tiero - Fotolia
Mit der DSGVO gegen das Schattendasein von Cloud-Anwendungen
Ein verbesserter Datenschutz bringt für IT-Abteilungen durchaus Vorteile mit sich. Etwa die Bewältigung des Problems der Schatten-IT, besonders im Hinblick auf die Cloud-Nutzung.
Kaum ein Unternehmen kommt heute noch ohne die Cloud aus. 96 Prozent der deutschen Unternehmen setzen inzwischen auf „as-a-Service“-Angebote, wie der dritte jährliche Cloud-Report von McAfee zeigt. Damit liegen sie mit durchschnittlich 28 verschiedenen Services sogar über dem europaweiten Durchschnitt von 25.
Auch die Einführung der DSGVO vermochte die Euphorie nicht zu bremsen. Sowohl bei Private, Public und Hybrid Cloud-Angeboten prognostizierten nur sehr wenige Unternehmen reduzierte Investitionen aufgrund des neuen Regelkatalogs. Dabei drohen durch Cloud-Anwendungen viele Risiken durch Verstöße gegen die Datenschutz-Grundverordnung, besonders wenn die IT-Abteilungen nicht einmal über deren Verwendung Bescheid wissen.
Compliance bedeutet Kontrolle über Kosten und Datenschutz
Die Zeiten, in denen neue IT-Komponenten so komplex zu integrieren waren, dass dies nur durch Zuhilfenahme der IT-Abteilung geschehen konnte, sind längst vorbei. Heute reichen wenige Mausklicks, um Software, Infrastrukturen, Rechenleistung oder andere „as-a-Service“-Angebote in Anspruch zu nehmen und in bestehende IT-Systeme einzubinden – und das ohne Beteiligung oder Freigabe der IT-Abteilung. Für diese sind solche Angebote inzwischen längst mehr als ein Ärgernis, schließlich verursachen zusätzliche Komponenten auch höhere Kosten, für die sie die Verantwortung übernehmen müssen.
Ein weiterer Grund ist die IT-Sicherheit und der Datenschutz. Denn was die IT-Abteilung nicht kennt, kann sie auch nicht schützen. Mit 49 Prozent gaben fast die Hälfte der deutschen Befragten an, dass die Schatten-IT in ihren Unternehmen ein Sicherheitsrisiko darstellt. Zusätzlich drohen Unternehmen empfindliche Geldstrafen durch die DSGVO/GDPR, wenn Daten unkontrolliert in und aus der Cloud fließen.
Die gute Nachricht ist, dass genau die DSGVO IT-Sicherheitsverantwortlichen nun die Möglichkeit gibt, der Schatten-IT zu begegnen. Vor dem 25. Mai 2018 taten sich Security-Verantwortliche noch schwer damit, neue Lösungen anschaffen zu dürfen, ohne sich für die neuen Kosten rechtfertigen zu müssen. Wenn das Unternehmen noch kein gravierendes Datenleck zu verzeichnen hatte, war es schwer zu argumentieren, wieso die aktuelle Sicherheitsarchitektur nicht mehr auf dem neuesten Stand der Technik sein sollte. Allzu oft waren sie daher gezwungen, weiterhin mit veralteten Lösungen hantieren zu müssen, die den heutigen Anforderungen nicht gerecht werden können. Mit der DSGVO haben sie nun sogar den Gesetzgeber hinter sich und können sich passgenau die Lösungen anschaffen, die sie benötigen, um ihre Infrastruktur zu schützen.
