Blogartikel vom
Cloud Software – 9 ausschlaggebende Punkte für Sicherheit & Datenschutz.
Eine Cloud Software ist in der Regel unschlagbar was Preis-Leistung angeht – und deshalb vor allem für kleine und mittlere Unternehmen attraktiv. Wer Sicherheitsbedenken beim Gedanken an webbasierter Software hat, sollte folgende Punkte besonders beachten. Sie betreffen die Wahl des Anbieters wie auch den Umgang jedes einzelnen Benutzers mit der Software.
Bedenken zur Sicherheit von Unternehmensdaten in der Cloud sind grundsätzlich berechtigt. Es ist jedoch nicht automatisch der bessere Weg, selbst zu hosten. Um eine ähnliche Sicherheit vor Zugriffen und Datenverlust aufzubauen wie ein versierter Anbieter, benötigt es intern jemanden, der sich darum kümmert. Diese Person muss Know-how, Sorgfalt und Zeit mitbringen. Bei Personalwechsel kann hier Know-how verloren gehen. Updates, Wartung und Support können auch schnell teuer werden. Deshalb bietet vor allem für kleinere Unternehmen eine Cloud-Software ein unschlagbares Preis-Leistungsverhältnis.
Fällt die Wahl auf eine Cloud-Software sollte man zum Thema Sicherheit & Datenschutz auf folgende Punkte besonderen Wert legen:
1. Einen seriösen Software-Anbieter wählen
Möchte man auf einen seriösen Anbieter setzen, tun man gut daran, neben den tollen Marketingphrasen auch auf folgende Faktoren zu achten:
- Gute Referenzen
- Transparenz
- Eine hohe Ausfallsicherheit des des Online-Dienstes
- Einen AVV – der Anbieter sollte DSGVO-konform sein
- Ein paar Jahre Erfahrung im Cloud Business
- Eine aussagekräftige Anzahl an bestehenden Kunden
2. Darauf achten, dass die Daten in einem Land mit EU adäquatem Datenschutzniveau verarbeitet werden
Die Server sollten in Europa stehen – bzw. noch wichtiger – in einem Land mit adäquatem Datenschutzniveau analog der EU.
Ein Drittland wie die USA ist unter dem EU-US-Privacy Shield möglich. Die gesetzliche Grundlage wird aber durchaus mit einem Risiko bewertet. Es empfiehlt sich daher dies regelmässig neu zu bewerten. Dennoch kommen immer noch die meisten und besten Cloudlösungen aus den USA.
Ein Drittland wie die USA ist unter dem EU-US-Privacy Shield möglich. Die gesetzliche Grundlage wird aber durchaus mit einem Risiko bewertet. Es empfiehlt sich daher dies regelmässig neu zu bewerten. Dennoch kommen immer noch die meisten und besten Cloudlösungen aus den USA.
3. Einen Auftragsverarbeitungsvertrag (AVV) abschliessen
Ein seriöser Anbieter stellt einen AVV zur Verfügung. In diesem ist klar und DSGVO-konform dargelegt, wie mit Personendaten umgegangen wird.
4. Eigenes Passwort vergeben
Das initiale Anmeldepasswort, das einem vom System vergeben wird, sollte man möglichst zeitnah nach erstem Login ändern.
5. Das richtige Passwort wählen
Bei der Wahl der richtigen Passwörter tun sich viele schwer. Wichtig für eine gute Wahl ist
- Keine Standards wie 12345 verwenden oder Wörter, die man in einem Wörterbuch findet
- Ein gewähltes, schwieriges Passwort nicht für mehrere Logins verwenden
- Mind. 8 Zeichen soll es lang sein. Grundsätzlich gilt "je länger desto besser"
- Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist nicht empfehlenswert.
- Ein Passwort sollte man sich gut merken können
Ganz schön viel verlangt oder?
Wir empfehlen, die Hinweise zur optimalen Passwortwahl lediglich zur Kenntnis zu nehmen und dafür Punkt drei in die Tat umzusetzen:
Wir empfehlen, die Hinweise zur optimalen Passwortwahl lediglich zur Kenntnis zu nehmen und dafür Punkt drei in die Tat umzusetzen:
6. Passwortmanager verwenden
1Password ist zum Beispiel solch ein Passwortmanager. Oder der Schlüsselbund auf dem Mac.
