Sichere Datenräume in der Cloud

Anbieter von Daten- oder Projekträumen in der Cloud unterbreiten Kunden oft ein großes Portfolio an Leistungen. Es reicht vom sicheren Hosting von Daten und dem komfortablen Zugriff darauf bis zu Verschlüsselungsservices, Zugangskontrollen und mehrstufigen Sicherheitskonzepten bei der Datenverwaltung. Ein Unternehmen sollte sich daher klar darüber sein, was ein anstehendes Projekt oder der interne Ablauf überhaupt an Services benötigt. Denn die Kosten für einen Datenraum bewegen sich zwischen 100 und 1000 Euro und mehr pro Monat.

Die Begriffe Daten- oder Projektraum sind nicht genau definiert. Während Cloud-Speicher-Anbieter wie Box zum Beispiel bereits die Datenablage einen Datenraum nennen, versteht ein Spezialist wie Brainloop darunter hochsichere Datenräume mit diversen Benutzerebenen und einem Sicherheitskonzept, das für Vorstände von Unternehmen geeignet ist.

Im Folgenden stellt com! professional sechs Anbieter vor, die als Minimum eine komfortable Datei- und Benutzerverwaltung für Projekte und Gruppen ab 25 Personen bereitstellen. Einige können aber auch leicht Hunderte Nutzer verwalten. Manche bieten erhöhte Sicherheitsfunktionen, Zugangsverwaltungen, Protokolle und sind sogar revisionssicher. Auch sind Anbieter dabei, die auf Datenräume für Vertragsverhandlungen spezialisiert und zertifiziert sind.

Alle Anbieter stellen für den Zugriff auf die Daten einen mehrstufigen Schutz bereit. Das beginnt beim Log-in, der fast immer eine Zweifaktor-Authentifizierung (2FA) per SMS oder TAN oder einen per App generierten Zugangscode voraussetzt. Bei allen Anbietern sind die Zugriffe auf Dokumente stufenweise anpassbar, etwa vom Nur-lesen-Status bis hin zum Vollzugriff. Damit die Daten den Raum nicht verlassen können beziehungsweise müssen, zeigen die Anbieter-App oder der Browser oft den Inhalt der Dokumente direkt an. Das ermöglichen multifunktionale Vorschaumodule, die viele Formate kennen.

Ist das nicht der Fall, wird der Inhalt eines Dokuments gestreamt oder als mit Wasserzeichen gesichertes PDF angezeigt. Sogar der Einsatz eines digitalen Gitternetzes als Fotografierschutz ist meistens möglich.

Jegliche Kommunikation zu einem Projekt oder Vertrag lässt sich auch innerhalb eines Raums halten, sofern eine Chat- oder E-Mail-Funktion angeboten wird. Diese Kommunikation wird dann auch gleich automatisch protokolliert. Nur auf diese Weise halten die Anbieter die nötigen Standards ein für spezielle Frage-und Antwort-Prozesse bei einem Firmenverkauf (Due Diligence, DD) oder größeren Transaktionen (M&A, Mergers and Acquisitions).

Die Daten der Kunden lagern in den deutschen oder europäischen Rechenzentren immer mit einer AES-256-Bit-Verschlüsselung. Auch die verschlüsselte Kommunikation mit dem Datenraum via SSL und TLS ist Standard.

---

Brainloop ist ein Keyplayer im Markt für Datenräume und versorgt nach eigenen Aussagen bereits 70 Prozent der DAX-Unternehmen mit seinen Services. Das Unternehmen unterscheidet bei seinem Produkt Secure Dataroom vier Stufen: MyRoom für die sichere Dateiablage und den Tausch, CollaborationRoom für eine gesicherte Projektarbeit, DealRoom für Vertragsverhandlungen und BoardRoom für die Kommunikation im Vorstand. Die Grundlage aller Räume bilden die Funktionen aus MyRoom für den Datentausch mit internen und externen Mitarbeitern sowie Partnern. Über diverse Schnittstellen wie LDAP und SAML 2.0 lassen sich Daten und Nutzer leicht verwalten. Für die externe Kommunikation lässt sich ein Security-Modul für Outlook nutzen, mit dem man direkt Links und Daten versendet. Diese können mit Passwörtern oder Verfallsdatum geschützt sein. In den höheren Räumen gibt es Zusatzfunktionen, etwa ein Dokumentenmanagement samt Historie oder erweiterte Rollen für den Zugriff der Nutzer. Selbst der Administrator lässt sich nach der Einrichtung eines Raums von einem verantwortlichen Projektleiter aussperren.

