Office in der Cloud sicher und DSGVO-konform

von Jan Ulrich Hasecke – erschienen am 13.05.2019 – Technik, Sicherheit, Datenschutz

Nachdem europäische Datenschützer massiv Kritik an Microsofts Online Office 365 geübt haben, suchen immer mehr Unternehmen und Institutionen nach einer datenschutzkonformen und sicheren Alternative. Open-Source Cloudlösungen wie Nextcloud oder Owncloud, die man selbst hosten kann, haben einen Funktionsumfang, der kaum noch Wünsche offen lässt. In Kombination mit dem Open Source Online Office Paket Collabora entsteht eine praktische Bürolösung für verteilte Teams. Die Mitglieder der Hosting-Genossenschaft Hostsharing können in ihrer Nextcloud ab sofort die Collabora Online Development Edition nutzen. Hostsharing betreibt seit Mai 2019 für seine Mitglieder entsprechende Online Office Server.

US-Clouds in der Kritik

Das iX Magazin berichtete in letzter Zeit mehrmals über eklatante Sicherheitslücken in Office 365, mit dem Microsoft seine Kunden in die Cloud locken will. Zuletzt befasste sich die iX Anfang Mai mit Verstößen gegen fundamentale Sicherheitsrichtlinien und Datenschutzbestimmungen. Sie kam dabei zu dem Fazit, »dass ein sicherer, datenschutzkonformer Betrieb von Office 365 nach europäischem Recht und gemäß DSGVO nicht möglich sei.« Zu einer ähnlichen Einschätzung kam die niederländische Regierung bereits Ende 2018

Natürlich gibt es nicht nur Vorbehalte gegen die Cloud von Microsoft. Ernsthafte Bedenken gibt es auch gegen andere US-Anbieter wie Dropbox oder Google. Da die Kritik an diesen Anbietern immer lauter wurde, entschloss sich das Informationstechnikzentrum Bund (ITZ Bund) 2018, die sogenannte Bundescloud für 300. 000 Mitarbeiter in den Ministerien auf Basis der Open-Source-Software Nextcloud aufzubauen. Die Software wird von der in Stuttgart ansässigen Nextcloud GmbH und einer freien Entwickler-Community entwickelt.

Empfehlungen des BSI für eine sichere Cloud

Die Entscheidung des ITZ Bund ist eine konsequente Umsetzung von Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik BSI, das 2016 den Leitfaden »Sichere Nutzung von Cloud-Diensten herausgebracht hat. Darin weist das BSI auf die Gefährdungslage hin, die sich bei der Nutzung von Cloud-Diensten ergeben kann. Diese besteht unter anderem in der Abhängigkeit von einem einzigen Cloud-Anbieter (Vendor Lock-in), der Nutzung proprietärer Datenformate, die die Integrität der Information gefährden und einen Anbieterwechsel erschweren, sowie der fehlenden Kenntnis über den Speicherort von Informationen.

Außerdem empfiehlt das BSI, einen Anbieter zu wählen, der offenlegt, welche Eingriffsmöglichkeiten staatliche Stellen und andere Dritte auf das Kundenkonto haben. Hier geht es weniger um das Misstrauen gegen den Anbieter selbst als vielmehr gegen den Rechtsraum, in dem er arbeitet. Zur transparenten Offenlegung von staatlichen Zugriffsmöglichkeiten schreibt das BSI unter der Überschrift »Spionage«. »Dies ist bei globalen Clouds, in denen die Daten über alle Kontinente verteilt sind, ein schwieriges Unterfangen. Ggf. sollte daher eher ein Cloud-Anbieter gewählt werden, bei dem an dieser Stelle Klarheit herrscht.«

Unternehmen mit einem ausgeprägten Datenschutz-Bewusstsein wählen deshalb gerne einen Cloudanbieter mit Rechenzentren in Deutschland.

Cloud im eigenen Unternehmen hosten

Das BSI beschreibt in seinem Leitfaden ausführlich das Sicherheitskonzept, das bei der Planung einer Cloudlösung berücksichtigt werden sollte. Zahlreiche Aspekte eines solchen Sicherheitskonzepts lassen sich leicht erfüllen, wenn man seine Cloud im eigenen Unternehmen selbst hostet. Leider hat nicht jeder ein eigenes Rechenzentrum zur Verfügung.

