Bundesamt für Sicherheit in der Informationstechnik

M 5.158 Nutzung von Web-Speicherplatz

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Vorgesetzte, Leiter IT

Verantwortlich für Umsetzung: Benutzer

Als Web-Speicherplatz (oder auch Online-Festplatte) wird Speicherplatz bei Internet-Anbietern bezeichnet. Kunden erhalten diesen von einem Web-Anbieter zugeteilt, um Dateien längerfristig zu speichern und einfach über das Internet auf die Daten zugreifen zu können. Vor allem mobile Mitarbeiter schätzen diese Möglichkeit, da sie von beliebigen Standorten schnell und uneingeschränkt auf ihre Daten zugreifen können. Auch zum Austausch größerer Datenmengen werden diese Dienste gerne genutzt. Hierin liegt allerdings auch ein großes Risiko, denn der Zugriff auf externe Speichermöglichkeiten macht Datenflüsse schwerer kontrollierbar.

Der Schutz der Vertraulichkeit der Daten hängt nicht nur davon ab, ob die Datenkommunikation und Speicherung beim Anbieter ausreichend abgesichert ist, sondern auch von der Frage, von welchen externen IT-Systemen diese abgerufen werden, was danach mit ihnen passiert und wo sie wiederum gespeichert werden.

Typische Probleme hier sind beispielsweise:

  • Mitarbeiter nutzen externen Web-Speicherplatz, um firmeninterne Daten in einem Internet-Cafe oder bei einer anderen Firma abzurufen. Durch eine unzureichende Absicherung der übertragenen Informationen (sowohl Authentisierungs- als auch Nutzdaten) können anschließend auch Unbefugte auf weitere dort gespeicherte firmeninterne Daten zugreifen.
  • Ein Mitarbeiter ruft von zu Hause Daten ab, um diese am Wochenende zu bearbeiten. Da sein privater PC mit Schadsoftware verseucht ist, wurden auch die bearbeiteten Dateien infiziert.

Die Verfügbarkeit der gespeicherten Daten hängt von mehreren Faktoren ab: Verfügbarkeit der Internetanbindung und der Systeme beim Anbieter. Bei einer längerfristigen Speicherung von Daten muss zudem das Geschäftsmodell des Anbieters geprüft werden, um einzuschätzen, ob ein dauerhafter Betrieb und gleichbleibende Rahmenbedingungen gewährleistet werden.

Geschwindigkeit der Anbindung: Soll der Web-Speicherplatz als Speicherort für die Datensicherung genutzt werden, ist nicht nur die Zeit wichtig, die benötigt wird, um die zu sichernden Informationen zum Anbieter zu übertragen, sondern auch die Zeit, die benötigt wird, um die Datensicherung wieder einzuspielen. Für eine professionelle Datensicherung sind die meisten anderen Lösungen für Datensicherungen innerhalb der eigenen Institution schneller und besser kontrollierbar (und möglicherweise auch kostengünstiger).

Der Umgang mit Web-Speicherplatz sollte in jeder Institution klar geregelt sein. Hierbei gibt es mehrere Varianten:

  • Institutionen können die Nutzung von Web-Speicherplatz generell verbieten. Dies muss den Mitarbeitern bekannt gegeben werden. Das Verbot kann außerdem technisch durch Filterung bezüglich der bekannten Anbieter unterstützt werden, wobei berücksichtigt werden sollte, dass Benutzer immer neue Wege finden können, um auf solche Dienste zuzugreifen.
  • Die Institution kann die Nutzung Web-Speicherplatz offiziell für dienstliche Zwecke freigegeben und dafür geeignete Rahmenbedingungen festlegen.

Eine Behörde oder ein Unternehmen sollte auf jeden Fall klare Regelungen zur Nutzung solcher Dienstleistungen aufstellen (siehe auch M 2.460 Geregelte Nutzung von externen Dienstleistungen ). Hierin sollten unter anderem die folgenden Punkte geklärt sein:

  • Dienstliche und private Nutzung sollten nicht vermischt werden.
  • Es ist zu klären, unter welchen Rahmenbedingungen Web-Speicherplatz dienstlich genutzt werden darf ( z. B. bei der Weitergabe von Informationen, Schutz vor Schadsoftware, etc. ).
  • Die Geschäftsbedingungen von Anbietern von Web-Speicherplatz sollten vor einer Nutzung sorgfältig geprüft daraufhin werden, ob die genannten Bedingungen aus der eigenen Sicht akzeptabel sind.
  • Die Zugriffsrechte auf Web-Speicherplatz müssen genau festgelegt und regelmäßig aktualisiert werden, damit nur autorisierte Personen auf die gespeicherten Daten zugreifen können.
  • Der Datenaustausch sollte auf jeden Fall per SSL / TSL -Verschlüsselung gesichert werden.
  • Zusätzlich müssen vertrauliche Daten verschlüsselt gespeichert werden, um sie vor unbefugtem Zugriff zu schützen.
  • Es ist festzulegen, von wo (Umgebungssicherheit) und auf welche IT -Systeme gespeicherte Daten abgerufen werden dürfen.

Prüffragen:

  • Ist die Nutzung von Web-Speicherplatz in der Institution klar geregelt?

Stand: 12. EL Stand 2011