Die Bereiche DealRoom und BoardRoom sind für heikle Aufgaben wie M&A, Due Diligence oder Vorstandssitzungen gedacht. Dort lassen sich die Zugriffe und die Verfügbarkeit von Dateien granular handhaben. So könnte etwa das Ansehen mit Fotografierschutz in Ordnung, das Bearbeiten, Speichern, Drucken oder He­runterladen aber untersagt sein. Sogenannte Chinese Walls trennen selbst innerhalb eines Projekts die Gruppen mit verschiedenen Zielsetzungen, aber einer einheitlichen Datenbasis. Unterschiedliche Abteilungen haben damit die Möglichkeit, ihre Daten in einen Boardroom zu liefern, ohne das Ganze zu überblicken. Für Vorstände geht die Funktion sogar so weit, dass sie automatisiert Sitzungsmappen erhalten. Dabei bleiben die Schutzfunktionen der Dokumente wie personalisierte Wasserzeichen oder ein digitales Rechtemanagement mit Microsoft oder Adobe erhalten.

Für den Zugriff bietet Brainloop eine Weboberfläche sowie diverse Apps. Brainloop Secure Data­rooms sind in der Zahl der Nutzer nicht begrenzt und werden nach Bedarf berechnet, ebenso wie der benötigte Speicher. Selbst der Standort des Rechenzentrums lässt sich von den Kunden wählen: Deutschland oder ausgesuchte Länder in der EU. Das Einsatzgebiet sind Vorstands­etagen, Verkäufe, Bieterrunden und Projektarbeiten mit Geheimhaltungsstatus.

Der in Deutschland beheimatete Anbieter DataroomX wirbt damit, dass seine Produkte besonders geeignet sind für Unternehmens- und Immobilientransaktionen, Mergers-&-Acquisitions-Projekte (M&A), Due-Diligence-Prüfungen (DD), Portfolioverwaltung oder Dokumentenaustausch unter Berufsgeheimnisträgern. Nutzer haben die Wahl zwischen den Buchungsmodellen Single, Multi und Profi. Interessant ist dabei das Preiskonzept, da es zum Teil auf Festpreise setzt. So kostet zum Beispiel das Profi-Paket monatlich 1.800 Euro, wobei alle Lizenzen, die Anzahl der Datenräume, der Speicher und der Traffic unlimitiert sind. Selbst eine individuelle Domain ist mit im Paket.

Die Verwaltung erfolgt ausschließlich auf den Servern von DataroomX. Es handelt sich somit um ein reines Cloud-Angebot ohne die Möglichkeit, eigene Server zu nutzen. Die Verwaltung der Datenräume und der Benutzer sowie alle weiteren Einstellungen managt ein Administrator über eine gesonderte Weboberfläche. Nutzer lassen sich dann in einen eigens gebrandeten Datenraum einladen. Dessen Oberfläche zeigt nur die vorhandenen Dateien und Verzeichnisse eines Raums an, aber keine Verwaltungsfunktionen. Je nach Rechten darf ein Nutzer die Daten lesen und herunterladen, nur lesen oder selektiert lesen oder herunterladen. Ein Projektleiter kann keine anderen Nutzer über die Oberfläche einladen. Dies geschieht über den Verwaltungs-Account.

Die Daten lassen sich per ZIP-Datei inklusive Ordnerstruktur in neue Räume übertragen. Jeder Nutzer kann später an jede Datei Notizen anheften, die auch nur er sieht. Das Frage-und-Antwort-Modul (Q&A) ist nicht zentralisiert, sondern wird zu jeder einzelnen Datei gewählt. Hat ein Nutzer Nur-lesen-Status, so kann er außer PDFs keine Dateien öffnen. Der aktuelle Datei-Viewer kann nur PDF-Dateien mit einem Wasserzeichen versehen und anzeigen. Wirklich sinnvoll arbeiten lässt sich dann nur mit den Rechten Lesen und Downloaden, oder man muss sich auf PDF-Dateien beschränken.

