„Heutzutage muss ich als Unternehmen immer prüfen, ob ich mit meiner eigenen Infrastruktur und auch den personellen Ressourcen das heute erforderliche Sicherheitsniveau wirklich gewährleisten kann“ sagt Marc Schieder, Experte für Cloud Collaboration, im Interview auf dem C4B Blog. Im ersten Teil unseres Interviews erklärt er, worauf es bei einer „Cloud First“- oder „Cloud Only“-Strategie ankommt. Im heutigen Teil des Interviews beschreibt Schieder, warum der Mensch immer noch ein Risikofaktor ist, was bei der Auswahl eines Providers zu beachten ist – und er gibt 10 Tipps für Unternehmen zur Cloud Transition
Herr Schieder, inwiefern ist der Mensch – beziehungsweise sind die Mitarbeitenden – ein Risikofaktor? Und was hat es mit der Schatten-IT auf sich?
Ein Großteil der Sicherheitsvorfälle geht immer noch auf menschliche Fehler zurück. Einmal ganz unabhängig davon, ob diese Fälle durch eine echte Böswilligkeit oder einfach durch ein fahrlässiges Verhalten ausgelöst werden: Viele Unternehmen sind sich auch heute noch gar nicht im Klaren darüber, wie viele Cloud-Anwendungen überhaupt bei ihnen im Einsatz sind. Und wenn ich das heute nicht weiß, biete ich einfach unglaublich viele Angriffsmöglichkeiten. Jede IT oder Infrastruktur, die außerhalb einer zentralen Beschaffung stattfindet, bezeichnet man als Schatten-IT und auch da stellen wir immer wieder fest, dass in ganz vielen Firmen Systeme oder Lösungen verwendet werden, die in der zentralen IT-Abteilung weder bekannt noch genehmigt sind. Die Fachabteilungen in Unternehmen stehen meist unter so einem hohen Druck, dass sie Schlag auf Schlag Ergebnisse liefern müssen. Und deshalb besorgen sie sich in der Praxis oft – an der zentralen IT vorbei – Software oder Hardware, damit sie langsame Prozesse beschleunigen können. Da wird z. B. auch schnell mal eine Dropbox installiert, um mit der Agentur Daten auszutauschen.
Warum ist die Schatten-IT denn so problematisch?
Zum einen weiß man nie, ob man ein Lizenzrecht verletzt, für das am Ende das Unternehmen haftet. Und zum anderen führt man unter Umständen Daten ab, die eigentlich DSGVO-bedingt gar nicht in der Form weiter gespeichert werden dürfen. Es gibt Untersuchungen, die herausgefunden haben, dass bis zu 20 Prozent der Daten, die in Public Clouds liegen, vertrauliche Informationen enthalten – von Gesundheitsdaten bis hin zu Gehaltsinformationen. Man geht davon aus, dass Schatten-IT bis zu 50 Prozent einer Systemlandschaft ausmachen. Das ist eine enorme Zahl! Damit verliere ich als Unternehmen nicht nur die komplette Kontrolle über meine Daten. Es ist auch ein Haftungsthema, weil die Mitarbeiterin oder der Mitarbeiter sich damit strafbar machen. Das ist nur vielen nicht bewusst.
Haben Sie noch weitere Beispiele aus der Praxis für diese Schatten-IT, vielleicht aus dem Controlling oder Finance?
Ich muss heute einfach wissen, was mit den hochgeladenen Daten passiert, wenn man beispielsweise Analytics-as-a-Service als Cloud-Dienst nutzt und wichtiges Zahlenmaterial überführt, um schnelle Analysen zu machen. Natürlich ist es total verlockend, einen Service einzusetzen, den ich als Freeware nutzen und mit dem ich mal schnell eine Grafik erstellen kann. Aber genau da sollte man sich die Frage stellen, warum dieser Dienst kostenfrei angeboten wird. In der Regel verdienen diese Firmen einfach an meinen Daten. Und ich weiß als Nutzer meist nicht, was mit meinen Daten im Nachgang passiert.
Noch einmal zum Risikofaktor Mensch: Wie können Unternehmen vorbeugen?
Es geht einfach um die Awareness. Ich muss heute meine Mitarbeiter unbedingt sensibilisieren und sie hellhörig werden lassen, wenn es Dinge wie IT Security und Datenschutz geht. Das ist auch nicht mit einer einmaligen Schulung abgehandelt, sondern eher ein lebenslanges Lernen. Und ich muss mich damit auseinandersetzen, wie ich am besten die Identitäten meiner User verifizieren kann. Jeder Zugriff auf Systemkomponenten muss durch ein sogenanntes „Identity and Access Management“ gesichert sein, das mir gewährleistet, dass wirklich nur autorisierte Personen auf meine kritischen Systemkomponenten wie etwa Hypervisoren, Datenbanken oder Firewalls zugreifen können.
Was spricht für die Nutzung von Services aus der Cloud, gerade im Hinblick auf die Sicherheit?
