Test der Secudos Qiata 3.11.0 Sicherer Datentransfer am digitalen Arbeitsplatz

Anbieter zum Thema

Viele Daten werden in und zwischen Unternehmen nach wie vor per E-Mail oder „altmodisch“ via FTP verschickt. Sie gelangen mittels Cloud-Anwendungen aus der Kategorie „Schatten-IT“ von einem Empfänger zum nächsten oder landen auf irgendeinem Server im Internet. Ohne diese „Daten in Bewegung“ gibt es keine Zusammenarbeit – Lösungen wie die Qiata-Appliance können die Zusammenarbeit sicherer machen.

In der aktuellen Version 3.11.0 der Secudos Qiata Appliance wurde die Messlatte für Sicherheit und digitale Souveränität noch einmal höher gelegt.
In der aktuellen Version 3.11.0 der Secudos Qiata Appliance wurde die Messlatte für Sicherheit und digitale Souveränität noch einmal höher gelegt.
(Bild: cutimage - stock.adobe.com)

Dass die Daten, mit denen wir alle täglich arbeiten, wirklich „beweglich“ sind, wird nach kurzer Überlegung auch derjenige bestätigen, der sich bisher noch nicht besonders mit dem fast allgegenwärtige Schlagwort von der Digitalisierung beschäftigt hat oder des Hypes um diesen Begriff schon überdrüssig geworden ist. E-Mail wird in fast allen Unternehmen eingesetzt – ganz gleich, ob sie aus dem Enterprise-Umfeld kommen oder sich eher dem Mittelstand zurechnen. Selbst Ämter und Behörden, die in Deutschland fast schon eine notorische Vorliebe für die Faxgeräte und deren Datenübertragung pflegen, sind nach und nach gewillt, auf modernere Kommunikation wie E-Mail zu setzen. Da scheint es dann doch leicht, auch „schnell mal“ Daten wie ganze Verträge, Bilddateien, Videos oder auch personenbezogene Daten mit Hilfe der E-Mail zu verschicken. Wurde diese Art des Datentransfers in früherer Zeiten häufig bereits durch die sehr strikten Größenbegrenzungen für Anhänge an E-Mail-Nachrichten verhindert, so können heute Nutzer heute auch Dateien in der Größe von mehreren Gigabyte per Mail verschicken.

Für die Administratoren und Datenschutzbeauftragten ist diese „allgemeine Datenbewegung“ ein Alptraum. Schon vor der Covid-Pandemie hatten sie zudem mit zunehmenden Verbreitung der sogenannten Schatten-IT zu kämpfen, bei die Nutzer über Cloud-Lösungen wie Dropbox auch aus dem Home-Office munter und unkontrolliert Daten auf die Reise schickten. Für die IT-Profis sind technische Lösungen immer dann gut, wenn sie alle Faktoren und Einstellmöglichkeiten selbst in der Hand haben. Sie bevorzugen zumeist – bei aller Sympathie für die modernen Cloud-Lösungen – Software, die sich im eigenen Rechenzentrum betreiben können. Das gilt ganz besonders dann, wenn das eigene Unternehmen verstärkt auf den Datenschutz der versendeten Informationen und Dateien achten will und muss. Hinzu kommt der Anspruch, dass sich eine entsprechende Lösung zur sicheren „Datenbewegung“ auch möglichst einfach in die bestehenden Abläufe und Prozesse des Unternehmens einfügen sollte. Nur so kann es dann auch gelingen, die Mitarbeiter vom Einsatz der verschiedensten Schatten-IT-Programme abzubringen und zum alleinigen Einsatz der sicheren Unternehmenslösung zu bewegen.

