BLOG
08/02/2016 14:28 CET | Aktualisiert 08/02/2017 06:12 CET

Cloud-Dienst oder Mensch - wer ist das größere Sicherheitsrisiko?

OJO_Images via Getty Images

In Sachen Sicherheit haben Cloud-Dienste nicht den besten Ruf. Cyber-Attacken und Datendiebstähle erfolgen regelmäßig - selbst bei etablierten Unternehmen. Wer trägt die Schuld hierfür?

Die Anbieter von Cloud-Diensten, die zu wenig in die Sicherheit investieren - oder doch eher die Anwender, die Schutzmechanismen nicht aktivieren? Dazu habe ich mit Daniel Wolf, Regional Director DACH bei Skyhigh Networks, gesprochen. Er erklärt, welche Risiken Cloud-Anwendungen in Unternehmen bergen und wie Unternehmen, IT-Verantwortliche und Mitarbeiter diese Risiken minimieren können.

2016-02-04-1454582887-2295901-Skyhigh_Daniel_Wolf_Foto.jpg

Herr Wolf, Cloud Computing ist unglaublich populär bei Unternehmen. Warum ist das so?

Firmen können mit Cloud Services enorme Produktivitätssteigerungen erreichen. Laut der Studie „The Business Impact of the Cloud" der britischen Marktforscher von Vanson Bourne wachsen Unternehmen, die Cloud-Diensten einsetzen, rund 20 Prozent schneller als Unternehmen, die diese Services nicht nutzen.

Der direkte Zugang über das Internet ermöglicht den Software-Einsatz binnen Stunden, wenn nicht sogar Minuten. Aber schnell erzielte Produktivitätssteigerungen sind nur eine Seite der Cloud-Computing-Medaille. Die Schattenseite bilden erhöhte Sicherheitsrisiken - vor allem wenn die Anwendungen nicht mit der IT-Abteilung abgestimmt sind und die Mitarbeiter nach eigenen Präferenzen Cloud-Dienste auswählen.

Die IT-Abteilungen haben also die Kontrolle über die Anwendungen verloren?

Früher war im Unternehmen die IT-Abteilung die einzige Quelle aller Computer-Ressourcen und Informationsdienste. In den letzten Jahren jedoch wurde sie mehr zu einem beratenden Partner der Fachabteilungen, der geeignete Cloud-Dienste bewertet und auswählt. Jetzt müssen Fachabteilungen und die IT-Ansprechpartner gemeinsam dafür sorgen, dass die Daten in der Cloud ausreichend geschützt sind. Über 16.000 Cloud-Dienste sind auf dem Markt verfügbar. Davon eignet sich aber der Großteil nicht für den Einsatz im Unternehmen.

Gibt es Zahlen, welche Cloud-Dienste wie häufig genutzt werden?

Wir haben die tatsächliche Cloud-Nutzung in Unternehmen analysiert. Pro Betrieb werden durchschnittlich 1.154 Cloud-Dienste verwendet - eine Zahl, die sich in den letzten zwei Jahren nahezu verdoppelt hat. Jede Woche kommen neue Cloud-Dienste auf den Markt und bieten innovative Features und Funktionen.

Die am häufigsten genutzten Cloud Services sind File-Sharing- und Collaboration-Dienste. Meistens synchronisieren Mitarbeiter damit Dateien und Ordner auf unterschiedlichen Geräten. Über diese Dienste können aber auch zunehmend Dateien mit Kollegen und Partnern geteilt und in Echtzeit gleichzeitig bearbeitet werden. Im Durchschnitt lädt ein Unternehmen jeden Monat etwa 5,6 Terabyte Daten in File-Sharing-Dienste hoch. Das entspricht umgerechnet zirka 480 Millionen Seiten von Microsoft Word Dokumenten - pro Monat.

Diese Zahl ist erstaunlich hoch.

