DSGVO und Schatten-IT

Gefahr durch Cloud-Wildwuchs

| Redakteur: Michael Eckstein

Unklare Datenhaltung: Ohne Wissen der IT gebuchte Cloud-Services können ernsthafte Probleme im Umgang mit der DSGVO verursachen.
Unklare Datenhaltung: Ohne Wissen der IT gebuchte Cloud-Services können ernsthafte Probleme im Umgang mit der DSGVO verursachen. (Bild: AXXCON)

Schatten-IT und DSGVO: Dezentral beschaffte Cloud-Services untergraben IT-Security in Unternehmen. Dadurch drohen empfindliche Bußgelder.

Das Sicherheitsrisiko durch den Wildwuchs von Cloud-Services in den Unternehmen steigt dramatisch. Das zeigt eine aktuelle Studie der Unternehmensberatung AXXCON, für die rund 200 Geschäftsführer, CIOs, IT-Leiter und Sicherheitsbeauftragte aus Unternehmen mit mindestens 500 Mitarbeitern befragt wurden.

So geht über die Hälfte der befragten Führungskräfte davon aus, dass in ihrem Unternehmen neben den zentral eingekauften und administrierten Cloud-Services auch dezentral beschaffte Dienste eingesetzt werden - ohne das Wissen von IT-, Security- oder Einkaufsabteilung. Etwa 30 Prozent der IT-Verantwortlichen schätzen, dass es sich dabei um mehr als zehn verschiedene Anwendungen handelt. 45 Prozent der Befragten machen keine Angabe.

Unklare Datenhaltung: Ohne Wissen der IT gebuchte Cloud-Services können ernsthafte Probleme im Umgang mit der DSGVO verursachen.
Unklare Datenhaltung: Ohne Wissen der IT gebuchte Cloud-Services können ernsthafte Probleme im Umgang mit der DSGVO verursachen. (Bild: AXXCON)

„Die Schatten-Cloud, die sich auf diese Weise bildet, ist ein riesiges Problem für die IT-Sicherheit“, mahnt Torsten Beyer, Partner und IT-Experte bei AXXCON. Und noch dazu eines, das sich mit hoher Geschwindigkeit vergrößert. „Schnell sind Cloud-Lösungen mit der Kreditkarte im Netz gebucht und stehen dann auch umgehend zur Verfügung“, kennt Beyer die Verlockungen solcher Angebote für Datenübertragung, Datenbank- oder Speicherlösungen.

Das Problem jedoch: Da die IT-Abteilung nicht über den Einsatz informiert ist, kann sie auch nicht sicherstellen, dass die Governance-Regeln des Betriebes eingehalten werden, was zum Beispiel die Nutzungsbedingungen des Anbieters oder den Standort seiner Rechenzentren betrifft.

Bei über der Hälfte der Unternehmen keine klare Cloud-Regelung

Diese Sicherheitsbedrohung durch nicht genehmigte Cloud-Services wird auch von den befragten IT-Verantwortlichen gesehen - und zwar keinesfalls nur theoretisch: Relevante Sicherheitsvorfälle infolge dezentral beschaffter Cloud-Anwendungen werden aus 17 Prozent der befragten Unternehmen gemeldet, von ihnen wiederum gibt jedes fünfte mehr als 50 Sicherheitsvorfälle an. Abhilfe schaffen viele Unternehmen dennoch nicht. So ist zwar in 45 Prozent der Unternehmen die Nutzung von Cloud-Diensten in der Betriebsvereinbarung zwischen Unternehmensleitung und Arbeitnehmervertretung geregelt. 29 Prozent der Unternehmen haben jedoch gar keine Vereinbarung dazu. Bei 15 Prozent der Unternehmen bestehen Vereinbarungen zwischen anderen Parteien, elf Prozent machen hierzu keine Angabe.

