In die dDataBox ist ein rollenbasiertes Berechtigungskonzept integriert. Einzelnen Benutzern können Benutzerrollen zugewiesen werden. Damit ist es möglich Teilaufgaben zu delegieren. Zum Beispiel könnte die Aufgabe des Raum-Administrators auf fachlich zuständige Personen oder Gruppen übertragen werden.
¶ dDataBox Benutzer
Beim dDataBox Benutzer handelt es sich um die normale Benutzerrolle in der dDataBox.
Diese Rolle beinhaltet folgende Funktionen:
- Hochladen, Löschen und Freigeben von Dateien (je nach zugeteilten Berechtigungen, s.u.)
- Einen Datenraum oder Ordner bei installierten Windows-Client als Laufwerk im Explorer anzusprechen
- Mit weiteren Clients auf die dDataBox zugreifen (z.B. Outlook Add-In, Android-App, etc.)
Jedem dDataBox Benutzer können pro Datenraum folgende Berechtigungen erteilt werden:
- Lesen: Der Benutzer kann Ordner und Dateien im Datenraum auflisten und Dateien herunterladen (und somit öffnen).
- Erstellen: Der Benutzer kann neue Dateien in den Datenraum hochladen, dort bereits vorhandene Dateien und Ordner kopieren und verschieben sowie neue Ordner anlegen. Zum Ersetzen und Verschieben bereits vorhandener Dateien wird zusätzlich die Löschen-Berechtigung (s.u.) benötigt.
- Bearbeiten: Der Benutzer darf Dateien und Ordner umbenennen sowie deren Eigenschaften bearbeiten (z.B. die Klassifikation).
- Löschen: Der Benutzer darf Dateien und Ordner löschen, verschieben sowie bereits vorhandene Dateien ersetzen.
- Upload-Konten verwalten: Der Benutzer darf Upload-Konten erstellen und löschen.
- Download-Freigabenverwalten: Der Benutzer darf Download-Freigaben erstellen und löschen.
- Papierkorb einsehen: Der Benutzer darf die Inhalte des Papierkorbs inkl. aller vorhandener Dateiversionen auflisten.
- Papierkorb-Inhalte wiederherstellen: Der Benutzer darf gelöschte Inhalte aus dem Papierkorb wiederherstellen.
- Papierkorb leeren: Der Benutzer darf den Papierkorb leeren.
Ein dDataBox Benutzer kann gleichzeitig in verschiedenen Datenräumen sowie verschiedenen untergeordneten Datenräumen die Rolle eines dDataBox Benutzers mit unterschiedlichen Berechtigungen innehaben.
¶ Datenraum Administrator
Beim Raum-Administrator handelt es sich um einen normalen dDataBox Benutzer, der zusätzlich in einem oder mehreren Datenräumen die Rolle eines Administrators für genau diesen Datenraum / diese Datenräume erhalten hat. Der dDataBox Administrator hat grundsätzlich keinen Zugriff auf den Inhalt der Datenräume. Wenn es gewünscht ist und nicht einer Rollentrennung widerspricht, kann er als User oder Raum-Administrator hinzugefügt werden.
Diese Rolle beinhaltet immer folgende Berechtigungen:
- Anlegen von untergeordneten Datenräumen innerhalb des jeweiligen Datenraums
- Umbenennen und Löschen von untergeordneten Datenräumen innerhalb des jeweiligen Datenraums
- Festlegung von etwaigen Speicherplatzbeschränkungen (Quotas) für untergeordnete Datenräume(nur für untergeordnete!)
- Hinzufügen und Entfernen von Benutzern in den bzw. aus dem jeweiligen Datenraum
- Vergabe von Berechtigungen innerhalb des jeweiligen Datenraums
- Ernennung weiterer Datenraum Admins innerhalb des jeweiligen Datenraums
- Überblick über die Benutzer in seinen Datenräumen
- Aktivierung der clientseitigen Verschlüsselung (''Ende-zu-Ende Verschlüsselung'') für den jeweiligen Datenraums.
Voraussetzung: Für die Aktivierung der clientseitigen Verschlüsselung muss der Datenraum noch leer sein.
Ein Raum-Administrator kann gleichzeitig in verschiedenen Datenräumen sowie verschiedenen untergeordneten Datenräumen die Rolle eines Raum-Administrators innehaben und dabei hat er für den jeweiligen Datenraum immer alle Berechtigungen, die einem User zugewiesen werden können.
