Der schnelle Austausch und das gemeinsame Bearbeiten von Dokumenten in der Cloud gehören zur Digitalisierung. In stark regulierten Branchen hat die Sicherheit oberste Priorität. Mit einem virtuellen Datenraum lässt sich genau das gewährleisten.
Abgeschottet: Ein virtueller Datenraum ist eine cloud-basierte Umgebung mit einem besonders hohem Sicherheitsniveau. Innerhalb dessen ist sowohl der geschützte Austausch digitaler Dokumente möglich als auch deren sichere und gemeinsame Bearbeitung. Alle Zugriffe werden protokolliert und sind zeitlich begrenzt. Eine rechtebasierte Verschlüsselung auf Datei-Ebene verhindert, dass nicht-autorisierte Personen auf Daten zugreifen. Ein virtueller Datenraum auf Basis des Confidential-Computing-Ansatzes gewährleistet zudem, dass die Daten nicht nur während ihrer Speicherung, sondern auch während der Übertragung und der Verarbeitung in der Cloud geschützt sind.
Die Einrichtung eines solchen virtuellen Datenraums gelingt mit der folgenden Checkliste sie in fünf Schritten:
1. Mit einem Anforderungskatalog die passende Lösung finden.
Um eine technologische Lösung zu finden, die zu den eigenen Bedürfnissen passt, sollten sich Unternehmen fragen, was der virtuelle Datenraum leisten muss:
- Dabei gibt es grundlegende Anforderungen, wie unter anderem eine klare Zugangsberechtigung und -kontrolle. Unabdingbar sind zudem Protokolle über Zugriffe, Downloads, Bearbeitungen und Löschungen sowie eine einfache und intuitive Bedienbarkeit.
- Daneben existieren meist genau definierte Ansprüche an eine möglichst produktive Nutzung des virtuellen Datenraums. Dazu gehört zum Beispiel, dass dieser schnell einsatzbereit und über den Browser leicht verfügbar ist, dass sich Nutzer problemlos hinzufügen oder entfernen lassen sowie, dass sich die Rechteverwaltung unabhängig von der IT anpassen lässt.
- Hinzu kommen je nach Branche Compliance-Anforderungen, wie beispielsweise konfigurierbare Nutzungsbedingungen, definierbare Zugriffszeiten, Wasserzeichen für Dokumente im View-Only-Modus sowie Funktionen, die vor unberechtigter Weitergabe, Vervielfältigung oder Massendownloads schützen.
Zunächst müssen Unternehmen definieren, wofür der virtuelle Datenraum zum Einsatz kommen soll, und ob es spezifische Herausforderungen in den eigenen Prozessen, Zielgruppen oder Branchen gibt. Erst dann können sie einen konkreten Anforderungskatalog erstellen, mit dem Lösungen und Anbieter am Markt überprüfen lassen.
Anzeige | kostenloses Webinar der Trovarit Academy
2. Den Anbieter auf Herz und Nieren prüfen.
Neben funktionalen Anforderungen an die Datenraum-Lösung sollten Interessenten auch den Anbieter unter die Lupe nehmen. So lässt sich feststellen, ob dieser den eigenen Bedingungen und rechtlichen Vorgaben – etwa bezüglich des Datenschutzes und der Datensicherheit – entspricht. Folgende Fragen sind dabei zu klären:
- Wo hat der Anbieter seinen Firmensitz?
- Wo werden die Server betrieben?
- Hat der Kunde oder Anbieter den Schlüssel zu den Daten?
- Hat der Anbieter Zugriff auf die Daten im Datenraum?
- Sind die Daten auch während der Bearbeitung weiterhin geschützt?
- Kann der Anbieter seine Sicherheit nachweisen?
- Ist der Support gut erreichbar?
Aus rechtlicher Sicht kommt daher nur ein Cloud-Anbieter mit Sitz und Rechenzentren innerhalb der EU in Frage. Aber auch dann entscheiden ein nachweisliches Datenschutz- und Sicherheitskonzept sowie andere Schutzvorkehrungen – Stichwort Privacy by Design und Privacy by Default – darüber, ob sich ein Lösungsanbieter für den eigenen virtuellen Datenraum eignet.
