Suchen

Tote Winkel in der IT Cloud Computing reißt neue Sicherheitslücken

| Autor / Redakteur: Harald Schilling * / Elke Witmer-Goßner

Cloud Computing gilt als der nächste Schritt in der Evolution der Informationstechnologie. Denn immer mehr Unternehmen erkennen, dass es nicht zu ihrem Kerngeschäft gehört, ein eigenes Rechenzentrum zu betreiben.

Firma zum Thema

Mobile Geräte und überall frei verfügbare Apps: Noch nie war es leichter, die strengen Admins der Unternehmens-IT zu hintergehen.
Mobile Geräte und überall frei verfügbare Apps: Noch nie war es leichter, die strengen Admins der Unternehmens-IT zu hintergehen.
(Bild: Shepherd302, Fotolia)

In der Tat bietet Cloud Computing gegenüber dem traditionellen Rechenzentrum vor Ort enorme Vorteile wie die flexible Nutzung benötigter Speicher- und Rechenkapazitäten, die globalen Nutzungsmöglichkeiten in Minutenschnelle sowie Kosten- und Lizensierungsvorteile. Zu diesen Vorteilen zählen „pay as you use“ sowie die Vermeidung hoher Investitionen/CapEx, da diese durch regelmäßige, gut kalkulierbare Zahlungen/OpEx ersetzt werden.

Während noch vor wenigen Jahren die Skepsis gegenüber Cloud Computing hinsichtlich der Sicherheit der eigenen Daten in der Cloud vorherrschte, hat sich der Wind inzwischen gedreht: Führende Cloud-Anbieter haben massiv in diesem Bereich investiert und bieten mittlerweile beeindruckende „Blumensträuße“ an inkludierten und optionalen Sicherheitsmaßnahmen an. Hierzu zählen die Verschlüsselung der Kundendaten, eine Zwei-Faktor-Authentifizierung oder ein umfangreiches Logging und Monitoring, das leicht in ein vorhandenes SIEM-(Security Information and Event Management)-System eingebunden werden kann.

Neue Gefahren

Während diese Aufrüstungsinitiativen der Cloud-Anbieter in Bezug auf die IT-Sicherheit von Kunden mit Wohlwollen zur Kenntnis genommen werden, wird eine andere, neue Sicherheitslücke, die mit dem rasanten Wachstum des Cloud Computing einhergeht, meist übersehen: die sogenannte Schatten-IT.

Viele Mitarbeiter oder ganze Fachabteilungen nutzen bereits Cloud-Anwendungen und speichern und verarbeiten Unternehmensdaten in der Cloud ohne jede Abstimmung und Rücksprache mit der IT-Abteilung. Ein Beispiel: Eine fleißige Sekretärin benötigt heutzutage keinen USB-Stick zum Datentransport mehr, wenn sie den angefangenen Bericht spätabends zuhause noch fertig schreiben möchte, sobald die Kinder im Bett sind. Die Datei wird einfach in ihrem privaten Cloud-Speicher (OneDrive, Dropbox etc.) hochgeladen. Im Wiederholungsfall und bei mehreren Mitarbeitern finden sich da ganz schnell komplette Ordnerstrukturen des Unternehmens mit vertraulichen Daten in multiplen privaten Cloud-Speichern – ungeschützt und ohne Kenntnis der IT-Abteilung.

Um ein weiteres Beispiel der Schatten-IT zu nennen: Fachabteilungen benötigen heutzutage keine langwierigen Beantragungs- und Bestellprozeduren mehr, um eine neue Applikation einzuführen – eine Kreditkarte und das Ausfüllen eines Online-Formulars reichen aus. Bereits nach fünf Minuten hat auf diese Weise die ganze Fachabteilung Zugriff auf die neue SaaS-Applikation und erste Unternehmensdaten wandern in die Cloud. Während die gut organisierte IT-Abteilung noch denkt, dass sie 100 Prozent der Unternehmens-IT verwaltet, steuert und sichert sie tatsächlich nur noch 70 oder 80 Prozent davon. Die Schatten-IT ist also „der“ tote Winkel für Datenlecks im Zeitalter des Cloud Computings. Die unkontrollierte Nutzung von Cloud-Diensten sowie die damit verbundene Multiplizierung der Cloud-Speicherorte für Unternehmensdaten ist daher ein Horrorszenario für viele Unternehmen. Vor allem dann, wenn einschlägige Regularien oder Vorgaben für die nächste ISO-Zertifizierung eingehalten werden müssen.

(ID:43557762)