Und hier kommt Hostsharing ins Spiel. Mitglieder der Hosting-Genossenschaft können ihre Cloud quasi im eigenen Unternehmen hosten. Denn als Mitglied der Genossenschaft sind sie auch Miteigentümer des Unternehmens. Diese besondere genossenschaftliche Vertrauensbasis macht aus Hostsharing einen zuverlässigen Partner beim Aufbau einer eigenen Cloud.

Datenschutz wird bei Hostsharing seit der Gründung der Genossenschaft im Jahr 2000 ganz groß geschrieben. So hat Hostsharing Besondere Bedingungen zur Auftragsverarbeitung formuliert und dem Datenschutz in den AGB einen besonderen Stellenwert zugewiesen. Damit sind wesentliche Bedingungen erfüllt, um auf der Plattform von Hostsharing eine DSGVO-konforme Cloudlösung zu betreiben.

Sichere Betriebsplattform

Hostsharing hat jedoch mehr zu bieten als ein hohes Datenschutz-Niveau, einen Serverstandort in Deutschland und eine durch die genossenschaftliche Rechtsform gewährleistete, große Transparenz. Hostsharing verfügt auch über eine sichere Betriebsplattform für unternehmenskritische Anwendungen, wie sie eine Cloudlösung darstellt. In den Rechenzentren von Hostsharing gibt es eine mehrstufige Zutrittskontrolle. Wachschutz und Betriebspersonal ist rund um die Uhr präsent. Alle Daten werden täglich in einem entfernten Rechenzentrum durch ein Backup gesichert. Ein kontinuierliches Monitoring gewährleistet den störungsfreien Betrieb der mehrfach redundant ausgelegten Hosting-Infrastruktur. Und um höchste Verfügbarkeit und Datenintegrität bei Störungen zu gewährleisten, repliziert Hostsharing standardmäßig die Festplatteninhalte aller Produktivsysteme auf ein Hot-Standby-System, das bei einem Ausfall des Produktiv-Servers einspringt (Failover). Damit steht die Cloud-Infrastruktur auch dann noch zur Verfügung, wenn der Produktiv-Server ausfällt.

Nextcloud und Collabora

Die Installation von Nextcloud auf der Betriebsplattform von Hostsharing ist recht einfach. Sie kann problemlos selbst durchgeführt werden. Alternativ können die Mitglieder von Hostsharing ihren Webmaster on Demand beauftragen, die Installation durchzuführen.

Nach der Installation von Nextcloud lädt man im Appstore von Nextcloud das Add-on Collabora Online herunter. Anschließend muss man nur noch beim Hostsharing Service die URL des jeweils gültigen Online Office Servers erfragen und in die Nextcloud-Konfiguration eintragen.

Hostsharing stellt seinen Mitgliedern die Collabora Online Development Edition (CODE) zur Verfügung. Die wichtigsten Leistungsmerkmale von CODE werden auf der Informationsseite zum Online Office Server beschrieben. CODE ist für kleinere Teams gut geeignet. Hostsharing empfiehlt, den Online Office Server in einem Managed Server zu nutzen und die Leistungsfähigkeit der VM den Anforderungen entsprechend anzupassen.

Hostsharing Beratung für performante Systeme

Der Hostsharing-Service steht bei der Planung und Umsetzung einer Cloudlösung jedem Mitglied gerne beratend zur Seite. Wer eine Office Cloud für eine größere Zahl von Benutzern einrichten möchte, sollte ohnehin den Hostsharing-Service ansprechen, damit die Technik angemessen dimensioniert wird. Außerdem sollten immer auch Alternativen berücksichtigt werden. So ist es unter Umständen sinnvoller, eine kostenpflichtige Collabora Version zu installieren, die von der Firma Collabora Ltd. mit einem Supportvertrag vertrieben wird. Außerdem ist zu prüfen, ob Office-Dokumente überhaupt online bearbeitet werden sollen. Oft reicht es, Daten mit Hilfe von Nextcloud oder anderen Cloudlösungen an verschiedenen Standorten zur Verfügung zu stellen, die Dokumente selbst aber weiterhin lokal zu bearbeiten.

Bevor man sich für eine bestimmte Software entscheidet, sollte man immer den genauen Bedarf abklären. Der Hostsharing-Service hilft den Mitgliedern individuell bei der Auswahl und Konfiguration einer passgenauen Lösung.