Von Kerstin Albrecht-Aigner
IT-Sicherheit – Es ist so einfach. Es passiert regelmäßig in Unternehmen aller Art. Es breitet sich aus wie Unkraut in einem sonst vorbildlich gepflegten Garten. Die Rede ist von einer Art der Schatten-IT, welche durch die unvermindert um sich greifende Nutzung von Cloud-Services hervorgerufen wird: Ein Mitarbeiter entdeckt ein kleines, hilfreiches Tool. In Windeseile ist ein Account angelegt und sind Kollegen eingeladen, die Anwendung ebenfalls zu nutzen – ohne sich vorher mit der IT-Abteilung abgestimmt zu haben. Und dann gibt es dazu auch noch eine mobile App! Ist doch super, oder? Dass diese auf Effizienz getrimmten, ad hoc einsatzbereiten Geisterchen aber ihre Tücken haben – vor allem was die IT-Sicherheit und den Datenschutz angeht – wird da mal ganz schnell vergessen. Doch don’t paNIC – auch dafür gibt es eine Lösung!
Keine Frage, Cloud-Services machen das Leben leichter – im Privaten wie auch auf der Arbeit. So bietet die Cloud viele Vorteile wie höhere Flexibilität, Effizienz, Produktivität, Skalierbarkeit und vor allem geringere Kosten. Wen wundert es also, dass sich unser digitales Umfeld zunehmend bewölkt? Tatsächlich sollen in einem durchschnittlichen Unternehmen mittlerweile sage und schreibe über 1.000 verschiedene Cloud-Services im Einsatz sein, wie diverse Cloud-Security-Anbieter herausgefunden haben mögen. Ein weiteres Ergebnis dieser leicht erschreckenden Studien: Mehr als 90 Prozent dieser Dienste eignen sich gar nicht für die Verwendung im Betrieb, weil Management-, Security- und Compliance-Features fehlen. Tatsächlich unterstützen nur die großen und weitverbreiteten Cloud¬Anwendungen IT-Sicherheitsstandards. Bei den vielen kleineren Cloud¬Providern steht die Security dagegen eher weniger im Vordergrund. Hier mangelt es häufig schlicht an Wissen, Sicherheitsfunktionen in die Dienste einzubauen.
Ein vormals für hilfreich und schick befundenes Cloud-Geisterchen kann also – wenn unsicher und nicht autorisiert – mal ganz schnell zu einem böswilligen Dämon aus der Unterwelt mutieren. Etwa ist ein kompromittierter Web-Service in der Lage, über ein Software-Update Malware auf einen Client-Rechner einzuschleusen. Zudem werden in vielen Fällen Daten, ob kundenspezifisch oder nicht, beim Cloud-Provider unverschlüsselt gespeichert. Was davon wohl die DSGVO-Aufsichtsbehörde hält?
Wege aus dem Schatten ins Licht
Wer hier jetzt meint, Unkraut vergehe doch nicht, der liegt im Falle der Cloud-Services nicht ganz richtig. Denn mittlerweile tummeln sich einige Anbieter auf dem Markt, mit deren Lösungen sich der Cloud-Wildwuchs ganz gut im Griff behalten lässt. Zu den gängigsten Methoden zählen etwa Cloud Access Security Broker (CASB) und Single-Sign-on-Systeme (SSO):
· Bei einem Cloud Access Security Broker (CASB) handelt es sich um eine Software, die zwischen Anwender und Cloud installiert wird. Diese ist in der Lage, die Kommunikation zu überwachen, verdächtige Aktionen (wie sie etwa durch die Schatten-IT entstehen können) zu melden und unerwünschten Datenverkehr zu verhindern. Mit Hilfe des CASB lassen sich außerdem die intern festgelegten Sicherheitsrichtlinien auf externe Services ausweiten und durchsetzen.
· Auch Single-Sign-on-Systeme (SSO) helfen Unternehmen, die Anzahl nicht-autorisierter Cloud-Anwendungen einzuschränken. Hier handelt es sich um ein Verfahren, bei dem ein User nach einmaliger Authentifizierung Zugriff auf all die Ressourcen und Services erhält, welche er für seine Arbeit benötigt. Separate Anmeldungen für unterschiedliche Tools werden damit überflüssig. Die Vorteile: Anwender müssen sich nur ein einziges Passwort merken und werden durch die stets gleiche Anmeldeoberfläche weniger dazu verleitet, ihre Kennung und ihr Passwort auf fremden Systemen einzugeben.
Wer nun nach unserem kleinen Ausflug in die Welt der Schatten-IT Interesse an weiteren Details verspürt oder gar Unterstützung beim Cloud induzierten Unkraut jäten benötigt, kann uns gerne kontaktieren. Denn wir sind darauf spezialisiert, dass auch die hilfreichen Geister aus der Wolke jederzeit eine weiße Weste behalten.
Informationen zum Themenschwerpunkt Schatten-IT sind auch unter folgendem Link zu finden: https://www.nic-team.com/schatten-it-machen-sie-aus-der-not-eine-tugend/