Cloud Security bei Collaboration und File Sharing

Matthias Meyer 14.12.2022

Wie Ihr mit Cloud Security Eure Unternehmensdaten auch bei der Nutzung von Collaboration Tools schützt

Kollaboratives Arbeiten hat im Arbeitsalltag einen immer höheren Stellenwert. Nicht nur die Beschränkungen einer Pandemie haben dazu beigetragen, dass Remote-Arbeit und New Work stehen immer höher im Kurs stehen. Ob es die einsame Hütte am Bergsee ist, der Camper am Strand oder schlichtweg das gemütliche Büro in den eigenen vier Wänden: Arbeitnehmer*innen ziehen einen selbst gestalteten Arbeitsplatz dem Büro vor.

Digitale Zusammenarbeit bietet aber noch mehr Vorteile. Über gemeinsam genutzte Tools kann man beispielsweise mit Dienstleister*innen und Partnerfirmen zusammenarbeiten, die exakt das geforderte Skillset für ein entsprechendes Projekt erfüllen – egal, ob hunderte Kilometer Entfernung dazwischen liegen. Somit haben auch die Zeiten von unpersönlichen Projektwohnungen ein Ende.

Und: so lässt sich die Effizienz durch Collaboration Work immens steigern. Zum Beispiel kann man einfach mit allen Kolleg*innen gemeinsam und zeitgleich an einem Dokument für einen Artikel arbeiten, ohne verschiedene Versionen zu versenden und umständlich zusammenzuführen. Jede*r ist immer und zu jedem Zeitpunkt auf demselben Stand.

Natürlich bringt jede Technologie immer auch das ein oder andere Sicherheitsrisiko mit sich. Auf diese Risiken – und wie Ihr sie entschärfen könnt – wollen wir in diesem Artikel eingehen.

Risiken von Collaboration Tools

Sollen Daten mittels Collaboration Tools auch unternehmensübergreifend bearbeitet werden, müssen sie, bzw. die eingesetzten Tools, auch über das Internet erreichbar sein. Dies gilt z. B. auch, wenn auf Client-VPN-Lösungen verzichtet werden soll, die den limitierten Zugriff aus dem Homeoffice ermöglichen.

Das Teilen mit Externen birgt die Gefahr, dass Daten unbewusst einem zu großen Kreis potenzieller Nutzer*innen zugänglich gemacht werden. Der Marketing-Pitch für ein neues Produkt sollte natürlich mit den Kolleg*innen der Marketingagentur geteilt werden, jedoch nicht bereits vor dem Produkt-Launch mit der breiten Masse.

Auch muss sichergestellt sein, dass bestimmte Daten nicht an unbeteiligte Dritte weitergereicht werden oder auch nach einem Projekt noch unbemerkt zugänglich sind.

Die Möglichkeit, dass ein großer Personenkreis auf Daten zugreift und mit diesen arbeitet, birgt natürlich auch die Gefahr, dass Daten bewusst manipuliert werden. All diese Risiken ergeben sich meist durch die unkontrollierte Nutzung solcher kollaborativen Tools.

Maßnahmen aus der Cloud Security

Damit Daten nicht ungehindert das Unternehmen verlassen, müssen sie vor wahllosen Zugriffen geschützt werden und der zugriffsberechtigte Personenkreis sollte immer klar definiert sein. Außerdem muss jederzeit sichergestellt sein, dass die Daten nicht manipuliert werden können.

Das große und komplexe Feld der Cloud-Sicherheit bringt hierfür eine Reihe von Möglichkeiten mit, um solche Risiken zu entschärfen. Eine Auswahl von Optionen findet Ihr im folgenden Abschnitt.

1. Anbindung an Identity Provider

Wollt Ihr garantieren, dass nur bestimmte personalisierte Benutzer*innen auf Daten in einem kollaborativen Tool zugreifen können, solltet Ihr einen Identity Provider, also eine zentrale Datenbank an Nutzer*innen, verwenden. Nutzer*innen bzw. Accounts können dann in dem Identity Provider verwaltet oder gesperrt werden.