Umfassender Datenschutz
Kontrolle über sämtliche Daten zu jeder Zeit und an jedem Ort sind die Eckpfeiler der neuen Datenschutzverordnung. Daher ist der erste Schritt, sich einen Überblick zu verschaffen, welche Daten wohin fließen und wo sie gelagert werden. Das allein stellt schon viele Unternehmen vor Herausforderungen. Wie der Data Residency Report 2017 ergab, wissen nur 47 Prozent der befragten Unternehmen jederzeit, wo sämtliche Daten gelagert werden. 53 Prozent verstießen demnach gegen die DSGVO. Hier helfen DLP-Lösungen (Data Loss Prevention), die sämtliche Daten unternehmensweit erfassen und in Zusammenarbeit mit Identity-Lösungen den Zugriff darauf regulieren. So erhalten nur die Mitarbeiter Zugriff auf die betreffenden Datenbanken, die auch dazu befugt sind.
Kontrolle über die Daten zu haben heißt für die DSGVO auch, in der Lage zu sein, Datenschutzverletzungen und Cyberangriffe zu erkennen. Dabei geht es aufgrund der zunehmend komplexen Bedrohungslandschaft nicht einmal darum, diese zu verhindern. Unternehmen müssen aber binnen 72 Stunden in der Lage sein, diese zu melden. Dass es sich hierbei oftmals noch vielmehr um reines Wunschdenken als den Status Quo handelt, zeigt erneut der Data Residency Report. Ganze 11 Tage dauert es demnach durchschnittlich, ehe Unternehmen einen Vorfall melden können. Grund hierfür sind häufig fragmentiert operierende Sicherheitslösungen, deren Analysen Sicherheitsmitarbeiter viel Zeit kosten. SIEM-Lösungen (Security Information and Event Management) hingegen bündeln ihre IT-Ressourcen und deren Datenströme. SIEM-Lösungen versetzen sie somit in die Lage, einen zentralisierten Überblick zu erhalten und somit Vorfälle schneller zu identifizieren.
„Kontrolle über sämtliche Daten zu jeder Zeit und an jedem Ort sind die Eckpfeiler der neuen Datenschutzverordnung. Daher ist der erste Schritt, sich einen Überblick zu verschaffen, welche Daten wohin fließen und wo sie gelagert werden.“
Hans-Peter Bauer, McAfee
Wäre die Cloud nicht, wären die beschriebenen Maßnahmen schon ein großer Schritt zu einem hinreichenden Sicherheitsniveau. Der Vormarsch von „as-a-Service“-Angeboten macht es allerdings nötig, die Sicherheitsvorkehrungen auch auf die Cloud auszuweiten. Hier kommen Cloud Access Security Broker (CASB) ins Spiel, die die Ausweitung der Sicherheitsrichtlinien auf Cloud-Anwendungen ermöglichen. Sie bilden eine virtuelle Schranke zwischen Unternehmen und deren Cloud-Services, in die deren Daten fließen. Zugriffskontrollen auf Personen- und Geräteebene sowie Sicherheitsrichtlinien lassen sich somit auch auf die Cloud übertragen.
Ebenso vermögen CASBs, Regelverstöße und Datenschutzverletzungen zu erfassen und die IT-Teams zu alarmieren. Somit fliegen auch Cloud-Anwendungen, die nicht von der IT-Abteilung freigegeben wurden, nicht mehr unter dem Radar. Unternehmen können so Datenschutzverletzungen reduzieren, die durch Anwendungen der Schatten-IT verursacht werden. Kein Wunder, dass die Analysten von Gartner CASBs als am schnellsten wachsende Sicherheitstechnologie beschreiben. Bis 2020 soll die Verbreitung von heute weniger als 10 Prozent auf 60 Prozent steigen.
Fazit
Die DSGVO macht verpflichtend, was für viele Unternehmen ohnehin längst überfällig ist: Eine Aufrüstung der IT Security, um den heutigen Anforderungen an Datenschutz gerecht zu werden. Auch wenn es die Verantwortlichen gerne anders sehen, ist der neue Regelkatalog keine Bürde, sondern die Chance, das notwendige Budget freizumachen, um das Potenzial von digitalen Gefahrenherden einzugrenzen. Auch die Schatten-IT ist somit zwar nicht passé, aber CIOs sind in der Lage, die dadurch entstehenden Risiken einzudämmen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!