¶ Systemadministrator (dDataBox Administrator)
Beim dDataBox Administrator handelt es sich um einen normalen dDataBox Benutzer, dem administrative Rollen zur Verwaltung der gesamten dDataBox zugewiesen sind:
Die fünf administrativen Rollen sind:
- Konfigurationsmanager: Festlegung der Systemeinstellungen (allgemeine Aktivierung der ''Ende-zu-Ende Verschlüsselung'')
- Benutzermanager: Benutzerverwaltung (Anlegen, Bearbeiten und Löschen von Benutzern)
- Gruppenmanager: Gruppenverwaltung (Anlegen, Bearbeiten und Löschen von Benutzergruppen; Zuweisen von Benutzern zu Gruppen)
- Raummanager: Anlegen, Umbenennen und Löschen von Datenräumen auf der ersten Ebene; Festlegung von etwaigen Speicherplatzbeschränkungen (Quotas) für diese Datenräume
- Auditor: Möglichkeit der Einsicht in das Systemprotokoll
Diese administrativen Rollen können auf einzelne dDataBox Usern individuell delegiert werden, um administrative Aufgaben detailliert aufteilen und trennen zu können.
Unsere Empfehlung: Wir empfehlen immer einen Vertreter mit allen Rechten und Rollen anzulegen, damit die Administration auch bei der Abwesenheit vom dDataBox-Administrator erfolgen kann.
¶ Download-Freigaben-Empfänger
Um externen Personen eine oder mehrere Dateien bereitzustellen, muss kein gesonderter Benutzer in der dDataBox angelegt werden. Mittels Download-Freigabe wird ein Link generiert, über die eine externe Person Zugriff auf die jeweiligen Dateien erhalten kann. Hierfür wird keine Benutzerlizenz benötigt. Der Freigabelink kann ebenfalls ganz einfach in Outlook angehängt werden.
Diese Rolle beinhaltet folgende Funktionen:
- Nutzung von Download-Freigaben
¶ Dateianfrage (Upload-Freigabe)
Um von externen Personen eine oder mehrere Dateien zu erhalten, muss kein gesonderter Benutzer in der dDataBox angelegt werden. Mittels Upload-Freigabe wird ein Link generiert, über die eine externe Person Dateien in die dDataBox hochladen kann. Hierfür wird keine Benutzerlizenz benötigt.
Diese Rolle beinhaltet folgende Funktionen:
- Nutzung von Upload-Freigaben
¶ Ordnerstrukturen
Dateien werden in der dDataBox in hierarchischen Ordnerstrukturen abgelegt, die konfigurierbar sind. Einige dieser Hierarchiestufen haben besondere Funktionen und daher auch spezielle Bezeichnungen.
¶ Datenraum
In der obersten Ebene der Aufbaustruktur werden sie Datenraum bezeichnet; auf Datenräume werden Berechtigungen vergeben.
Datenräume bieten folgende Funktionen:
- Benutzern können Zugriffe auf Datenräume und deren Inhalte erlaubt oder verboten werden.
- Pro Benutzer und Datenraum können verschiedene Berechtigungsstufen vergeben werden (z.B. "nur lesen", "lesen und hochladen", etc.).
- In Datenräume können Ordner und Dateien beinhaltet sein, aber auch wiederum untergeordnete Datenräume.
Beispiele für eine sinnvolle Einteilung von Datenräumen sind zum Beispiel:
- ein Datenraum pro Abteilung, also z.B. "Einkauf", "Vertrieb", "Buchhaltung"
- ein Datenraum pro Region, also z.B. "Deutschland", "Österreich", "Türkei
¶ Untergeordneter Datenraum
Unterhalb von Datenräumen der ersten Ebene können jeweils weitere untergeordnete Datenräume angelegt werden.
Untergeordnete Datenräume bieten folgende Funktionen:
- Benutzern kann gezielt Zugriff auf untergeordnete Datenräume und deren Inhalte gestattet oder verboten werden.
- Pro Benutzer und untergeordnetem Datenraum können verschiedene Berechtigungsstufen vergeben werden (z.B. "nur lesen", "lesen und hochladen", etc.)
- Zur einfacheren Verwaltung können existierende Berechtigungen von übergeordneten Datenräumen vererbt worden sein, sodass diese nicht noch einmal festgelegt werden müssen.
- In untergeordneten Datenräumen können Ordner und Dateien beinhaltet sein.
