Trotz Tonnen moderner Microservices und moderner Apps für nahezu jeden Unternehmensprozess besteht nach wie vor der Bedarf am klassischen Dateiserver-Dienst – allerdings mit modernen Zugangsmethoden. Denn auf das altbekannte gemeinsame Laufwerk F: haben nur interne Mitarbeiter Zugriff und wer von unterwegs oder aus dem Home-Office arbeitet, kommt ohne komplexe VPN-Konstrukte nicht an seine Daten.

In der Praxis nutzen deshalb frustrierte Mitarbeiter immer mal wieder ihren privaten Dropbox-Account, um Dokumente mit Geschäftspartnern zu teilen, und verletzen dabei sowohl die gesetzlichen als auch die konzernweiten Datenschutzrichtlinien. Die IT-Abteilungen müssen reagieren und ihren Anwendern datenschutzkonforme Lösungen bieten, die sich aber ähnlich simpel bedienen lassen wie Dropbox und Co.

Architektur moderner Dateidienste

Aber was unterscheidet eigentlich den modernen Dateidienst vom klassischen Laufwerk F:? Da ist zunächst einmal die Zugriffsart an sich: Der Zugang zu den gespeicherten Daten muss über das Internet erfolgen können. Als Protokoll kommt daher nur HTTPS in Frage. Der Zugriff erfolgt – gerade in Anbetracht ungesicherter öffentlicher WLANs – verschlüsselt und kann in der Regel ungehindert Proxy-Server und Firewalls passieren. Proprietäre Protokolle mit eigenen Ports schaffen das häufig nicht. VPN-Tunnel für den Zugriff erfordern spezielle Software auf dem Endgerät, was einen simplen Dateizugriff verhindert.

Auch bei der Zugriffskontrolle gibt es Unterschiede: Der Besitzer von Dateien und Verzeichnissen sollte selbst den Zugang zu einzelnen Dateien und Ordnern reglementieren können. Das schließt ein, dass einzelne Benutzer und Gruppen vollen Zugriff bekommen, während andere beispielsweise nur Leserechte erhalten.

Ein weiteres Unterscheidungsmerkmal: Gerade wenn mehrere Personen an geteilten Dateien arbeiten, muss der Dateidienst mehrere Versionen dieser Datei vorhalten. So kann der Eigner versehentliche oder falsche Änderungen rückgängig machen und eine überschriebene Datei durch eine ältere Version ersetzen.

Nicht zuletzt gilt natürlich das Primat des sicheren Speicherorts: Der Dienst muss alle Informationen an einem datenschutzkonformen Ort lagern. Nach Möglichkeit sollte der Dateiservice sich gleich selbst um das Backup kümmern.

3-Tier-Lösung ergibt Sinn

Wer eine Dropbox-Variante im eigenen Data Center hostet, steht vor einem großen Sicherheitsproblem. Er benötigt neben einer offiziellen externen IP-Adresse auch ein passendes Loch in seiner Firewall für den Zugang von außen, was häufig wiederum anderen Sicherheitsrichtlinien des Unternehmens widerspricht. Greifen alle Nutzer des Dateidienstes direkt auf den Service im internen Rechenzentrum zu, müssen die Administratoren diesen Dienst und alle Zugriffe sehr genau überwachen.

Bei genauer Betrachtung besteht ein Dateidienst aus drei Services: Dem Client des Anwenders, dem Sharing-Dienst mit Authentisierung, Rechtesystem und Metadaten sowie der eigentlichen Dateihaltung mit Versionierung und Backup. Viele Dienste fassen Access- und Storage-Tier in einem Dienst zusammen. Es ergibt aber durchaus Sinn, den Access-Layer vom eigentlichen Storage zu trennen.

Eine 3-Tier-Lösung kann den eigentlichen Dateidienst in der Cloud oder bei einem Hoster betreiben, während die Daten sicher im lokalen Datacenter lagern. Diese Architektur bedarf nur eines wesentlich kleineren Lochs in der Firewall, das nur eine Punkt-zu-Punkt-Verbindung zwischen Clouddienst und Datacenter erlaubt und sich damit wesentlich einfacher überwachen lässt. Da der Cloud-Layer keine großen Massenspeicher benötigt, reduziert diese Lösung die Kosten des Cloudteils erheblich gegenüber einem Ansatz, der viele TByte an Daten auf Cloudservern sichert.

Online statt Offline

Moderne Internet-Dateidienste offerieren in der Regel zwei Zugriffsformen: Den Online-Live-Zugriff auf die gesicherten Dateien und eine Synchronisationsoption, um lokale Dateiordner automatisch mit den im Internet gesicherten Dateien abzugleichen. Letztere Zugriffsform eignet sich dabei allerdings nur dann, wenn einzelne Nutzer mit den Daten arbeiten.

Synchronisieren und ändern hingegen mehrere Anwender die geteilten Datenbestände, kommt es zwangsweise zu Synchronisationsfehlern und widersprüchlichen Versionen. Welche Tools eignen sich also bevorzugt für das Dateisharing via Internet mit Datenhaltung im lokalen LAN?