Cloud-Provider versprechen weniger Kosten und mehr Flexibilität. Unerwähnt bleiben die Nachteile: Die Cloud lässt die Schatten-IT sprießen.
von René Büst und Dietmar Wiedemann*
Den Reizen des Cloud Computing scheinen immer mehr Anwender zu erliegen. Eine aktuellen Online-Umfrage des Karlsruher Instituts für Informationswirtschaft und -management und der Proventa AG unter 226 IT-Spezialisten und -Entscheider hat eine überraschend hohe Akzeptanz von IaaS (Infrastructure as-a Service) ergeben: 58 Prozent Befragten wollen künftig die Cloud nutzen.
Für CIOs ist das nicht zwangsläufig eine gute Nachricht, denn Mitarbeiter in den Fachabteilungen benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet.
Schatten-IT ist kein neues Problem
Allerdings ist das heimliche Nutzen von Hard- und Softwareressourcen kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können sie über USB-Sticks, CDs und via Internet Software auf den Rechner installieren. In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit aber auch aus Innovationsfreude der Mitarbeiter.
Sie werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. "Unsere IT-Abteilung ist zu unflexibel und wir müssen zu lange auf neue Ressourcen für ein Projekt warten", lautet eine typische Beschwerde. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten, sie hinke den Anforderungen der Fachabteilungen technologisch hinterher.
- 10 Tipps für Ihre Sicherheit
Das Thema Sicherheit wird in Firmen oft noch bagatellisiert. Lesen Sie hier, wie Sie das Risiko einfach senken können. - Tipp 1: Führen Sie eine Risikoanalyse durch
Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter. - Tipp 2: Informationssicherheit beginnt von oben
Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden. - Tipp 3: Passwörter und Benutzernamen einrichten
Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon alleine aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum §9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert. - Tipp 4: Virenscanner und Firewall sind ein Muss
Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten werden und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken. - Tipp 5: Daten regelmäßig sichern
Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern. - Tipp 6: Erstellen Sie einen Notfallplan
In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich. - Tipp 7: Private E-Mail- und Web-Nutzung regeln
Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern. - Tipp 8: Mobile Datenträger absichern
Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich. - Tipp 9: Server und Netzwerk schützen
Die physikalische Infrastruktur ihres Unternehmens, das heißt, Server, Netzwerk, etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon alleine aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden. - Tipp 10: Zugriffsregel erleichtern Adminstration
Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, welche die Administration vereinfachen.