Beispiele für eine sinnvolle Hierarchie von Datenräumen und untergeordneten Datenräumen sind zum Beispiel:
- ein Datenraum pro Abteilung, also z.B. "Vertrieb", und darunter ein Datenraum pro Produkt, also z.B. "Bleistifte", "Kugelschreiber", etc., darunter ein weiterer Datenraum nach Land, z.B. "Deutschland", "Österreich" und "Schweiz".
- ein Datenraum pro Land, also z.B. "Deutschland", und darunter ein Datenraum pro Standort, also z.B. "München", "Berlin", etc.
¶ Ordner
Innerhalb von Datenräumen und untergeordneten Datenräumen können zur besseren Organisation Ordner erstellt werden. Diese erben die Berechtigungen der Datenräume.
Ordner bieten folgende Funktionen:
- in Ordnern können weitere Ordner und Dateien beinhaltet sein.
Beispiele für eine sinnvolle Hierarchie von Datenräumen und untergeordneten Datenräumen mit Ordnern sind zum Beispiel:
- Ein Ordner pro Kunde, also z.B. "Vertrieb", darunter ein Datenraum pro Produkt, also z.B. "Bleistifte", "Kugelschreiber", etc., darunter ein Ordner je Kunde.
¶ Verschlüsselung
In der dDataBox werden verschiedene Verschlüsselungstechnologien eingesetzt, deren Kombination als Ende-zu-Ende bezeichnet wird und die im Folgenden kurz erklärt werden.
¶ Channel Encryption (Transportverschlüsselung)
Als Channel Encryption wird die Verschlüsselung des Übertragungswegs bezeichnet. Die Transportverschlüsselung mittels SSL/TLS stellt heute einen Mindeststandard dar, der eigentlich bei jedem im Internet genutzten Dienst aktiv sein sollte. Mit dieser Technik wird die Übertragung der Log-in-Informationen (Benutzername und Passwort), die Meta-Informationen über vorhandene Dateien und Ordner (Namen, Datentypen, etc.) und natürlich die Dateien selbst noch einmal mit einer zusätzlichen Verschlüsselungsschicht geschützt.
Die Konfiguration wurde dabei genau überprüft und auf eine größtmögliche Sicherheit hin ausgelegt – auch wenn damit Gefahr besteht, veraltete Browser und Betriebssysteme auszuschließen. Doch die Sicherheit der Kundendaten ist wesentlich wichtiger als eine umfassende Kompatibilität.
¶ Client Side Encryption (clientseitige Verschlüsselung)
Das eigentliche Kernstück der dDataBox ist jedoch die clientseitige Verschlüsselung, die das „Zero-Knowledge“-Prinzip umsetzt und auch den Mitarbeitern der Rechenzentren und der Serviceprovider sowie Administratoren jeglichen Zugriff auf die von bereitgestellten Daten und Informationen effektiv verweigert. Wie dies im Detail funktioniert, wird im folgenden Abschnitt dargestellt.
¶ Schlüsselverwaltung
Jeder Benutzer, muss sich nach seinem ersten Log-in (bei aktivierter Ende-zu-Ende Verschlüsselung) und dem Ändern des Log-in-Passworts ein asymmetrisches Schlüsselpaar erzeugen. Als Input für den dafür benötigten Pseudozufallszahlengenerator werden neben einer Vielzahl an Systemparametern die zufälligen Mausbewegungen und ggf. Tastenanschläge des Benutzers verwendet. Die Erzeugung des RSA-4096-Bit-Schlüsselpaares erfolgt im Hintergrund; der Benutzer wird lediglich dazu aufgefordert, sein Verschlüsselungspasswort zu wählen. Mit Hilfe dieses Passworts wird der soeben erzeugte private Schlüssel unter Verwendung der modernen PBKDF2 (Password-Based Key Derivation Function 2) und AES-256 sehr stark verschlüsselt. Anschließend wird der verschlüsselte private Schlüssel zusammen mit dem öffentlichen Schlüssel in die dDataBox geladen.
Dies ist erforderlich, damit der Benutzer von unterschiedlichen Endgeräten (Browser, Mobile App, etc.) auf seinen privaten Schlüssel (und damit auf die verschlüsselten Dateien) zugreifen kann.
¶ Upload einer Datei
Möchte ein Benutzer eine Datei in einem Datenraum bereitstellen, so erzeugt er sich lokal einen zufälligen Dateischlüssel, mit dem eigentliche Datei noch auf dem Gerät des Benutzers verschlüsselt wird. Dabei kommt AES-CGM mit 256-Bit-Schlüsseln zum Einsatz. Die so verschlüsselte Datei kann der Benutzer nun schon in der dDataBox bereitstellen, allerdings besitzt noch keiner der anderen berechtigten Benutzer den für die Entschlüsselung benötigten Dateischlüssel.