„Insgesamt zeigen die Studienergebnisse, dass viele Führungskräfte ihr Unternehmen sehenden Auges einem großen IT-Risiko aussetzen“, warnt Beyer. Und das obwohl sich die negativen Auswirkungen ab dem 25. Mai 2018 deutlich erhöhen. Ab diesem Tag gilt europaweit die neue Datenschutz-Grundverordnung (DSGVO), die die Anforderungen an den Umgang mit personenbezogenen Daten, etwa von Kunden und Mitarbeitern, verschärft. Konkret bedeutet das unter anderem: Jeder Kunde oder Mitarbeiter kann nachfragen, welche seiner Daten erfasst sind und wo diese gespeichert werden. Beyer: „Befinden sich Kunden- oder Personaldaten in einer unüberschaubaren Fülle von Cloud-Services, kann das schwierig bis unmöglich werden. Hinzu kommt, dass die Daten an Orten gespeichert sein können, an denen sie nicht sein dürften.“

Bei Verletzung der DSGVO drohen Bußgelder in Millionenhöhe

Bleibt das Unternehmen dem Kunden jedoch eine Antwort schuldig oder gibt nur lückenhaft Auskunft, drohen Geldstrafen, die mit dem Inkrafttreten der neuen Verordnung empfindlich anziehen werden. Bestimmte Verstöße können dann mit einem Bußgeld in Höhe von vier Prozent des weltweiten Umsatzes eines Unternehmens bzw. 20 Millionen Euro geahndet werden - je nachdem welche Summe höher ist. Neben den Bußgeldern der Aufsichtsbehörden drohen Abmahnungen von Verbraucherschutz- und Wettbewerbsverbänden und wettbewerbsrechtliche Abmahnungen von Konkurrenten. Davon auszugehen ist auch, dass so genannte Abmahnanwälte ein gutes Geschäft wittern.

„Die Technik entwickelt sich schneller als die Unternehmen nachkommen. Oftmals hat im Unternehmen auch niemand explizit die Verantwortung dafür, neue Sicherheitsrisiken aufzuspüren und gegenzusteuern“, weiß Beyer, der ausdrücklich nur vor den nicht genehmigten Cloud-Services warnt. Schließlich können regulär eingesetzte Cloud-Services einem Unternehmen sehr gute Dienste leisten und die eigenen IT-Experten sinnvoll entlasten. Die in den befragten Betrieben offiziell am häufigsten genutzten Services sind laut der Studie die von Microsoft Office 365 (gesamte Suite: 31 Prozent) und SAP (29 Prozent). Mit einigem Abstand folgen Microsoft Office 365 (nur Mail: 15 Prozent) sowie SalesForce und Amazons Cloud Computing-Plattform AWS (jeweils 13 Prozent).

Kompendium „Compliance im Cloud Computing“

Compliance im Cloud ComputingDas Thema Cloud-Compliance hat viele Facetten und mehrere Dimensionen – allen gemeinsam ist deren verpflichtende Einhaltung. Rechtliche und vertragliche Anforderungen, Regelwerke, Richtlinien & Standards sowie die Prüfung der Cloud-Compliance sind Themen dieser Ausgabe.  (PDF | ET 16.05.2018)

Kompendium herunterladen »

Wenn SaaS und DSGVO zur explosiven Mischung werden

Schatten-IT als Risiko für DSGVO

Wenn SaaS und DSGVO zur explosiven Mischung werden

15.05.18 - SaaS ist ein kommodes Mittel für Kunden, ihre Software einfach über das Internet zu beziehen. In Hinblick auf die europäische Datenschutzgrundverordnung (DSGVO) ist sie allerdings ein nicht zu unterschätzender Risikofaktor. lesen

DSGVO-Guide: Welche Bereiche sind eigentlich betroffen?

Datenschutz-Grundverordnung (DSGVO): Ist-Analyse und Readiness-Check

DSGVO-Guide: Welche Bereiche sind eigentlich betroffen?

19.03.18 - Bevor Unternehmen feststellen können, wo sie eigentlich bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) stehen, müssen sie wissen, welche Bereiche im Unternehmen davon überhaupt betroffen sind. Dieser Guide nennt die wichtigsten Punkte. lesen

DSGVO & Datenschutz - wird jetzt alles besser?

Dieser Beitrag erschien ursprünglich bei unserer Schwester-Publikation Elektronik Praxis (verantwortlicher Redakteur: Michael Eckstein).

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45305088 / Risk Management)