover-Funktion einzubauen. An einem separaten Standort wird hierfür ein Backup-Server eingerichtet, der im Schadensfall direkt den Hauptserver ersetzt.
Es gibt aber noch weitere, relativ einfach zu nutzbare Möglichkeiten, die Datensicherheit zu erhöhen. Hier lautet für Roman Leuprecht das wichtigste Stichwort Passwort-Management: Er rät schließlich Unternehmen, auch Passwort-Manager zu nutzen, da man beim Thema Sicherheit die menschliche Komponente nicht vergessen darf. Diese Anwendungen ermöglichen es, für unterschiedlichste Dienste sehr starke Kennwörter zu nutzen und zentral zu verwalten. So können laut dem Experten Phishing-Versuche vereitelt und neue Mitarbeiter schnell eingearbeitet werden.
Rechenzentren und Inhouse-Server schützen Datensouveränität
Es müssen alle Aspekte und Risiken hinsichtlich der Datensicherheit und den von der DSGVO verlangten Maßnahmen berücksichtigt werden. Die Unternehmensführungen müssen alles unternehmen, um Risiken zu entgehen. Langfristig ist das vor allem das latente Risiko finanzieller Schäden durch Strafzahlungen. Zudem sollten mögliche Imageschäden durch Vertrauensverlust minimiert werden.
Der Pfad, auf dem das eigene Unternehmen seine rechtlich sichere und uneingeschränkte Datensouveränität bewahrt und ein vertrauenswürdiges DSGVO-Schutzniveau besitzt, führt über die ausschließliche Nutzung europäischer Kollaborationslösungen in Rechenzentren europäischer Unternehmen oder, was eine noch bessere Lösung wäre, eigener Inhouse-Server. Wenn der Datenserver physisch am Unternehmensstandort steht, haben US-Behörden keine Zugriffsmöglichkeit auf den Server und die auf ihm gespeicherten, unternehmenseigenen Daten.
Jedem Unternehmen muss klar sein, dass ein Aufschieben solcher oder ähnlicher Maßnahmen bedeutet, das Unternehmen weiterhin den unnötigen Risiken auszusetzen und der Compliance-Abteilung bis zur Implementierung sicherer Lösungen viele schlaflose Nächte zu bereiten.
Bildquellen:
- pexels-soumil-kumar-735911: Foto von Soumil Kumar: https://www.pexels.com/de-de/foto/foto-der-person-die-auf-computertastatur-tippt-735911/
