Aus der Consumer-Welt stammende Cloud-Dienste wie Dropbox, Box oder Google Drive sind im Unternehmensumfeld höchst brisant, besonders dann, wenn man sie mit Mobilgeräten nutzt. Es gibt zwar teilweise auch Unternehmensversionen dieser Personal-Cloud-Apps, besser zu handhaben ist aber eine Sicherheitstechnik, die am jeweiligen Dokument ansetzt und damit alle Personal-Cloud-Dienste „auf einen Schlag“ absichert.„Eckdaten der neuen Marketing-Kampagne sind fertig. Bitte ansehen, in den Fachbereichen diskutieren und weitere Vorschläge, Ergänzungen oder Einwände bis Montag am mich senden.“ So oder so ähnlich sieht einer von vielen Workflows aus, wie sie ständig in den Unternehmen weltweit ablaufen, und zwar immer häufiger über weite Strecken mobil. Die Dokumente und Daten, die sich die Mitarbeiter auf ihr Tablet oder ihr Smartphone laden, mit Kommentaren versehen und dann wieder hochladen oder als Link in eine E-Mail packen, diese Dokumente und Daten liegen oft in einem Cloud-Speicher. Solche Speicher sind bequem – und besonders bequem sind diejenigen Cloud-Speicher, die man aus seinem privaten Umfeld kennt und mit denen man gut umgehen kann. Beispiele sind Onedrive, Icloud, Box oder Dropbox.
Die Nutzung dieser Personal-Cloud-Dienste auch im Unternehmensumfeld ist ein Spiegelbild der Consumerization der Unternehmens-IT im Gefolge von Smartphone und Tablet. Hier ist dann oftmals auch von Schatten-IT die Rede, da die IT-Abteilungen meist nicht wissen, dass Mitarbeiter diese Lösungen nutzen. Dabei bringt die Verwendung dieser Dienste in aller Regel deutliche Produktivitätsgewinne für ein Unternehmen, da die Mitarbeiter das nutzen, was sie besonders gut kennen und können. Gleichwohl ist der Einsatz von Personal-Cloud-Diensten in der Unternehmens-IT vorderhand ein Sicherheitsrisiko, weil Nutzer die darüber transportierten Dokumente unberechtigterweise öffnen, verfälschen oder löschen können.
 
Höhere Komplexität
Was sollten Unternehmen in dieser Lage tun? Sicherlich können sie die Verwendung von Personal-Cloud-Diensten formell untersagen oder auch technisch unterbinden. Bei den Unternehmensmitarbeitern freilich sind solche Verbote wenig beliebt und führen zu Frustration, Verweigerungshaltungen oder auch Umgehungstatbeständen. Sinnvoller ist die da schon die generelle Erlaubnis zur Nutzung solcher Dienste und die gleichzeitige Absicherung der Personal-Cloud-Dienste durch effiziente Schutzmaßnahmen.
Entsprechende Maßnahmen wie beispielsweise Authentifizierungs- und Verschlüsselungsmechanismen oder ein ausgefeiltes Berechtigungs-Management sind in diesem Zusammenhang altbewährt, sie lassen sich aber auf verschiedene Weise technisch umsetzen. Traditionelle Implementierungen zur Absicherung von Unternehmensinhalten in Cloud-Speichern verknüpfen in der Regel Sicherheit und Speicherung funktionell. Dies erfordert die Migration von Unternehmensdokumenten in neue Archive zur Datenaufbewahrung, um die Sicherheitsrichtlinien zu erfüllen. Ein Beispiel für einen solchen Ansatz ist traditionell Microsoft Sharepoint; aber auch ein deutlich jüngeres System wie der neue Enterprise Key Manager von Box setzt auf diese Methoden.
Grundsätzlich erhöht ein derartiger Ansatz dadurch die Komplexität, dass er zusätzliche Archive erzeugt, die das Unternehmen verwalten muss. Je mehr solche sicheren Datenarchive man aufbaut, desto komplizierter wird das Management. Leicht möglich, dass ein solcher Ansatz schnell den Charme und damit das Produktivitätspotenzial der Personal Cloud zerstört.
 
