Tote Winkel in der IT

Cloud Computing reißt neue Sicherheitslücken

| Autor / Redakteur: Harald Schilling * / Elke Witmer-Goßner

Mobile Geräte und überall frei verfügbare Apps: Noch nie war es leichter, die strengen Admins der Unternehmens-IT zu hintergehen.
Mobile Geräte und überall frei verfügbare Apps: Noch nie war es leichter, die strengen Admins der Unternehmens-IT zu hintergehen. (Bild: Shepherd302, Fotolia)

Cloud Computing gilt als der nächste Schritt in der Evolution der Informationstechnologie. Denn immer mehr Unternehmen erkennen, dass es nicht zu ihrem Kerngeschäft gehört, ein eigenes Rechenzentrum zu betreiben.

In der Tat bietet Cloud Computing gegenüber dem traditionellen Rechenzentrum vor Ort enorme Vorteile wie die flexible Nutzung benötigter Speicher- und Rechenkapazitäten, die globalen Nutzungsmöglichkeiten in Minutenschnelle sowie Kosten- und Lizensierungsvorteile. Zu diesen Vorteilen zählen „pay as you use“ sowie die Vermeidung hoher Investitionen/CapEx, da diese durch regelmäßige, gut kalkulierbare Zahlungen/OpEx ersetzt werden.

Während noch vor wenigen Jahren die Skepsis gegenüber Cloud Computing hinsichtlich der Sicherheit der eigenen Daten in der Cloud vorherrschte, hat sich der Wind inzwischen gedreht: Führende Cloud-Anbieter haben massiv in diesem Bereich investiert und bieten mittlerweile beeindruckende „Blumensträuße“ an inkludierten und optionalen Sicherheitsmaßnahmen an. Hierzu zählen die Verschlüsselung der Kundendaten, eine Zwei-Faktor-Authentifizierung oder ein umfangreiches Logging und Monitoring, das leicht in ein vorhandenes SIEM-(Security Information and Event Management)-System eingebunden werden kann.

Neue Gefahren

Während diese Aufrüstungsinitiativen der Cloud-Anbieter in Bezug auf die IT-Sicherheit von Kunden mit Wohlwollen zur Kenntnis genommen werden, wird eine andere, neue Sicherheitslücke, die mit dem rasanten Wachstum des Cloud Computing einhergeht, meist übersehen: die sogenannte Schatten-IT.

Viele Mitarbeiter oder ganze Fachabteilungen nutzen bereits Cloud-Anwendungen und speichern und verarbeiten Unternehmensdaten in der Cloud ohne jede Abstimmung und Rücksprache mit der IT-Abteilung. Ein Beispiel: Eine fleißige Sekretärin benötigt heutzutage keinen USB-Stick zum Datentransport mehr, wenn sie den angefangenen Bericht spätabends zuhause noch fertig schreiben möchte, sobald die Kinder im Bett sind. Die Datei wird einfach in ihrem privaten Cloud-Speicher (OneDrive, Dropbox etc.) hochgeladen. Im Wiederholungsfall und bei mehreren Mitarbeitern finden sich da ganz schnell komplette Ordnerstrukturen des Unternehmens mit vertraulichen Daten in multiplen privaten Cloud-Speichern – ungeschützt und ohne Kenntnis der IT-Abteilung.

Um ein weiteres Beispiel der Schatten-IT zu nennen: Fachabteilungen benötigen heutzutage keine langwierigen Beantragungs- und Bestellprozeduren mehr, um eine neue Applikation einzuführen – eine Kreditkarte und das Ausfüllen eines Online-Formulars reichen aus. Bereits nach fünf Minuten hat auf diese Weise die ganze Fachabteilung Zugriff auf die neue SaaS-Applikation und erste Unternehmensdaten wandern in die Cloud. Während die gut organisierte IT-Abteilung noch denkt, dass sie 100 Prozent der Unternehmens-IT verwaltet, steuert und sichert sie tatsächlich nur noch 70 oder 80 Prozent davon. Die Schatten-IT ist also „der“ tote Winkel für Datenlecks im Zeitalter des Cloud Computings. Die unkontrollierte Nutzung von Cloud-Diensten sowie die damit verbundene Multiplizierung der Cloud-Speicherorte für Unternehmensdaten ist daher ein Horrorszenario für viele Unternehmen. Vor allem dann, wenn einschlägige Regularien oder Vorgaben für die nächste ISO-Zertifizierung eingehalten werden müssen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43557762 / Compliance)