Sorgenkind Public Cloud

Lieber Dropbox als ein Sack USB-Sticks

17.06.2013 von Christiane Pütter

Ignoriert die IT die Bedürfnisse der Nutzer oder gibt ironische Tipps ("Präsentation mit USB-Sticks verschicken"), darf sie sich nicht über Datenlecks im Unternehmen wundern. "Bring your own Cloud" wird so zur selbstverschuldeten Herausforderung für CIOs.

Nicht nur die Nutzung eigentlich privater Geräte im Büro beschäftigt IT-Chefs, sondern auch die Nutzung verschiedenster Cloud-Services.
Foto: andrea michele piacquadio, Shutterstock

IT-Entscheider und IT-Security-Chefs sprechen dieser Tage viel über "Bring your own device" (BYOD), das Phänomen also, dass Mitarbeiter ihre privaten Endgeräte mit ins Unternehmen bringen. Unsere US-Schwesterpublikation cio.com dreht die Diskussion bereits weiter. Die persönliche Cloud beziehungsweise die persönlichen Services rücken ins Blickfeld von CIOs, so das Magazin.

Cio.com zitiert den Gartner-Analysten Michael Gartenberg. Seiner Beobachtung nach kommen IT-Chefs mit ihrer bisherigen Haltung nicht weiter. Diese lässt sich grob mit den Schlagworten Gebote und Verbote umschreiben. Konkret: in puncto BYOD werden Regeln darüber aufgestellt, welche Geräte das Unternehmen akzeptiert und welche der Mitarbeiter nicht benutzen darf.

Diese Vorgehensweise beobachtet Gartenberg auch bei der Nutzung von Services. Seine Erfahrung: die Menschen halten sich nicht an die Regeln. Geräte und Dienste, die im Consumer-Bereich Erfolg haben, wandern über kurz oder lang ins Unternehmen.

Was bei ByoD zu bedenken ist
Frank Nittka, CIO des Filterherstellers Brita, beschäftigt sich derzeit intensiv mit dem Gedanken an eine Tablet-Lösung für das Topmanagement und die mobilen Mitarbeiter. Mit folgenden Fragen muss er sich dabei auseinandersetzen:

Punkt 1:
Wie hoch ist der Wartungs- und Verwaltungsaufwand, den die IT für die Geräte leisten muss?

Punkt 3:
Wie hoch sind die zu erwartenden Verbindungskosten – vor allem mit dem Ausland?

Punkt 4:
Wie lassen sich private und berufliche Daten auf den Tablets trennen?

Punkt 5:
Und wie sind Bezahltransaktionen für Downloads im Detail handhabbar?

Übrigens stoßen nicht nur Sachbearbeiter auf niedriger oder mittlerer Ebene mit der IT zusammen. Das zeigt das Beispiel von Scott Davis. Er ist CTO End-User-Computing bei VMware.

Davis ist viel unterwegs und muss überall Multimedia-Präsentationen halten. Die verschickt er gern vorab. Er bat also darum, die Größe der unternehmensweit festgelegten E-Mail-Anhänge ausnahmsweise überschreiten zu dürfen. Davis blitzte ab. Man habe ihm vorgeschlagen, einen Beutel USB-Sticks zu kaufen und diese zu verschicken, erzählte er cio.com.

"Die IT-Abteilung hat Konkurrenz"

Keine echte Alternative für den Manager. Er fing an, die Dropbox zu nutzen. "Die IT-Abteilung hat Konkurrenz", sagt er. "Die Leute wissen doch, was es gibt. Und wenn ihnen die IT nicht hilft, helfen sie sich eben selbst."

Bei dem internationalen Bauunternehmen Skanska ist man sich dieses Problems bewusst, zumindest gilt das für die Niederlassung in den USA. Die Mitarbeiter dort nutzen Cloud-Services wie Dropbox und Evernote, berichtet Jeff Roman, Enterprise Senior Engineer.

Die IT-Abteilung des Unternehmens habe Policies aufgestellt, so Roman. Finanz-Daten zum Beispiel dürfen niemals in die Cloud gelangen, ebenso wenig alle Informationen rund um Projekte im Auftrag der Regierung.

Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:

Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da

Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.

Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.

Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers.

Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.

Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software.

Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig.

Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

Das Thema "Bring your own cloud" wird bei Skanska derzeit heiß diskutiert, sagt Roman. Geht es nach ihm, wird das Unternehmen binnen Jahresfrist eine One-size-fits-all-Lösung finden. Roman hat kein Verständnis dafür, dass jeder Mitarbeiter eigene Services nutzt. Das sei nicht nötig.

Andrew Sinkov, Vize-Präsident des Marketing bei Evernote, sieht das naturgemäß anders. Die Zeiten getrennter Welten privater und geschäftlicher IT-Nutzung seien doch vorbei, sagt er.

Auch Bill Murphy hält das Aussperren persönlicher Lieblings-Services für unrealistisch. Er ist CTO bei Blackstone. Als Finanzdienstleister hat das Unternehmen in puncto Daten mit vielen "Kronjuwelen" zu tun, wie Murphy sagt. Die Firma hat sich für WatchDox entschieden und setzt der Belegschaft gegenüber auf Argumente. "Wir hoffen, unseren Mitarbeitern erklären zu können, warum wir diese oder jene Lösung ablehnen", sagt Murphy.

Nicht Business-getrieben, sondern Endanwender-getrieben

Die Analysten von Gartner sprechen bereits davon, Unternehmens-IT sei heute nicht mehr Business-getrieben - sondern Endanwender-getrieben. Daran kommen CIOs nicht vorbei. Eine Leserin von cio.com kommentiert denn auch, die ganze Problematik könne nicht dem IT-Team überlassen werden. Es sei auch Sache der Personal-Abteilung.