Datensicherheit in Gefahr

Schatten-IT kommt zurück

13.01.2016 von Ulf Schitkowsky

Fachabteilungen schaffen ihre IT-Lösungen zunehmend selbst an. Die Folge: eine Schatten-IT, die für Unternehmen große Gefahren mit sich bringt.

Ob eigenmächtig installierte Cloud-Dienste wie Dropbox und Google Drive oder selbstständig angeschaffte Hardware: IT-Lösungen, die nicht von der IT-Abteilung gekauft und genehmigt sind, bedrohen die Vertraulichkeit sowie Datensicherheit und stellen zudem ein wirtschaftliches Risiko für Unternehmen dar.

Schatten-IT kann ungeladenen Gästen das Tor zu den Unternehmensdaten öffnen.
Foto: Matej Kastelic - Shutterstock.com

Mitarbeiter nutzen inoffizielle Cloud-Apps

Seit viele Public-Cloud-Dienste kostenfrei verfügbar sind, nutzen Mitarbeiter diese in großem Stil - vorbei an der Unternehmens-IT. Das belegt die Skyhigh-Studie "Cloud Adaption & Risk Report" Q1 2015. Danach kommen in Unternehmen durchschnittlich 738 Cloud-Dienste zum Einsatz, aber nur weniger als ein Zehntel davon sind bei der IT-Abteilung bekannt und genehmigt. 82 Prozent der befragten Mitarbeiter gaben gegenüber Skyhigh zu, inoffizielle Cloud-Apps zu nutzen. Als Hauptgründe nannten sie die Vertrautheit mit den betreffenden Anwendungen aus dem Privatgebrauch sowie langwierige Genehmigungsverfahren in der jeweiligen IT-Abteilung.

Sicherheitsrisiko für Unternehmen steigt

Dass damit ein erhebliches Risiko einhergeht, ist den wenigsten Public-Cloud-Enthusiasten bewusst. Denn eigentlich wollen sie durch die Wolken-Nutzung effizienter arbeiten und nicht ihrem Arbeitgeber schaden. Allerdings bedenken sie nicht, dass die Public Cloud viele Gefahren mit sich bringt, vor allem den Abfluss von vertraulichen Informationen. Zudem lässt sich in der Cloud keine Datenverfügbarkeit gewährleisten, weil die Backup-Recovery-Verfahren eines Unternehmens nicht zum Zug kommen. Denn Cloud-Apps, die nicht registriert sind, unterlaufen die Governance- sowie Compliance-Regeln und bieten ein großes Angriffspotenzial für Cyber-Kriminelle. So stellt diese unkontrollierte Schatten-IT eine neue Sicherheitslücke dar, die Unternehmen deutlich verwundbarer für Hackerangriffe macht.

Fünf Tipps zum Vermeiden von Schatten-IT

Tipps gegen Schatten-IT
Die Berater von Accenture haben fünf Ratschläge gegen Schatten-IT parat.

Tipp 1: Aufklären statt Verbieten
Sinnvoller als Verbote ist die Aufklärung über die Vorteile einer geregelten Beschaffung. Zum Beispiel können Skaleneffekte IT-Kosten senken, Schatten-IT nicht. Außerdem sollten alle Mitarbeiter über Service-Level-Agreements informiert werden.

Tipp 2: Bevorzugte Hersteller auflisten
CIOs sollten kommunizieren, welche ihre bevorzugten Hersteller sind. Dabei muss Raum für Ausnahmen bleiben. Können Vertreter einer Fachabteilung gut begründen, warum sie diese oder jene Lösung eines anderen Anbieters wünschen, darf darüber verhandelt werden.

Tipp3: Beziehungspflege
Gute Geschäftsbeziehungen zu innovativen Herstellen nützen dem gesamten Unternehmen. Das funktioniert nur über eine geregelte IT-Beschaffung.

Tipp 4: Zusatzwert bieten
Der IT-Entscheider kann nicht nur Preise besser verhandeln als die Fachabteilung. Er spricht mit dem Hersteller auch über Garantieleistungen oder Hardware-Spezifikationen.

Tipp 5: Vertrauen aufbauen
Das Aufklären über die negativen Seiten von Schatten-IT ist wichtig. Im Zuge dessen kann sich die IT-Abteilung unternehmensintern als vertrauenswürdiger Partner etablieren.

Fachabteilungen mit offiziellen Systemen unzufrieden

Damit aber nicht genug. Denn vielerorts wird auch Hardware ohne Genehmigung der IT-Abteilung eingesetzt. So beschaffen sich Fachabteilungen ihre Server selbst, weil sie mit der Leistung der offiziellen Systeme nicht zufrieden sind. Die Lösungen werden dann meist nicht den Regularien entsprechend betrieben, wie beispielsweise für Backup und Desaster Recovery.

