Mit einer leistungsstarken und intelligenten Kollaborationslösung, die in der Cloud läuft und Daten zweifach verschlüsselt, können Teams sicher und produktiv zusammenarbeiten. Das Sicherheitsniveau einer Kommunikation hängt wesentlich davon ab, welche Protokolle die Plattform kombiniert.

Mitarbeiter nutzen in der Praxis häufig Anwendungen, ohne dass die Unternehmensführung oder die IT-Abteilung davon etwas mitbekommt. Handelt es sich dabei um eine Applikation, die der Hersteller für den privaten Gebrauch konzipiert hat, erhöht diese weder die Produktivität noch erfüllt sie Sicherheits- und Datenschutzbestimmungen. Denn es besteht die Gefahr, dass sensible Daten verloren gehen oder in die Hände unbefugter Dritter geraten – etwa wenn ein Mitarbeiter sein Smartphone verliert und sich die Daten darauf nicht remote löschen lassen. Ein weiteres Risiko entsteht, wenn ein Mitarbeiter etwa die Firma verlässt, jedoch weiterhin Zugang zu einer teaminternen WhatsApp-Gruppe hat.

Sicherheitsrisiko WhatsApp

Am Beispiel WhatsApp lassen sich weitere Sicherheitsrisiken aufzeigen: Der Messenger verschlüsselt die ausgetauschten Nachrichten End-to-End. Jedoch hat der Anbieter noch Zugriff auf die Metadaten der Nutzer, woraus sich Beziehungs- und Kommunikationsmuster erstellen lassen – wertvoll für WhatsApp und deren Muttergesellschaft Facebook. Für Unternehmen bedeutet dies – nicht zuletzt aufgrund der EU-Datenschutzgrundverordnung (EU-DSGVO) – ein enormes Risiko. Darüber hinaus bietet der Instant-Messaging-Dienst kein professionelles Administrationsportal, über das sich Zugriffsrechte beschränken, Daten klassifizieren oder via Fernzugriff löschen lassen. Da sich der Messenger nicht in bestehende IT-Systeme integrieren lässt, fehlen Funktionen wie Filesharing oder eine Endgeräteunabhängigkeit. Genau dort setzen professionelle Kollaborationslösungen heute an.

Moderne Plattformen sind Cloud-basiert und stellen Nutzern auf einer einzigen Oberfläche sämtliche Informationen bereit. Medienbrüche durch den Wechsel zwischen diversen Anwendungsfenstern gibt es nicht, selbst das Tischtelefon am Schreibtisch lässt sich nahtlos integrieren: Geht ein Anruf ein, entscheidet der Mitarbeiter selbst, ob er das Telefonat mit dem Tischtelefon, dem Handy oder via PC führen möchte. Nutzern steht zudem eine komplette Collaboration-Suite auf Smartphone, Tablet, Laptop oder Smart Watch zur Verfügung. Über die Cloud synchronisiert eine solche Lösung alle Inhalte über alle Endgeräte hinweg, sodass Mitarbeiter stets auf dem aktuellen Stand bleiben und effizient zusammenarbeiten können. Dank flexibler API-Strukturen lassen sich einzelne Kollaborations-Tools in gängige CRM- und ERP-Systeme wie Salesforce oder SAP-Applikationen integrieren. Unter dem Strich steigen Produktivität und Effizienz in der Zusammenarbeit, während beispielsweise das E-Mail-Aufkommen sinkt. Letzteres ist ein wichtiger Sicherheitsgewinn, weil sich eine mögliche Angriffsfläche für Hacker verkleinert.

Sichere Online-Übertragung via TSL und PFS

Sicherheit muss prinzipiell an erster Stelle stehen, wenn eine Kollaborationslösung aus der Cloud zum Einsatz kommt. Unerlässlich ist die zweifache Verschlüsselung. Kryptografische Systeme haben sowohl die Datenübertragung zwischen Client und Server als auch die gespeicherten Daten zu sichern. Als ungeeignet erweisen sich Anwendungen, die per Link den Zugriff auf Daten freigeben. Zumindest risikobehaftet bleibt auch die Verschlüsselung via SSL (Secure Sockets Layer) oder TLS (Transport Layer Security). Die mit solch einem asymmetrischen Verfahren verschlüsselten Daten lassen sich mit dem Master-Key auf dem Servern dechiffrieren. Dieses Entschlüsseln kann PFS (Perfect Forward Secrecy) ausschließen. Die Daten werden dann beispielsweise über TLS in der aktuellen Version 1.2 und PFS verschlüsselt, wobei sich PFS auf den Diffie-Hellman-Schlüsselaustausch stützt. Die Kommunikationspartner einigen sich hierbei auf einen Schlüssel, ohne ihn zu übertragen.