Insbesondere wenn Ihr eine Vielzahl verschiedener Kollaborationstools nutzt, bringt ein zentraler Identity Provider noch einen weiteren Vorteil mit sich:

Ist ein Projekt beendet und ein*e externe*r Dienstleister*in muss nicht mehr auf die benötigten Daten zugreifen, kann er*sie einfach im zentralen Identity Provider gesperrt werden. Wurden für das Projekt mehrere kollaborative Tools eingesetzt, werden durch die zentrale Sperrung alle Datenzugriffe unterbunden.

Einige Tools unterstützen auch die parallele Nutzung mehrerer Identity Provider zur selben Zeit. Anbieter hierfür sind beispielsweise Microsoft mit Azure Active Directory, Okta, Google, RSA und SecureAuth. Kann sogar Single Sign-on mit dem Identity Provider umgesetzt werden, ermöglicht man es Benutzer*innen, ihre Anmeldung transparent von einem zum anderen kollaborativen Tool mitzunehmen, nachdem sie sich einmalig an ihrem zentralen Identity Provider angemeldet haben.

2. Google Workspace

Google Workspace umfasst ein breites Feld an einzelnen Diensten. So können über Gmail E-Mails bearbeitet, empfangen und versendet werden. Google Docs, Tabellen und Präsentationen ermöglichen es, an Dokumenten zu arbeiten, Daten in Tabellen zu verarbeiten oder Präsentationen zu erstellen.

Mittels Google Drive können diese Dateien auch mit direkten Kolleg*innen im Unternehmen oder externen Partner*innen geteilt werden. Um sich über ein Projekt auszutauschen, kann mittels Chat kommuniziert und sich per Google Meet in Videokonferenzen abgestimmt werden.

Um allen Beteiligten Zugriff auf Projektdaten zu gewähren, kann ein zentraler Identity Provider an den Google Workspace angebunden werden. Den einzelnen Benutzer*innen kann man dann dedizierte Rechte auf bestimmte Projektdaten oder Dateien gewähren.

3. Microsoft OneDrive for Business

Mit Microsoft OneDrive for Business stellt Microsoft eine zentrale Funktionalität zum kollaborativen Arbeiten mit Daten in Microsoft 365 zur Verfügung. Dateien lassen sich über Gerätegrenzen hinweg synchronisieren und von jedem Gerät bearbeiten – sogar über einen Webbrowser. Falls der New-Work-Arbeitsplatz mal an einem Ort liegt, an dem kein Internet zur Verfügung steht, können Dateien zudem offline bearbeitet und anschließend automatisch synchronisiert werden.

Microsoft 365 beziehungsweise Microsoft OneDrive for Business bringen einen zentralen Identity Provider mit.

Durch die weite Verbreitung beider Tools im professionellen Arbeitsumfeld gibt es hier auch noch einen weiteren Vorteil:

Benutzer*innen aus einer unternehmensfremden Microsoft-365-Instanz kann man als Gäste im eigenen Microsoft 365 berechtigen. Dadurch können nicht nur dedizierte Rechte auf Daten für eine*n personalisierte*n Benutzer*in vergeben werden. Auch hat der*die Gastbenutzer*in nach einer Sperrung keinen Zugriff mehr auf die Daten in der eigenen Microsoft-365-Umgebung.

4. ownCloud

Mit der Open-Source-Software ownCloud können Dateien zwischen verschiedenen Endgeräten der Nutzer*innen synchronisiert werden. Teamübergreifend kann man so gemeinsam an Dateien arbeiten. Anders als Google Workspace und Microsoft OneDrive for Business kann ownCloud entweder als SaaS-Lösung oder aber auch auf der eigenen IT-Infrastruktur betrieben werden.

Auch ownCloud bringt die Möglichkeit mit, neben lokal erstellten Benutzer*innen auch zentrale Identity Provider anzubinden. Die technischen Möglichkeiten unterscheiden sich jedoch stark in der jeweils genutzten Version. So könnt Ihr beispielsweise die Integration von LDAP nur in den On-premise-Versionen nutzen. Single Sign-on (SSO) wird nur in der Enterprise-Version on-premise unterstützt.

