Die Schatten-IT ausleuchten
Gastbeitrag: Robert Arandjelovic, Director Security Strategy EMEA bei Blue Coat schreibt über Cloud Computing, Compliance und Schatten-IT
Cloud Computing zählt zu den Dauerbrennern unter den IT-Trends. Effizienz, Einsparpotenziale und Flexibilität bewegen auch hierzulande immer mehr Unternehmen dazu, etwa Office- oder CRM-Anwendungen aus der Wolke zu beziehen. Wenn von Cloud die Rede ist, sind auch die Themen IT-Sicherheit, Compliance und Schatten-IT nicht weit. Doch mit aktuellen Cloud-tauglichen Lösungen lassen sich diese Herausforderungen mit überschaubarem Aufwand in den Griff kriegen.
IT-Sicherheit und Cloud Computing zählen zu den Top 3 Digitalthemen, wie der Branchenverband Bitkom ermittelte. 44 Prozent der Unternehmen in Deutschland, so der Cloud Monitor 2015, setzen bereits auf das Prinzip Software as a Service (SaaS) und weitere 24 Prozent planen den Einsatz von Cloud-Lösungen. Doch mit der zunehmenden Nutzung geht immer stärker der Überblick darüber verloren, welche Fachabteilungen ohne Wissen der IT-Abteilung welche Anwendungen nutzen.Noch weniger wissen IT-Security-Verantwortliche in der Regel, welche Programme Mitarbeiter an den Regularien vorbei als sogenannte Shadow-IT verwenden, wenn es beispielsweise um die Nutzung von Smartphones und somit gegebenenfalls kritischer Apps im Unternehmensnetzwerk geht. Diese machen sogar den Löwenanteil der in Unternehmen eingesetzten Cloud-Anwendungen aus. Blickt man auf die verschiedenen Fachabteilungen, wird schnell klar, welche Probleme durch die Nutzung von Cloud-Anwendungen, wie beispielsweise Box und Dropbox entstehen. Allein diese beiden Apps verzeichnen – laut Shadow Data Report 2 HJ 2015 von Elastica – den höchsten Bandbreitenverbrauch für Collaboration und File Sharing. Diese und ähnliche Anwendungen werden häufig an der IT vorbei genutzt, ebenso wie die viert- und fünftplatzierten Google Drive und Evernote. Das meist „offiziell“ bereitgestellte Office365 liegt auf Platz drei. Tatsächlich werden in Unternehmen durchschnittlich 812 Cloud-basierte Apps eingesetzt, im ersten Halbjahr 2015 waren es noch 774.
Der Grund ist einfach: Mitarbeiter nutzen gern Anwendungen, die sie aus ihrem Privatleben kennen und die sich eignen, um auch effizient damit zu arbeiten. Doch gerade der Einsatz von bekannten Apps verleitet viele Mitarbeiter dazu, leichtsinnig zu werden. So hat die Elastica-Studie ermittelt, dass Anwender, die Dokumente auf einem File Share ablegen, 66 Prozent dieser Dokumente ohne Einschränkung jedem Account im Unternehmen freigeben. Durch diesen praktisch uneingeschränkten Zugriff erhöht sich die Gefahr, dass Daten versehentlich in falsche Hände geraten. Noch schlimmer: Über 23 Prozent der Dokumente werden sogar mit der breiten Öffentlichkeit geteilt. Wer den Link kennt oder über eine Suche ermittelt, kann darauf zugreifen. Zehn Prozent dieser Dokumente enthielten von Compliance-Vorgaben betroffene Daten wie persönliche Angaben, Kreditkarteninformationen oder Patientendaten. Den Schaden durch einen Verlust solch sensibler Daten schätzt Elastica im zweiten Halbjahr 2015 auf 1,9 Millionen US-Dollar pro Unternehmen.
