ShareFile-Sicherheitsinformationen
ShareFile speichert Ihre Dateien in sicheren, SSAE 16-geprüften Rechenzentren. Unsere privat verwaltete Serverfarm ist mit den neuesten Firewalls und Internet-Sicherheitsupdates ausgestattet, um die vollständige Sicherheit Ihrer Daten zu gewährleisten. Darüber hinaus schützen physische Sicherheitsmaßnahmen von Fingerabdruckscannern bis hin zu ballistischen Außenwänden vor Diebstahl und Naturkatastrophen.
Verschlüsselung
Verschlüsselung ist eine Methode zum Umwandeln von Daten während der Übertragung oder Speicherung, sodass für den Zugriff eine Berechtigung erforderlich ist. Die Daten werden mithilfe eines Algorithmus transformiert, der einen Entschlüsselungsschlüssel generiert, der zum Öffnen der Daten verwendet werden muss. Beim Übertragen vertraulicher Dateien ist die Verwendung einer Verschlüsselung wichtig, um sicherzustellen, dass die in den Dateien enthaltenen Daten nicht von außen gelesen werden können. Alle Dateiübertragungen über den ShareFile-Dienst werden mit 256-Bit-SSL (Secure Sockets Layer) verschlüsselt. Dies ist die gleiche Sicherheit, die von Banken und vielen E-Commerce-Sites wie Amazon.com verwendet wird. SSL funktioniert, indem eine private Verbindung hergestellt wird und jedes Ende der Verbindung authentifiziert wird, bevor die Übertragung beginnt.
Zwischen diesen Endpunkten übertragene Daten können vom vorgesehenen Empfänger nur mithilfe eindeutiger Entschlüsselungsschlüssel entschlüsselt werden. Auf ShareFile-Server hochgeladene Dateien werden mit 256-Bit-AES-Verschlüsselung gespeichert. Jede in unserem System gespeicherte Datei verfügt über einen einzigartigen Verschlüsselungsschlüssel. Wenn eine Datei hochgeladen wird, wird sie verschlüsselt, bevor sie an ihren permanenten Speicherort kopiert wird. Heruntergeladene Dateien werden entschlüsselt, bevor ihr Inhalt an Ihren Browser gesendet wird. Die Dateiverschlüsselungsschlüssel werden nicht auf demselben Server wie die Dateien selbst gespeichert. Dadurch wird sichergestellt, dass jemand mit physischem Zugriff auf unsere Speicherserver keinen Zugriff auf die auf seinen Festplatten gespeicherten Dateien hat.
Sichere Uploads und Downloads
Das Hoch- und Herunterladen von Dateien zwischen dem Endbenutzer und der Speicherebene erfolgt direkt über ein mit Secure Socket Layer (SSL) oder Transport Layer Security (TLS) verschlüsseltes Segment unter Verwendung einer hochgradigen Verschlüsselung. ShareFile unterstützt TLS 1.2. Dabei handelt es sich um dieselben Verschlüsselungsprotokolle und -algorithmen, die auch bei E-Commerce-Diensten und beim Online-Banking zum Einsatz kommen.
Bei den Tarifen „Standard“, „Advanced“, „Premium“ und „VDR“ werden Dateien im Ruhezustand mit dem Advanced Encryption Standard (AES) mit einem 256-Bit-Schlüssel gespeichert. Alle hochgeladenen Dateien, die nicht vor dem Hochladen über das Internet verschlüsselt wurden, sondern vom Endbenutzer verschlüsselt wurden, werden auf bekannte Schadsoftware wie Viren, Trojaner und Würmer geprüft. Dateien, die eine bekannte Malware-Signatur aufweisen, werden mit einem roten X gekennzeichnet und Endbenutzer werden anschließend gewarnt und aufgefordert, eine verdächtige Datei herunterzuladen. Administratoren können den technischen Support um die Aktivierung zusätzlicher Kontoeinstellungen bitten, die Endbenutzer am Herunterladen verdächtiger Dateien hindern. Darüber hinaus können sie Einstellungen festlegen, die den Download einer Datei verhindern, bis diese gescannt wurde. Beachten Sie jedoch, dass diese strengeren Optionen die allgemeine Nutzbarkeit des ShareFile-Dienstes beeinträchtigen können.