3. Den virtuellen Datenraum eröffnen und Nutzungsregeln festlegen.
Bevor sich ein virtueller Datenraum in Betrieb nehmen lässt, sind alle relevanten Aspekte entlang der betroffenen Prozesse zu prüfen. Dazu sind folgende Punkte zu definieren:
- Existiert ein detailliertes Rollen- und Rechtemanagement, das regelt, wer was darf?
- Muss eine Kennzeichnung einzelner Dokumente mit Wasserzeichen erfolgen, um deren Verbreitung oder Vervielfältigung zu vermeiden?
- Sind Datenraumjournale zur revisionssicheren Protokollierung aller Aktionen im Datenraum nötig, um nachzuvollziehen, wer wann was angesehen, bearbeitet, heruntergeladen oder gelöscht hat?
- Liegt allen Nutzern eine Nutzungsvereinbarung für den virtuellen Datenraum vor, der jeder Partner ausdrücklich zugestimmt hat?
Neben Antworten auf diese und weitere spezifische Fragen empfiehlt es sich, einen Raumassistenten zu bestimmen. Dieser verfügt über alle nötigen Rechte, um einen Datenraum anzulegen und einzurichten. Er kann Mitglieder einladen, selbst aber keine Daten einsehen. Zudem braucht es vor dem Start der digitalen Zusammenarbeit im virtuellen Datenraum ein Löschkonzept für alle geteilten und verarbeiteten Daten. Hier spielen auch datenschutzrechtliche Vorgaben, etwa zum Umgang mit personenbezogenen Daten, Finanz- und Gesundheitsinformationen, eine Rolle.
4. Austausch von Dateien und Zusammenarbeit beginnen.
Nun kann damit begonnen werden, Daten und Dokumente (zum Beispiel PDF-Dateien, Bilder, Sprachnachrichten und Notizen) in den Datenraum hochzuladen. Dazu sind logische Ordnerstrukturen empfehlenswert, die eine bequeme Navigation innerhalb des Datenraums ermöglichen. Zudem sollte festgelegt sein, inwieweit sich der Datenaustausch und die digitale Zusammenarbeit extern von intern unterscheiden. Hier können entsprechend vorab definierte Rechte- und Rollenkonzepte helfen. Ist alles vorbereitet, lassen sich Mitglieder in den Datenraum einladen und mit jeweils benötigten Rollen und Rechten versehen. So ist gewährleistet, dass jede Person die benötigten Dateien einsehen, bearbeiten und herunterladen kann – nicht mehr und nicht weniger. Wasserzeichen für PDF-Dateien, eingeschränkter Lesezugriff (View-Only) oder digitale Sitzungsmappen sind für den Datenaustausch ebenso relevant wie Abstimmungs- und Chatfunktionen für die produktive Zusammenarbeit im virtuellen Raum.
5. Die Verwendung des virtuellen Datenraums für alle optimieren.
Im Live-Betrieb sollten Administratoren regelmäßig überprüfen, ob allen Mitgliedern die nötigen Rollen und Rechte zugewiesen wurden, und diese auch aktuell sind. Verlässt ein Mitarbeiter das Unternehmen oder kündigt ein Kunde die Zusammenarbeit, müssen seine Zugriffsmöglichkeiten sofort angepasst werden. Auch Dateien und Dokumente im virtuellen Datenraum sind auf Aktualität und Verfügbarkeit zu prüfen. Regelmäßige Backups der Unterlagen im Datenraum sind unverzichtbar. Damit alle Nutzer gern vom virtuellen Datenraum Gebrauch machen, empfiehlt es sich, Einsteigern Tipps zu geben sowie vorhandene Arbeitshilfen im Team und mit Externen zu teilen.
Ein virtueller Datenraum schafft die ideale Grundlage, um Dateien nicht nur beim Austausch, sondern auch während der Bearbeitung unter Einhaltung rechtlicher Vorgaben und höchster Sicherheitsansprüche bestmöglich zu schützen. Herkömmliche File-Sharing-Dienste, die zwar eine verschlüsselte Übertragung, aber keine Bearbeitung von Daten zulassen, kommen schnell an ihre Grenzen. Ein virtueller Datenraum hingegen ist schnell einsatzbereit und lässt sich jederzeit anpassen. So ist die reibungslose und gleichzeitig sichere digitale Zusammenarbeit gewährleistet. jf
Der Autor
Andreas Dirscherl ist Product Owner bei der TÜV-Süd-Tochter uniscon, einem Münchner Anbieter von hochsicheren Cloud-Collaboration-Lösungen.