Bei Sprache, Video und Screen-Sharing empfiehlt es sich, auf eine Kollaborationslösung zu achten, die das Verschlüsselungsprotokoll DTLS-SRTP (Datagram Transport Layer Security, Secure Real-Time Transport Protocol) verwendet. Die Web-Echtzeitkommunikation für Audio- und Videokonferenzen erfolgt heute hauptsächlich über den offenen Standard WebRTC – direkt im Browser. Das Installieren und Managen der Anwendung auf den Endgeräten entfällt dadurch ebenso wie Sicherheits-Updates und das Patch-Management.

Mobiles Arbeiten mit der UCC-Lösung Circuit von Atos/Unify: Über die Cloud lassen sich beispielsweise Inhalte über alle Endgeräte hinweg synchronisieren. Bild: Atos/Unify

Bei einer Session verschlüsselt DTLS-SRTP Audio- und Videopakete zwischen den Teilnehmern komplett. Nur die Empfänger können die Pakete wieder entschlüsseln. Bereits vor dem Zustandekommen der eigentlichen Sitzung werden die anfallenden Nutzerdaten per SRTP verschlüsselt übermittelt, die sich auf Empfängerseite dechiffrieren lassen.

Pflichten aus der Datenschutzgrundverordnung

Über Kollaborations-Plattformen erfolgen sowohl der Nachrichtenaustausch als auch die Aufgaben- und Projektplanung sowie das Dokumenten-Sharing. Deshalb verwenden sie dabei zwangsläufig personenbezogene Daten nach Art. 4 Nr. 1 EU-DSGVO – und sei es nur eine auf einem Namen basierende E-Mail-Adresse. Dazu kommen Metadaten wie Standort-, Verbindungs- und Kommunikationspartnerdaten, aus denen sich umfassende Profile rekonstruieren lassen. Bevor Unternehmen also eine Kollaborationslösung einsetzen, haben sie die Pflicht, diese auf die Einhaltung datenschutzrechtlicher Vorschriften zu prüfen. Ein wichtiges Kriterium in diesem Kontext ist der Server-Standort sowie das Datenschutzniveau etwaiger Dienstleister. Denn die EU-DSGVO regelt die Haftung neu: Wenn ein Unternehmen einen Dienstleister mit der Datenverarbeitung beauftragt, haften künftig beide bei einem Verstoß gegen das Datenschutzgesetz.

Darüber hinaus muss sich verlässlich nachvollziehen lassen, was mit den personenbezogenen Daten geschieht, wenn sie etwa das System verlassen oder Nutzer darauf zugreifen. Eine zentrale Rolle spielt dabei das Identity- und Access-Management (IAM). Die Zugriffsrechte auf Daten zu verwalten, ist eine große Herausforderung. Denn durch Cloud-Lösungen, dezentralisierte Systeme und mobile Endgeräte reicht das IAM weit über das eigene Unternehmen hinaus. IAM-Systeme vereinfachen und automatisieren die Erfassung, Kontrolle und das Management von elektronischen Identitäten der Anwender und der damit verbundenen Zugriffsrechte. Eine ausgereifte Kollaborationslösung sollte auf existierende IAM-Systeme zugreifen können, etwa per bestehender Single-Sign-on-Mechanismen, Active Directory oder Lightweight Directory Access Protocol (LDAP). Die Alternative wäre eine Kollaborationsplattform, die ein eigenes IAM bietet.

Starke Verschlüsselungsstufe und die Server-Frage

Im Unternehmensumfeld sind heute einheitliche, innovative und Cloud-basierte Kommunikationsplattformen gefragt. Das beugt nicht nur den Risiken von Schatten-IT und damit einhergehenden Sicherheitslücken vor, sondern sorgt auch für nachvollziehbare Kommunikationsverläufe. Unternehmen sollten ihren Provider danach auswählen, ob dieser Verschlüsselungszertifikate mit Extended Validation implementiert hat: In dem Falle kommt tatsächlich die derzeit stärkste verfügbare Verschlüsselungsstufe zum Einsatz. Damit lassen sich insbesondere Anwendungen wirkungsvoll schützen, die Identitätssicherung verlangen. Außerdem gehen Unternehmen das geringste Risiko ein, wenn ihr Anbieter seine Lösung auf Servern in Europa hostet. Unter diesen Umständen muss der Provider die EU-DSGVO einhalten. Alternativ lässt sich die Kollaborationssoftware von einigen Anbietern auch auf den Servern im firmeneigenen Rechenzentrum betreiben.

Kai Kielhorn ist Head of Digital Workplace bei Atos Deutschland, www.atos.com.