Sicherer Benutzerzugriff
Jeder Benutzer eines Kontos erhält für die Anmeldung einen individuellen Benutzernamen und ein Passwort. Passwörter werden gehasht, sodass nicht einmal ShareFile-Mitarbeiter auf diese Informationen zugreifen können. Wenn ein Benutzer fünfmal hintereinander ein falsches Passwort eingibt, sperrt das System das Benutzerkonto für fünf Minuten, bevor er sich erneut anmelden kann. Benutzer von ShareFile-Konten sehen nur Ordner, für die ihnen Berechtigungen erteilt wurden und die in der Ordnerzugriffsliste aufgeführt sind. Ordner, für die ihnen keine Berechtigungen erteilt wurden, sind für sie in der Ordneransicht und in allen Berichten, auf die sie zugreifen können, unsichtbar. Standardmäßig haben Client-Benutzer keinen Zugriff auf Informationen über andere Benutzer des Kontos. Alle Aktivitäten in einem Konto werden protokolliert und sind für Mitarbeiterbenutzer verfügbar, die Zugriff auf den Bereich „Berichte“ haben. Berichte können Aktivitäten (wie Anmeldungen, Downloads, Löschungen usw.), Speicherinhalte und Benutzerzugriffsprüfungen umfassen. Die Richtlinie zum Speichern von Daten, die älter als 90 Tage sind, für Corporate- und Corporate Gold-Konten wurde im Herbst 2009 eingeführt. Aktivitäten vor dieser Zeit sind möglicherweise nicht verfügbar.
ShareFile-Authentifizierung Wenn Sie sich bei der ShareFile-Webanwendung anmelden, geben Sie auf der Zielseite Ihres Kontos Ihre E-Mail-Adresse und Ihr Passwort ein. Nach einer gewissen Zeit läuft Ihre Sitzung ab und Sie werden aufgefordert, sich erneut anzumelden. ShareFile Enterprise-Kunden können sich für die Integration mit Active Directory entscheiden und diesen Anmeldevorgang umleiten. Apps, die mit der ShareFile-API erstellt wurden (ShareFile-Desktop-Apps, ShareFile-Mobil-Apps und Apps von Drittanbietern), dürfen die Anmeldeinformationen des Benutzers nicht erfassen oder speichern und benötigen normalerweise nur eingeschränkten Zugriff. Daher nutzt die ShareFile-API ein Industriestandardprotokoll namens oAuth 2.0.
Laut der oAuth-Community-Site ist oAuth „ein offenes Protokoll, das eine einfache und standardisierte sichere Autorisierung über Web-, Mobil- und Desktop-Apps ermöglicht.“ Weitere Informationen zu oAuth finden Sie auf der Community-Site und in der IETF-Spezifikation. ShareFile speichert anstelle Ihrer Anmeldeinformationen ein OAuth-Token und verwendet dann dieses Token, um anstelle Ihrer Anmeldeinformationen auf die ShareFile-API zuzugreifen. Dadurch kann ein Tool wie ShareFile Sync im Hintergrund ausgeführt werden und alle Ihre Dateien problemlos synchronisieren, ohne dass Sie bei jeder Änderung nach einem Kennwort gefragt werden. Dieser Token hat nur eingeschränkten Zugriff auf ShareFile und stellt daher ein geringeres Sicherheitsrisiko dar als die Speicherung Ihrer Anmeldeinformationen. Die Authentifizierung mit OAuth-Tokens funktioniert so, dass ShareFile Sie zunächst über ein sicheres Webformular, das dem bei der Anmeldung bei der Webanwendung verwendeten Formular ähnelt, zur Eingabe Ihrer E-Mail-Adresse und Ihres Kennworts auffordert.
