13.02.2017 Der Schatten der Wolke

Unautorisierte Cloud-Dienste als Sicherheitsrisiko

Von: Manuel Ferre-Hernandez*

Schatten-IT sorgt durch die fehlende Reglementierung und Überwachung für ein unkalkulierbares Sicherheitsrisiko und jede Menge zusätzlicher Arbeit für die IT-Verantwortlichen.

In Unternehmen herrscht Unsicherheit. Denn kaum ein IT-Administrator weiß wirklich, welche Tools seine Mitarbeiter tagtäglich nutzen. So setzt der durchschnittliche Büroangestellte im Schnitt rund 36 verschiedene Cloud-Dienste, fünf unterschiedliche Content-Sharing-Services und neun verschiedene Collaboration-Lösungen ein.

Davon sind jedoch nur die wenigsten von der betriebsinternen IT-Abteilung zugelassen oder auch nur toleriert. Diese sogenannte Schatten-IT sorgt durch die fehlende Reglementierung und Überwachung für ein unkalkulierbares Sicherheitsrisiko und jede Menge zusätzlicher Arbeit für die IT-Verantwortlichen – die vor der Herausforderung stehen, diesem Chaos Herr zu werden.

Mehr als 1.400 Cloud-Dienste kommen in Unternehmen durchschnittlich zum Einsatz. Das hat der im November 2016 veröffentlichte „Cloud Adoption and Risk Report Q4 2016“ des Cloud-Security-Anbieters Skyhigh gezeigt. Von diesen Diensten ist allerdings weniger als ein Zehntel durch die IT-Abteilung genehmigt. Diese Diskrepanz kommt vor allem durch die Bequemlichkeit der Mitarbeiter zustande. Denn diese sind meist nicht bereit, andere Lösungen zu nutzen als die, die sie privat sowieso schon kennen. Außerdem wollen sie sich nicht mit der IT-Abteilung auseinandersetzen, um die von ihnen eingesetzten Cloud-Services freigeben zu lassen.

 

Sicherheitsrisiko Schatten-IT

Doch dieses Verhalten stellt ein massives Sicherheitsrisiko dar. Denn mit dieser sogenannten Schatten-IT bewegen sich die Mitarbeiter außerhalb der IT-Sicherheitseinrichtungen ihres Arbeitgebers.

Das ist besonders kritisch, wenn sich innerhalb der unreglementierten Cloud vertrauliche Unternehmensdaten befinden. Dies können beispielsweise Baupläne für Maschinen, Kundendaten, Unternehmensbilanzen oder Informationen über Firmenübernahmen sein.

Besonders kritisch wird es allerdings in Bereichen, in denen es auf absolute Geheimhaltung ankommt, wie beispielsweise im Finanzsektor. Denn hier kann es aufgrund solcher Sicherheitsverletzungen schnell zu Datenlecks kommen, die im schlimmsten Fall wirtschaftliche Existenzen gefährden oder sogar vernichten können.

Ordnung aus dem Chaos

Im typischen Unternehmensalltag sind üblicherweise viele Systeme parallel im Betrieb – dies kann dafür sorgen, dass die interne IT-Abteilung schnell den Überblick verliert, welche davon nun genehmigt sind und welche nicht. Gefahr droht besonders dann, wenn die offiziell autorisierten Anwendungen gewisse Features, vor allem zum internen Austausch wie zum Beispiel Filesharing oder Chats, nicht bieten. Da gerade in mittelständischen Unternehmen die IT-Abteilung oft nur aus einem Administrator besteht, der sich in der Regel aus Zeitmangel auf wenige Kernaufgaben konzentrieren muss, suchen die vermeintlich IT-versierten Mitarbeiter in solchen Fällen oft selbst eine Lösung. Sie installieren dann beispielweise einen Cloud-Dienst, der aus dem Privatleben bereits bekannt ist und sich dort auch bewährt hat.

Während beispielsweise ein kostenloser Cloud-Speicher für den privaten Gebrauch vollkommen ausreichend ist und sich auch für das Teilen von Dateien, wie zum Beispiel Urlaubsfotos, eignet, sieht das bei vertraulichen Unternehmensdaten vollkommen anders aus. Denn zum einen sind diese frei zugänglichen Speicherdienste in keiner Weise durch die Compliance des jeweiligen Arbeitgebers gedeckt. Zum anderen verlassen so auch Daten, die nicht für Außenstehende bestimmt sind, das interne Firmennetzwerk. Mitarbeiter machen sich also strafbar und verursachen gleichzeitig ein Datenleck unbekannten Ausmaßes. Wenn beispielsweise eine „Man in the Middle“ Attacke ausgeführt wird, also sich ein Hacker in den Datentransfer einklinkt und die Daten manipuliert, kann das schnell Existenzen gefährden.

Das richtige Instrument ist entscheidend

Unternehmen sollten Mitarbeitern also Cloud-Lösungen anbieten, die sowohl sicher sind als sich auch in eine bestehende IT- und Kommunikationsumgebung integrieren lassen. Solche Collaboration-Lösungen, wie zum Beispiel MiTeam von Mitel, lassen sich mit vorhandenen Produktivlösungen verknüpfen und sorgen dafür, dass Mitarbeiter nicht dazu verführt werden, eine ungenehmigte Lösung zu verwenden.

Gleichzeitig punkten entsprechenden Collaboration-Lösungen mit der Einbindung von Basisfunktionen wie E-Mail, Chat, Videotelefonie, und Terminplanung. Auch die Integration von Drittanbieteranwendungen wie beispielsweise Dropbox, Salesforce, Evernote oder GitHub hat die IT stets einen vollständigen Überblick über die eingesetzten Lösungen und kann dementsprechend bei Problemen sofort einschreiten. Gleichzeitig unterstützen solche Lösungen mobile Endgeräte und Anwender können ohne Brüche in der Kommunikation zwischen Geräten hin und herwechseln.

Voll integrierte Collaboration-Lösungen sorgen so dafür, dass keine Schatten-IT und damit auch kein dauerhaftes Sicherheitsrisiko entsteht. Denn Mitarbeiter sind durch den umfassenden Funktionsumfang nicht mehr länger versucht, ungenehmigte Lösungen einzusetzen.

*Autor Manuel Ferre-Hernandez ist Director Sales Germany bei Mitel

Bildquelle: Thinkstock / iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH