- silicon.de - http://www.silicon.de -

Geldfalle Schatten-IT: Wie unautorisierte Cloud-Dienste zum Problem werden

In deutschen Unternehmen herrscht IT-Chaos: Der typische Büroangestellte nutzt im Schnitt fast 36 verschiedene Cloud-Dienste, neun verschiedene Collaboration-Lösungen und fünf unterschiedliche Content-Sharing-Services. Viele dieser Dienste sind weder von der IT-Abteilung legitimiert noch toleriert. Diese sogenannte Schatten-IT stellt nicht nur ein massives Sicherheitsrisiko dar, sondern kann ab Mai nächsten Jahres dazu auch noch richtig teuer werden.

[caption id="attachment_41657491" align="alignright" width="250"]Jamshid Rezaei CIO Mitel (Bild: Mitel) [1] Jamshid Rezaei, der Autor dieses Gastbeitrags für silicon.de, ist CIO bei Mitel (Bild: Mitel)[/caption]

Laut der Studie Cloud Adoption & Risk Report Q4 [2] des Cloud-Security-Anbieters Skyhigh, die 2016 veröffentlich wurde, kommen in Unternehmen hunderte verschiedener Cloud-Dienste zum Einsatz, von denen jedoch weniger als ein Zehntel von der IT-Abteilung genehmigt sind. Für die meisten Mitarbeiter ist der Grund für den Rückgriff auf derartige Dienste reine Bequemlichkeit. Sie sind häufig nicht bereit sich auf andere und möglicherweise auch umständlichere Lösungen des Arbeitgebers einzulassen und nutzen weiterhin die Apps, die sie privat sowieso schon kennen – natürlich ohne den Segen der IT-Abteilung.

Ab 2018 stellt dieses Verhalten jedoch nicht nur ein massives Sicherheitsrisiko dar, sondern kollidiert auch mit der komplexen europäischen Datenschutz-Grundverordnung (DSGVO [3]), die am 25. Mai in Kraft tritt. Das auch als General Data Protection Regulation (GDPR) bekannte neue Gesetz regelt die Sicherung und Speicherung von personenbezogenen Daten europäischer Bürger. Für Verbraucher bedeutet dies mehr Kontrolle: Dank der DSGVO können sie ab Mai neben der Einsicht in die von ihnen gespeicherten personenbezogenen Daten durch das Recht auf Vergessenwerden auch deren Löschung beantragen.

Schatten-IT kann Millionen kosten

Für die Unternehmen bedeutet das unter anderem, dass sie den genauen Speicherort von personenbezogenen Daten kennen müssen. Nur so können sie Auskunft über die gespeicherten Daten geben und diese gegebenenfalls auch löschen. Laut einer weltweiten Umfrage von Dimensional Research [4] werden aber fast 70 Prozent der Betroffenen den Anforderungen der DSGVO nicht gerecht oder wissen nicht, ob sie ihnen gerecht werden. Das trifft auf den Mittelstand genauso zu wie auf Großkonzerne.

[highlightbox id="41634275"]

Dafür verantwortlich ist unter anderem die Schatten-IT, die beispielsweise durch den Rückgriff der Mitarbeiter auf kostenlose Cloud-Dienste entstehen kann. Während derartige Cloud-Dienste für den privaten Gebrauch durchaus nützlich sind, führen sie in Unternehmen dazu, dass Daten unkontrolliert die IT-Infrastruktur verlassen. Im schlimmsten Fall handelt es sich dabei um personenbezogene Daten oder deren Duplikate, die für den IT-Administrator unauffindbar – und damit nicht DSGVO konform – in der Cloud verschwinden.

Je nachdem wie schwerwiegend der Verstoß gegen die Datenschutz-Grundverordnung ist, kann er Unternehmen bei technischen Verstößen 2 Prozent des Umsatzes oder 10 Millionen Euro und bei schweren Vergehen sogar 4 Prozent des Umsatzes oder 20 Millionen Euro kosten – je nachdem welche Summe höher ist.

Peitsche oder doch Zuckerbrot?

Es gibt unterschiedliche Ansätze, um Schatten-IT zu vermeiden. Dabei sind einige eleganter als andere. Es ist zum Beispiel durchaus denkbar, die entsprechenden Public-Cloud-Dienste für die Angestellten zu blockieren. Auf Dauer und mit letzter Konsequenz lässt sich Schatten-IT jedoch durch dieses Modell nicht aussperren.

Gerade in mittelständischen Unternehmen ist die IT-Abteilung klein und muss sich aus Zeitmangel auf wenige Kernaufgaben konzentrieren. Das tägliche Durchforsten der ständig wachsenden Zahl von Apps nach neuen potenziellen Bedrohungen würde sich nicht nur zu einer belastenden Sisyphusaufgabe für die IT-Abteilung entwickeln, sondern auch das Risiko von Datenlecks erhöhen und Angriffsfläche für Hackerangriffe bieten.

[highlightbox id="41636025"]

Eine nachhaltige Alternative bietet der Einsatz von Collaboration-Lösungen, wie zum Beispiel von Mitel [5], die sich vollständig und nahtlos mit vorhandener Unternehmenssoftware wie zum Beispiel CRM-, ERP- oder CMS-Lösungen verknüpfen lassen. Der große Funktionsumfang sorgt dafür, dass Mitarbeitern für nahezu alle Nutzungsszenarien passende Anwendungen zur Verfügung stehen, die intuitiv zu bedienen sind und auch den alltäglichen privat genutzten Apps ähneln.

[caption id="attachment_41657499" align="aligncenter" width="684"]Der Client von Mitel erlaubt Mitarbeitern mobiles und unabhängiges Arbeiten und gibt der IT-Abteilung Gewissheit, dass Daten innerhalb des Unternehmens bleiben (Bild: Mitel) [6] Der Client von Mitel erlaubt Mitarbeitern mobiles und unabhängiges Arbeiten und gibt der IT-Abteilung Gewissheit, dass Daten innerhalb des Unternehmens bleiben (Bild: Mitel)[/caption]

Entsprechende Collaboration-Lösungen enthalten zum Beispiel Basisfunktionen wie E-Mail, Chat, Videotelefonie sowie Terminplanung und die Möglichkeit Dokumenten und Präsentationen einzubinden und gemeinsam zu bearbeiten. Der zentrale Zugang zu Informationen erleichtert nicht nur die Zusammenarbeit und den Informationsaustausch zwischen Mitarbeitern, Kunden, Partnern und Zulieferern, sondern sorgt auch dafür, dass sicherheitsrelevante Daten innerhalb des Unternehmens verbleiben.

Ein weiterer Vorteil derartiger Lösungen ist die vollwertige Unterstützung von mobilen Endgeräten. Die Anwender sind also nicht gezwungen, Notlösungen zu finden, wenn sie nicht nur via Desktop arbeiten wollen. Gleichzeitig können sie ohne Brüche in der Kommunikation zwischen mobilen oder lokalen Geräten hin- und herwechseln. Bei einer laufenden Videokonferenz würde es zum Beispiel bedeuten, dass zwischen Desktop-PC und Smartphone gewechselt werden kann, ohne dass das Gegenüber etwas merkt.

Lassen Collaboration-Lösungen zudem die nahtlose Integration von Anwendung von Drittanbietern wie zum Beispiel Dropbox, Salesforce, Evernote oder GitHub zu, hat die IT tatsächlich immer den vollständigen Überblick über die Speicherorte von Daten.

Voll integrierte Collaboration-Lösungen sind also eine nachhaltige Möglichkeit, Schatten-IT im Unternehmen zu bekämpfen, personenbezogene Daten innerhalb der Grenzen der eigenen IT-Infrastruktur zu halten und dadurch die Gefahr zu minimieren, die Anforderungen der im nächsten Jahr in Kraft tretenden Datenschutz-Grundverordnung nicht zu erfüllen. Unternehmen haben so einen Kopfschmerz weniger und können sich um weitere Bausteine der DSGVO-Konformität wie zum Beispiel die konstante Pflege und Inventarisierung von personenbezogenen Daten kümmern.

[poll id="36"]