Dateien sicher teilen im Mittelstand: ohne dass alle eine neue App lernen müssen

Die meisten Datenpannen im Mittelstand entstehen nicht durch Hacker, sondern durch einen falsch freigegebenen Link oder ein vergessenes Gastkonto. So regeln Sie sicheres Datei-Sharing an einem Nachmittag.

Sie kennen das sicher: Ein Kollege schickt schnell ein Dokument über WeTransfer, ein Lieferant schickt eine Excel-Datei mit Kundendaten per Messenger, oder jemand öffnet einen geteilten Ordner „zur Sicherheit für alle". Es funktioniert, und niemand beschwert sich. Bis eine Datei an der falschen Stelle landet.

Dateien sicher zu teilen klingt nach etwas für große Unternehmen mit einer eigenen IT-Abteilung. Ist es aber nicht. Mit ein paar klaren Absprachen regeln Sie das an einem Nachmittag – ohne neue Software kaufen zu müssen. Hier ist ein praktischer Ansatz.

Warum das wichtig ist (auch wenn Sie klein sind)

Die meisten Datenpannen im Mittelstand entstehen nicht durch Hacker, sondern durch einen falsch versendeten Link oder einen Anhang, der zu lange erreichbar bleibt. Zum Beispiel:

• Ein Angebot mit Kundendaten, das über einen öffentlichen Link monatelang auffindbar ist.
• Ein geteilter Ordner, auf den der Praktikant vom letzten Jahr noch immer Zugriff hat.
• Eine ZIP-Datei mit Gehaltsabrechnungen in einer gewöhnlichen E-Mail, ohne Passwort.

Die DSGVO erwartet von Ihnen, dass Sie „angemessene Maßnahmen" ergreifen. Für den Mittelstand bedeutet das: Stellen Sie sicher, dass nur die richtigen Personen Zugriff haben – und nicht länger als nötig.

Drei Arten von Dateien, drei Vorgehensweisen

Bevor Sie Software auswählen, sortieren Sie zuerst, was Sie teilen. Nicht alles erfordert die gleiche Behandlung.

1. Einzelne Dateien nach außen

Zum Beispiel ein Angebot an einen Interessenten, eine Rechnung an den Buchhalter, ein Vertragsentwurf an einen Kunden. Einmalig, mit einem klar definierten Empfänger.

Was funktioniert: der Freigabelink aus OneDrive, SharePoint oder Google Drive, eingestellt auf „bestimmte Personen" oder „alle mit dem Link und einem Passwort". Legen Sie ein Ablaufdatum fest (z. B. 14 Tage). Bei besonders sensiblen Inhalten: Datei auf schreibgeschützt setzen und dem Empfänger keine Download-Rechte geben.

2. Laufende Zusammenarbeit

Ein Projektordner mit einem externen Designer, eine gemeinsame Planung mit dem Steuerberater oder eine Kundenakte, an der zwei Teams arbeiten.

Was funktioniert: Externe als Gäste in Ihre Microsoft 365- oder Google Workspace-Umgebung einladen und den Zugriff auf Ordnerebene vergeben. Nicht auf Dateiebene (das wird schnell unübersichtlich) und nicht auf der obersten Ordnerebene (dann sehen Gäste mehr als beabsichtigt). Planen Sie alle drei Monate eine Viertelstunde ein, um die Gästeliste zu überprüfen.

3. Große oder vertrauliche Dateien

Videodateien, ein Datenbankexport, ein Ordner voller Scans mit personenbezogenen Daten. Zu groß für E-Mail, zu sensibel für einen öffentlichen Link.

Was funktioniert: ein temporär freigegebener Ordner mit Passwort und Ablaufdatum oder eine verschlüsselte ZIP-Datei, wobei Sie das Passwort über einen anderen Kanal (Telefon, SMS) übermitteln. Nicht über denselben Kanal, auf dem die Datei liegt – sonst ist das Passwort wertlos.

Vier praktische Regeln, die den Unterschied machen

1. E-Mail ist für Dateien ohne sensiblen Inhalt. Eine allgemeine Broschüre darf als Anhang verschickt werden. Eine Kundenliste, eine Gehaltsabrechnung oder eine Ausweiskopie gehören nicht dorthin. Versenden Sie in solchen Fällen einen Link mit Zugangskontrolle.
2. Vergeben Sie nie „alle mit dem Link" ohne Ablaufdatum. Dieser Link bleibt dauerhaft aktiv, auch wenn er weitergeleitet wird. Stellen Sie standardmäßig 7 oder 14 Tage ein.
3. Arbeiten Sie mit Ordnern, nicht mit einzelnen Dateien. Berechtigungen auf Dateiebene zu verwalten wird schnell chaotisch. Bauen Sie eine Ordnerstruktur, bei der Zugriffsrechte logisch folgen: ein Kundenordner, ein Lieferantenordner, ein interner Ordner.
4. Räumen Sie nach Abschluss auf. Projekt beendet? Externe Beziehung beendet? Entziehen Sie den Zugriff noch in derselben Woche. Nicht „später". Später kommt nicht.

Was Sie besser lassen sollten

• Dateien über WhatsApp für die Arbeit teilen. Sie haben keinen Überblick, wer was hat, und Dateien verbleiben auf privaten Handys.
• USB-Sticks hin- und herschicken. Wie wir bereits beschrieben haben: Der Stick vom letzten Messe-Stand ist für sich allein ein Risiko.
• Private Dropbox- oder Google Drive-Konten für geschäftliche Dokumente nutzen. Wenn dieser Mitarbeiter das Unternehmen verlässt, gehen die Dateien mit.
• Das Passwort in derselben E-Mail wie die Datei verschicken. Klingt selbstverständlich – passiert jeden Tag.

Ein kurzer Check für nächste Woche

Kein großes Rollout nötig. Planen Sie eine halbe Stunde und erledigen Sie diese vier Dinge:

1. Öffnen Sie SharePoint, OneDrive oder Google Drive und prüfen Sie, welche Freigabelinks aktiv sind. Viele Verwaltungsportale zeigen dies unter „Geteilt" oder „Externer Zugriff".
2. Löschen oder beschränken Sie alles, was älter als drei Monate ist und nicht mehr benötigt wird.
3. Stellen Sie als Standard ein, dass neue Freigabelinks nach 14 Tagen ablaufen.
4. Legen Sie eine feste Stelle an (eine interne Notiz oder eine kurze Seite), auf der steht: So teilen wir Dateien. Zwei Seiten reichen aus.

Das klingt nach wenig, verhindert aber 80 % der typischen Datenpannen. Der Rest ist eine Frage guter Absprachen – nicht teurerer Software.

Möchten Sie einen Blick darauf werfen?

Möchten Sie wissen, wer derzeit Zugriff auf Ihre Ordner, Postfächer und gemeinsam genutzten Systeme hat? Genau dafür ist unser Zugriffs-Check gedacht: eine strukturierte Überprüfung, mit der Sie selbst weiterarbeiten können. Und wenn Sie vor allem Ihre E-Mail bei solchen Austauschen absichern möchten, schauen Sie sich E-Mail-Sicherheit mit SPF, DKIM und DMARC an.