Wie sichern Sie ihre Verträge? Die Digitalisierung von Rechtsdokumenten ist ohne Zweifel ein großer Vorteil im Sinne der Effizienz, aber viele Fachleute stellen sich die Frage nach ihrer Sicherheit. Ist es wirklich sicher, sensible Dokumente wie die Verträge eines Unternehmens in der Cloud zu speichern? Hier einige Fragen, die Sie sich stellen sollten, um die Sicherheit Ihrer Vertragsdaten in der Cloud zu gewährleisten.
Die Cloud: Was ist das?
Auf viele digitale Dienste kann heutzutage über die sogenannte „Cloud“ zugegriffen werden. Es handelt sich dabei ganz einfach um einen online verfügbaren Dienst, der über eine Internetverbindung zugänglich ist. Die Cloud steht im Gegensatz zu lokalen Softwarelösungen, die die Nutzer auf ihrem eigenen Computer installieren.
Legal Techs sowie eine Reihe von Tools für Unternehmen wie CRM werden häufig in der Cloud gehostet. Diese Funktionsweise wird auch als “Software as a Service” (abgekürzt SaaS) bezeichnet.
Vorteile und Risiken der Cloud
Software in der Cloud ist deshalb so beliebt, weil die Cloud viele Vorteile bietet.
Im Besonderen:
- Es ist keine komplexe Installation erforderlich, da der Dienstanbieter für die gesamte Einrichtung sorgt. Unternehmenskunden müssen in der Regel nur noch ein Konto erstellen.
- Die Cloud ermöglicht den Zugriff auf Daten über jedes Medium und an jedem Ort, was das Arbeiten an entfernten Standorten (Telearbeit, Mitarbeiter an mehreren Standorten) erheblich einfacher macht.
- Der Austausch von Dokumenten und die Zusammenarbeit werden erleichtert: Ein endloser E-Mail-Verkehr, bei dem Elemente verloren gehen können, gehört der Vergangenheit an!
Schließlich sind diese Tools in der Regel sehr einfach zu bedienen und verfügen über intuitive Schnittstellen, die keine großen technischen Fähigkeiten erfordern. Ziel ist es, dass möglichst viele Mitarbeiter sie im Alltag problemlos nutzen können.
Wie jede Technologie ist indes auch die Cloud nicht ohne Risiken. Die häufigste Sorge von Unternehmen betrifft die Sicherheit ihrer Daten: Sind sie gut geschützt, auch wenn sie nicht auf meinem privaten Computer gespeichert sind?
Zunächst einmal muss man wissen, dass an einer Datenbank in der Cloud Einstellungen vorgenommen werden können. Unternehmen sind nicht verpflichtet, allen ihren Mitarbeitern die gleichen Zugriffsrechte zu gewähren. Der Datenschutz hängt also zum Großteil von Ihren Entscheidungen ab! Beachten Sie auch, dass SaaS-Technologien von immer anspruchsvolleren Sicherheitsstandards begleitet sind.
Wie auch immer: Bevor Sie sich für eine Software in der Cloud entscheiden, um Ihre Verträge zu speichern und zu verwalten, sollten Sie sich einige wichtige Fragen stellen.
Fünf Fragen zur Sicherung Ihrer Vertragsdaten in der Cloud
#1 – Ist die Infrastruktur sicher?
Infrastruktur ist die Bezeichnung für das „Skelett“ eines Informationssystems. Dazu gehören der Server, das Netzwerk, die verwendete Software und natürlich die Datenbanken. Datensicherheit beginnt mit der Sicherheit der Infrastruktur Ihrer SaaS-Software.
Sie können Ihren Partner also fragen:
- ob sein Netzwerk über ein Intrusion-Prevention-System verfügt;
- ob er Anti-Flooding-Maßnahmen eingeführt hat, um zu verhindern, dass das Netzwerk „überflutet“ wird;
- ob die Architektur mehrstufig ist, d. h. von mehreren Komponenten ausgeführt wird, um die Daten zu isolieren und das Risiko von Datenlecks zu verringern.
