Wie die Cloud Security Alliance (CSA) in einer Umfrage unter mehr als 200 IT- und Sicherheitsverantwortlichen weltweit herausfand, haben gerade einmal acht Prozent der befragten Unternehmen eine Ahnung, wieviel Schatten-IT sie tatsächlich innerhalb ihrer Netze "beherbergen". "Das niedrige Bewusstsein für Schatten-IT war keine Überraschung", kommentiert Jim Reavis, CEO der Cloud Security Alliance das Ergebnis der Umfrage. So stelle die CSA immer wieder fest, dass Unternehmen die interne Nutzung von Cloud-Services um den Faktor Acht unterschätzten – weder Mitarbeiter noch Vorstände wüssten zu jeder Zeit, ob sie nun einen internen oder einen externen Service verwendeten. Zudem verstehe jeder etwas anderes unter dem Begriff "Cloud", erzählt Reavis. Schatten-IT gelange so in die Unternehmen, ohne dass diese sie auch als solche wahrnehmen.
"Wir haben alle jahrelang versucht, uns für die Cloud zu rüsten – es hapert aber nach wie vor häufig an der richtigen Ausbildung", sagt Reavis. "Wenn ich einen Dollar für jeden IT-Angestellten bekäme, der mir sagt, sein Unternehmen nutze keine Cloud-Dienste, liebe aber Salesforce, wäre ich ein reicher Mann." IT-Abteilungen verständen unter "Cloud" häufig eine bestimmte Form der Server-Virtualisierung oder die Nutzung von IaaS-Plattformen wie Amazon Web Services. Mitarbeiter außerhalb der IT verständen unter "Cloud" hingegen zumeist Software-Dienste wie Dropbox, Google Docs oder LinkedIn.
Ja | 8 Prozent |
Nein, aber wir würden es gerne wissen. | 72 Prozent |
Nein, es interessiert uns auch nicht. | 20 Prozent |
Einfacher Start in die Cloud
Neben dem Verständnis, was nun "Cloud" ist und was nicht, geht es auch um die einfache Beschaffung von Cloud-Diensten. Mitarbeiter können leicht entsprechende Services aufsetzen, ohne die IT einschalten zu müssen. "Einzig durch die Überwachung der ausgehenden Verbindungen können Sie solche versteckten Cloud-Services als IT-Abteilung überhaupt aufspüren", sagt Reavis. Er führt aus, was in solch einem Fall zu tun ist: "Sobald jemand sein eigenes Gerät für diese Dienste nutzt - beispielsweise das private Smartphone -, können Sie aber nicht einmal mehr das. Sie müssen mit den Mitarbeitern sprechen und die Ausgaben der einzelnen Abteilungen im Blick behalten."
Der Konflikt zwischen Fach- und IT-Abteilung führt schnell zu Spannungen. "Wir erwarten, dass die IT eine Governance-Rolle einnimmt und sicherstellt, dass alle Nutzer Technologie so einsetzen, dass sie bei der Lösung von Business-Aufgaben hilft", meint der CSA-Chef. Darüber hinaus werde im Allgemeinen erwartet, dass regulatorische Vorschriften sowie der Kundendatenschutz eingehalten würden. Versteht die IT-Abteilung diese ihr zugedachten Aufgaben nicht, beginnen die Probleme. "Einzelne Mitarbeiter innerhalb des Unternehmens sind de facto ihr eigener Administrator, ihr eigener CIO - und das führt zu Problemen", so Reavis.
Security wird Kerngeschäft
Gerade im Cloud-Umfeld verstehen die Unternehmen aber zunehmend, dass Security und Governance wichtig und entscheidend sind. 72 Prozent der von der CSA befragten IT-Verantwortlichen haben beispielsweise ein großes Interesse daran, zu erfahren, wie stark Cloud-Apps innerhalb ihrer Organisation genutzt werden. Neben der IT-Abteilung findet das Thema auch Gehör bei den Vorständen - hier zeigt sich ein stark vergrößertes Interesse, fast schon Sorge, am Thema Datensicherheit. In bereits 61 Prozent der befragten Unternehmen sind Vorstandsmitglieder heute direkt in Entscheidungen zum Thema Datensicherheit eingebunden.
Besonders große Unternehmen mit mehr als 5.000 Mitarbeitern kümmern sich intensive um Themen wie Cloud Governance oder Security Awareness, also Trainingsprogramme für die Belegschaft.
Ja, und sie wird auch durchgesetzt. | 16 Prozent |
Ja, aber sie wird nur teilweise durchgesetzt. | 26 Prozent |
Ja, aber sie wird nicht durchgesetzt. | 8 Prozent |
Nein, aber wir planen eine einzuführen. | 27 Prozent |
Nein, und es gibt auch keine Pläne dafür. | 23 Prozent |
Teaserbild: WaveBreakMediaMicro - Fotolia.com