Außerdem erfolgt bei der Schatten-IT keine Datenklassifizierung, wie sonst üblich. Dabei wird festgelegt, wo und von wem bestimmte Informationen gespeichert und bearbeitet werden dürfen. So ist Mitarbeitern im Homeoffice beispielsweise die Verwendung von hoch sensiblen Daten untersagt. Werden Daten an solchen Prozessen vorbei in der Public Cloud gespeichert, sind diese Kontrollmechanismen ausgehebelt. Dies kann wirtschaftliche Verluste und hohe Imageschäden zur Folgen haben.

Große wirtschaftliche Schäden durch Schatten-IT

Liegen beispielsweise höchst sensible Daten für neue Modelldesigns und -entwicklungen ungeschützt in der Public Cloud, ist das Risiko sehr groß, dass Wettbewerber in den Besitz dieser Daten gelangen. Dies wird dann meist erst entdeckt, wenn die Informationen bereits in die falschen Hände und schlimmsten Falls schon an die Öffentlichkeit gelangt sind. Zudem kann Schatten-IT dazu führen, dass die Betriebssicherheit nicht gewährleistet und Service Level Agreements der Cloud-Dienste nicht eingehalten werden, weil Fachabteilungen diese Themen nicht professionell behandeln können.

IT-Risiken kaum noch zu überblicken

Wenn Fachabteilungen IT-Lösungen kaufen wann und wie sie es für richtig halten, wird diese Schatten-IT zunehmend zum unkalkulierbaren Wirtschaftsrisiko. Denn Unternehmen können weder das Volumen noch die IT-Risiken überblicken und verwalten. Laut einer Studie der Atos Cloud-Tochtergesellschaft Canopy schätzen die befragten IT-Entscheider in Deutschland, Frankreich, Großbritannien, den Niederlanden oder den Vereinigten Staaten, dass zwischen fünf und 15 Prozent ihres IT-Budgets auf Schatten-IT entfällt. Nahezu zwei Drittel (60 Prozent) gehen davon aus, dass der Kostenanteil am gesamten IT-Budget 2014 ihres Unternehmens etwa 13 Millionen Euro betragen hat.

Der Weg zu mehr Transparenz

Wie können IT-Abteilungen diesem Kontrollverlust entgegenwirken? Zunächst einmal muss Transparenz geschaffen werden. Es gilt festzustellen, welche nicht registrierten IT-Lösungen im Einsatz sind und warum. Allerdings ist eine solche einmalige Analyse nur eine Momentaufnahme der Schatten-IT. Sie sagt wenig darüber aus, welche Lösungen künftig genutzt werden oder wie sich diese Anwendungen unter Sicherheitsaspekten weiterentwickeln. "Schatten-Analysen" sind daher kontinuierlich durchzuführen - genau wie Virenscans.

Wie die Cloud zum Datentresor werden soll

Aktuelle Entwicklungen zu Cloud-Security und -Datenschutz
Ob Unternehmensdaten in der Cloud "sicher" sind, hängt davon ab, welchen Datenschutzregeln der jeweilige Anbieter verpflichtet ist. Häufig geht hier es um Europa vs. USA. Die aktuellen Entwicklungen um "Safe Harbor" haben die Debatte neu befeuert. Eine klare Antwort ist immer noch in weiter Ferne.

Marktanteile
Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum.

Standorte
Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält.

Erfahrungen der Nutzer
Anwender in Deutschland haben bessere Erfahrungen mit Private Clouds gemacht als mit IT-Diensten, die sie über Public Clouds beziehen.

Transformation als Treiber
Cloud Computing hat bei vielen deutschen Unternehmen einen hohen Stellenwert, wenn es um die strategische Ausrichtung der IT-Umgebung geht. Daran ändern auch Debatten um den Datenschutz nichts.

Public Cloud Provider
Alle führenden amerikanischen Anbieter von Public Cloud Services haben mittlerweile Rechenzentren in EU-Mitgliedsstaaten oder Deutschland aufgebaut. Damit tragen sie dem Wunsch von Unternehmen Rechnung, die Daten nicht in Datacentern lagern wollen, die in anderen Rechtsräumen angesiedelt sind.

Google
Google hat sich mit einer gewissen Verspätung als Cloud-Service-Provider positioniert. Mittlerweile bietet das Unternehmen nach dem Baukastenprinzip eine Palette von Cloud-Services an.

Verschlüsselungslösungen
Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet).

Microsoft-Prozess
Microsoft gegen die Vereinigten Staaten von Amerika: In dem Berufungsverfahren will Microsoft die Herausgabe von E-Mail-Daten an ein US-Gericht verhindern, die auf Servern im Cloud-Datacenter in Irland gespeichert sind.