Zunächst muss man sich mal bewusst machen, dass Unternehmen in Deutschland ein jährlicher Schaden von rund 203 Milliarden Euro durch den Diebstahl von IT-Ausrüstung und Daten, aber auch durch Spionage und Sabotage entsteht. Das ist das zentrale Ergebnis einer Studie im Auftrag des Digitalverbands Bitkom. Auch heute noch gelten Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, als größte Bedrohung im Cyber-Bereich. Diese Angriffe haben nur das Ziel, möglichst viel Lösegeld zu erpressen. Diese Angriffe gehen ganz gezielt auf sensible Daten oder haben die digitale Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen im Fokus: Und das Fatale ist, dass das Vorgehen immer professioneller wird und die Bedrohung wirklich real ist. Heutzutage muss ich als Unternehmen immer prüfen, ob ich mit meiner eigenen Infrastruktur und auch den personellen Ressourcen das heute erforderliche Sicherheitsniveau wirklich gewährleisten kann. Kleine Unternehmen oder auch KMUs beschäftigen in der Regel kein großes Team von internen IT-Experten. Deshalb muss man wirklich prüfen, ob es nicht sinnvoller ist, eine hoch testierte, zertifizierte und resiliente Cloud-Services zu nutzen, die einen hohen Schutz bieten. Sichere Cloud-Service-Provider haben umfangreiche Cloud-native Funktionen, mit denen sie auch automatisierte Angriffe erkennen können. Die haben wirklich ein langjähriges Know-how im Sicherheitsmanagement. Und genauso ist es auch im Interesse des Providers, dass er eine hohe zeitliche Verfügbarkeit von seinem Dienst anbietet. Wenn ich mich für so jemanden entscheide, dann weiß ich, dass der mir eine Ausfallsicherheit gewährleistet und der aktuelle Security Lücken beobachtet und sie aber auch für mich schließt, wenn das erforderlich sein sollte. Um diese ganzen Themen brauche ich mich also als Anwender nicht mehr kümmern.
Warum ist es so wichtig, dass wir uns in Europa unsere eigenen Daten, Cloud und Plattform-Strukturen aufbauen?
Wir – also jeder einzelne von uns – aber auch die Unternehmen und die Staaten müssen darauf vertrauen können, dass ihre Daten gegen Missbrauch geschützt sind. Und genauso müssen Nutzer und Verbraucher souveräne Entscheidungen über die Verwendung ihrer Daten treffen können. Datensicherheit und Datensouveränität sind wichtige Grundpfeiler der Demokratie und gleichzeitig die Voraussetzung für die Akzeptanz und den Erfolg einer datengetriebenen Ökonomie. Ohne vertrauenswürdige und sichere Infrastrukturen laufen wir Gefahr, unsere Wettbewerbsfähigkeit und die Zukunftsfähigkeit in Europa zu verlieren. Deshalb muss man jede Abwanderung von Daten und geistigem Eigentum unbedingt verhindern. Als Unternehmen sollte ich mir deshalb immer vorab die Frage stellen, ob es da nicht schon eine Europäische Lösung gibt, die kompatibel zu meiner Umgebung ist.
Wir haben Marc Schieder gebeten, uns Tipps für Unternehmen zur Cloud Transition zusammenzustellen.
10 Tipps zur Cloud Transition – Prüfen Sie folgende Aspekte:
-
Befindet sich der Server-Standort des Anbieters innerhalb der EU?
-
Werden Dateien clientseitig (Ende-zu-Ende) verschlüsselt?
-
Welches Preismodell bietet der Cloud-Anbieter an? (pro User, flexibel skalierbar, welcher Speicherplatz ist mit inbegriffen?)
-
Über welche Zertifizierungen (Must have = BSI C5, das BSI C5, ISO / IEC 27001, IDW PS 951) verfügt der Cloud-Anbieter?
-
Gibt es einen konkreten Ansprechpartner für die technische Transition?
-
Lassen sich die Zugriffsrechte individuell festlegen? (Schreib-/Leserechte, Zugriffsdauer, Zugriffshäufigkeit)
-
Existiert eine E-Mail-(Voll-)Verschlüsselung?
-
Können mit der Lösung auch Dateien in Microsoft-Produkten abgesichert werden?
-
Lassen sich via API weitere Systeme anbinden?
-
Ist die Lösung auf allen Devices geräteunabhängig einsetzbar?
Über Marc Schieder
Marc Schieder ist Geschäftsführer der DRACOON GmbH aus Regensburg, dem Marktführer im Bereich Enterprise File Services im deutschsprachigen Raum. In seiner Rolle verantwortet Marc Schieder den vollständigen Produktlebenszyklus, von der Innovation über die Konzeption und Entwicklung, bis hin zum Betrieb und einer langfristigen Sicherstellung der Qualität. Marc Schieder absolvierte einen dualen Studiengang in den Bereichen Informatik und Kommunikationsdesign und verfügt über mehr als 15 Jahre internationale Berufserfahrung als selbstständiger Unternehmer, Geschäftsführer und Vorstandsvorsitzender in den Bereichen individuelle Softwareentwicklung, Software-as-a-Service, Cloud Computing und Telekommunikation.
Marc Schieder auf LinkedIn.
Inhalt