Datensicherheit leidet oft durch vernachlässigte Cloud-Kontrolle

Cloud-Dienste sind wichtig für ein Unternehmen. Dabei sollte man aber nicht verdrängen, diese entsprechend zu kontrollieren und zu reglementieren, da sonst sehr schnell firmeninterne und möglicherweise schützenswerte Daten außer Haus gelangen können. Dazu definieren fast 2/3 der Unternehmen in Deutschland eine sog. Cloud Governance.

Mangelhafte Umsetzung der Cloud Governance

Fast 2/3 der Unternehmen in Deutschland definieren zwar eine Cloud Governance, jedoch wird diese oft nur mangelhaft umgesetzt. Da Mitarbeiter oft auch private Endgeräte geschäftlich nutzen (BYO), ist es für die IT-Abteilungen sehr schwer festzustellen, welche Cloud Dienste von den Mitarbeitern genutzt werden, und ob diese privat oder geschäftlich zum Einsatz kommen. Das Problem fächert sich noch weiter auf, bedenkt man, dass ein Mitarbeiter oft nicht nur ein einziges Endgerät einsetzt.

Cloud-Dienste, die vom Unternehmen "offiziell" angeschafft wurden, werden von den einzelnen Abteilungen möglicherweise nicht verwendet, statt dessen werden andere Cloud Dienste "nach Bedarf" eingesetzt.

Diese anderen, nicht offiziell angeschafften Cloud-Dienste teilen sich wiederum in akzeptierte und ungeeignete Dienste auf. Der "Cloud Adoption and Risk Report" weist aus, dass derzeit lediglich 5.4% der in Firmen eingesetzten Cloud-Dienste offiziell angeschafft wurden, 63.3% autorisiert wurden und immerhin noch 31.3% Cloud-Dienste verwendet werden, die für den Unternehmenseinsatz ungeeignet sind.

Entsprechende Gegenmaßnahmen könnten sein, diese Dienste zu blockieren - dies scheint allerdings lange nicht so effektiv zu sein als erwartet. Als besonders krasse Beispiele werden im Bericht Pastebin und 4chan genannt - die geschätzte Erfolgsquote bei der Blockierung wurde mit 66,7% bzw 79,3% angenommen, bei genauerer Betrachtung stellte sich heraus, dass nur 7,1% bzw 21,6% blockiert wurden. Diese Werte sind natürlich noch verbesserungswürdig.

Fazit:

Unternehmen sollten genau hinschauen, welche cloudbasierten Dienste von den einzelnen Mitarbeitern verwendet werden. Im besten Fall werden nur solche Dienste verwendet, die offiziell angeschafft wurden, und so allen Anforderungen in Puncto Datensicherheit, Datenschutz, Geschwindigtkeit, Verfügbarkeit, etc. genügen. Ein No-Go sind definitiv Dienste, die die Daten für sich beanspruchen oder in Rechenzentren ausserhalb Deutschlands bzw. der EU speichern. Auf jeden Fall sollten klare Regelungen hierzu eingeführt werden.

eXtro.hosting bietet verschiedene -speziell auf das anwendende Unternehmen zugeschnittene - cloudbasierte Anwendungen an, wie zB. virtualisierte Server, Exchange Alternativen auf Zimbra Basis, internetbasierten Speicher auf WebDAV Basis. Alle eXtro-Dienstleistungen werden ausschliesslich auf Servern in deutschen Rechenzentren erbracht, so dass deutsche Gesetze (insbesondere das deutsche Datenschutzrecht) umfassend Anwendung finden.

Quelle:
http://www.cloudcomputing-insider.de/cloud-kontrolle-in-unternehmen-ist-noch-unzureichend-a-565522/

2017-03-07