alphaspirit - stock.adobe.com
6 Methoden für sichere Dateiübertragung in Unternehmen
Die gemeinsame Nutzung und die Übertragung von Dateien gehören zum Alltag von Unternehmen. Um Gefahren dabei einzugrenzen, sind verschiedene Vorsichtsmaßnahmen notwendig.
File Sharing, also die gemeinsame Nutzung von Dateien, ist eine alltägliche geschäftskritische Praxis über Unternehmensgrenzen hinweg. Der weit verbreitete Einsatz von Internetdiensten und Kollaborationswerkzeugen sowie Cloud-basierte Services für File Sharing haben den Prozess des Teilens von Daten einfacher – aber auch weniger sicher – als jemals gemacht.
Das Sicherheitsproblem wird durch BYOD (Bring Your Own Device), Remote-Mitarbeiter und Mitarbeiter, die von beliebigen Standorten arbeiten, noch verschärft.
Unternehmen müssen sich besonders um sichere Dateiübertragungen kümmern, da ihre Dateien oft sensible, firmeneigene und geheime Informationen enthalten. Jenseits von üblichen Schutzmaßnahmen für den Fernzugriff auf die Firmennetze, von der Verwendung strenger Passwörter, von Multifaktor-Authentifizierung und der Verschlüsselung von Dateien ist der Markt voll mit Tools und Produkten, die den Unternehmen dabei helfen, Dateien intern oder mit Partnern und Kunden außerhalb zu teilen.
Ungeachtet der jeweils eingesetzten Tools sollten dennoch alle Unternehmen die folgenden Verfahren berücksichtigen, um für sichere Dateiübertragung zu sorgen.
1. Beständiges Training der Angestellten
Es ist nie wichtiger für Unternehmen gewesen, ihre Angestellten in Sachen sicheren File-Transfers zu schulen – besonders seit dem Aufkommen der Cloud. Neue, leicht zu verwendende Anwendungen versetzen die Angestellten in die Lage, schnell Informationen mit Kollegen und Außenstehenden zu teilen. Während diese Anwendungen praktisch und leicht anzuwenden sind, sollten die Angestellten dennoch vorsichtig dabei sein, Dateien mit ihnen zu teilen.
Mit regelmäßigen Ausbildungen können Angestellte mehr über mögliche Sicherheitsrisiken lernen, die mit File Transfers verbunden sind. Diese Programme müssen nicht langweilig oder zeitraubend sein. Interaktive Anwendungen und auflockernde Spielelemente können das Training in Sicherheitsfragen attraktiv und unterhaltend machen.
2. Kontrollen von File Sharing mit Anwendungen für Collaboration verbinden
Anwendungen für Kollaboration wie zum Beispiel Slack oder Teams ermöglichen es Mitarbeitern, Dateien mit einem Mausklick miteinander zu teilen. Diese Anwendungen sind zu einem großen Teil mit Blick auf Zusammenarbeit und Effizienz entwickelt worden und sie können schnell zu einem Security-Alptraum werden, wenn sie ohne intensives Management verbleiben. Ein Diebstahl von Daten oder eine Malware-Attacke können zum Beispiel zu Reputations- oder finanziellen Schäden für ein Unternehmen führen.
Security-Teams können die Risiken, die mit Kollaborationsanwendungen verbunden sind, durch die Einführung von Kontrollen reduzieren, die die Anwender vor riskantem Verhalten schützen. Zum Beispiel versetzt Slack in der Unternehmensvariante Administratoren in die Lage, Datei-Uploads einzuschränken.
3. Prüfen und reagieren
Man muss Audits, also regelmäßige Überprüfungen von Cloud-Speicher und Endpunktgeräten durchführen, besonders nach einem Sicherheitsproblem oder -alarm. Ein nicht-autorisierter Anwender, der versucht, Zugang zu einer Datei zu bekommen, oder ein Angestellter, der sich zu einer unüblichen Zeit Zugang zu einer Datei verschafft, sind frühe Hinweise darauf, dass etwas nicht stimmt. Sobald Security-Teams unübliches Verhalten entdecken, können sie vorbeugende Maßnahmen in Gang setzen wie zum Beispiel die Aufhebung von Erlaubnissen oder die Verschlüsselung von Dateien.
4. Begrenzen, wer Zugang erhält
Man sollte Kontrollen zur Begrenzung der Personen einsetzen, die Zugang zu bestimmten Dateien bekommen. Nicht alle Angestellten brauchen die gleichen Zugangsmöglichkeiten zu allen Dateien. Der Zugang kann nach Kriterien wie Gruppe, Rolle oder Person begrenzt werden.
Es sollte das Least-Privilege-Prinzip (Prinzip der geringsten Rechte) gelten – den Anwendern nur das erlauben, was für ihre Arbeit notwendig ist. Welche Aktivitäten die Anwender in Bezug auf die Dateien ausüben können, kann ebenfalls begrenzt werden – wie zum Beispiel wer Daten lesen, schreiben, editieren oder löschen darf. Man sollte also regelmäßig die Zugangsrechte der Anwender überprüfen und anpassen.
5. Ablaufdaten für Dateien festlegen
Jenseits von Zugangskontrollen erlauben es einige Produkte den Unternehmen, Verfallzeiten für Dateien festzulegen. Google verfügt zum Beispiel über ein Ablauf-Feature für Google Drive, Docs, Slides und Sheets. Security-Teams können auf dieser Basis den Dateizugang für Angestellte und Externe für die Dauer eines bestimmten Projekts oder Auftrags begrenzen.
6. Den physischen Austausch von Dateien einschränken
Man sollte den Einsatz von physischen Speichergeräten wie USBs, externen Festplatten und CDs begrenzen oder ausschließen. Während sich eine Cloud-Umgebung kaum noch auf solche Geräte verlässt, sind sie immer noch im Einsatz – und damit weiterhin eine Quelle von Dateneinbrüchen und -attacken.
Security-Teams können es Angestellten verbieten, Geräte, die vom Unternehmen verwaltet werden, für den Transport von Dateien zu externen Speichergeräten zu verwenden. Es ist jedoch mit dem Einsatz von BYOD (Bring Your Own Device) noch schwieriger, solche Maßnahmen durchzusetzen. In solchen Fällen ist das Training von Angestellten ein wesentlicher Punkt, um die Risiken zu vermindern.
Sollte File Sharing mittels eines physischen Speichergeräts die einzige Option für einen Anwender sein, sollte man das Laufwerk und/oder die Dateien verschlüsseln, bevor man sie mit anderen teilt.