Derzeit gibt es für die Daten noch keine Versionierung. Data­roomX will diese Funktion ab dem dritten Quartal dieses Jahres anbieten. Alle Veränderungen der Daten und weiteren Aktionen zeichnet automatisch das Protokoll auf, das als revisionssicher gilt.

Die Unternehmensdaten liegen mit 256-Bit-AES verschlüsselt bei DataroomX. Der Zugriff erfolgt per SSL und TLS, zusätzlich lässt sich dafür eine Zweifaktor-Authentifizierung per SMS nutzen. Weiterhin ist es möglich, den Zugriff nur für
einen definierten IP-Bereich zuzulassen. Nach Projektabschluss liefert der Anbieter auf Wunsch den Inhalt des Projekts auf einer notariell versiegelten DVD.

Einsatz­gebiete sind Agenturen mit diversen Kunden, Entwicklungsprojekte und der sichere Datentausch aus dem Unternehmen heraus.

Die von Dracoon angebotenen Datenräume und Funktionen sollen Unternehmen bei der gesicherten Projektarbeit intern und extern unterstützen. Begriffe wie Mergers and Acquisitions oder Due Diligence spielen hier keine Rolle. Angesprochen wird eine andere Zielgruppe. Die angebotenen Produkte können Kunden direkt als fertigen Cloud-Service buchen oder als On-Premise-Lösung auf einem eigenen Server betreiben. Bei beiden Versionen sind die Nutzung einer Wunsch-Domain und ein Firmenbranding möglich.

Für die leichtere Einrichtung der Nutzer dient die Active-Directory-Anbindung oder ein RADIUS-Server. Diese Quellen lassen sich bei der Anmeldung auch als Authentifizierung nutzen. Eine Zweifaktor-Authentifizierung bietet Dracoon bei keiner seiner Ausbaustufen. Die vom Hersteller beworbene TripleCrypt-Technologie soll eine Ende-zu-Ende-Verschlüsselung für den Server, die Leitung und den Client gewährleisten. Allerdings muss dafür auch die Verschlüsselung eines Datenraums aktiviert sein, bevor dieser mit Daten gefüllt wird.

Die Benutzerverwaltung legt schnell fest, wer welche Daten sehen und wie er mit ihnen umgehen darf. Da ein Datei-Viewer fehlt, lassen sich Dateien zum Ansehen nur herunterladen. Daten kann man auch direkt aus dem Datenraum verschicken oder als Download-Link senden. Dabei unterstützt ein Outlook-Tool, das auf Wunsch eine Verschlüsselung vornimmt und ein zusätzliches Passwort setzt.

Der Nutzer kann über verschiedene Wege auf die Daten im Raum zugreifen. Ist er unterwegs an fremden PCs, hilft ihm die Weboberfläche weiter. Unter Windows und Mac lässt sich der Datenraum als gesondertes Laufwerk einfügen. Für mobile Geräte mit iOS und Android gibt es passende Apps.
Dracoon wirbt mit dem Schutz vor Ransomware als weiterem Sicherheitsaspekt: Würden die Daten auf einem verbundenen Windows-Laufwerk verschlüsselt, so ließen sie sich durch die automatische Versionierung wiederherstellen.

Unser Tipp: Dracoon lässt kleine Unternehmen das System mit 10 GByte Platz und bis zu zehn Nutzern unbegrenzt kostenfrei verwenden. Einsatzgebiete sind Agenturen mit diversen Kunden, Entwicklungsprojekte sowie der sichere Datentausch aus dem Unternehmen heraus.

Das amerikanische Unternehmen iDeals hat sich auf hoch­sichere Datenräume für größere Companies spezialisiert. Das Angebotsportfolio ist mit dem von Brainloop vergleichbar. Die Services sind gedacht für M&A, Due Diligence, Immobilien-Deals oder einfaches Projektmanagement. Nach eigenen Angaben bedient iDeals bereits 80 Prozent der Fortune-500-Unternehmen.

