Schatten-IT verursacht Probleme
Steigendes Sicherheitsrisiko durch Cloud-Wildwuchs
Das Sicherheitsrisiko durch den Einsatz verschiedenster Cloud-Services in Unternehmen steigt dramatisch. Denn ohne Wissen der Verantwortlichen kommen immer häufiger auch dezentral beschaffte Dienste zum Einsatz.
Unternehmen verlieren den Überblick darüber, welche Cloud-Dienste bei ihnen eingesetzt werden. Dadurch steigt das Sicherheitsrisiko für diese Firmen dramatisch, so das Ergebnis einer aktuellen Studie der Unternehmensberatung Axxcon. Für die Studie wurden rund 200 Geschäftsführer, CIOs, IT-Leiter und Sicherheitsbeauftragte aus Unternehmen mit mindestens 500 Mitarbeitern befragt. Über die Hälfte der Befragten geht davon aus, dass in ihrem Unternehmen ohne das Wissen von IT-, Security- oder Einkaufsabteilung neben den zentral eingekauften und administrierten Cloud-Services auch dezentral beschaffte Dienste eingesetzt werden. Etwa 30 Prozent schätzen, dass es sich dabei um mehr als zehn verschiedene Anwendungen handelt.
»Die Schatten-Cloud, die sich auf diese Weise bildet, ist ein riesiges Problem für die IT-Sicherheit«, sagt Torsten Beyer, Partner und IT-Experte bei Axxcon. Und dieses Problem vergrößere sich mit hoher Geschwindigkeit. »Schnell sind Cloud-Lösungen mit der Kreditkarte im Netz gebucht und stehen dann auch umgehend zur Verfügung«, kennt Beyer die Verlockungen solcher Angebote für Datenübertragung, Datenbank- oder Speicherlösungen. Das führt schnell zu Problemen, da die IT-Abteilung nicht über den Einsatz informiert ist. Daher kann sie auch nicht sicherstellen, dass die Governance-Regeln des Betriebes eingehalten werden, was zum Beispiel die Nutzungsbedingungen des Anbieters oder den Standort seiner Rechenzentren betrifft.
Auswirkungen der Sicherheitsbedrohung bereits deutlich
Die Sicherheitsbedrohung durch nicht genehmigte Cloud-Services ist bereits heute sichtbar. Relevante Sicherheitsvorfälle infolge dezentral beschaffter Cloud-Anwendungen werden aus 17 Prozent der befragten Unternehmen gemeldet, von ihnen wiederum gibt jedes fünfte mehr als 50 Sicherheitsvorfälle an. Trotzdem handeln viele Unternehmen nicht. So ist nur in 45 Prozent der Firmen die Nutzung von Cloud-Diensten in der Betriebsvereinbarung zwischen Unternehmensleitung und Arbeitnehmervertretung geregelt. 29 Prozent der Betriebe haben hingegen gar keine Vereinbarung dazu. Bei 15 Prozent der Unternehmen bestehen Vereinbarungen zwischen anderen Parteien, elf Prozent machen hierzu keine Angabe.
»Insgesamt zeigen die Studienergebnisse, dass viele Führungskräfte ihr Unternehmen sehenden Auges einem großen IT-Risiko aussetzen«, warnt Beyer. Er verweist in diesem Zusammenhang darauf, dass sich die negativen Auswirkungen ab dem 25. Mai 2018 deutlich erhöhen. Dann gilt europaweit die neue Datenschutz-Grundverordnung (DSGVO), die die Anforderungen an den Umgang mit personenbezogenen Daten, etwa von Kunden und Mitarbeitern, verschärft. Konkret bedeutet das unter anderem: Jeder Kunde oder Mitarbeiter kann nachfragen, welche seiner Daten erfasst sind und wo diese gespeichert werden. »Befinden sich Kunden- oder Personaldaten in einer unüberschaubaren Fülle von Cloud-Services, kann das schwierig bis unmöglich werden. Hinzu kommt, dass die Daten an Orten gespeichert sein können, an denen sie nicht sein dürften«, so Beyer. Kann das Unternehmen die Anfrage des Kunden jedoch nicht oder nur lückenhaft beantworten, dann drohen Strafen. Davon auszugehen ist auch, dass so genannte Abmahnanwälte ein gutes Geschäft wittern.
"Die Technik entwickelt sich schneller als die Unternehmen nachkommen. Oftmals hat im Unternehmen auch niemand explizit die Verantwortung dafür, neue Sicherheitsrisiken aufzuspüren und gegenzusteuern", weiß Beyer. Er betont jedoch, dass die Warnung ausdrücklich für nicht genehmigte Cloud-Services gilt. Schließlich könnten regulär eingesetzte Cloud-Services einem Unternehmen sehr gute Dienste leisten und die eigenen IT-Experten sinnvoll entlasten. Die in den befragten Betrieben offiziell am häufigsten genutzten Services sind laut der Studie die von Microsoft Office 365 (gesamte Suite: 31 Prozent) und SAP (29 Prozent). Mit einigem Abstand folgen Microsoft Office 365 (nur Mail: 15 Prozent) sowie SalesForce und Amazons Cloud Computing-Plattform AWS (jeweils 13 Prozent).
Lesen Sie mehr zum Thema
