vectorfusionart - stock.adobe.co

Die wichtigsten Funktionen von ownCloud im Überblick

ownCloud bietet eine funktionsreiche Kollaborationsplattform, die auch Neuerungen wie File Lifecycle Management, ausgefeilte Verschlüsselung oder flexible Skalierbarkeit umfasst.

Bereits seit 2011 bietet das Nürnberger Unternehmen ownCloud eine Kollaborationsplattform an, die sicheren File Sync & Share sowie Online-Zusammenarbeit von Mitarbeitern in einer sicheren Cloud-Umgebung gewährleisten soll.

Dabei gibt es zwei Einsatzmodelle: On-Premises und in der Cloud. Es sind eine Standard Edition und eine Enterprise Edition verfügbar.

Im Vergleich: ownCloud Enterprise Edition vs. ownCloud.online

Das Flaggschiff des On-Premise-Angebots ist die ownCloud Enterprise Edition, die Cloud-Offerte heißt ownCloud.online. Die On-Premise-Version wird – wie der Name schon sagt – im eigenen Rechenzentrum betrieben.

Die Lizenz gilt für eine beliebige Anzahl an Anwender ab 50 Nutzern. Der Kunde erhält mit dieser Version  einen Support von acht Stunden an fünf Wochentagen, optional kann eine Rund-um-die-Uhr-Support gewählt werden.

Als Speicher können lokale Systeme sowie Gluster/Red Hat Storage und zertifiziertes Object Storage wie von Scality, Ceph S3 oder Amazon S3 genutzt werden. Der Administrator und auch die Benutzer können Verweise auf Verzeichnisse oder Dateien von Windows-Freigaben, SharePoint-Listen, Amazon S3, Google Drive, Dropbox, Jive, webDAV, S/FTP und OpenStack Object Storage anlegen. Der Benutzer sieht diese dann wie auch die lokale Datenhaltung auf Festplatten oder Speichernetzen (SAN) und kann auch sein Arbeitsgerät dagegen synchronisieren.

Zu beachten ist, dass für die lokale Datenhaltung alle Zugriffe als der Benutzer erfolgen, unter dem der Webserver betrieben wird. Dies gilt allerdings nur für Datenspeicher die per CIFS, SAN, NFS und anderen Methoden im Betriebssystem des Webservers eingebunden sind, der die Anwendung betreibt.

Für weitere Integrationen stehen unter anderem Active Directory/LDAP, Single-Sign-on, Windows Network Drive, Microsoft Sharepoint, OneDrive oder Outlook zur Verfügung.

Eine Ende-zu-Ende-Verschlüsselung kann optional gewählt werden. Für die Sicherheit sorgen eine Zweifaktor-Authentifizierung wie TOTP und eine Client Autorisierung mit OAuth 2. Das Backup der Daten obliegt dem Anwender. Darüber hinaus kann die Lösung im hauseigenen Look-and-Feel des Anwenderunternehmens gestaltet werden. Dies tun beispielsweise Firmen wie Die Bahn oder Zeppelin, die ihren Mitarbeitern diese Lösung im eigenen Design (DB Box) präsentiert, damit sie mit anderen Anwendungen identisch erscheint.

Die Cloud-Version hingegen wird als SaaS-Lösung vertreiben und in einem Partnerrechenzentrum in Frankfurt/Main gehosted. Während in der On-Premises-Variante nahezu alle Apps unterstütz werden, liegt bei der Cloud-Lösung der Fokus auf Workflows, Collaborative Tag Management, File Firewall und Auditing.

Eine weiterführende Integration ist optional über Active Directory/LDAP möglich. Die vollständige Verschlüsselung ist standardgemäß im Leistungspaket inbegriffen. Das Backup erfolgt automatisiert und ein Branding im firmeneigenen Design ist nur optional erhältlich.

Generell erfolgt die Installation der Plattform in mehreren Schritten: der Integration, der Authentifizierungsanbindung ans Backend sowie des Brandings im eigenen CI/CD. Laut Anbieter nimmt dies in der Regel nicht mehr als zwei Tage ein. In manchen Bereichen überlässt der Softwarehersteller dem Anwender die freie Wahl, beispielsweise bei der Integration des eigenen Key Managements, des individuellen Identity Managements oder einer bestehenden Backup-Lösung.

Erweiterte Funktionen für Sicherheit und File Management

Datenkontrolle, Datenschutz, Compliance und nutzbringende Verwaltung inklusive Automatisierung für die Anwender sind dem Lösungsanbieter extrem wichtig. Aus diesem Grund erhielt die Plattform in jüngster Vergangenheit einige Neuerungen.

So kann der Kunde nun die Integration von Hardware Security Models (HSM) für eine bessere Ver- und Entschlüsselung nutzen. Möglich macht dies eine Partnerschaftt zwischen ownCloud und der Schweizer Securosys AG. Dabei bleibt der Master Key für eine Verschlüsselung immer auf dem Modul. Nur der Absender und der Empfänger haben Zugriff auf die Datei. Selbst Systemadministratoren können dann Daten, die „at rest“ (im Ruhestand) abgelegt sind, ohne zu verschlüsseln. Der Master Key bleibt auf der Hardware und spezielle kryptographische Algorithmen sorgen dafür, dass darauf nicht zugegriffen werden kann.

Anwender können so ein hohes Maß am Sicherheit in ihrer Private Cloud erreichen. Zugriff auf die Files erhält man durch individuelle File Keys (Dateischlüssel), die an das HSM gesendet werden. Diese Schlüssel werden nur auf dem Hardwaremodul mittels des Master Keys entschlüsselt.

