Das Sicherheitsrisiko durch den Wildwuchs von Cloud-Services in
den Unternehmen steigt dramatisch. Das zeigt eine aktuelle Studie der
Unternehmensberatung AXXCON, für die rund 200 Geschäftsführer, CIOs,
IT-Leiter und Sicherheitsbeauftragte aus Unternehmen mit mindestens
500 Mitarbeitern befragt wurden. So geht über die Hälfte der
befragten Führungskräfte davon aus, dass in ihrem Unternehmen neben
den zentral eingekauften und administrierten Cloud-Services auch
dezentral beschaffte Dienste eingesetzt werden – ohne das Wissen von
IT-, Security- oder Einkaufsabteilung. Etwa 30 Prozent der
IT-Verantwortlichen schätzen, dass es sich dabei um mehr als zehn
verschiedene Anwendungen handelt. 45 Prozent der Befragten machen
keine Angabe.
„Die Schatten-Cloud, die sich auf diese Weise bildet, ist ein
riesiges Problem für die IT-Sicherheit“, mahnt Torsten Beyer, Partner
und IT-Experte bei AXXCON. Und noch dazu eines, das sich mit hoher
Geschwindigkeit vergrößert. „Schnell sind Cloud-Lösungen mit der
Kreditkarte im Netz gebucht und stehen dann auch umgehend zur
Verfügung“, kennt Beyer die Verlockungen solcher Angebote für
Datenübertragung, Datenbank- oder Speicherlösungen. Das Problem
jedoch: Da die IT-Abteilung nicht über den Einsatz informiert ist,
kann sie auch nicht sicherstellen, dass die Governance-Regeln des
Betriebes eingehalten werden, was zum Beispiel die
Nutzungsbedingungen des Anbieters oder den Standort seiner
Rechenzentren betrifft.
Diese Sicherheitsbedrohung durch nicht genehmigte Cloud-Services
wird auch von den befragten IT-Verantwortlichen gesehen – und zwar
keinesfalls nur theoretisch: Relevante Sicherheitsvorfälle infolge
dezentral beschaffter Cloud-Anwendungen werden aus 17 Prozent der
befragten Unternehmen gemeldet, von ihnen wiederum gibt jedes fünfte
mehr als 50 Sicherheitsvorfälle an. Abhilfe schaffen viele
Unternehmen dennoch nicht. So ist zwar in 45 Prozent der Unternehmen
die Nutzung von Cloud-Diensten in der Betriebsvereinbarung zwischen
Unternehmensleitung und Arbeitnehmervertretung geregelt. 29 Prozent
der Unternehmen haben jedoch gar keine Vereinbarung dazu. Bei 15
Prozent der Unternehmen bestehen Vereinbarungen zwischen anderen
Parteien, elf Prozent machen hierzu keine Angabe.
Mit der DSGVO drohen Bußgelder in Millionenhöhe
„Insgesamt zeigen die Studienergebnisse, dass viele Führungskräfte
ihr Unternehmen sehenden Auges einem großen IT-Risiko aussetzen“,
warnt Beyer. Und das obwohl sich die negativen Auswirkungen ab dem
25. Mai 2018 deutlich erhöhen. Ab diesem Tag gilt europaweit die neue
Datenschutz-Grundverordnung (DSGVO), die die Anforderungen an den
Umgang mit personenbezogenen Daten, etwa von Kunden und Mitarbeitern,
verschärft. Konkret bedeutet das unter anderem: Jeder Kunde oder
Mitarbeiter kann nachfragen, welche seiner Daten erfasst sind und wo
diese gespeichert werden. Beyer: „Befinden sich Kunden- oder
Personaldaten in einer unüberschaubaren Fülle von Cloud-Services,
kann das schwierig bis unmöglich werden. Hinzu kommt, dass die Daten
an Orten gespeichert sein können, an denen sie nicht sein dürften.“
Bleibt das Unternehmen dem Kunden jedoch eine Antwort schuldig
oder gibt nur lückenhaft Auskunft, drohen Geldstrafen, die mit dem
Inkrafttreten der neuen Verordnung empfindlich anziehen werden.
Bestimmte Verstöße können dann mit einem Bußgeld in Höhe von vier
Prozent des weltweiten Umsatzes eines Unternehmens bzw. 20 Millionen
Euro geahndet werden Рje nachdem welche Summe h̦her ist. Neben den
Bußgeldern der Aufsichtsbehörden drohen Abmahnungen von
Verbraucherschutz- und Wettbewerbsverbänden und wettbewerbsrechtliche
Abmahnungen von Konkurrenten. Davon auszugehen ist auch, dass so
genannte Abmahnanwälte ein gutes Geschäft wittern.
„Die Technik entwickelt sich schneller als die Unternehmen
nachkommen. Oftmals hat im Unternehmen auch niemand explizit die
Verantwortung dafür, neue Sicherheitsrisiken aufzuspüren und
gegenzusteuern“, weiß Beyer, der ausdrücklich nur vor den nicht
genehmigten Cloud-Services warnt. Schließlich können regulär
eingesetzte Cloud-Services einem Unternehmen sehr gute Dienste
leisten und die eigenen IT-Experten sinnvoll entlasten. Die in den
befragten Betrieben offiziell am häufigsten genutzten Services sind
laut der Studie die von Microsoft Office 365 (gesamte Suite: 31
Prozent) und SAP (29 Prozent). Mit einigem Abstand folgen Microsoft
Office 365 (nur Mail: 15 Prozent) sowie SalesForce und Amazons Cloud
Computing-Plattform AWS (jeweils 13 Prozent).
Ãœber AXXCON
AXXCON ist ein unabhängiges und zu 100 Prozent inhabergeführtes
Dienstleistungsunternehmen mit weitreichenden Erfahrungen in
strategischen Transformationsprojekten. AXXCON unterstützt große und
mittelständische Unternehmen aus der Energiewirtschaft, Industrie und
Dienstleistungsbranchen. Bei den Kunden arbeiten unsere Berater an
der Nahtstelle von Fachbereichen, Prozessmanagement und
Informationstechnik. Die Schwerpunkte sind Transformation, Change
Management, Effizienzsteigerung/Sourcing, IT-Strategie und
Organisation. Die messbare Verbesserung von Projektergebnissen und
Prozessen steht im Mittelpunkt der Beratungs- und
Management-Tätigkeit.
Pressekontakt:
Karim Schäfer
Main-Pressesprecher
Tel.: 0173 – 84 121 83
Mail: schaefer@main-pressesprecher.de
Original-Content von: AXXCON GmbH & Co. KG, übermittelt durch news aktuell
Schatten-IT und DSGVO / Studie warnt vor Risiken durch dezentral beschaffte Cloud-Services (FOTO) hinzugefügt von ots am
Alle Beiträge von ots →