Collaboration - Tools.jpg

So könnt Ihr das Teilen von Daten reglementieren

Wie bereits erwähnt, wäre es fatal, wenn versehentlich wichtige Daten mit einer unbestimmten Gruppe an Personen geteilt werden. Noch schlimmer, wenn diese Daten ungeschützt im Internet verfügbar sind. Selbstverständlich kann man das Teilen mit Personen außerhalb des eigenen Unternehmens komplett unterbinden. Das wiederum spricht aber gegen den Ansatz der kollaborativen Arbeit. Vor allem bei der Verwendung von ownCloud im eigenen Datacenter, hinter eigener Firewall oder anderem Perimeter-Schutz kann das Teilen mit anderen Personen einfach unterbunden werden.

1. Einrichtung von Beschränkungen in Google Workspace

Im Drive von Google Workspace ist es möglich, das Teilen von Daten mit bestimmten Personenkreisen sowohl außerhalb als auch innerhalb des Unternehmens zu reglementieren.

Innerhalb eines Unternehmens bestimmt man auf Basis von Gruppen, welche Personenkreise Daten miteinander teilen dürfen und welche nicht. So kann man z. B. festlegen, dass Dateien eines Teams mit einem zweiten Team geteilt werden dürfen, während das zweite Team aber keine Daten innerhalb des Unternehmens teilen kann.

Über Unternehmensgrenzen hinweg kann man das Teilen von Dateien auf einen bestimmten Personenkreis eines anderen Unternehmens beschränken. Außerdem kann man unterbinden, dass bereits geteilte Dateien mit weiteren Personen geteilt oder eingehende Freigaben von anderen Unternehmen genutzt werden.

2. Dreistufige Datenfreigabe in Microsoft OneDrive for Business

Microsoft OneDrive for Business ermöglicht auf sehr einfache Weise das Teilen von Daten in drei Stufen festzulegen: Zum einen kann man in den Einstellungen zum Verwalten der externen Freigabe das Teilen von Dateien außerhalb seines Unternehmens komplett unterbinden. Will man diese Funktion hingegen für sein Unternehmen aktivieren, was den Ansatz des kollaborativen Arbeitens natürlich begünstigt, hat man die Möglichkeit, das Teilen in drei Stufen zu konfigurieren:

  1. Freigabe für authentifizierte Gastbenutzer*innen mit Einladungen zulassen
  2. Freigabe mit anonymen Gast-Links und authentifizierten Benutzer*innen zulassen
  3. Freigabe nur für bestehende Gastbenutzer*innen im Verzeichnis erlauben

Für die letzte Option müssen Benutzer*innen anderer Unternehmen eingeladen werden, wie im Punkt „Anbindung an Identity Provider“ beschrieben.

Sollen Daten nur mit Partnerunternehmen geteilt werden, kann man das auch unternehmensweit konfigurieren. Dateien werden dann ausschließlich mit Nutzer*innen anderer Unternehmen geteilt, deren Benutzer*innen zu einer festgelegten Domain gehören.

3. Federated Cloud Sharing mit ownCloud

Durch die Federated-Cloud-Sharing-Funktion von ownCloud können Unternehmen, die Dateien miteinander austauschen wollen, Benutzer*innen des jeweils anderen Unternehmens auf ihrer ownCloud-Instanz berechtigen. Diese Funktion steht in allen Versionen, egal ob On-premise oder als SaaS, zur Verfügung. So können Benutzer*innen verschiedener ownCloud-Instanzen miteinander an Dateien arbeiten, während die Dateien selbst geschützt sind.

Cloud-Security-Maßnahmen zur Data Loss Prevention

Ist es möglich, Daten mit Personen außerhalb des Unternehmens zu teilen, ist die Gefahr groß, dass dadurch ungehindert Informationen aus dem Unternehmen abfließen. Somit muss bei der Einführung von Collaboration Tools genau darauf geachtet werden, dass dies nicht geschieht.