Wenn Sie die AD-Integration verwenden, leiten wir Sie für die erste Authentifizierung zum konfigurierten IdP weiter. Nach Ihrer erfolgreichen Authentifizierung stellt das sichere Webformular der Anwendung ein OAuth-Token zur Verfügung, das sicher in der Anwendung gespeichert wird. Alle nachfolgenden Zugriffe erfolgen mit diesem Token. Sie werden nicht erneut nach Ihren Anmeldeinformationen gefragt, bis das Token abläuft. Das Ablaufdatum dieses Tokens kann von ShareFile-Administratoren in den erweiterten Einstellungen festgelegt werden. Wenn Sie den Zugriff auf das Gerät verlieren, auf dem die ShareFile-Anwendung installiert wurde, können Sie das oAuth-Token in der ShareFile-Webanwendung unter „Meine Einstellungen“ manuell ablaufen lassen. Administratoren können ein OAuth-Token im Namen eines Benutzers auch auf der Profilseite dieses Benutzers unter „Benutzer verwalten“ ablaufen lassen. Wenn Sie einen Benutzer deaktivieren, verfallen auch alle Token für diesen Benutzer. Da diese Token als Ersatz für Ihr Kennwort dienen, sind sie nicht an die Kennwortablaufrichtlinie gebunden (weder innerhalb von ShareFile noch an das Ablaufen eines AD-Kennworts). Sie müssen sich nicht erneut mit einem Tool authentifizieren, wenn Sie Ihr Passwort ändern, sondern nur, wenn das OAuth-Token abläuft.
Server und Speicher
ShareFile-Konten werden auf Servern gespeichert, die von Amazon Web Services an mehreren Standorten auf der ganzen Welt verwaltet werden. Die Daten eines Kontos werden grundsätzlich am Serverstandort gespeichert, der dem Administrator geografisch am nächsten ist. Alle Rechenzentren mit ShareFile-Servern sind SSAE 16-zertifiziert, was beweist, dass sie hohe Sicherheitsstandards erfüllen. Der physische Zugang wird streng kontrolliert und für den Zugang zu Bereichen, in denen Daten gespeichert sind, ist eine doppelte Überprüfung erforderlich. Unsere Server sind durch eine Firewall geschützt und werden regelmäßig aktualisiert, um sicherzustellen, dass alle aktuellen Sicherheitspatches und -updates vorhanden sind.
ShareFile hat Betriebsverfahren eingerichtet, um die Verfügbarkeit des Systems und der Benutzerdaten angemessen und in Absprache mit den Benutzern aufrechtzuerhalten. ShareFile-Verfahren berücksichtigen den Bedarf an Systemkapazität, physische und umweltbedingte Bedrohungen der Systemressourcen sowie die zur Aufrechterhaltung der Servicelevel erforderlichen Wiederherstellungszeitpläne. Server in der Steuerebene sind für hohe Verfügbarkeit konfiguriert. Bei Datenbanken erfolgt ein automatisches Failover auf einen sekundären Knoten vor Ort und die Daten werden zusätzlich an einem geografisch getrennten Notfallwiederherstellungsstandort repliziert. Replikationsverzögerungen werden überwacht und behoben, um die Wiederherstellungspunktziele zu erreichen. Bei von ShareFile verwalteten StorageZones wird die Speicherinfrastruktur bei AWS und Microsoft Azure gehostet und die Verfügbarkeit in Echtzeit von der Netzwerkbetriebsgruppe überwacht. Kunden, die ihre eigenen StorageZones verwalten, sind für die Verfügbarkeit, Kapazitätsplanung und Notfallwiederherstellung der hochgeladenen Daten in diesen StorageZones verantwortlich.
