Das Prinzip der Schatten-IT ist bekannt: Mitarbeiter nutzen vom Unternehmensnetzwerk aus Cloud-Anwendungen, die von der internen Unternehmens-IT weder genehmigt noch unterstützt werden. Analysten wie Gartner oder Forrester sprechen auch von "Unsanctioned Apps". Bislang waren Unternehmen recht hilflos, wenn es darum ging, das ganze Ausmaß der Schatten-IT zu überblicken. Der Netzwerktraffic musste analysiert und die Logs der Proxys, der Firewalls und der Netzwerksonden zusammengeführt werden. Das Ergebnis: ein Puzzle, das weitgehend auf Kontrollpunkten der Proxys und der Firewalls basierte und dem es an einer Risikoeinschätzung fehlte.
In Zukunft sollen Cloud Access Security Broker (CASB) Abhilfe schaffen. Sie dienen als "Grenzkontrollen" zwischen Cloud-Nutzern und Cloud-Anbietern. Sobald Cloud-basierte Anwendungen ins Spiel kommen, greifen sie ein und bilden die IT-Sicherheitsrichtlinien des Unternehmens ab - etwa Authentifizierung, Gerätekontrolle, Verschlüsselung, Protokollierung oder Malware-Prävention.
Mithilfe von CASB-Lösungen entstehen darüber hinaus umfangreiche Analysen, die Tausende von Anwendungen mit einbeziehen und zahlreichen Softwareanbietern als Grundlage für ihre Evaluationsberichte dienen. Ob "Cloud Confidence Index" (Netscope), "Business Readiness Rating" (Elastica, nun Bluecoat) oder "Cloud Trust Rating" (Skyhigh). Diese Berichte beschäftigen sich alle mit den Risiken, die Cloud-Anwendungen mit sich bringen. Sie bieten Unternehmen einen detaillierten Überblick und helfen dabei, die entsprechenden Maßnahmen zu ergreifen. So können Anwendungen mithilfe von CASB komplett blockiert oder grundsätzlich autorisiert und nur bestimmte Funktionen eingeschränkt werden. Im Vergleich zu einem klassischen Proxy bedeutet das zusätzliche Sicherheit für Cloud-Applikationen.
Und was passiert mit den Schatten-Daten?
Allerdings genügt es nicht, den Überblick über die Anwendungen zu behalten und diese im Zweifel zu blockieren. Denn das Sicherheitsrisiko geht weit darüber hinaus: Auch die Daten, die durch die Nutzung einer Anwendung entstehen, müssen entsprechend geschützt werden. Tatsächlich belegt eine aktuelle Studie der Cloud Security Alliance, dass das größte Risiko für Unternehmen, die Cloud-Anwendungen nutzen, nach wie vor der Datenverlust ist.
Dieses Risiko besteht nicht nur bei nicht-autorisierten Anwendungen der Schatten-IT, sondern auch bei autorisierten, den sogenannten "Sanctioned Apps". Denn auch wenn Mitarbeiter eine vom Unternehmen autorisierte Cloud-Anwendung nutzen, um E-Mails zu verschicken oder Dokumente zu teilen - wenn die Daten erst einmal in der Cloud gespeichert sind, müsste man durch zusätzliche Kontrollen sicherstellen, dass vertrauliche Dokumente nur innerhalb der Organisation geteilt werden können.
Genau dieses Phänomen beschreibt der Begriff "Schatten-Daten", den auch Elastica verwendet: Daten, die von Nutzern autorisierter Cloud-Anwendungen generiert werden, ohne dass das Unternehmen weiß,
welche Dokumente dort gespeichert sind
wie sensibel die Daten sind
ob die Dokumente innerhalb des Unternehmens verbleiben oder ob sie per E-Mail oder über einen direkten Link mit externen Personen geteilt werden
Klassische Data Loss Prevention (DLP)-Lösungen sind aufgrund der steigenden Anzahl von Internetanschlüssen und Cloud-Anwendungen nicht mehr zeitgemäß. Mit CASB werden die zu schützenden Daten deshalb auf unterschiedliche Arten behandelt - je nachdem, wie sie einzustufen sind. So werden etwa für ruhende Daten ("Data at rest"), die bereits in der Cloud gespeichert sind, API Connectors verwendet, während für Daten, die gerade erst in die Cloud geladen werden ("Data on the fly"), der Gateway-Modus gilt.
Auch wenn Schatten-Daten ein ernsthaftes Sicherheitsrisiko darstellen, ist das Thema auf der Agenda der meisten Unternehmen noch nicht angekommen. Zwei Gründe spielen hier eine entscheidende Rolle: Zum einen ist vielen Unternehmen noch nicht bewusst, welche Dimensionen die Schatten-IT tatsächlich annehmen kann. Zum anderen herrscht noch viel Unklarheit darüber, welche neuen Möglichkeiten Technologien wie CASB eröffnen.
Lesetipp: IT-Sicherheit als Einkaufskriterium