Bildergalerie
Bildergalerie mit 9 Bildern

Die neue Version 3.11.0 der Qiata: Noch mehr Datenschutz und Sicherheit für alle

Wer Dateien über das Netz bewegen will oder muss, kann dazu aus vielen unterschiedlichen Möglichkeiten und Lösungen auswählen. Dabei gibt sehr komplizierte Ansätze, die dann zumeist einen hohen Sicherheitsstandard versprechen und einfache, oftmals auch kostenlose Web-basierende Ansätze, die von den IT-Profis als „Schatten-IT“ bezeichnet und in der Regel nicht den Firmenrichtlinien für die Sicherheit und den Datenschutz entspreche. Sie sollten also nach Möglichkeit aus dem Firmennetzwerk verbannt werden. Mit der als multifunktionale Edge-Applikation bezeichneten Lösung Qiata adressiert das auf die Bereiche IT-Sicherheit und Compliance spezialisierte Unternehmen Secudos aus Kamen in Nordrhein-Westfalen genau diese Probleme.

Mit der Qiata-Lösung stellt die Firma ihren Kunden eine Plattform bereit, die es ermöglicht, mit der Dateien und auch ganze Ordnerstrukturen sicher und verschlüsselt zu verschicken. Ein großer Vorteil besteht darin, dass jede der Verbindungen zu der dedizierten Appliance automatisch verschlüsselt wird. Das gilt auch für Empfänger außerhalb des eigenen Unternehmens: Sie können die mit Qiata versendeten Nachrichten und Daten ohne Probleme empfangen und auch direkt darauf antworten, ohne dass sie dazu spezielle Hard- und Software benötigen.

Auch die aktuelle Version 3 von Qiata setzt auf das von Secudos selbst entwickelte Betriebssystem DOMOS auf. Zum aktuellen Testzeitpunkt im Mai 2022 kommt hier noch die Version 5.11 des auf CentOS basierenden Linux-Betriebssystems zum Einsatz. Die Entwickler bei Secudos arbeiten jedoch intensiv an einer neuen Version 6 ihres DOMOS-Betriebssystems. Das neue Release soll dann im Sommer oder Herbst 2022 auf den Qiata-Systemen zum Einsatz kommen. Secudos hat auch die Version 6 seines Betriebssystems mit der eigenen Systembedienung (DOMOS-UI) ausgestattet, so dass eine leichte Installation und einfache Erstinbetriebnahme ermöglicht ist. Auch die eigenen Backup/Restore-Möglichkeiten für die DOMOS-Konfiguration sowie für die Applikationsdaten steht in der Version 6 ebenfalls zur Verfügung. Dieses Betriebssystem kommt sowohl in der Software-Appliance, die unter VMware, Hyper-V oder auch KVM betrieben werden kann, als auch bei der Hardware-Appliance und der Cloud-Appliance zum Einsatz.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Arbeiten mit dem Authenticator – besser als SMS oder TAN

Neben der Sicherheit an der Basis der Plattform im Betriebssystem ist selbstverständlich für eine Transferlösung jeder Art sehr wichtig, dass sich die Nutzer sicher und möglichst einfach anmelden und arbeiten können. Die Zwei-Faktor-Authentifizierung dürfte in der Zwischenzeit den meisten Nutzern bekannt sein – auch wenn es nach wie vor von vielen Anwendern als lästig empfunden wird, dass Sie sich „noch einmal“ anmelden müssen, um auf ihre Daten zuzugreifen. Allerdings dürfte sich in der Zwischenzeit bei vielen Anwender die Einsicht durchgesetzt haben, dass eine Anmeldung, bei der die Eingabe eines zweiten Authentifizierungsmerkmals notwendig ist, die Sicherheit um ein entscheidendes Maß erhöht.