Das Gute bei einem Passwortmanager ist: Passwörter sind sicher und die Handhabung ist einfach. Man muss sich nur EIN wirklich gutes Passwort gut merken, das man zum Öffnen des Passwortmanagers braucht. Folgende Dinge übernimmt dann der Passwortmanager für einen:
Das Gute bei einem Passwortmanager ist: Passwörter sind sicher und die Handhabung ist einfach. Man muss sich nur EIN wirklich gutes Passwort gut merken, das man zum Öffnen des Passwortmanagers braucht. Folgende Dinge übernimmt dann der Passwortmanager für einen:
- Er generiert auf Knopfdruck ein langes, sicheres Passwort aus verschiedenen zufälligen Zeichen. Das könnte man sich niemals so merken.
- Bei einem ersten Login bietet er von selber an, das Login im Manager zu speichern
- In der Regel kann das Passwort nach Öffnen den Managers automatisch beim Login eingefüllt werden. Ist das technisch aus irgendeinem Grund nicht möglich, bietet der Passwortmanager an, die Daten zum "copy-pasten" an.
- Auch auf Mobiltelefonen kann der Passwortmanager als App installiert werden – und so problemlos von unterwegs sicher auf Passwörter zugegriffen werden.
Es lohnt sich wirklich, sich ein Mal mit einem Passwortmanager auseinanderzusetzen, und dann ein für alle Mal Ruhe zu haben.
7. Zwei-Faktor-Authentifizierung nutzen
Viele Online-Dienstleister bieten eine Zwei-Faktor-Authentifizierung, oder kurz 2FA genannt, an. Das ist eine zusätzliche Sicherheitsstufe beim Login.
Diese sogenannte Zwei-Faktor-Authentifizierung gibt es in zahlreichen Varianten, die vom individuellen Code per SMS bis zu einem hardware-gestützten TAN-Generator reichen können. Dabei bieten vor allem hardware-gestützte Verfahren ein hohes Mass an Sicherheit und sollten wenn möglich ergänzend zu einem starken Passwort genutzt werden. Eventuelle schwache Passwörter von Mitarbeitern können so abgesichert werden.
Funktionsweise in MOCO: Zusätzlich zur Passworteingabe identifiziert man sich hier über sein Smartphone.
Diese sogenannte Zwei-Faktor-Authentifizierung gibt es in zahlreichen Varianten, die vom individuellen Code per SMS bis zu einem hardware-gestützten TAN-Generator reichen können. Dabei bieten vor allem hardware-gestützte Verfahren ein hohes Mass an Sicherheit und sollten wenn möglich ergänzend zu einem starken Passwort genutzt werden. Eventuelle schwache Passwörter von Mitarbeitern können so abgesichert werden.
Funktionsweise in MOCO: Zusätzlich zur Passworteingabe identifiziert man sich hier über sein Smartphone.
8. Betriebssystem und Browser aktuell halten
Indem man Betriebssystem und Browser auf aktuellem Stand hält, schützt man sich zusätzlich vor Angriffen.
9. Eigene Backups sicherstellen
Bei einer festinstallierten Lösung ist man komplett selber verantwortlich für Backups – bei einer Cloudlösung teilweise. Ein seriöser Cloudanbieter sichert die Daten regelmässig und zuverlässig, so dass Daten bei Bedarf wiederhergestellt werden können. Trotzdem sollte er auch zusätzlich Exporte anbieten, über die man regelmässig seine Daten exportieren und selber ablegen kann. Es empfiehlt sich hier, das mindestens einmal jährlich zu tun.
Exporte sollten in einem lesbaren Format (z.B. CSV, Excel) sein, so dass man bei einem eventuellen Wechsel der Software auch etwas damit anfangen kann.
» Eine Übersicht zu allen Exportoptionen in MOCO
Exporte sollten in einem lesbaren Format (z.B. CSV, Excel) sein, so dass man bei einem eventuellen Wechsel der Software auch etwas damit anfangen kann.
» Eine Übersicht zu allen Exportoptionen in MOCO