TÜV Rheinland: Aktuelle Umfrage zeigt große Unwissenheit im Umgang mit Cloud-Anwendungen

Große Unwissenheit über Cloud-Welt

„Die Umfrageergebnisse belegen vor allem eines: Eine große Unwissenheit vieler Menschen über Anzahl und Art von Cloud-Diensten“, sagt Artjom Schmidt, Experte für die Sicherheit von Cloud-Lösungen von TÜV Rheinland. Tatsächlich gibt es nach seiner Einschätzung aktuell mehr als 30.000 Cloud-Anwendungen weltweit, Tendenz stark steigend. Die neue Cloud-Welt hat laut Schmidt auch eine Kehrseite: „Unternehmen müssen Cloud-Anwendungen verstärkt in ihre Sicherheitsbetrachtungen einbeziehen. Ein Beispiel ist die so genannte ‚Schatten-IT‘. Gemeint sind Software-Anwendungen, die von Mitarbeitenden genutzt, jedoch nicht von der Unternehmens-IT offiziell zur Verfügung gestellt werden.“ Hierzu gehören beispielsweise Tools für das Versenden von großen Datenmengen, die Nutzung von Übersetzungswebsites, Online-PDF-Konverter oder Plattformen zur Zusammenarbeit in virtuellen Teams.

Ausweichen auf Cloud-Lösungen

Wenn unternehmensinterne Anwendungen kaum leistungsfähig sind oder schlicht praktische Funktionalitäten fehlen, weichen Mitarbeitende auf Cloud-Lösungen aus. Das Problem dabei ist allerdings: Tools aus der sogenannten Schatten-IT sind nicht in die Sicherheitsarchitektur des Unternehmens eingebunden, sodass die üblichen Sicherheitsmechanismen nicht greifen. Die Folgen sind unter anderem eine fehlende Übersicht über die im Unternehmen genutzten Anwendungen, Unklarheiten in Bezug auf Datenschutz und Compliance sowie Sicherheitsrisiken für die eigene IT.

Bestandsaufnahme wichtig

Um eine sichere Nutzung von Cloud-Anwendungen zu ermöglichen, sollten Unternehmen verschiedene Maßnahmen ergreifen. Erster Schritt: eine umfassende Bestandsaufnahme. Wie intensiv werden welche Cloud-Anwendungen außerhalb der eigenen IT-Systeme genutzt? Greifen Sicherheitsmechanismen? Wie sieht es mit der Verschlüsselung von Daten aus? Erst, wenn solche Fragen beantwortet sind, können Unternehmen gezielte Schritte hin zu mehr Sicherheit machen.

Zu den Sicherheitsmaßnahmen gehört ein ganzes Paket an Möglichkeiten. „Pauschal alle Cloud-Anwendungen zu blockieren, ist in der Regel keine Lösung und kann sogar das eigene Geschäft behindern“, sagt Schmidt. Sinnvoll ist es hingegen, die Cloud-Anwendungen in unterschiedliche Risikokategorien einzuteilen und zunächst als besonders riskant eingestufte Dienste zu stoppen. Zudem lässt sich ein sogenannter „Cloud Access Security Broker“ installieren – ein Programm, das den Datenverkehr aus dem Unternehmen überwacht und protokolliert sowie die eigenen Sicherheitsrichtlinien in der Cloud durchsetzt.

Insgesamt fehlt es vielen Unternehmen noch an einer eigenen Sicherheitsstrategie für Cloud-Anwendungen, meint Schmidt. Doch diese sei dringender denn je nötig. So werden vermehrtes Arbeiten im Homeoffice oder von unterwegs aber auch der schnelle Mobilfunkstandard 5G Cloud-Computing nochmal deutlich relevanter machen. Etwa können mit 5G-Technologie auch große Datenmengen fast überall schnell und einfach ausgetauscht werden. „Hier gilt es, einen Spagat zu meistern: Auf der einen Seite sollten Unternehmen die Chancen dieser Entwicklung nutzen. Auf der anderen Seite dürfen sie die eigene IT-Sicherheit nicht kompromittieren und müssen ihre Daten schützen“, resümiert Schmidt.

Unter www.tuv.com/cloud-security informiert TÜV Rheinland über vielfältige Dienstleistungen für Cloud-Security.