Cloud Computing

Die unsichtbaren Risiken der Schatten-IT

10.11.2017
Von 
Wolfgang Herrmann war Editorial Manager CIO Magazin bei IDG Business Media. Zuvor war er unter anderem Deputy Editorial Director der IDG-Publikationen COMPUTERWOCHE und CIO und Chefredakteur der Schwesterpublikation TecChannel.
Wenn Mitarbeiter auf eigene Faust Cloud-Services nutzen, entstehen Sicherheits- und Compliance-Risiken. Abhilfe schaffen können Single-Sign-on-Systeme und Cloud Access Security Broker (CASB).

Es geht so einfach, und es passiert in jedem Unternehmen: Ein Mitarbeiter entdeckt ein kleines Tool in der Cloud, das ihm die Arbeit erleichtert. Flugs legt er einen Account an und lädt die Kollegen ein, den Cloud-Service ebenfalls zu nutzen. Die Begeisterung ist groß. Das Tool glänzt mit einer schicken und leicht bedienbaren Oberfläche, natürlich gibt es auch eine mobile App. In Windeseile hat sich der Cloud-Service im Unternehmen verbreitet, manchmal auch darüber hinaus.

Unterm Radar: Erschreckend viele Anwender nutzen Cloud-Services ohne Autorisierung ihrer IT-Abteilung.
Unterm Radar: Erschreckend viele Anwender nutzen Cloud-Services ohne Autorisierung ihrer IT-Abteilung.
Foto: Gorodenkoff - shutterstock.com

Das kann schon mal vorkommen, wird sich so mancher IT-Verantwortliche denken. Doch die damit entstehende Schatten-IT, die ohne das Wissen von IT-, Security- oder Einkaufsabteilungen sprießt, hat erschreckende Ausmaße angenommen. 48 Prozent der vom amerikanischen Softwarehaus Harmon.ie befragten "Knowledge Worker" etwa gaben zu, dass sie Apps aus der Cloud ohne die Autorisierung ihrer IT-Abteilung einsetzen. Dazu gehören Apps aus den Bereichen Projektmanagement, File Sharing oder Notizenerstellung.

In einem durchschnittlichen Unternehmen sind derzeit 1.022 verschiedene Cloud-Services im Einsatz, hat der Cloud-Security-Anbieter Netskope in einer aktuellen Studie herausgefunden. Mehr als 90 Prozent der Dienste eignen sich demnach nur bedingt für einen Enterprise-Einsatz, weil Management-, Security- und Compliance-Features fehlten. Zwei von drei untersuchten Cloud-Services garantieren in den Nutzungsbedingungen beispielsweise nicht, dass die Daten ausschließlich dem Kunden gehören. In mehr als 80 Prozent der Fälle werden Daten zudem unverschlüsselt beim Provider gespeichert.

Wie ernst das Problem ist, zeigen auch Erkenntnisse von Optiv Security. Der Anbieter von Cloud Risk Assessment Services überwacht die Web-Nutzung von Unternehmen in einem definierten Zeitraum und liefert anschließend Berichte zur Nutzung von Cloud-Anwendungen. "Wir finden buchstäblich tausende Applikationen, die in Unternehmen eingesetzt werden", berichtet John Turner, Senior Director Cloud Security. "Das ist für die IT-Leute oft ein Schock." Noch größer sei das Erstaunen, wenn die Reports detaillierte Erkenntnisse zur Nutzung der Cloud-Anwendungen, zur bewegten Datenmenge und der Art der Daten zutage förderten.

Cloud-Dienste blockieren ist nicht die Lösung

Doch was tun? Cloud-Services einfach zu blockieren, wie es die IT gerne täte, verschlimmere das Problem nur und zwinge Nutzer, unter dem Radar zu arbeiten, kommentiert Turner. Der Widerstand aus den Fachabteilungen könne heftig ausfallen: "In vielen Fällen entsprechen die mit Cloud-Diensten erzielten Produktivitätsverbesserungen exakt den Business-Prioritäten." Blockiere die IT solche Services, werde sie meist mit harscher Kritik an der angebotenen Ersatzlösung konfrontiert. Turner: "Häufig werden solche Entscheidungen von höherrangigen Instanzen wieder kassiert."

Dass es mittlerweile für fast jedes erdenkliche Problem in Unternehmen eine Cloud-Lösung gibt, macht die Sache für IT-Verantwortliche nicht einfacher. "Es ist ein immenses Problem, das immer größer wird", sagt David Holmes, Security-Spezialist beim Softwareanbieter F5 Networks. "Jeder kleine Service, den man sich vorstellen kann, wird cloudifiziert. Es ist einfach, ihn sofort über die Firmenkreditkarte zu buchen."