Es vergeht kaum eine Woche ohne beängstigende Nachrichten über Schwachstellen von IT-Sicherheitssystemen. So scheint es weniger die Frage, ob man erfolgreich angegriffen wird, sondern lediglich, wann.
Die Berichte über NSA-Überwachung, Wikileaks und nicht zuletzt die Snowden-Enthüllungen haben gezeigt, in welchem Umfang unautorisierter Zugriff auf Dokumente möglich ist.
Vollständig gekapselte Server-Systeme und restriktive Sicherheitsregeln (etwa das Verbot von Mobilgeräten) sind geeignet, den Datenaustausch und die Kommunikation abzusichern. Sie behindern allerdings die tägliche Arbeit und führen zu geringer Effizienz. Zudem kommt der Rechtspraktiker im ständigen Kontakt mit Mandanten, Gerichten, Kollegen und anderen Kommunikationspartnern ohnehin nicht mehr umhin, vertrauliche Daten auch über potenziell unsichere Netzwerkverbindungen auszutauschen.
Daher stellt sich gerade für größere Projekte zunehmend die Frage, ob der im privaten Umfeld inzwischen allgegenwärtige Datenaustausch über Kommunikationsplattformen und Cloud-Systeme auch im beruflichen Kontext möglich und vor allem sicher genug ist.
Die Antwort lautet wie so oft: Es kommt darauf an.
Unverschlüsselte E-Mails, Facebook, WhatsApp, Dropbox und allgemeine Cloud-Services wie Apples iCloud oder Microsofts Azure sollten für die berufliche Kommunikation nicht ohne weiteres genutzt werden, denn hier liegt der Fokus eher auf dem Benutzungskomfort und weniger auf der Datensicherheit.
Vertrauenswürdig sind nur Systeme mit einer Ende-zu-Ende-Verschlüsselung, bei denen die zu übertragenden Daten mit einem mindestens 256 Bit starken Sicherheitsschlüssel kodiert werden, so dass der Datenaustausch vom Sender bis zum Empfänger vollständig abgesichert ist. Der autorisierte Empfänger kann die verschlüsselten Daten nur mit Kenntnis des gesondert mitgeteilten Sicherheitsschlüssels dekodieren und sodann einsehen.
Für solche Secure Information Sharing (SIS) Services gibt es ganz unterschiedliche technische Ansätze, die allerdings immer auf demselben Grundprinzip einer kryptografischen Absicherung von Business-Daten beruhen.
Eine Möglichkeit ist die Verwendung sicherer Datenräume (Secure Data Rooms), in denen sich einzelne Nutzer und Nutzergruppen (sogenannte Trusted Friends) individuell verknüpfen und auf diese Weise Informationen austauschen können. Der Besitzer entscheidet mit der Freigabe der verschlüsselten Kommunikation darüber, wer Lese- oder sogar Schreibzugriff auf die Daten hat. Solche Systeme werden in der Regel direkt über die Internet-Plattform des Anbieters bereitgestellt (gehostet), und die Verantwortung für das Rechtemanagement übernehmen die Administratoren des jeweiligen Gesprächskreises.
Eine etwas komplexere Ausbaustufe stellen sogenannte Collaboration Networks dar, die nicht nur das Teilen und sequentielle Bearbeiten von Informationen ermöglichen, sondern auch ein umfangreiches Datei- und Nutzermanagement einschließlich Klassifizierung sowie ein automatisches Verknüpfen von Inhalten und Personen.
Eine weitere Variante sind Wissensmanagement-Systeme, die über das firmeninterne Netzwerk installiert und abgesichert werden. Hier setzt das Information Right Managements (IRM) also auf der bestehenden technischen Infrastruktur der Kanzlei, der Behörde bzw. des Unternehmens auf. Die Rechteverwaltung wird über den Besitzer des Dokuments und über den zentral administrierten Ablageort festgelegt. Die vollständige Datenhoheit liegt beim Kunden des technischen Dienstleisters, die Daten liegen auf dem Kundenserver.
In einer intelligenteren Ausbaustufe wird das (mit jedem neuen Dokument permanent anwachsende) Gemeinschaftswissen der Organisationseinheit in regelmäßigen Abständen automatisiert indiziert und über eine entsprechende Suchtechnologie zentral verfügbar gemacht, wobei auch hier wiederum das bereits eingerichtete Berechtigungssystem wirkt. Dieser Komfortgewinn trägt dazu bei, dass solche Wissensmanagement-Lösungen in der Praxis zunehmend auf dem Vormarsch sind.
Eine weitere Möglichkeit für den gesicherten Datenaustausch über Standorte und Nutzergruppen hinweg ist der Einsatz von reinen Cloud-Systemen. In Abgrenzung zu Kollaborationsplattformen wirkt die Technologie hier noch mehr im Hintergrund und bewirkt vornehmlich eine permanente Synchronisation von Akten, persönlichen Notizen und sonstigen Datenbeständen über alle angeschlossene Arbeitsplatzrechner und Mobilgeräte hinweg. Nebenbei erhält der Nutzer ein elektronisches Aktenarchiv, das extern – in der Regel auf Hochsicherheitsservern und somit besonders ausfallsicher – gespeichert ist. Mithin sind die Akten und Informationen selbst bei vollständigem persönlichem Datenverlust durch Diebstahl, Brand, Wasserschäden o. ä. jederzeit wiederherstellbar.
Doch sind Cloud-Systeme und Kollaborationsplattformen externer Anbieter vertrauenswürdig?
Nun ja, diese Frage kann sicher nicht abschließend für alle am Markt auftretenden Anbieter beantwortet werden. Die Fragestellung lässt sich allerdings auch umdrehen: Ist die eigene IT-Abteilung besser in der Lage, in einem zwangsläufig offenen System zur Kommunikation mit externen Beteiligten die erforderliche Sicherheit herzustellen?
Fakt ist, dass unzureichende Schutzmechanismen wie nicht regelmäßig gewartete Firewalls und Virenscanner, veraltete oder schlecht konfigurierte Hardware sowie nicht installierte Sicherheits-Updates immer noch häufige Ursachen für Systemabstürze, Datenverlust und Datenspionage sind. Hinzu kommt die Komponente Mensch, der die an sich vorhandene IT-Sicherheitsausstattung nicht optimal bedienen kann.
Eine sichere Ende-zu-Ende-Verschlüsselung vorausgesetzt, wird der Einsatz von externen Cloud-Systemen bei vielen kleineren und mittleren Unternehmen eher zur Erhöhung der Sicherheit beitragen, denn die eingesetzte Sicherheitstechnologie und das Know-how der spezialisierten Anbieter reicht in der Regel weit über die Expertise und das Equipment des eigenen Sicherheitspersonals hinaus. Vorzugsweise sind allerdings Anbieter zu nutzen, deren Server sich in Deutschland oder zumindest in Europa befinden.