Rechtsunsicherheit im internationalen Datenverkehr
Hinzu kommt für die meisten CIOs und CSOs die derzeit unsichere Rechtslage bei der Nutzung vieler Cloud-Anwendungen, da sich die entsprechenden Server in der Regel zumindest teilweise in den USA befinden. Der Europäische Gerichtshof hat im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt. Zwar wurde im Februar 2016 ein Nachfolgeabkommen unter dem Namen EU-US Privacy Shield geschlossen, doch bleiben dabei noch viele Fragen unbeantwortet und die Gesetzeslage ist unbeständig. Zum Beispiel soll wohl das US Department of Commerce die Einhaltung der Datenschutzregeln auf US-Seite prüfen. Diese Aufgabe hatte es jedoch schon auf Grundlage des Safe-Harbor-Abkommens und viele bezweifeln, dass es diese ordentlich durchführte. Wer kontrolliert also die Kontrolleure? Diese Frage bleibt ebenso offen wie die konkrete Ausgestaltung der Klagemöglichkeiten der europäischen Bürger und Unternehmen in den USA. Zudem äußerten sich viele nationale Datenschutzbehörden noch nicht zu dem neuen Abkommen und die Repräsentanten der 28 EU-Mitgliedsstaaten müssen der neuen Vereinbarung erst zustimmen. Das kann Monate dauern.
Entsprechend sind die Unternehmen in Bezug auf einen Compliance-konformen Umgang mit Daten verunsichert.
Safe Harbor am Ende: 6 häufig gestellte Fragen |
Viele haben geplante Cloud-Migrationen gestoppt oder erwägen die Einführung der vom Gesetzgeber befürworteten „Model Clauses“. Doch auch Standardvertragsklauseln bieten keine Sicherheit, da viele IT-Entscheider keinen ausreichenden Überblick darüber besitzen, welche Cloud-Anwendungen in ihrem Unternehmen überhaupt genutzt werden – ob legitim oder als Schatten-IT. Wer Cloud-Apps reglementieren muss, benötigt aber dieses Wissen, um ein Risiko-Assessment durchzuführen. An genau dieser Stelle besteht dringender Handlungsbedarf.
Eine Lösung für die Absicherung der Cloud-Zugriffe und eine sinnvolle Reglementierung bieten innovative Technologien wie Cloud Access Security Broker (CASB). Über sie sagt Gartner: „Bis 2020 werden 85 Prozent der großen Unternehmen eine Cloud Access Security Broker-Lösung für ihre Cloud Services einsetzen.“ CASB sind meist Cloud-basierte Security-Plattformen, mit denen Unternehmen gezielt den Zugriff auf Cloud-Anwendungen kontrollieren können. In der Praxis kommen sie vorrangig in zwei Szenarien zum Einsatz: um sich einen Überblick über unternehmenseigene die Cloud-Umgebung zu verschaffen und um die Durchsetzung von Sicherheitsrichtlinien in der Cloud zu gewährleisten.
Für die Transparenz greifen CASB-Lösungen meist auf die Log-Files der bestehendenIT-Security-Systeme zu und analysieren diese gezielt im Hinblick auf den stattfindenden Cloud-Traffic. Die gesammelten Logs werden anschließend mit einer Cloud-Datenbank von über 10.000 bekannten Cloud-Apps abgeglichen, kategorisiert und nach Risiken eingestuft. So erhalten die Verantwortlichen eine aussagekräftige Gegenüberstellungmit den unternehmensweit eingesetzten Apps.
Auf diese Weise können Unternehmen auch bei sich ändernder Rechtslage die Kontrolle über ihre Daten behalten und Cloud-Technologien einsetzen. Denn nur wer den Überblick über die eigene IT hat, ist handlungsfähig, und Ansätze wie CASBhelfen dabei.
Autor: Robert Arandjelovic, Director Security Strategy EMEA bei Blue Coat
Weitere Informationen: Blue Coat
Aufmacherbild / Lizenz: Ines Njers/ Creative Commons