Wenn Unternehmensdaten unbemerkt in die Cloud wandern

Durch Lockdown und Homeoffice boomt der Cloud-Sektor, doch nicht jeder Cloud-Dienst steht im Einklang mit den Unternehmensrichtlinien. Zahlreiche Probleme sind die Folge.

Befördert durch die Corona-Pandemie hat sich in vielen Unternehmen unbemerkt eine zweite IT-Landschaft entwickelt. Häufig wurden Unternehmen von der Krise kalt erwischt, Mitarbeiter mussten plötzlich ins Homeoffice, aber dafür geeignete Anwendungen standen im Unternehmen nicht zur Verfügung. Doch Arbeitnehmer und Arbeitnehmerinnen sind erfinderisch, bietet der Arbeitgeber keine Lösung, schaffen sie sich selbst eine. In der Folge teilen Mitarbeiter Daten über Cloud-Speicher wie Dropbox, tauschen Nachrichten über Messenger wie WhatsApp aus oder nutzen Google-Kalender, um Termine mit betriebsfremden Personen zu vereinbaren. Auch Cloud-Konverter sind beliebt, etwa um PDF-Dateien in Microsoft-Word-Dokumente zurückzuverwandeln. Woran Nutzer in dem Moment zumeist nicht denken: Damit gerät der Inhalt der Textdatei – also Firmen- oder gar Kundendaten – in fremde Hände, nämlich in die des Konverterbetreibers.
 

Schattenseiten der Cloud-Nutzung

Schon in den Jahren vor Corona entwickelte sich in vielen Unternehmen im Hintergrund eine eigene IT-Welt. Das Problem ist Sicherheitsspezialisten bekannt, sie sprechen von einer sogenannten Schatten-IT, die unkontrolliert im Unternehmen eingesetzt wird. Diese Anwendungen werden gewöhnlich nicht von der eigenen IT-Abteilung kontrolliert, teilweise ist deren Verwendung sogar in Unternehmensrichtlinien untersagt. Das Ausmaß dieses Phänomens ist nicht zu unterschätzen: Das Institut für Prozesssteuerung an der Hochschule Konstanz hat ein eigenes Forschungsprojekt zur Schatten-IT initiiert. Eine Umfrage im Rahmen des Projekts ergab, dass bei größeren Unternehmen 10 bis 50 Prozent der Unternehmens-IT zur Schatten-IT gehören. 

Die Ursachen sind vielfältig und liegen oft in organisatorischen Defiziten des Unternehmens. Nutzer denken sich nichts dabei, wenn es gerade schnell gehen muss. Da scheint die Cloud-Lösung naheliegend. Die Folgen sind vielschichtig und können durchaus gravierend sein.

 

Sicherheitsrisiko Schatten-IT

Da nicht mehr bekannt ist, wo welche Daten liegen, können auch Schutzmechanismen nicht greifen, die Vorkehrungen der IT-Abteilung laufen ins Leere, Datensicherheit und Datenschutz sind praktisch nicht zu gewährleisten. Die Angriffsfläche gegenüber Cyber-Attacken vergrößert sich und es besteht die Gefahr, dass über die unkontrolliert genutzte Cloud-Software Malware in die Unternehmens-IT eingeschleppt wird.

Die Nutzer sind auf sich selbst gestellt, da die Anbieter dieser Cloud-Lösungen gewöhnlich keinen Kunden-Support bieten und die IT-Fachabteilung für solche Anwendungen keinen Support leistet. Auch laufen die Planungen der IT an diesem Bereich vorbei, es kommt eventuell zu parallelen Strukturen und Überschneidungen. Die Anbieter gewähren ihrerseits keine Planungssicherheit, Dienste werden kurzfristig radikal verändert, kostenpflichtig oder teurer und manchmal sogar eingestellt. Da es aber über die Schatten-IT keine Übersicht gibt, können Daten aus diesem irregulären Bereich auch nur schwer in die Anwendungen des Unternehmens migriert werden. Daraus ergibt sich schlimmstenfalls ein dauerhafter grauer Datenbestand. Was für Einzelne kurzfristig als effiziente Lösung erschient, führt so längerfristig zu Ineffizienz, in deren Konsequenz ein Produktivitätsverlust droht.

Technische Lösungen können die Kontrolle von Cloud-Anwendungen signifikant verbessern. Details finden sich  im Artikel.

Autor: Uwe Sievers