SAP-Sicherheitsarchitektur
Die Grundlage für Cloud-Services, die den Anforderungen von Compliance- und Datenschutzregeln genügen, sind umfassende Sicherheitsmaßnahmen in Cloud-Datacentern. Eine Schlüsselrolle spielen dabei Verschlüsselungs- und Authentifizierungsmaßnahmen.

Constantin Gonzalez, AWS
Constantin Gonzalez, Solutions Architect bei Amazon Web Services: "Amazon Web Services bietet Anwender eine Art ferngesteuerte Hardware. Für die Kontroller der Daten ist der Nutzer selbst verantwortlich."

Speicherorte
Laut einer Analyse von Skyhigh Networks entsprechen zwei Drittel der Cloud-Services, die in Europa zur Verfügung stehen und von Firmen in dieser Region genutzt werden, nicht den EU-Datenschutzregelungen.

Khaled Chaar, Pironet NDH
Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei der Debatte um die Sicherheit von Daten in der Cloud sollte ein weiterer Aspekt berücksichtigt werden: Cloud-Rechenzentren verfügen in der Regel über deutlich bessere Sicherheitsvorkehrungen als Data Center von Unternehmen. Denn für die meisten Firmen gehört der Aufbau sicherer Rechenzentrums-Strukturen nicht zum Kerngeschäft und ist schlichtweg zu aufwändig, insbesondere aufgrund der stetig wachsenden Sicherheitsanforderungen."

Hartmut Thomsen, SAP
Hartmut Thomsen, Managing Director der SAP Deutschland SE & Co. KG: "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb – abhängig vom jeweiligen Cloud-Produkt – die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU bereitstellt."

René Büst, Crisp Research
René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research: "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen."

Geteilte Verantwortung in der Public Cloud
In der Public Cloud gehorchen die Services verschiedenen Herren: Management und Sicherheit von Infrastruktur wie Storage, Netzwerk, Datenbank und Rechenpower auf der einen Seite, Verwantwortung für VMs, Anwendungen und Daten auf der anderen Seite.

Rechtslage in Deutschland
Gerade die Angst vor Angriffen und Datenverlusten schreckt viele Anwender nach wie vor vor der Cloud ab.

Compliance-Sorgen
Auch die Sorge, Compliance-Bestimmungen in der Cloud nicht einhalten zu können, treibt viele Anwender um.

CASB - das Geschäft mit dem Cloud-Zugang
Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.

Selbst beschaffte Lösungen genau unter die Lupe nehmen

Im zweiten Schritt sollten sich IT-Abteilungen die Möglichkeit zu nutze machen, eigenmächtig verwendete Dienste mit einer Firewall zu blockieren. Allerdings ist dies nicht bei allen Schattensystemen möglich. Denn der Bedarf für die selbst beschaffte Lösung scheint in der Fachabteilung ja offensichtlich zu bestehen.
Besser ist es daher, wenn die IT-Abteilung die betreffenden Anwendungen einzeln untersucht und dann entscheidet, welche unterbunden oder in das offizielle IT-Portfolio des Unternehmens aufzunehmen sind.

Sensible Daten besser sichern

Die dritte Möglichkeit liegt darin, für besonders sensible Daten robuste Verschlüsselungsverfahren bereitzustellen. Denn wenn Informationen chiffriert sind, lassen sie sich durchaus in der Public Cloud speichern und teilen.

Schatten-IT durch offizielle Anwendungen ersetzen

Darüber hinaus kann die Schatten-IT durch offizielle Applikationen abgebildet werden. So lassen sich beispielsweise Public- durch eigene Private-Cloud-Anwendungen ersetzen. Der Clou: die eigenmächtig installierten Dienste ermöglichen der IT, ihr Serviceangebot näher am tatsächlichen Bedarf der Nutzers auszurichten. Denn stellt die IT-Abteilung Mitarbeitern eine Dropbox offiziell zur Verfügung, kann sie selbst dafür sorgen, dass alle Daten dort verschlüsselt abgelegt werden.

IT-Angebot auf tatsächlichen Bedarf ausrichten

Die Auswertung der Schatten-IT führt dazu, dass IT-Abteilungen das offizielle IT-Angebot für ihre Mitarbeiter deutlich verbessern, da es näher am tatsächlichen Bedarf ausgerichtet ist. Dazu muss sie ein Demand Management betreiben und ihr Ohr deutlich stärker am Nutzer haben sowie neue Anforderungen antizipieren.

Zudem lassen sich Lösungen blockieren, die ein zu hohes Sicherheitsrisiko bergen. Aber nur, wenn innerhalb des Unternehmens eine Umstrukturierung stattfindet, zeigen diese Maßnahmen den gewünschten Erfolg. Daher ist es essentiell, die im Zuge der Schatten-IT in den Fachabteilungen entstandenen Inselabteilungen wieder in die zentrale IT zurückzuholen.