Die Dateischlüssel werden an den ownCloud Application Server gesendet. Anschließend entschlüsselt ein Prozess innerhalb der ownCloud-Anwendung die eigentlichen Dateien unter Verwendung der entsprechenden entschlüsselten File Keys und stellt die entschlüsselten Dateien schließlich den Benutzern zur Verfügung.

Solange die Integrität des ownCloud-Anwendungsservers intakt ist, gibt es für den Systemadministrator keine Möglichkeit, Inhalte zu lesen. Damit minimiert man das Risiko, dass eventuell ein schlecht gestimmter Administrator oder andere Mitarbeiter geschäftskritische Daten manipulieren. Normalerweise belasten solche Prozesse die Performance, allerdings betont ownCloud, dass die Securosys-Lösung genau dieses Problem eliminiert.

Eine weitere wichtige Neuerung ist das File Lifecycle Management, mit dem der gesamte Lebenszyklus einer Datei, inklusive Archivierung und Löschung verwaltet werden soll. Der Ansatz ist bereits aus dem Speichermanagement bekannt, hier als Information Lifecycle Management (ILM) oder Hierarchisches Storage Management (HSM).

Über bestimmte Regeln wird jede Datei an interne Richtlinienanforderungen und die gesetzlichen Bestimmungen angepasst. Wie beim Storage-Management werden ältere oder nicht genutzte Dateien entsprechend der eingerichteten regeln verschoben.

Die endgültige Löschung bestimmter Dateien kann auch automatisch über eine so genannte „File-Retention“-Richtlinie gesteuert werden. Dies ist beispielsweise bei der Verwaltung von Dateien wichtig, die personenbezogene Daten enthalten und im Rahmen der DSGVO-Bestimmungen nur für eine bestimmte Zeit im Unternehmen gespeichert werden dürfen. Das Upload-Datum jeder Datei wird als Grundlage für die Archivfunktion gespeichert.

Einmal archivierte Dateien können mit dem File Lifecycle Management entweder durch den Benutzer oder durch eine privilegierte Gruppe von Benutzern wiederhergestellt werden. Dadurch wird das versehentliche Löschen von Dateien durch einzelne Mitarbeiter verhindert. Andere Anwender können verfolgen, wann eine Datei bearbeitet oder verschoben wurde. Darüber hinaus sind mit den Regeln auch Szenarien wie diese möglich: Der Anwender löscht die Daten in der Cloud und legt sie vorher an einem anderen Ort, zum Beispiel in einem Archiv, ab.

Der für eine Datei festgelegten Lebenszyklus lässt sich anzeigen und so einsehen, wann eine Archivierung ansteht. Dabei lässt sich das Archiv durchsuchen und es lassen sich Informationen der abgelegten Daten abrufen, beispielsweise der vorherige Speicherort oder andere Metadaten. Alle Ereignisse während des Lebenszyklus werden erfasst und können eingesehen sowie per Mail gesendet werden.

Administratoren haben zwei Möglichkeiten zur Durchsetzung von Richtlinien: Harte Richtlinien erlauben es den Benutzern nicht, in den Standard-Lebenszyklus der Daten einzugreifen. Werden hingegen so genannte weiche Richtlinien verwendet, können Anwender beispielsweise archivierte Daten selbstständig wiederherstellen.

Die Files müssen zuvor natürlich kategorisiert werden, was einen entsprechenden Mehraufwand an Administration bedeutet, aber der Softwareanbieter will dies in einem nächsten Schritt automatisieren. Dafür soll es dann eine Klassifizierungs-Engine geben.

Mit der Upload-Zeiterfassung können Administratoren den genauen Zeitpunkt der ersten Erstellung jeder Datei auf dem ownCloud-Server aufzeichnen. Darüber hinaus zeichnet das File Lifecycle Management Audit-Ereignisse während der Archivierung, Wiederherstellung oder Löschung von Daten auf.

Eine weitere wichtige Erweiterungen ist ownCloud Infinite Scale für unlimitierte Skalierbarkeit Nutzer, Files, Shares und Metadaten. Dafür kombiniert der Hersteller das User Interface Phoenix mit der Storage Engine Reva. Um dies zu ermöglichen, wurde von der Skriptingsprache PHP auf die Programmiersprache Go gewechselt. In Kombination mit EOS, S3 Object Storage, Posix File System oder SMB Storage und der Authentifizierung über Open ID Connect stellt dies eine neue Basisarchitektur für Speicher, Metadaten oder jede Art von Add-Ons für die Zusammenarbeit mit Inhalten dar.

Darüber hinaus ging das Unternehmen eine Partnerschaft mit dem IT-Systemhaus Bechtle Solingen ein, um seine Marktanteile im Bereich der kleinen und mittelgroßen Unternehmen (KMUs) auszuweiten.

ownCloud ist eines der wenigen deutschen IT-Firmen, die sich am Markt gegen die großen „Global Player“ – meist US-basiert – behaupten können. Das liegt nicht zuletzt auch daran, dass deutsche Firmen aufgrund von Compliance-Richtlinien sicherstellen müssen, dass kein Dritter auf ihre Daten Zugriff haben könnte.

Nächste Schritte

So können Sie Collaboration Tools optimal integrieren

Die wichtigsten Parameter von Team-Collaboration-Plattformen

Das sollten Sie beim File Sync & Share unbedingt vermeiden

Erfahren Sie mehr über Cloud Storage