Der Datenraum Basis für ein Projekt startet mit Platz für 20 Benutzer und fünf Administratoren, ist aber jederzeit erweiterbar. Weiterhin bietet iDeals die Produktstufen Pro und Unternehmen an. Dabei lässt sich frei wählen, ob die Daten in der Cloud oder vor Ort in der Firma gehostet werden. Die weiteren Kosten errechnen sich nach dem Bedarf an Speicherplatz, Lizenzen und Projekträumen. Der Zugriff auf die Projekträume erfolgt entweder über den Browser oder über Windows- und Mac-Clients. Für den mobilen Zugriff gibt es Apps für iOS und Android. In Sachen Sicherheit steht neben der Passworteingabe auch eine Zweifaktor-Authentifizierung mit zusätzlichem SMS-Code zur Verfügung.

Die Verwaltung und Bedienung eines Datenraums ist simpel. Die gut strukturierte Oberfläche führt auch nicht IT-affine Projektmanager zum Ziel. Die Einladung der Nutzer muss ein Administrator einzeln von Hand oder mit einer Excel-Vorlage ausführen. Schnittstellen zu Ac­tive Directory oder Ähnlichem sind Fehlanzeige.

Die Nutzerverwaltung ist relativ einfach, aber effektiv aufgebaut. Nutzern oder Gruppen lassen sich leicht Rechte zuweisen oder entziehen. Es gibt vordefinierte Vorlagen, zum Beispiel „voller Administrator“, „eingeschränkter Adminis­trator“ oder „individueller Nutzer“. Der Zugriff auf vorhandene Dokumente lässt sich entsprechend reglementieren. Mit Hilfe multifunktionaler Viewer zeigt die Oberfläche bis zu 25 populäre Dateiformate direkt an, ohne sie herunterzuladen. Dabei setzt der Viewer automatisch zuvor definierte Wasserzeichen ein. Die meisten Dokumente werden dabei in ein gestreamtes PDF verwandelt. In der Ansicht lässt sich jederzeit auch eine Gitternetzfunktion als Fotografierschutz nutzen.

Für die Kommunikation im Projekt steht ein integrierter Frage-und-Antwort-Bereich (Q&A) bereit. Das System informiert Nutzer im Projekt per E-Mail, falls Fragen oder Antworten auf sie warten. Einen internen E-Mail-Client für alle Nutzer gibt es nicht. Sehr interessant ist die ausgefeilte Berichtsfunktion zu allen Bereichen des Datenraums. Dort lassen sich alle Zugriffe auf den Raum, die Daten oder den Q&A-Bereich einsehen. Hinsichtlich der Sicherheit ist iDeals auf einem hohen Stand. Die Daten liegen verschlüsselt in einem europäischen Rechenzentrum. Der Zugriff erfolgt immer per SSL und verschlüsselt. Beim Download wird das Originaldokument entweder als Wasserzeichen-PDF oder verschlüsselt mit Passwort ausgeliefert. Zum Abschluss eines Projekts kann ein Unternehmen sich gesicherte USB-Stick-Archive liefern lassen. Die Einsatzgebiete sind Vorstands­etagen, Verkäufe, Bieterrunden und Projektarbeiten mit Geheimhaltungsstatus.

Das von Netfiles angebotene Produkt Data­room beginnt bereits als kleines Business-Modell ab fünf Nutzern, das rein für die einfache Projektarbeit und den dazugehörigen Datenaustausch gedacht ist.

Ab dem Paket Dataroom mit mindestens zehn Nutzern stehen hochsichere Funk­tionen bereit, die etwa auch Due-Diligence-Prüfungen zulassen. Das Paket Enterprise umfasst die Steuerung mehrerer Datenräume inklusive einer zentralen Verwaltung aller Nutzer.

Für den Zugriff auf den Datenraum dient primär die Web­oberfläche. Lediglich iOS-Nutzer können dafür eine App verwenden. Über die sehr verständlich aufgebaute Weboberfläche lassen sich Benutzer und Gruppen verwalten sowie zuvor definierte Rechte für den Zugriff zuweisen. Dieser erfolgt mittels Name, Passwort und gewählter Zweifaktor-Authentifizierung. Dazu dient ein SMS-Kennwort oder die kostenlose OTP-App für iOS und Android, die Einmal-Codes generiert.