Eine Strategie der Cloud Security, die sich genau mit diesem Thema beschäftigt, ist die Data Loss Prevention. Sie beschreibt Maßnahmen, Sicherheitstechniken, aber auch Software-Lösungen, die Informationen vor unbefugtem Zugriff schützen. So unterbindet sie das Abfließen von Informationen und beschäftigt sich damit, was im Falle eines Informationsverlustes geschieht. Elementar ist die ständige Überwachung aller Maßnahmen, Sicherheitstechniken und Software-Lösungen.

Da es sich hierbei, insbesondere in Bezug auf komplexe Cloud-Lösungen, um einen sehr vielschichtigen Teilbereich der Cloud Security handelt, könnt Ihr Euch ein vereinfachtes Beispiel wie folgt vorstellen:

Eine einfache Data-Loss-Prevention-Implementierung ist das Führen einer zentralen Liste von Dateinamen, die mit Personen außerhalb des Unternehmens geteilt werden kann. Auf dem Endgerät der Nutzer*innen kann dann das Kopieren von Dateien mit Namen, die nicht auf dieser Liste stehen, unterbunden werden. Wollen Nutzer*innen über Unternehmensgrenzen hinaus an einer Datei arbeiten, deren Dateiname auf der zentralen Liste steht, wird der Zugriff erlaubt. Durch ein geschicktes Monitoring kann dann unternehmensweit überprüft werden, ob ungewollt oder bewusst Informationen das Unternehmen verlassen haben.

Data Loss Prevention mit Microsoft Purview

Microsoft stellt mit Purview eine Lösung zur Verfügung, mit der Data-Loss-Prevention-Richtlinien auf Endgeräten implementiert werden können. Mithilfe dieser Richtlinien werden schützenswerte Informationen identifiziert. Diese Informationen können danach kontinuierlich überwacht und automatisch geschützt werden.

Wird ein Verstoß gegen die unternehmensweiten Richtlinien festgestellt, werden verschiedene Gegenmaßnahmen getroffen. So wird den Benutzer*innen im einfachsten Fall signalisiert, dass versucht wurde, vertrauliche Informationen freizugeben.

Weiterhin kann die Freigabe einfach blockiert werden oder die Daten werden sogar für den Zugriff gesperrt und in Quarantäne verschoben. Die Möglichkeit, schützenswerte Informationen zu verbergen, kann man sogar in Microsoft-Teams-Chats konfigurieren.

Aktivierung von Versioning

Werden Informationen überschrieben oder Dateien bewusst oder unbewusst manipuliert, ist eine Möglichkeit der Schadensminderung die Wiederherstellung einer alten Dateiversion. Am bedienungsfreundlichsten ist es dann, wenn das Kollaborationstool den Nutzer*innen ermöglicht, alte Versionen selbst wiederherzustellen.

In Google Workspace:

Im Drive vom Google Workspace können alte Versionen von Google Docs, Tabellen und Präsentationen von den Nutzer*innen selbstständig zu jeder Zeit angezeigt und wiederhergestellt werden.

In Microsoft OneDrive for Business:

Microsoft OneDrive for Business bietet den Nutzer*innen die Möglichkeit, vorherige Versionen von Dateien anzusehen. Ist die gewünschte Version identifiziert, kann man den alten Versionsstand wiederherstellen. Dank der Integration der Funktionen von Microsoft OneDrive for Business in alle Office-Programme von Microsoft kann die Suche in vorherigen Versionen auch in den Office-Programmen selbst vorgenommen werden.

In ownCloud:

In ownCloud kann man nur einzelne Versionen von Dateien wiederherstellen.

Überwachung von Kollaborationstools

Alle bis hierhin vorgestellten Maßnahmen zur Absicherung von Daten bei der Nutzung von Kollaborationstools sind bereits für sich genommen richtig und wichtig. Die Sicherheit der Daten lässt sich jedoch immens erhöhen, wenn man einen umfassenden Überblick über alle beteiligten Nutzer*innen, angeschlossenen Systeme und implementierte Maßnahmen erlangt.