Mit der aktuellen Version 3 von Qiata bieten die Entwickler von Secudos den Nutzern die Möglichkeit, eine Zwei-Faktor-Authentifizierung und zusätzlich auch Einmalpasswörter für ihr Qiata-Konto einzurichten und zu nutzen. Der gesamte Login-Mechanismus setzt mit Open ID Connect auf einen der höchsten Sicherheitsstandards für die Authentifizierung auf. Als einen weiteren Schritt in Richtung mehr Sicherheit stellt das Unternehmen mit diesem Release nun auch das zusätzliche OIDC (Open ID Connect) Modul bereit. Die Administratoren können damit einfach und sicher Ihren ADFS (Active Directory Federation Services) Server oder Ihr AzureAD (Azure Active Directory) an Qiata anbinden. Das stellt eine deutliche Erleichterung für die Anwender dar: Sie können sich dann mit Ihren bekannten Login-Daten direkt an Qiata anmelden. Eine zusätzliche Registration der einzelnen Nutzerkonten ist dabei nicht notwendig. Das System bietet eine automatische Zuweisung einer Gruppe an, so dass die jeweiligen Nutzer auch nur die gewünschten Berechtigungen und Zugriffe erhalten. Die Entwickler betonen dabei, dass Qiata in diesen Fällen dann grundsätzlich nicht mehr in die Authentifizierung involviert ist – diese wird dann beispielsweise komplett über AzureAD abgewickelt. Sehr gut hat es uns dabei gefallen, dass dabei nicht automatisch jeder Nutzer des Unternehmens auch automatisch seine Azure-ID nutzen muss, um mit Qiata zu arbeiten.

Dabei bleibt es ganz im Sinne der guten Verwaltbarkeit den Administratoren und Systembetreuern überlassen, ob sie ihren Nutzern die Wahl lassen oder ihnen die Nutzung dieser zusätzlichen Sicherheitsmaßnahme zwingend vorschreiben. Es ist dabei sicher auch sinnvoll, dass das Unternehmen auf den Einsatz von SMS-Nachrichten für die Zwei-Faktor-Authentifizierung verzichtet und bei den sogenannten Time-based One-Time-Passwords (TOTP) auf entsprechende Authenticator-Apps wie beispielsweise “Microsoft Authenticator”, “Google Authenticator” oder auch Password Apps wie “Enpass”, “KeyPass” oder “1Password” setzt.

Bildergalerie
Bildergalerie mit 9 Bildern

Administration: Neue Features für mehr Sicherheit

IT-Mitarbeiter, die bereits mit Qiata arbeiten konnten, wird es sicher erfreuen, dass sich bei der Betreuung und Verwaltung des Systems grundsätzlich nur sehr wenig verändert hat. Den Entwicklern bei Secudos ist es gelungen bei all den sehr umfangreichen Erweiterungen in Bezug auf die Sicherheit, die unter der Haube stattgefunden haben, die Oberfläche für die Administratoren konsistent zu halten. Nach dem Anmelden mit dem Administratorkonto bekommt der Nutzer Browser nach wie vor eine sehr aufgeräumte Oberfläche präsentiert, die funktionell gestaltet ist und komplett ohne „Grafikspielereien“ auskommt. Das hat auch den sehr positiven Nebeneffekt, dass der Administrator völlig frei in der Wahl seines Browsers ist – wir konnten mit allen von uns verwendeten Browser-Typen und -Versionen keinerlei Unterschiede in der Bedienung feststellen.

So muss ein Administrator zunächst einmal etwas suchen, wenn er die neuen Features und Einträge in der Verwaltungskonsole finden möchte. Am auffälligsten ist dort sicher, dass unter „Organisation“ nun ein spezielles neues Untermenü mit der Bezeichnung „Open ID Connect“ zur Verfügung steht. Hier können die Systembetreuer dann eine Anbindung an Azure AD oder an die Active Directory Federation Services (ADFS) einrichten und konfigurieren. Sie finden in dem Menü auch die Möglichkeit, bereits in Qiata vorhandene Nutzerkonten in AzureAD oder ADFS automatisch zu konvertieren.

