Warum der Wildwuchs von Cloud-Services gefährlich werden kann

Rund 200 CEO, CIO und Sicherheitsbeauftragte hat man befragt. Mehr als die Hälfte geht davon aus, dass ihr Unternehmen dezentral beschaffte Cloud-Dienste einsetzt – ohne Wissen der IT-Abteilung. Ein Beitrag für die Themenwoche Datenschutz.

Ende der Woche tritt die gefürchtete Datenschutzgrundverordnung (DSGVO) in Kraft. Als durchaus bedrohlich erweist sich im Hinblick auf dann drohende Strafen die Tatsache, dass der zunehmende Wildwuchs von in Unternehmen genutzten Cloud-Services „dramatisch steigt“.

Das zumindest behauptet eine Studie der Unternehmensberatung Axxcon, für die rund 200 Geschäftsführer, CIO, IT-Leiter und Sicherheitsbeauftragte aus Unternehmen mit mindestens 500 Mitarbeitern befragt worden sind. Immerhin die Hälfte unter ihnen geht offensichtlich davon aus, dass in ihrem Unternehmen neben den zentral eingekauften und administrierten Cloud-Services auch dezentral beschaffte Dienste eingesetzt werden. Und das ohne Wissen der IT-, Security- oder Einkaufsabteilung.

Schatten-IT erschwert die Auskunftspflicht gegenüber der DSGVO (Grafik: OBS/Axxcon)
Schatten-IT erschwert die Auskunftspflicht gegenüber der DSGVO. (Grafik: OBS/Axxcon)

„Die Schatten-Cloud ist ein riesiges Problem für die IT-Sicherheit.“

Etwa 30 Prozent der IT-Verantwortlichen schätzen, dass es sich dabei um mehr als zehn verschiedene Anwendungen handelt, heißt es von den Studienautoren. Ganze 45 Prozent der Befragten hätten hierzu erst gar keine Angabe gemacht.

Die „Schatten-Cloud“, die sich auf diese Weise bilde, sei „ein riesiges Problem für die IT-Sicherheit“, sagt Torsten Beyer, Partner und IT-Experte bei Axxcon. Und noch dazu eines, das sich „mit hoher Geschwindigkeit“ vergrößere, wie er schätzt: „Schnell sind Cloud-Lösungen mit der Kreditkarte im Netz gebucht und stehen dann auch umgehend zur Verfügung“, sagt Beyer über die Verlockungen derartiger Angebote für Datenübertragung, Datenbank- oder Speicherlösungen.

Governance-Regeln beachtet?

Das Problem jedoch: Da die IT-Abteilung nicht über den Einsatz informiert sei, könne sie auch nicht sicherstellen, dass die Governance-Regeln des Betriebes eingehalten werden, was zum Beispiel die Nutzungsbedingungen des Anbieters oder den Standort seiner Rechenzentren betrifft.

Diese Sicherheitsbedrohung durch nicht genehmigte Cloud-Services wird offensichtlich mittlerweile auch von den befragten IT-Verantwortlichen gesehen – und zwar keinesfalls nur theoretisch, wie die Studienautoren betonen: Relevante Sicherheitsvorfälle infolge dezentral beschaffter Cloud-Anwendungen seien aus 17 Prozent der befragten Unternehmen gemeldet worden, von ihnen wiederum habe jedes fünfte mehr als 50 Sicherheitsvorfälle angegeben.

Dropbox-Alternativen im Überblick

Dropbox-Alternativen: Box wurde schon 2005 gegründet. Der Anbieter richtet sich vor allem an Geschäftskunden und bietet Funktionen zum Projektmanagement, zur Dokumentenverwaltung und zur Automation von Arbeitsabläufen an. Außerdem lassen sich andere Systeme wie Google Apps, NetSuite oder Salesforce in Box integrieren. Der Cloud-Speicher bietet Apps für Windows, OS X, Android, iOS, BlackBerry, Windows Phone und webOS an.(Screenshot: Box)

1 von 9

Abhilfe würden viele Unternehmen dennoch nicht schaffen, ist in der Studie zu lesen. So sei zwar in immerhin 45 Prozent der Unternehmen die Nutzung von Cloud-Diensten in der Betriebsvereinbarung zwischen Unternehmensleitung und Arbeitnehmervertretung geregelt. 29 Prozent der Unternehmen hätten hierzu allerdings keinerlei Vereinbarung. Bei weiteren 15 Prozent der Unternehmen bestünden Vereinbarungen zwischen anderen Parteien, elf Prozent hätte gar keine Angabe gemacht.