Absicherung per Inside-out Proxy
In der heutigen digitalen Welt laufen viele Geschäftsprozesse Firewall-übergreifend ab, und viele Mitarbeiter müssen von ihren mobilen Endgeräten aus auf Unternehmensdaten zugreifen. Denn sie müssen unterwegs wichtige Dokumente einsehen, bearbeiten und zur Abstimmung an Kollegen senden. Somit ist es sinnvoll, die Schutzmechanismen am einzelnen Dokument oder an der einzelnen Datei anzubringen. Bei derartigen Lösungen sind notwendigerweise Datensicherheit und Datenspeicherung weitgehend entkoppelt. Authentifizierungs- und Verschlüsselungsmechanismen sowie der gesamte Richtlinienapparat müssen hier schließlich über eine Vielzahl von Datenarchiven hinweg jeweils für ein ganz bestimmtes Dokument oder eine Dokumentengruppe gültig sein.
Ein solcher Ansatz zwingt weder die Mitarbeiter noch die IT-Administration in bestimmte Datenarchive. Die IT muss die zu schützenden Dokumente nicht in ein neues Archiv überführen. Die Dokumente sind aber trotzdem sicher, weil sie verschlüsselt sind und nur derjenige sie entschlüsseln kann, der dafür die richtige App besitzt. Salopp könnte man diesen Ansatz „Bring Your Own Storage“ nennen, im Anklang an Bring Your Own Device. Technische Basis solcher Bring-Your-Own-Storage-Lösungen sind speziell gehärtete virtualisierte Datei-Management-Systeme oder Content-Security-Services.
Speziell gehärtete virtualisierte Daten-Management-Systeme bestehen aus den Speicherbereichen, in denen die Inhalte angelegt sind, und einer virtualisierten Speicherinfrastruktur. Letztere enthält erstens die Metadaten über die verschiedenen physischen Speicherbereiche und die externen Mobilgeräte, zweitens einen Satz von Richtlinien sowie drittens eine Komponente, die weiß, welche Operationen auf dem Speicherinhalt zulässig sind und welche nicht. Auf den mobilen Endgeräten wiederum sitzt eine Anwendung, die mit der virtualisierten Speicherinfrastruktur und den physischen Speicherbereichen verbunden ist. Diese Anwendung verfügt über einen Algorithmus, der mit dem Richtliniensatz und der Entscheidungskomponente der virtualisierten Speicherinfrastruktur kommuniziert und die jeweils gültigen Richtlinien auf den Mobilgeräten umsetzt. In dem System ist sichergestellt, dass die Unternehmensinhalte auf der virtualisierten Ebene immer verschlüsselt sind.
Das sichere virtualisierte Datei-Management-System befindet sich in der Cloud und kommuniziert über Standard-HTTP-Kommandos mit einem Rechner hinter der Unternehmens-Firewall, der seinerseits mit einem Content-Management-System wie Sharepoint „redet“. Zugleich hält das virtualisierte Datei-Management-System die Verbindung zu den externen Mobilgeräten. Im Wesentlichen basiert die Kommunikationskette auf Reverse-Proxy-Mechanismen. Die externen Anfragen greifen also nicht von außen auf die Content-Speicher hinter der Unternehmens-Firewall zu, vielmehr erfolgt die Steuerung des Zugriffs von innen („Inside-out Proxy“). Im Rahmen eines derartigen File-Management-Ansatzes sind folgende Operationen mit den Speicherinhalten möglich: Verschlüsselung, DLP-Steuerung (Data Leakage Prevention), sichere Collaboration und das Nachvollziehen von Aktivitäten.
Verschlüsselt sind die Unternehmensdokumente in den Personal-Cloud-Bereichen. Im Klartext sind sie nur über das virtualisierte Datei-Management-System und nur mit Apps zugänglich, die von zentraler Stelle aus verwaltet sind. Entsprechende Richtlinien unterbinden die unberechtigte Nutzung. In Hinblick auf DLP kann die Unternehmens-IT mittels Richtlinien innerhalb der virtualisierten Datei-Management-Infrastruktur detailliert festlegen, welche Operationen für wen wann erlaubt sind und welche nicht. So kann sie zum Beispiel die Gültigkeitsdauer eines Dokuments fixieren oder das Entfernen einzelner Dokumente von einem bestimmten Gerät durchsetzen. Des Weiteren steuern die Richtlinien das Hoch- und Herunterladen, das Bearbeiten und die Weitergabe von Dokumenten.
Für sichere Collaboration können Mitarbeiter die systemeigenen Sharing-Funktionen von Personal-Cloud-Apps wie Dropbox nutzen, um geschützte Dokumente mit anderen berechtigten Mitarbeitern zu teilen. Diese Dokumente sind auch dann verschlüsselt, wenn man sie mit anderen teilt. Nur berechtigte Nutzer können sie entschlüsseln, und dies nur auf einem autorisierten Gerät.
Alle Aktionen kann die IT dabei nachvollziehen. Damit lässt sich erkennen, wer wann welche Unternehmensdokumente aufgerufen hat und welches Gerät Verwendung fand. Dies stellt eine große Hilfe für den Nachweis der Compliance dar.
Ein solches virtualisiertes Datei-Management-System bedarf einer zentralen Administration. Diese Funktion wird in der Regel ein Mobile-Security-Management-System wahrnehmen. Solche Systeme stellen eine Weiterentwicklung der bisherigen MDM- und EMM-Systeme (Mobile-Device-Management, Enterprise-Mobility-Management) dar. Freilich ist nicht überall, wo Mobile-Security-Management draufsteht, auch ausreichend Mobility und Security drin. Es empfiehlt sich, vor dem Kauf ausgefeilte Use Cases zu entwickeln, um die Aspiranten zu testen.

Ein Content-Security-Service bietet per Dashboard den Überblick über relevante Aktivitäten. Bild: Mobileiron

Das Key-Management für die genutzte Verschlüsselung verbleibt bei der Unternehmens-IT. Bild: Mobileiron

Die Administratorkonsole sorgt für den Überblick über die verfügbaren Cloud-Services. Bild: Mobileiron

LANline.