Jegliche Kommunikation sollte überwacht, protokolliert und bei Bedrohungen eingeschränkt werden. Hierfür gibt es in der Cloud-Sicherheit eigene Anwendungen, sogenannte Cloud Access Security Broker. Der Cloud Access Security Broker kann überprüfen, ob Nutzer*innen die entsprechenden Berechtigungen für die Verwendung von Cloud-Anwendungen besitzen.

Sind Berechtigungen nicht vorhanden, kann der Cloud Access Security Broker die Nutzung unterbinden. Über eine dauerhafte Überwachung aller beteiligten Komponenten können die Sicherheitsorgane eines Unternehmens benachrichtigt werden. So kann man rechtzeitig Gegenmaßnahmen einleiten. Außerdem ist es möglich, regelmäßige Berichte über entsprechende Funktionen zu erstellen.

Microsoft Defender for Cloud Apps

Microsoft bietet mit dem Defender for Cloud Apps selbst einen Cloud Access Security Broker an. Auf Basis der Analyse der Logs von Firewalls oder Proxys erhält der Defender for Cloud Apps jederzeit ein klares Bild von jeglichem Verkehr zwischen Nutzer*innen und Cloud-Anwendungen. Dabei handelt es sich um die sogenannte Cloud-Discovery-Funktion. Hierbei ist es egal, ob es um eine Firewall auf einem Endgerät oder die zentrale Firewall im Rechenzentrum eines Unternehmens geht. Sollte ein Eingriff in den Datenverkehr vonnöten sein, kann man über Skripte benötigte Änderungen vornehmen.

Wenn erwünscht, kann man den Verkehr der Nutzer*innen auch direkt über die Proxy-Funktionalität des Defender for Cloud Apps leiten.

Über den App Connector der Anwendung lassen sich per API die genutzten Cloud-Anwendungen, so zum Beispiel ein Kollaborationstool, einbinden. Der Defender for Cloud Apps hat dadurch einen transparenten Einblick in die Nutzung der angeschlossenen Anwendungen. Auch hier kann durch die genutzte API im Falle eine Cyberbedrohung reagiert werden.

Fazit

Um in Zukunft effizient zusammenzuarbeiten, sind Kollaborationstools aus dem heutigen Arbeitsalltag nicht wegzudenken. Mit der richtigen Konfiguration, zum Beispiel mit der Wahl des passenden Identity Providers, kann das sogar über Unternehmensgrenzen hinweg erreicht werden. Die Auswahl der passenden Anwendungen erleichtert Prozesse und in Projekten können tolle Synergien entstehen.

Eine Auswahl von Kollaborationstools findet Ihr im Kollaborationstools und -softwarevergleich auf OMR Reviews.

Jedoch gibt es einige Herausforderungen, die vor allem bei der Nutzung von Kollaborationstools in der Cloud zu beachten sind: Generell birgt die Funktion des Teilens von Informationen die Gefahr, dass Daten entgegen interner Vorgaben mit Dritten geteilt werden. Hier bieten sich die Umsetzung von Data-Loss-Prevention-Maßnahmen sowie eine zentrale Überwachung der Cloud-Anwendungen zur weiteren Sicherheit an.

Mit Google Workspace, Microsoft OneDrive for Business und ownCloud habt Ihr hierfür drei Beispiele für die Umsetzung von Cloud Security mit Kollaborationstools kennengelernt.

Matthias Meyer
Autor*In
Matthias Meyer

Der Informatiker hat den für IT-ler berüchtigten Spieltrieb und testet gerne aus, statt lange darüber zu reden. Als Co-Founder der SEQUAFY GmbH ist er Spezialist für Amazon Web Services, Netzwerkadministration, Architektur und Design.

Alle Artikel von Matthias Meyer

Im Artikel erwähnte Softwares

Im Artikel erwähnte Software-Kategorien

Ähnliche Artikel

Komm in die OMR Reviews Community & verpasse keine Neuigkeiten & Aktionen rund um die Software-Landschaft mehr.