All diese Elemente sind wichtig, um zu bestimmen, wie widerstandsfähig ein Dienst in der Cloud gegen mögliche Angriffe ist. Sie ermöglichen außerdem ein frühzeitiges Erkennen des Risikos von Datenlecks oder Datenverlusten.
#2 – Wie werden Backups erstellt?
Datensicherungen (im Computerjargon „Back-up“) sind ein Schlüsselelement für den Schutz Ihrer Daten. Es geht ganz einfach darum, regelmäßig Kopien Ihrer Vertragsdaten anzufertigen, damit Sie im Falle einer falschen Handhabung, einer Veränderung oder eines Datenverlusts eine Sicherungskopie haben.
Bevor Sie sich an ein Legal Tech binden, sollten Sie daher dessen Richtlinien für die Datensicherung und Datenwiederherstellung kennen. Maßgeblich ist, dass Sie Ihre Daten in ihrem ursprünglichen Zustand wiederherstellen können, bevor sie verloren gehen oder beschädigt werden.
Es wird allgemein empfohlen, zwei Punkte zu überprüfen:
- die RTO (Wiederherstellungszeit nach einem Vorfall auf Datenebene)
- das RPO (Sicherungszyklus oder -häufigkeit)
#3 – Werden die Daten verschlüsselt?
Bei der Verschlüsselung von Daten werden diese anhand eines Schlüssels von einem lesbaren Format in ein verschlüsseltes Format umgewandelt. Diese Verschlüsselung muss durch einen Protokollschutz ergänzt werden, der verhindert, dass böswillige Personen die Daten lesen können, die zwischen Ihren Computern und der SaaS-Software ausgetauscht werden. Bei DiliTrust wird diese Sicherheit zum Beispiel durch das Protokoll TLS 1.2 (Transport Layer Security) gewährleistet.
Die Datenverschlüsselung selbst sorgt hingegen sogar im Fall eines Lecks dafür, dass Ihre Vertragsdaten unleserlich und völlig unbrauchbar werden. Bei DiliTrust ist die Datenverschlüsselung in allen Phasen des Datenflusses vorhanden und wird durch dokumentenspezifische Schlüssel realisiert. Der Dienst für die Verwaltung der Verschlüsselungsschlüssel wird auf einer separaten Infrastruktur gehostet, was zusätzliche Sicherheit bietet.
#4 – Wie verwalte ich die Zugriffsrechte?
Die Sicherheit Ihres Vertragsmanagement-Tools reicht allein nicht aus, um Ihre Daten zu schützen. Ohne eine vollkommen sichere Verwaltung der Zugriffsrechte auf Dokumente bleiben diese gefährdet.
Für einen optimalen Schutz Ihrer Vertragsgrundlage sind die Zugriffsrechte so zu unterteilen, dass kein Mitarbeiter Zugriff auf Dokumente hat, die er nicht benötigt. Es ist besser, zunächst strenge Zugriffsrechte einzuführen und sie dann von Fall zu Fall zu erweitern, falls die Bedürfnisse sich ändern!
Wie die meisten Softwareprodukte in der Cloud ermöglicht DiliTrust eine Feineinstellung der Zugriffsberechtigungen sowohl für Teams als auch für einzelne Benutzer. Diese Rechte können in allen Phasen des Lebenszyklus eines Vertrags, von der Erstellung bis zur Überwachung, angewendet werden.
# 5 – Wie ist mein Softwarepartner organisiert?
Schließlich empfehlen wir auch, sich über Ihren Softwarepartner zu informieren: Wie ist er in seiner täglichen Arbeit organisiert, um die Sicherheit des Werkzeugs zu gewährleisten?
In der Praxis umfasst diese Frage:
- die Häufigkeit der Durchführung von Audits
- das Erlangen von Zertifizierungen
- die betrieblichen Praktiken des Unternehmens
Je regelmäßiger und umfassender ein Hersteller Prüfungen durchführt und je aktueller er in Bezug auf Penetrationstests ist, desto sicherer sind seine Softwarelösungen. Natürlich entbindet dies nicht davon, Ihre eigenen Prüfungen durchzuführen!