Etwas genauer hinschauen muss der Administrator schon, um im Abschnitt Eigenschaften seines Menüs den neuen Eintrag „Maximale Authentifizierungszeit“ zu finden. Hier können die IT-Fachleute einstellen, welche Zeit maximal verstreichen darf, bevor sich ein Nutzer bei Inaktivität neu gegenüber den Server authentifizieren muss. Das ist besonders interessant für Unternehmen, die kein AzureAD oder ADFS nutzen beziehungsweise ihre Qiata nicht damit verbinden wollen. Sie können hier auch ein Single-Sign-On realisieren, wobei die Begrenzung der Authentifizierungs-Zeit dann sehr sinnvoll ist. Allerdings haben wir es als unpraktisch empfunden, dass die Zeit in Sekunden angegeben ist und manuelle Umrechnung erfordert. Es sollte doch ein großes Problem sein, hier auch eine Darstellung in Minuten, Stunden und Tage zu realisieren.

In den Gruppeneigenschaften können die Systemverwalter nun sehr genau festlegen, wie die Nutzer sich anmelden sollen. So können sie dort unter „Erweiterte Optionen“ konfigurieren, ob ein Anwender beispielsweise selbst darüber entscheidet, ob er ein Einmal-Passwort verwendet oder ob er es immer verwenden muss. Wie schon in der vorherigen Version von Qiata können die Systembetreuer aber nach wie vor über die generelle Verwendung von Kennwörtern, die wohl kaum ein Administrator heute noch abschalten würde, oder den Einsatz eines PIN-Codes entscheiden. Auch diese Einstellungen lassen sich generell für eine ganze Nutzergruppe oder einzelne Mitarbeiter festlegen. Eine Einstellung auf den Wert „Ja“ zwingt den Nutzer in allen drei Kategorien dazu, dass er immer und ohne Ausnahme diese Authentifizierungsmöglichkeit nutzen muss. Wählen die Administratoren hier die Einstellung „“Einstellung pro Nutzer“ kann jeder Benutzer selbst entscheiden.

Die Entwickler bei Secudos weisen in diesem Zusammenhang ganz besonders darauf hin, dass es nicht notwendig ist, eine zusätzliche Lösung oder einen anderen Dienst zu nutzen, um den Einsatz der Zwei-Faktor-Authentifizierung mit Qiata zu ermöglichen. Diese Funktionalität ist als fester Bestandteil in Qiata eingebaut und kann so direkt eingesetzt werden. Die Nutzer brauchen allerdings auf jedem Fall eine Authentifizierungs-App auf ihrem Smartphone (siehe oben). Wir haben während der Testphase sowohl den Microsoft Authenticator als auch das Programm von Google ausprobiert und konnten keinerlei Probleme beim Einsatz feststellen. Das Auslesen des QCR-Codes, den uns die hier zum Test eingesetzte Cloud-Appliance präsentierte, funktionierte reibungslos.

Bildergalerie
Bildergalerie mit 9 Bildern

Einfach und schnell: Outlook-Plugin oder Desktop-Client

Erfahrene IT-Mitarbeiter wissen, wie wichtig es ist, den Mitarbeitern einfach zu nutzende Lösungen anzubieten, will man sie von ihren „geliebten“ und gewohnten Anwendungen aus dem Umfeld der Schatten-IT wegbringen. Secudos bietet den Anwender neben dem „traditionellen“ Zugang über eine Browser-Schnittstelle, wie sie es von vielen anderen Lösungen her kennen, auch die Möglichkeit an, einen Desktop-Client für Windows 11 als auch für Windows 10 und macOS zu nutzen. Ebenfalls gibt es ein Plugin für Microsofts Mail-Client Outlook von der Webseite herunterzuladen und an die eigenen Nutzer zu verteilen. Für das Unternehmensnetzwerk besonders interessant: Diese Software kann auch problemlos mit Hilfe von Active Directory an die Endnutzer verteilt und auf deren Systemen installiert werden.

