Wöchentlich, wenn nicht sogar täglich, lesen wir von Datenabflüssen bei Clouddiensten. Glücklicherweise betreffen uns viele davon nicht; davon gehen wir zumindest aus. Umso grösser ist die Überraschung, wenn dann plötzlich doch Daten aus dem eigenen Unternehmen in einer Datensammlung landen, welche von den Datendieben veröffentlicht oder von Sicherheitsforschern entdeckt wird.
Begriffserklärung
Schatten-IT: Unternehmensfremde IT-Dienste, welche von Mitarbeitenden genutzt werden, ohne dass die IT-Abteilung davon Kenntnis hat.
Wie kann es dazu kommen?
Beispiel Nr. 1
Ein interner Bericht, mit zum Teil sensitiven Daten, wird von Bob am Freitag vor seinen Ferien, auf den letzten Drücker, fertiggestellt und an Alice gesendet. Alice muss den Bericht am Montagmorgen der Geschäftsleitung abliefern und präsentieren. Am Montagmorgen liest Alice den Bericht durch und findet einen Fehler, der unbedingt korrigiert werden muss. Leider hat sie den Bericht nur als PDF erhalten. Alice verfügt aber über keine Software, mit welcher sie direkt ein PDF bearbeiten kann. Der Termin mit der Geschäftsleitung steht kurz bevor. Unter Zeitdruck sucht Alice daher im Internet nach einer Möglichkeit ein PDF-Dokument in ein Word-Dokument umzuwandeln. Sie findet dutzende Web-Angebote und nutzt eines davon. Sie korrigiert den Fehler, erzeugt ein neues PDF und kann pünktlich den Bericht abliefern. Die Daten sind nun aber auch beim Cloud-Anbieter.
Beispiel Nr. 2
Bob muss eine grössere Datenmenge an Alice senden. Alice ist eine externe Dienstleisterin und hat keinen Zugriff auf die internen Dateiablagen. Ein Versand über E-Mail ist nicht möglich. Bob kennt aus der privaten Nutzung einen Dienst, bei dem er die Daten hochladen kann und ihm einen Link gibt, mit dem Alice die Daten downloaden kann. Bob nutzt diesen kostenlosen Service und überträgt die Daten zum Cloud-Anbieter, welcher damit ebenfalls Zugriff erhält.
Beispiel Nr. 3
Alice muss einen Text übersetzten. Da sie die Zielsprache nicht fliessend beherrscht, nutzt sie einen Übersetzungsdienst aus dem Internet. Der Clouddienst erlaubt es, lange Textabschnitte in ein Textfeld zu kopieren und übersetzten zu lassen. Sämtliche Informationen im übersetzten Text ist ab da nicht nur übersetzt, sondern auch dem Cloudanbieter zugänglich.
Risiken der Schatten-IT
Cloudangebote sind auf einfache Zugriffe und Nutzung ausgelegt. Aufgaben können damit schneller und bequemer erledigt werden; ein perfektes Rezept, damit sich eine Schatten-IT ausbildet. Was mit den Daten passiert, welche in der Cloud bearbeitet oder abgelegt werden, ist für die meisten Mitarbeitenden zweitranging oder überhaupt nicht im Fokus. Die vorgängigen Beispiele zeigen, wie selbstverständlich unternehmensfremde Clouddienste genutzt werden und wie, besonders unter Zeitdruck, Sicherheitsvorgaben zur Verhinderung von Datenabfluss umgangen werden. Wenn Informationen an Orten abgelegt werden, welche nicht unter der Kontrolle des Unternehmens sind und von dem das Unternehmen auch gar nichts weiss, birgt dies mehrere Probleme:
- Interne Daten sind nicht mehr in der ausschliesslichen Hoheit des Unternehmens und können in falsche Hände gelangen.
- Datenverlust von schützenswerten Daten (gemäss Datenschutzgesetz) sind eine Gefahr für die Betroffenen und können zu juristischen Problemen für das Unternehmen führen.
Strategien zur Vermeidung von Schatten-IT durch kontrollierte IT-Dienste
Es liegt daher im Interesse eines Unternehmens, sich darum zu kümmern, dass sich möglichst keine Schatten-IT mittels unternehmensfremden IT-Diensten entwickelt:
-
Eine abschliessende Liste von erlaubten IT-Diensten führen und publizieren
-
Die Nutzung von nicht explizit erlaubten Diensten per Reglement verbieten
-
Sensibilisierung der Mitarbeitenden
-
Einen Prozess schaffen, um neue Dienste zu beantragen
-
Die Nutzung von Diensten im Auge behalten (oft können bereits vorhandene Sicherheitslösungen Hand bieten)
