Schellman & Company, LLC bietet Gutachterdienste im Bereich Sicherheit und Compliance an – einschließlich SOC, HIPAA, PCI, ISO 27001, FedRAMP und HITRUST – alles aus der Hand eines einzigen Rechtsträgers.

In den frühen 2000ern war Schellman wie jedes andere Auditunternehmen. Die Teams kommunizierten per E-Mail mit Dateianhängen oder verwendeten Online-Tools zur Dateifreigabe sowie reine Desktopanwendungen mit beschränkten Möglichkeiten für direkte Synchronisierung.

„Es war sicherlich keine moderne Vorgehensweise“, erklärt Kyle Young, Information Technology Manager bei Schellman. „Aber sie funktionierte für den Zweck.“

Zusätzlich wurden für die Verwaltung der Informationen und die externe Zusammenarbeit mehrere Systeme eingesetzt, was die Kommunikation noch komplizierter machte. Die Kunden sendeten die Informationen entweder per E-Mail oder luden sie auf einer SharePoint-Seite hoch. Ein Prüfer musste die Daten dann zur internen Verwendung in ein anderes System laden. Das war ein umständlicher Prozess, der weder effizient, effektiv noch sicher war.  

Der Modernisierungsbedarf wird deutlich

Als immer mehr Unternehmen die Cloud nutzten, stießen die Tools von Schellman an ihre Grenzen. Sowohl online als auch offline an Dateien arbeiten zu können und dabei umfassende Sicherheit und Verfügbarkeit zu gewährleisten, war nicht mehr nur ein Wunsch, sondern eine Anforderung.

„Es gab Probleme mit Desktopanwendungen, die sich sperrten und wir kamen nicht mehr an unsere Daten“, erklärt Young. „Es gab keine zentrale Datensicherung – im Zweifelsfall war es unsere letzte Hoffnung, dass noch eine Kopie bei Teamkollegen vorhanden war.“ 

Young und die Teams von Schellman erkannten, dass eine leistungsstärkere und sicherere Lösung erforderlich war, die eine strukturierte Zusammenarbeit ermöglichte. Nach einer umfassenden Begutachtung der verfügbaren Tools und der potenziellen Anwendungsfälle war Box der klare Sieger.

Sicherheit für ein Sicherheitsunternehmen

Das Speichern potenziell sensibler Unternehmens-, Kunden- und Partnerdaten in der Anwendung eines Drittanbieters warf Bedenken auf. Schellman und Box arbeiteten gemeinsam an der Lösung der Belange. Es wurde dafür gesorgt, dass die notwendigen Sicherheitsvorrichtungen, eine starke Verschlüsselung und geeignete Kontrollelemente – z. B. Okta für mehrstufige Authentifizierung – eingerichtet wurden.

„Wir schätzten [die] sicherheitsorientierte Einstellung [von Box], weil sie sehr gut zu unserer Unternehmensmission passte“, sagt Young. "Bei der Suche nach einer Lösung, legten wir besonderen Wert auf die Positionierung der Anwendung in Bezug auf Sicherheit und Datenschutz.“

Da Schellman ein eigenes Rechenzentrum in Florida betrieb, hatte außer der IT kein anderes Team und keine Fremdanbieteranwendung Zugang zu den Daten. Obwohl dies mit der Absicht geschah, den Zugriff auf Kundendaten zu regulieren, wurde dadurch die Zusammenarbeit und Erledigung der Arbeit behindert. Dank Box war das kein Problem mehr. 

Eine skalierbare Verschlüsselungslösung

Um die Bedenken von Kunden zur Freigabe von Daten an Dritte auszuräumen, entwickelte das Team von Schellman eine eigene Verwaltungslösung für Verschlüsselungscodes. Diese verschlüsselt die Auditdateien, bevor sie in Box archiviert wurden. Prüfer mussten somit eine separate Front-End-Anwendung nutzen, mit der die Informationen nach Bedarf ver- und entschlüsselt wurden.  

Doch mit dem Wachstum des Unternehmens erkannten Young und das Team von Schellman, dass eine eigene Lösung zur Verwaltung von Verschlüsselungscodes weder kosteneffizient noch skalierbar war. Sie durchforschten Desktop- und cloudbasierte Verschlüsselungslösungen und kamen zu dem Ergebnis, dass alle zu teuer oder nicht robust genug waren. 

„Unsere Anforderungen sind die eines Unternehmens der Fortune 500, aber wir sind trotzdem kostenbewusst“, sagt Young.

2016 erfolgte die Einführung von KeySafe mit AWS KMS durch Box. Schellman nutzte diese native Verschlüsselungslösung als eines der ersten Unternehmen. 

„Der Vorteil von KeySafe“, sagt Young, „liegt nun darin, dass alles, was in Box hochgeladen wird, davon betroffen ist, nicht nur bewusst verschlüsselte Inhalte. Mit aktiviertem KeySafe sind alle unsere Inhalte geschützt und es werden Verschlüsselungscodes verwendet, die wir selbst verwalten.“ 

Eine moderne, benutzerfreundliche Arbeitsweise

Für Wirtschaftsprüfungsunternehmen wird der Informationsaustausch intern und mit Kunden weiterhin eine Herausforderung bleiben. Wer auf welche Inhalte zugreifen kann, wodurch Unternehmen möglicherweise in Bedrängnis geraten könnten und wer die Verschlüsselungscodes besitzt – das sind Fragen, die beantwortet werden müssen. 

Schellman hat diese Fragen mit Box beantwortet. Das Unternehmen war überzeugt und hat seinen guten Ruf bei Kunden und Compliance-Agenturen riskiert, um ein sicheres, benutzerfreundliches System einzusetzen, das eine effiziente Kommunikation und Skalierung ermöglicht.

Haftungsausschluss: Schellman & Company, LLC führt derzeit Beglaubigungen und Zertifizierungen für einige der Dienste und Bereiche für Box.com durch.