Die im Datenraum befindlichen Dateien werden bei einer Änderung automatisch markiert, damit jeder sie leichter erkennen kann. So ist auch der Zugriff auf die automatisierte Versionierung der Daten schnell möglich. Der integrierte Security-Viewer kennt viele populäre Dateiformate. Die Dateien werden dabei entweder direkt oder als PDF mit Wasserzeichen angezeigt. Eine Übertragung findet auf diese Weise nicht statt, die Daten bleiben im sicheren Raum.

Die Sicherheit lässt sich pro Nutzer oder Gruppe fein justieren. Dürfen Anwender Daten aus dem Raum versenden, dann geschieht das mit Hilfe eines internen E-Mail-Clients in Form eines Download-Links. Dieser lässt sich auch mit einem Verfallsdatum versehen. Zusätzlich kann man Inhalte eines Datenraums indexieren, etwa passend für eine Due-Diligence-Prüfung oder für eine Immobilientransaktion.

Für die interne Kommunikation steht ein Q&A-Modul bereit. Damit lassen sich Fragen und Antworten an Mitglieder oder Gruppen des Datenraums senden, eine umständliche
E-Mail-Antwortkette entfällt. Nimmt das Projekt Formen an, lässt sich intern auch ein Wiki aufbauen und mit Texten, Dokumenten oder Bildern bestücken. Die Einsatzgebiete sind Verkäufe, Bieterrunden und Projektarbeiten, auch mit Geheimhaltungsstatus.

Das Uniscon-Schutzkonzept der versiegelten Cloud soll Daten maximal schützen. Es beginnt bereits im Rechenzentrum, wo man Server gegen physische Zugriffe schützt und bei Gefahr eine Abschaltung erfolgt. Die Datenräume werden auf den Servern als verschlüsselter Block abgelegt, den selbst ein Administrator nicht einsehen kann. Damit der Zugriff maximal geschützt ist, bietet Uniscon eine IDgard-Log-in-Card für die Zweifaktor-Authentifizierung. Die Scheckkarte zeigt auf einem Display zufällig errechnete Codes, die beim Log-in zum Account passen.

Uniscon positioniert IDgard außer für die hochsichere Ablage von Unternehmensdaten für Vorstandskommunikation, M&A, Asset-Management und Due Diligence. Die Datenräume lassen sich schnell anlegen und verwalten. Um eine Voll-Lizenz zu erhalten, müssen Nutzer zum Unternehmen gehören. Nur dann haben sie Zugriff auf alle Daten. Für Partner oder Kunden stehen Gastlizenzen bereit, die via Rechtemanagement in der Nutzung eingeschränkt sind. Falls Projektteilnehmer einer Nutzungsbedingung zustimmen müssen, lässt sich diese vor dem ersten Zutritt zum Datenraum einblenden. Ohne Zustimmung geht es dann nicht weiter. Dokumente lassen sich in der Regel zwar laden oder anzeigen, sind aber mit einem Wasserzeichen versehen und der Abruf wird protokolliert. Das angelegte Protokoll ist revisionssicher.

Die Grunddaten für einen Datenraum lassen sich per gepackter Datei samt Ordnerstruktur übertragen und sind dann sofort startbereit. Für mehr Sicherheit wird jede Datei auch noch mit einem Virenscanner innerhalb der sogenannten Box überprüft.

Ein internes E-Mail- und Chat-System hält die gesamte Kommunikation im Datenraum und protokolliert sie auch. Mit einem zusätzlichen Outlook-Modul lassen sich sichere Datei-Links aus der Box versenden und mit einem Verfallsdatum versehen. Für den mobilen Zugriff auf die Daten liefert Uniscon auch noch Apps, etwa für iOS und Android. Die Einsatzgebiete sind Verkäufe, Projektarbeiten mit Geheimhaltungsstatus sowie ein hochsicherer Datentausch aus der Firma heraus.