Secudos hat bereits mit den vorherigen Version von Qiata ein Outlook-Plugin angeboten und stellt aktuell mit der Version 3.8.0.0 auch eine neue, aktualisierte Version dieser Software zur Verfügung. Sie kann nach einer Anmeldung als ausführbare exe- oder MSI-Datei direkt von der Web-Seite des Anbieters heruntergeladen werden. Das klappte auf unseren Testsystemen problemlos. Secudos betont dabei, dass dieses Plugin mit neuen Login-Mechanismen und Sicherheitsstandards ausgerüstet wurde. Die Entwickler von Secudos haben nach eigenen Aussagen den kompletten Login-Mechanismus ausgetauscht: Dieser setzt nun auf den neuen OpenID Connect Standard auf. Die Qiata-Software greift in der neuen Version auch auf eine „Einmal-Passwort“-Konfiguration zu. Das bedeutet unter anderem, dass Nutzer, die bereits Ihr Konto mit einer Authentication-App verbunden haben, sich dann automatisch auch im Outlook Plugin auf diese sichere Weise anmelden müssen.

Leider kommt die Software, wie schon bei der Vorgängerversion dieses Plugin-Ins, auch in der aktuellen Version nach wie vor nicht mit der Darstellung auf dem UHD-Bildschirm unseres Testsystems (Auflösung von 3840 x 2160 Pixel) zurecht. Werden die Elemente, die von der Software in das Menüband von Outlook eingeblendet werden, noch im aktuellen Größenverhältnis gezeigt, tun sich auf jeden Fall ältere Menschen spätestens bei der Auswahl der Einstellungen (dazu gehört auch die Eingabe des Passworts für die Qiata-Appliance) ziemlich schwer, da die Schrift in diesem Fenster nur sehr klein auf dem Bildschirm erscheint. Allerdings arbeitet Secudos aktuell an der Version 4.0 die eine komplett neue Bedienoberfläche für die Anwender bietet. Wir sind schon gespannt.

Bei der Funktionalität des Outlook-Plugins gab es allerdings während unserer Testphase nichts zu bemängeln. Auch insgesamt drei Updates, die Microsoft während dieses Zeitraums für die von uns eingesetzten Microsoft 365-Versionen von Outlook einspielte, verursachten keine Probleme. Das Plugin arbeitete problemlos weiter, ohne dass wir – wie es bei anderen Outlook COM-Add-Ins immer wieder der Fall war – dieses nach dem Outlook-Update neu installieren mussten.

Der Desktop-Client (SDC – Secure Desktop Client) verwendet in der aktuellen Version 1.6.0 ebenfalls ausschließlich eine Verbindungstechnik, die auf OpenID Connect basiert, so dass auch mit dieser Anwendung die gleichen Sicherheitsmaßstäbe gelten. In Diskussionen taucht immer wieder die Frage auf, wie sinnvoll es überhaupt ist, eine solche spezielle Desktop-Anwendung anzubieten, wenn doch die Nutzer problemlos über ihren Browser auf die Software zugreifen können. Hat die IT-Abteilung allerdings den berechtigten Verdacht, dass ihre Nutzer es an der notwendigen Sorgfalt bei der Absicherung ihrer Browser gerade auf ihren Notebook-Systemen missen lassen, kann es eine Möglichkeit sein, stattdessen die Verwendung einer sicheren Desktop-Apps anzuregen oder gar zwingend von den Nutzern auf diesen Endgeräten zu verlangen. Schade ist es dabei, dass keine entsprechende Desktop-App für die Linux-Systeme bereitsteht und Apps für Android und iOS stehen leider auch noch nicht bereit. Gerade auf den kleinen Smartphone-Bildschirmen (auch wenn sie in der Regel bereits 6 Zoll überschreiten) erweist sich das Arbeiten mit Qiata im Browser doch als recht mühselig. Auch hier wollen die Entwickler mit der Version 4.0 punkten.

Fazit: Digitalisierung und bewegte Daten – das funktioniert

Ohne Zweifel wird es für Verantwortliche in den Unternehmen und in den IT-Abteilungen immer deutlicher, dass es bei so schönen „Schlagworten“ wie der Digitalisierung um weitaus mehr als nur um den Einsatz von PDF-Dateien und den Gebrauch von Mail- und Messenger-Anwendungen im Unternehmensalltag geht. Gerade auch im Hinblick auf die DSGVO müssen sie dabei – und diese Einsicht hat sich vielfach leider noch nicht überall durchgesetzt – einen verstärkten Blick auf die „Daten in Bewegung“ werfen. Dabei kann es keine Lösung sein, den Versand von Dokumenten wie Verträgen und Rechnungen sowie anderen Daten wie Zeichnungen und Bilder entweder generell zu untersagen oder auf wenige Mitarbeiter zu beschränken. Auch der Einsatz der verschiedensten Verschlüsselungsmethoden, die von Mitarbeiter jeweils „händisch“ und individuell eingesetzt werden müssen, kann die Problematik nicht lösen. Auf dem Markt stehen eine ganze Reihe verschiedener „einfacher“ Verschlüsselungslösungen – unter anderem auch als freie Software – zur Verfügung . Deren Sicherheit und die damit einhergehende Sicherheit der damit übertragenen Daten, steht zumeist außer Zweifel. Doch wenn es um die Bedienbarkeit sowie wie die Einbindung in bestehende Programme und Workflows geht, wird man hier kaum fündig.

Die Eleganz des Einsatzes einer Edge-Applikation wie Qiata liegt nicht zuletzt darin, dass sie so eingerichtet und betrieben werden kann, dass die Daten auf all ihren Wegen verschlüsselt übertragen und abgelegt werden. Hinzu kommt der unbestreitbare Vorteil für die IT-Profis, dass die Appliance sowohl im eigenen Rechenzentrum als „reale Hardware“ oder als virtuelle Appliance auf den eigenen Servern als auch in qualifizierten externen Rechenzentren als Cloud Appliance betrieben werden kann. So kann ein Unternehmen den Weg wählen, der dem eigenen Sicherheitsanforderungen am besten entspricht.

Mit dem aktuellen Release 3.11.0 haben die Spezialisten von Secudos zudem den Fokus noch stärker und eindeutiger auf die Sicherheit gelegt, als es bisher schon bei ihrer Lösung schon der Fall war. So ist die Einführung der Zwei-Faktor-Authentifizierung bereits ein großer Schritt in Richtung größerer Sicherheit. Uns hat es dabei besonders gut gefallen, dass es zudem für Administratoren und Nutzer möglich geworden ist, die Qiata-Konten zusätzlich mit einem Einmalpasswort (One-Time-Password – OTP) abzusichern.

Im Zusammenhang mit dem nun ebenfalls zur Verfügung stehenden Modul für Open ID Connect (OIDC) stehen für die Administratoren in den Unternehmen damit sichere und leicht umsetzbare Möglichkeiten bereit, eine Qiata-Appliance mit ihrem Verzeichnisdienst Azure Active Directory (AzureAD) oder den Active Directory Federation Services (ADFS) zu verbinden. In diesem Zusammenhang haben wir es als besonders hilfreich (nicht nur) für diese Anwendergruppe empfunden, dass das Unternehmen Secudos jetzt in ihrer neugestalteten Online-Dokumentation auch eine ausführliche Anleitung in deutscher Sprache für diese Art von Anbindung an die Microsoft-Dienste bereitstellt. Rundum ein Paket, dass ein hohes Maß an Sicherheit für die Daten bei der Übertragung und generell in Bewegung erreicht, sondern dies auch mit guter Bedienbarkeit und Integration in bestehende IT-Infrastrukturen vereint.

(ID:48491127)