Im Gespräch mit Daniel Wolf, Skyhigh Networks

Risikopotential Cloud-Dienste

Cloud-Dienste sind aus Unternehmen nicht mehr wegzudenken. Mitarbeiter greifen ­immer wieder – gezielt oder unbewusst – auf die Annehmlichkeiten dieser Services ­zurück. Doch wie sieht es mit den Risiken aus? Darüber sprachen wir mit Daniel Wolf, Regional Director DACH bei Skyhigh Networks.

Daniel Wolf, Skyhigh ­Networks

Daniel Wolf, Regional Director DACH bei Skyhigh ­Networks

IT-DIRECTOR: Herr Wolf, laut Cloud-Monitor 2015 des Bitkom nimmt die Cloud-Nutzung zu. Sehen Sie als Cloud-Security-Anbieter eine ähnliche Entwicklung?
D. Wolf:
Ja, für unseren Report „Cloud Adoption & Risk in Europe“ sammeln wir anonymisiert die Nutzungszahlen von mehr als 2,5 Mio. Personen in europäischen Unternehmen. Dabei zeigt sich, dass bereits pro Unternehmen durchschnittlich etwa 1.000 Cloud-Dienste verwendet werden. Das entspricht, gegenüber dem Vergleichszeitraum des Vorjahres, einer Steigerung von 61 Prozent. Anders ausgedrückt: Im letzten Jahr kam pro Tag ein neuer Dienst ins Unternehmen.

Cloud Computing ist also definitiv in den Betrieben angekommen und wird auch nicht mehr verschwinden. Die Spitzenreiter der Analyse hatten übrigens mehr als 3.000 Services im Einsatz. Die Gründe sind ja bekannt: Cloud-Dienste sind bequem und lassen sich flexibel sowie standortunabhängig einsetzen.

IT-DIRECTOR: Welche weiteren Erkenntnisse ziehen Sie aus dem Report?
D. Wolf:
Stichwort modernes Arbeiten – die berufliche Cloud-Nutzung hört niemals auf. Etwa 14 Prozent des Internet-Traffics von Unternehmen entfallen auf das Wochenende. Das sollten IT-Verantwortliche bei der Definition von Cloud-Strategien berücksichtigen. Darüber hinaus zeigt unsere Analyse, dass sich nicht jeder Dienst für den Einsatz in Unternehmen eignet. Nur sieben Prozent der Services genügen den Anforderungen hinsichtlich Sicherheit und Compliance. Zudem speichern mehr als 65 Prozent Kundendaten an Orten, die nicht den Datenschutzrichtlinien der EU entsprechen.

Alarmierend ist, dass vielen IT-Abteilungen nicht bewusst ist, in welchem Umfang Cloud-Dienste verwendet werden. Vergleicht man die subjektive Einschätzung mit unseren Nutzerdaten, dann wissen sie von weniger als zehn Prozent der eingesetzten Services.

IT-DIRECTOR: Welche Services beobachten Sie und nach welchen Kriterien bewerten Sie deren Risikopotential?
D. Wolf:
Unsere Datenbank umfasst zurzeit 12.000 Cloud-Dienste weltweit. Dazu zählen Office 365, Dropbox, Google Drive, Jive – die kennt jeder. Vielleicht können IT-Verantwortliche noch 40 weitere aus dem Stand heraus aufzählen, aber darüber hinaus wird es schon dünner. Wöchentlich fügen wir neue Services in unsere Datenbank hinzu: Storage-Lösungen, Backup-Tools, Dateikonvertierungswerkzeuge. Die Vielfalt ist immens. An dieser Stelle bieten wir Unterstützung mit einer Art Schufa-Auskunft für Cloud-Dienste.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2015. Bestellen Sie ein kostenfreies Probe-Abo.

Wir bewerten die Vertrauenswürdigkeit der Anbieter und das Risikopotential der Dienste anhand von rund 50 Attributen. Der Speicherort der Daten ist einer davon. Daneben gibt es rechtliche Aspekte, z.B. wo der Unternehmenssitz liegt oder wie mit dem geistigen Eigentum der Daten umgegangen wird. Sicherheitskriterien nehmen natürlich großen Raum ein: Welche Zertifizierungen kann der Dienstanbieter vorweisen, werden die Daten verschlüsselt, ist anonyme Nutzung möglich oder wie wird der Service vor Angriffen von außen geschützt?

IT-DIRECTOR: Was können IT-Verantwortliche unternehmen? Die Cloud-Nutzung verbieten?
D. Wolf:
Das ist eine Möglichkeit. Aber es ist wohl utopisch zu glauben, dass sich die Nutzung komplett blockieren lässt – dafür bieten diese Dienste den Mitarbeitern zu viele Vorteile. Am besten verfolgt man einen Mischansatz. Durch die – natürlich anonymisierte – Analyse ihres Netzwerks wissen die IT-Verantwortlichen, welche Art von Services die Mitarbeiter am meisten einsetzen. Hochriskante Dienste sollte man sperren. Andere lassen sich als Unternehmensstandard definieren und absichern.

IT-DIRECTOR: Welche zusätzlichen Sicherheitsmaßnahmen sollten Unternehmen ergreifen?
D. Wolf:
Zunächst sollten interne Regeln für den Einsatz und die Nutzung von Cloud-Diensten definiert werden. Dann benötigen IT-Verantwortliche Werkzeuge, mit denen sie die Schatten-IT analysieren können. Schließlich empfehlen wir Mechanismen, die die erwünschten und erlaubten Services aktiv absichern – beispielsweise kontextbasierte Zugangskontrolle. Damit haben nur definierte Personen oder Gruppen Zugriff auf bestimmte Dienste. Oder eine Lösung für Data Loss Prevention, die Hacks und Datendiebstähle erschwert.

Zudem sollten Daten automatisch verschlüsselt werden, sobald sie das Unternehmensnetzwerk verlassen. Das kann ein Reverse Proxy übernehmen, der zwischen dem Anwender – egal ob mobil oder on-premise – und dem Cloud-Service geschaltet wird. Essentiell ist aber, dass das Unternehmen die Hoheit und Kontrolle über den nötigen Schlüssel behält.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok