Box ist eine Plattform zum einfachen, sicheren Verwalten von Inhalten in der Cloud. Box unterstützt Menschen bei unterschiedlichsten Aufgaben – vom Freigeben und Abrufen von Dateien auf Mobilgeräten bis hin zur Datenaufbewahrung. Seit 2005 hilft Box seinen Kunden, Inhalte aller Art sicher zu teilen. So können Teams effizienter zusammenarbeiten und Aufgaben schneller erledigen. Mehr als 41 Millionen Anwender und 90.000 Unternehmen weltweit verwalten Inhalte in der Cloud mit Box. Zu den Kunden von Box gehören unter anderem 70 Prozent der Fortune 500 Firmen.
Die Vertraulichkeit und Integrität seiner Inhalte zu gewährleisten, ist im digitalen Zeitalter für jedes Unternehmen von zentraler Bedeutung. Laut Tom Cowles, Director Compliance bei Box, leitet sich daraus ein hoher Anspruch für Box als Dienstleister ab: „Wir wollen die Bestmarke für Sicherheit und Compliance in allen Branchen setzen, in denen wir geschäftlich aktiv sind – und das weltweit.“ Deshalb werden alle Inhalte der Kunden bei Übertragung und Speicherung verschlüsselt. Auf Wunsch können Unternehmen die dafür genutzten Schlüssel auch selbst verwalten. Darüber hinaus gewährleistet Box in seinen Rechenzentren in den USA mit zuverlässigen Systemen für Stromversorgung und Backup 99,9-prozentige Verfügbarkeit.
Die hohen Erwartungen an die Sicherheit der Services von Box ergeben sich aus den steigenden Compliance-Anforderungen. Neue Vorschriften wie das IT-Sicherheitsgesetz in Deutschland oder die Datenschutzverordnung der EU gehören dazu ebenso wie branchenspezifische oder unternehmensinterne Richtlinien. Je nach Branche oder nach der Region, in der Unternehmen tätig sind, erwarten sie von Box Sicherheitsmaßnahmen gemäß ISO 27001, ISO 27018, SOC 1 (SSAE 16), PCI DSS oder FedRAMP. Auch die Möglichkeit, Daten ausschließlich in bestimmten Regionen oder Ländern zu speichern, muss Box bieten, um seine eigenen Ansprüche und die seiner Kunden zu erfüllen. „Dazu benötigen wir eine Infrastruktur, die unseren Kunden Transparenz über die Sicherheit unserer Dienste ermöglicht, und darüber, wie wir sie bereitstellen“, erklärt Cowles.
Box betreibt eigene Rechenzentren in den USA. „Weitere Rechenzentren für internationale Standorte und Kunden aufzubauen, die ihre Daten in bestimmten Ländern oder Regionen gespeichert haben wollen, erschien uns wirtschaftlich nicht sinnvoll“, erklärt Tom Cowles. Deshalb suchte Box einen Dienstleister mit globaler Reichweite und einem Serviceangebot, das in der Breite der Anwendungsszenarien wie in der Tiefe der Funktionalität überzeugt.
„Wir sind auf verschiedenen Märkten in Europa und Asien aktiv. Da wollten wir jeweils eine lokale Infrastruktur, die wir zentral aus unserem Hauptstandort in den USA steuern können“, sagt Cowles. Eine besondere Rolle spielte darüber hinaus die Fähigkeit der Infrastruktur, die Sicherheits- und Compliance-Anforderungen der Kunden vor Ort zu unterstützen. „In Deutschland war es wichtig für uns, den Anforderungskatalog Cloud Computing Compliance Controls Catalogue, – kurz C5 – des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu erfüllen. Das müssen Cloud-Anbieter leisten, insbesondere wenn sie im öffentlichen Sektor Leistungen verkaufen wollen. AWS war der erste Anbieter, der diesen C5-Prüfungsnachweis besaß.“
Box nutzt die Basis Services Amazon Elastic Compute Cloud (Amazon EC2) und Amazon Simple Storage Service (Amazon S3). Damit lassen sich Inhalte lokal in den Regionen speichern. Weiterhin arbeitet Box mit AWS Key Management Service (KMS) und AWS CloudHSM – einem Hardwaresicherheitsmodul. Damit können Kunden von Box die Schlüssel für die Verschlüsselung ihrer Inhalte selbst verwalten. Am Ende haben weder Box noch AWS Zugriff auf die Schlüssel und auf die Inhalte. „Natürlich automatisieren wir alle administrativen Prozesse für den Kunden wie gewohnt“, erklärt Tom Cowles, „aber die Kontrolle darüber, wer welche Daten sehen und nutzen kann, bleibt beim Kunden selbst.“
Weil AWS als Public Cloud Provider gemäß des C5 Standards geprüft ist, konnte Box sich bei seiner eigenen C5-Prüfung ganz auf die Software-Ebene (SaaS) konzentrieren. Compliance-Experte Tom Cowles erklärt: „Das war für uns eine wesentliche Erleichterung bei der Einführung unseres innovativen Produktes Box Zones in Deutschland.“ Die eigene C5-Attestierung eröffnet Box vielversprechende Kundenkreise und es kann so weiter expandieren. Auch Finanzdienstleister und der öffentliche Sektor in Deutschland haben durch den Prüfungsnachweis die Möglichkeit, ihre Inhalte mit Hilfe von Box in der Cloud zu verwalten.
„Die weltweit führenden Cloud Service-Provider werden C5 als etablierten Compliance-Nachweis einsetzen. Er wird zudem immer häufiger von Cloud-Anwendern in Ausschreibungen gefordert. Für die europäischen Kunden eines Cloud Providers hat der C5 Bericht einer unabhängigen deutschen Prüfungsgesellschaft hohes Gewicht. Die C5-Testierung kann für einen Cloud-Anbieter deshalb eine wichtige Voraussetzung sein, um den deutschen und mitteleuropäischen Markt zu erschließen”, erläutert Markus Vehlow, Partner bei PwC.
Ein sehr willkommener Nebeneffekt der regionalen Datenspeicherung ist die Performance. Würden die Daten deutscher Kunden in Amerika verschlüsselt und gespeichert, hätte das längere Up- und Download-Zeiten zur Folge. Besonders bei der virtuellen Zusammenarbeit verteilter Teams macht sich die Verarbeitung und Speicherung der Daten in geografischer Nähe der Anwender positiv bemerkbar. Box Kunden können große Dateien bis zu fünfmal schneller herunterladen, wenn sie Availability Zones in Europa nutzen.
Zusammenfassend stellt Tom Cowles fest: „AWS erlaubt uns, weltweit auf einer sicheren und vorschriftsmäßigen Architektur zu skalieren. So können wir schneller global expandieren, denn die Infrastruktur lässt sich innerhalb kürzester Zeit aufsetzen und konfigurieren. Das ist wichtig, um neue Services ausprobieren und schnell ändern zu können. Und die Lösung ist sehr kosteneffizient, weil wir nur zahlen, was wir nutzen – tages- oder stundengenau.“
Informieren Sie sich jetzt über die zahlreichen Services von AWS und erfahren Sie, wie Unternehmen die AWS Cloud mit Diensten wie Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), AWS Key Management Service (KMS) und AWS CloudHSM für sich nutzen können.