Die Datenmenge an sich bereitet im Grunde keine Sorgen. Das Problem sind vielmehr die Inhalte und deren Absicherung. Rund 15 Prozent aller Dokumente in File-Sharing-Diensten enthalten sensible Informationen wie Betriebsgeheimnisse, personenbezogene Daten, Gehalts- oder Gesundheitsinformationen. Diese müssen umfassend vor Diebstahl, Verfälschung oder Verlust geschützt werden.

Dafür bieten manche Cloud-Dienste grundsätzlich unternehmenstaugliche Schutzmechanismen wie Verschlüsselung, Tokenisierung oder Data Loss Prevention an, aber bei weitem nicht alle. Leider entscheiden sich 27 Prozent der Mitarbeiter dazu, mit weniger sicheren Cloud-Diensten zu arbeiten.

Ist das tatsächlich so problematisch?

Die Unternehmen und auch die Anwender müssen sich bewusst machen: Wenn immer mehr Unternehmen sensible Daten in Cloud-Dienste hochladen, bleiben Datendiebe nicht lange fern. Sobald Angreifer die Zugangsdaten für die Services in die Hände bekommen, haben sie leichten Zugang zu den geschäftskritischen Daten und wirken dabei noch wie legitime Benutzer des Programms. Meistens werden diese Zugangsdaten durch Phishing-Angriffe und Datenbank-Hacks entwendet.

2016-02-04-1454584892-7279473-Skyhigh_KeywordsDateiname.jpg

Viele Angestellte speichern Daten unverschlüsselt in Dateien mit sprechenden Dateinamen. Datendiebe haben so oftmals leichtes Spiel (Durchschnittliche Anzahl pro Dateityp pro Unternehmen)

Die Studie zeigt, dass bereits 92 Prozent der Unternehmen Probleme mit gestohlenen Zugangsdaten von Cloud-Diensten hatten. Auch der Umgang der Mitarbeiter mit den Daten gibt oft Anlass zur Sorge. So stehen in den File-Sharing-Diensten 28 Prozent der Dokumente externen Geschäftspartnern offen.

Auf fünf Prozent der Daten kann jeder zugreifen, sofern er den nötigen Link hat. Diese Links lassen sich problemlos weiterleiten, wodurch das Unternehmen die Kontrolle über den Dokumentenzugang verliert. Erschreckende 2,7 Prozent der Daten sind sogar über Google auffindbar und damit komplett öffentlich zugänglich.

Heißt das für Unternehmen, sie sollten besser auf solche Dienste verzichten?

Wenn Cloud-basierte Anwendungen die Produktivität der Fachabteilungen erhöhen, sollten die IT-Abteilungen nicht als Blockierer im Weg stehen. Aber beide Seiten müssen Verantwortung für deren Einsatz übernehmen. Es sind die Daten der Fachabteilungen, die in die Cloud wandern - und es ist Aufgabe der IT-Verantwortlichen diese zu schützen.

Was können Unternehmen dafür tun?

Cloud-Dienste müssen sorgfältig ausgewählt und auf ihre Eignung geprüft werden. Dazu zählt auch zu verifizieren, ob ausreichend Sicherheitsmechanismen zur Verfügung stehen, um Datensicherheit und Compliance zu gewährleisten. So kann beispielsweise ein Cloud-Dienst die Verschlüsselung der Daten unterstützen, aber den Schlüssel dafür behalten.

Und wer Zugang zum Schlüssel hat, hat auch Zugriff auf die verschlüsselten Daten - ein Szenario, das den meisten Unternehmensrichtlinien widerspricht. Bequemlichkeit darf niemals zu Lasten der Sicherheit gehen. Letztendlich sind alle Mitarbeiter dafür verantwortlich, die Unternehmensdaten zu schützen - egal wo sie gespeichert werden.

Schützt Cloudflare Terrorinhalte?: Anonymous: Diese US-Firma behindert unsere Hacker-Angriffe gegen den IS

Lesenswert:

Ihr habt auch ein spannendes Thema?

Die Huffington Post ist eine Debattenplattform für alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter blog@huffingtonpost.de.