Daten sind das wertvollste Unternehmensgut, ihr Schutz ist geschäftskritisch. Viele Firmen setzen dafür mittlerweile auf virtuelle Datenräume. Solche Lösungen ermöglichen nicht nur das Bearbeiten und Verteilen von streng vertraulichen Dokumenten über Unternehmensgrenzen hinweg, sie schützen durch eine starke Verschlüsselung auch vor unbefugtem Zugriff durch interne und externe Langfinger.
Wie aber ist es um Cloud-Provider und IT-Administratoren bestellt? Auch vor ihren Augen sollten sensible Dokumente schließlich verborgen bleiben.
Betreiber-Abschirmung
An dieser Stelle kommt bei Brainloop die Betreiber-Abschirmung unter Anwendung ausgefeilter Abwehrmechanismen gegen unbefugte Eingriffe von Betreibern durch technisch-organisatorische Maßnahmen zum Einsatz: Mit der konsequenten Trennung von Anwendungs- und Systemadministration sowie sicheren Prozessen beim Plattformbetrieb kann nicht mal Brainloop selbst auf vertrauliche Informationen zugreifen, die innerhalb eines Datenraums gespeichert sind. Durch diese Funktionalität sind Kunden auf der sicheren Seite.
Shielding ist hier jedoch nicht gleich Shielding. Viele Anbieter verschlüsseln die Datenbank automatisch als Ganzes. Das Problem: Sie ist so zwar bestens gegen Angriffe von außen geschützt, interne Administratoren von Kundenseite haben jedoch den vollen Einblick in alle Unternehmensdaten. Das wissen wir durch unser Administrator-Shielding zu verhindern – eine Funktion, die von vielen Kunden unserer Kunden genutzt wird.
Durch die Kombination von Betreiber- und Administrator-Abschirmung ergibt sich also ein versiegelter Datenraum, in dem Dateien lediglich im Zugriff berechtigter User sind.
Darüber hinaus schützt Brainloop Datenräume mehrfach – technisch und organisatorisch.
Verschlüsselung
In Brainloop Datenräumen sind alle sicherheitsrelevanten Daten durchgängig nach höchsten Standards verschlüsselt – ganz egal, ob es sich um Dokumente, Nachrichten oder Sicherheitsfragen handelt. Auch Sicherheitsschlüssel werden separat abgelegt.
Secret-Sharing für kritische Operationen
Gerade im Applikationsbetrieb gibt es kritische Operationen, die so sensibel sind, dass Plattform-Administratoren nicht die Möglichkeit haben dürfen, sie eigenmächtig auszuführen. Dementsprechend wird ihnen zwar der Zugriff auf Schlüssel, Dateien und Metadaten innerhalb der Lösung verwehrt, sie müssen jedoch trotzdem in der Lage sein, Server und Software zu warten. Hier kommt das Secret-Sharing zum Einsatz: Ein Kreis von Führungskräften erhält jeweils einen Teil – oder auch Share genannt – des sogenannten Master Keys. Erst wenn diese Shares hochgeladen und vom System zusammengesetzt wurden, entsteht ein Authentisierungstoken, der dem System die Freigabe für eine kritische Operation erteilt. Weder Administratoren noch Führungskräfte haben Kenntnisse oder die Kontrolle über den Master Key.
Brainloop unterstützt zudem Hardware Security Modules (HSM): Der Schlüssel zum Master Key wird hier auf separater Hardware abgelegt, die über eine Highspeed-Verbindung Zugang zum Server erhält. So wird der Master Key selbst noch einmal separat verschlüsselt.
Audit-Trail
Hinzu kommt ein durchgängiger Audit-Trail innerhalb der Brainloop Lösungen. So kann zu jeder Zeit nachvollzogen werden, welcher User oder Administrator welche Dokumente wann angesehen, bearbeitet oder heruntergeladen hat. Die automatische Protokollierung fungiert dabei nicht nur als technischer, sondern auch als psychologischer Schutz.
Technisch-organisatorische Maßnahmen
Durch kombinierte technisch-organisatorische Maßnahmen (TOM) wird der Schutz der Unternehmensdaten sichergestellt. So ist beispielsweise das Brainloop Operations-Team strikt vom Engineering getrennt. Engineering hat damit keinen Zugriff auf den Server. Auch die Mitarbeiter des Hosting-Providers haben keinerlei Zugang zu Applikation, Datenbank oder Storage. Brainloop lässt des Weiteren regelmäßige Audits durch externe, unabhängige Experten durchführen. Dazu kommen die Auditierungen durch Kunden und Interessenten.
Zertifiziert
Der Betrieb der hochsicheren Lösungen von Brainloop wurde außerdem mehrfach zertifiziert – beispielsweise nach ISO 27001, BSI C5:2020 ISAE3000 und das Trusted Cloud Label.
Mit der Kombination aus technischem und organisatorischem Schutz ist das Datengold somit sicher verwahrt – und Brainloop mit Sicherheit führend.
Geschrieben von Ulrike Eder
Brainloop, Informationssicherheit