ShareFile ist zertifiziert und unterstützt die folgenden Datenkontrollstandards:
- SOC2
- Zertifizierung nach ISO 27001
- ISO 27701
- HIPAA
- PCI DSSv3.2.1
ShareFile-Unternehmensrichtlinien
Alle ShareFile-Mitarbeiter werden einer umfassenden Hintergrundüberprüfung unterzogen und unterzeichnen unser Handbuch, bevor sie ihr Arbeitsverhältnis mit dem Unternehmen aufnehmen. Das Handbuch enthält eine Vereinbarung zum Schutz der Privatsphäre und Sicherheit der Kontoinformationen. Auf Kontoinformationen und Supportfunktionen kann nur über die IP-Adresse der physischen Bürostandorte von ShareFile zugegriffen werden. Die Unternehmensrichtlinien untersagen Mitarbeitern den Zugriff auf Konten oder Kundendaten, es sei denn, sie haben von einem Kontoadministrator zu Supportzwecken ausdrücklich die Erlaubnis dazu erhalten. Alle Anmeldungen oder Aktivitäten des ShareFile-Supports werden in den Kontoaktivitätsberichten protokolliert und stehen den Kontoadministratoren zur Überprüfung zur Verfügung.
ShareFile-Cloud-Speicherserver Um Daten von einem ShareFile-Konto hoch- oder herunterzuladen, müssen Sie auf Daten zugreifen, die im ShareFile-Cloud-Speicher gespeichert sind. Wenn beim Herstellen einer Verbindung mit ShareFile eine Fehlermeldung auftritt, wenden Sie sich bitte an den technischen Support Ihres Unternehmens.
Von ShareFile verwendete Netzwerkverbindungen ShareFile trennt Anwendungsverkehr von Datei-Uploads und -Downloads. ShareFile-Clientanwendungen erfordern Zugriff auf die ShareFile.com SaaS-Anwendung sowie Zugriff auf den Speicherort für ihr Konto. Die SaaS-Anwendung wird von ShareFile gehostet und über eine kundenspezifische URL wie company.sharefile.com oder company.sharefile.eu aufgerufen. Benutzerkontoeinstellungen, Geschäftslogik und Dateimetadaten werden von der SaaS-Anwendung verwaltet. Innerhalb der SaaS-Anwendungsebene werden keine Dateien gespeichert.
Datenspeicherdienste (bekannt als StorageZones) können von ShareFile verwaltet oder von Kunden gehostet und verwaltet werden. Dateien werden sicher in der Datenspeicherebene gespeichert und sind nur für Clients zugänglich, die sich bei der SaaS-Anwendungsebene authentifiziert haben. Die ShareFile SaaS-Anwendung autorisiert Dateivorgänge zwischen authentifizierten Benutzern und dem entsprechenden Datenspeicherdienst.
Benutzer müssen sich authentifizieren, um ShareFile verwenden zu können. Die Authentifizierung kann durch die ShareFile SaaS-Anwendung durchgeführt oder mithilfe von SAML an einen externen Unternehmensidentitätsanbieter weitergeleitet werden. In diesem Artikel gehen wir davon aus, dass SAML zur Unternehmensauthentifizierung verwendet wird. Um Konten zu unterstützen, die von ShareFile verwaltete Speicherzonen verwenden, verwaltet ShareFile eine Vielzahl von Speicherservern, die in der öffentlichen Cloud-Infrastruktur von Amazon oder Azure ausgeführt werden. Die Liste der für von ShareFile verwaltete StorageZones verwendeten öffentlichen Cloud-Server variiert je nach Kontostandort, Skalierbarkeitsanforderungen und anderen Faktoren und kann sich ändern. Nach der erfolgreichen Authentifizierung bei der SaaS-Anwendung kann der Client Dateien von einem der Server hoch- und herunterladen.
Melden einer Sicherheitslücke im Produkt
Wenn Sie glauben, eine potenzielle Sicherheitslücke in Bezug auf ShareFile entdeckt zu haben, senden Sie Ihren Bericht über die Sicherheitslücke per E-Mail an asksecurity@sharefile.com.
Bei Fragen zum Datenschutz Ihrer Daten oder Bedenken hinsichtlich unrechtmäßiger E-Mail-Benachrichtigungen oder Betrugs-/Phishing-Versuchen wenden Sie sich bitte per E-Mail an ShareFile unter privacy@sharefile.com. Um unsere globale Kundensupportabteilung zu erreichen, können Sie Anfragen direkt einreichen, indem Sie unser ShareFile-Hilfecenterbesuchen.