Daher erfragt der Benutzer der dDataBox eine Liste der auf dem Datenraum Berechtigten und erhält die entsprechenden öffentlichen Schlüssel. Mit diesen kann er nun jeweils den Dateischlüssel individuell für den jeweiligen Eigentümer des öffentlichen Schlüssels verschlüsseln und ebenfalls in der dDataBox speichern; hier kommt RSA-2048 zum Einsatz.
Somit verlässt auch der Dateischlüssel niemals das Endgerät des Benutzers im Klartext. Damit ist der Upload-Vorgang abgeschlossen.
¶ Download einer Datei
Die in einem Datenraum bereitgestellten Dateien können jederzeit durch die berechtigten Nutzer heruntergeladen werden. Dazu laden sie sich zuerst ihren verschlüsselten privaten Schlüssel herunter und entschlüsseln ihn lokal mit Hilfe ihres Verschlüsselungspassworts, das sie auf ihrem verwendeten Client eingeben müssen (vgl. Abbildung oben). Ist dies geschehen, so kann der für sie verschlüsselte Dateischlüssel der gewünschten Datei von der dDataBox angefordert und übermittelt werden. Dieser kann mit Hilfe des zuvor erhaltenen privaten Schlüssels auf dem Gerät des Benutzers entschlüsselt werden und steht nun auch vollständig bereit. Im letzten Schritt wird die eigentliche Datei heruntergeladen, die dann mit dem Dateischlüssel entschlüsselt und in der Folge lokal abgespeichert oder geöffnet werden kann.
Somit finden auch bei der Entschlüsselung sämtliche zentralen Schritte unter der vollständigen Kontrolle des Benutzers auf seinem Gerät statt.
¶ Verlust des Verschlüsselungskennworts
Vergisst ein Benutzer sein Verschlüsselungskennwort, kann dieses leider nicht wiederhergestellt werden. Durch den konsequenten Einsatz von Zero-Knowledge-Verfahren ist sichergestellt, dass niemand dazu technisch in der Lage ist. Die einzige Lösung an dieser Stelle ist die Erzeugung eines komplett neuen Schlüsselpaares und die Bereitstellung der neuen Schlüssel in der dDataBox. Alle Raum-Administratoren müssen den Benutzer neu authorisieren, damit er wieder Zugriff auf die Dateien in den Datenräumen erhält. Damit können wir sicherstellen, dass selbst mit einem gestohlenen Log-in-Passwort kein Zugriff auf die sensiblen Informationen in der dDataBox möglich wird.
''War der Benutzer der einzige, der für einen bestimmten Datenraum berechtigt war, so sind die dort abgelegten Dateien verloren, da die starke Verschlüsselung ohne Kenntnis der geeigneten Schlüssel nicht rückgängig gemacht werden kann.''
¶ Notfall-Kennwörter
Für diese Probleme gibt es jedoch einen Ausweg: Es gibt optional die Möglichkeit, ein System-Notfallkennwort zu definieren, der auch auf beliebige Datenräume berechtigt werden kann (nach Wahl des Datenraum Administrators). Dabei wird ein zentrales Passwort festgelegt, mit dem ein Unternehmen auch dann noch in der Lage ist, auf sämtliche Dateien eines Datenraums zuzugreifen, wenn sämtliche berechtigten Benutzer ihre Verschlüsselungskennwörter vergessen haben. Es empfiehlt sich natürlich, dieses System-Notfallkennwort entsprechend geschützt (z.B. in einem Safe) aufzubewahren.
Ebenso können für einzelne Datenräume Raum-Notfallkennwörter festgelegt werden, die ebenso wie das System-Notfallkennwort funktionieren, deren Mächtigkeit jedoch auf den jeweiligen Datenraum beschränkt ist.
Beide Notfallkennwörter funktionieren technisch so wie zusätzlich bei einem Datenraum berechtigte Benutzer; im Hintergrund arbeiten also die gleichen kryptographischen Verfahren wie bei den anderen Benutzern auch. Ob (und welche) diese Rescue Keys zum Einsatz komme, entscheidet der jeweilige dDataBox Administrator bei der Aktivierung von der Ende-zu-Ende Verschlüsselung auf dem Datenraum.