Cloud-Provider versprechen weniger Kosten und mehr Flexibilität. Unerwähnt bleiben die Nachteile: Die Cloud lässt die Schatten-IT sprießen.
Foto: Victor Zastolskiy, Fotolia.com
Den Reizen des Cloud Computing scheinen immer mehr Anwender zu erliegen. Eine aktuellen Online-Umfrage des Karlsruher Instituts für Informationswirtschaft und -management und der Proventa AG unter 226 IT-Spezialisten und -Entscheider hat eine überraschend hohe Akzeptanz von IaaS (Infrastructure as-a Service) ergeben: 58 Prozent Befragten wollen künftig die Cloud nutzen.
Für CIOs ist das nicht zwangsläufig eine gute Nachricht, denn Mitarbeiter in den Fachabteilungen benötigen nur eine Kreditkarte, um IT-Investitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet.
Schatten-IT ist kein neues Problem
Allerdings ist das heimliche Nutzen von Hard- und Softwareressourcen kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können sie über USB-Sticks, CDs und via Internet Software auf den Rechner installieren. In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit aber auch aus Innovationsfreude der Mitarbeiter.
Sie werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. "Unsere IT-Abteilung ist zu unflexibel und wir müssen zu lange auf neue Ressourcen für ein Projekt warten", lautet eine typische Beschwerde. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten, sie hinke den Anforderungen der Fachabteilungen technologisch hinterher.
10 Tipps für Ihre Sicherheit
10 Tipps für Ihre Sicherheit Das Thema Sicherheit wird in Firmen oft noch bagatellisiert. Lesen Sie hier, wie Sie das Risiko einfach senken können.
Tipp 1: Führen Sie eine Risikoanalyse durch Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter.
Tipp 2: Informationssicherheit beginnt von oben Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden.
Tipp 3: Passwörter und Benutzernamen einrichten Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon alleine aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum §9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert.
Tipp 4: Virenscanner und Firewall sind ein Muss Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten werden und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken.
Tipp 5: Daten regelmäßig sichern Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern.
Tipp 6: Erstellen Sie einen Notfallplan In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich.
Tipp 7: Private E-Mail- und Web-Nutzung regeln Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern.
Tipp 8: Mobile Datenträger absichern Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich.
Tipp 9: Server und Netzwerk schützen Die physikalische Infrastruktur ihres Unternehmens, das heißt, Server, Netzwerk, etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon alleine aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden.
Tipp 10: Zugriffsregel erleichtern Adminstration Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, welche die Administration vereinfachen.
Die Schatten der Cloud
Neu ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, solche alternativen Software-Lösungen einfacher und schneller als in der Vergangenheit zu beziehen. Die Lösungen sind öffentlich zugänglich und können von beliebigen Personen und Unternehmen genutzt werden. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud-Storage zu nutzen oder per Google Docs ein Dokument zu erstellen.
Geht man einen Schritt weiter, fördert das Cloud Computing auch den Abfluss von Informationen aus dem Unternehmen. Eine Datei bei einem Cloud-Anbieter hochzuladen, ist schnell erledigt. Selbst wenn der Datei-Upload untersagt ist, lässt sich die Sperre ohne weiteres umgehen, indem man Inhalte aus dem lokalen Dokument in das Cloud-Dokument kopiert.
Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Prominente Beispiele sind Amazons "Elastic Compute Cloud" (EC2) sowie Cloud-Hosting-Dienste von GoGrid und RackSpace. Die mittels Web-Browser leicht zu bedienenden Management-Oberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilungen etwas davon merkt.
Vor- und Nachteile einer Sicherung in der Cloud
Alles sicher(n) in der Cloud? Eine Speicherung der eigenen Daten außerhalb des eigenen Büros beziehungsweise der eigenen Firma bietet Vor- und Nachteile:
Vorteile einer Sicherung in der Cloud Eine Speicherung der eigenen Daten außerhalb des eigenen Büros beziehungsweise der eigenen Firma bietet eine Menge Vorteile:
Vorteil 1: Bereitstellung und Betreuung von Speichersystemen und -Medien im eigenen Büro/Unternehmen entfallen in der Regel komplett.
Vorteil 2: Grundsätzlich gibt es keine Beschränkung in Bezug auf den Speicherplatz: Wer mehr Platz für seine Daten braucht, erwirbt einfach zusätzlichen Speicherplatz von seinem Provider.
Vorteil 3: Dadurch sind natürlich auch die Kosten besser kalkulierbar. Der Anwender zahlt nicht mehr für die Hardware, deren Betreuung und Betrieb. Er zahlt nur für den Speicherplatz und die damit verbundenen Dienste.
Vorteil 4: Zudem hosten professionelle Anbieter ihre Storage-Angebote in Rechenzentren mit einer entsprechend hohen Sicherheit. Sie garantierten Backups und damit auch eine Wiederherstellung der Daten.
Nachteile einer Sicherung in der Cloud Neben diesen offensichtlichen Vorteilen sollte man sich aber auch der Probleme bewusst sein, die beim Einsatz einer derartigen Lösung auftauchen können:
Nachteil 1: Eine schnelle und stabile Anbindung an das Internet ist Pflicht - ohne sie ist eine solche Lösung nicht sinnvoll: In einer ländlichen Gegend sollte also zunächst einmal sichergestellt werden, dass eine entsprechende Internet-Verbindung überhaupt verfügbar ist.
Nachteil 2: Ebenso wichtig ist ein vertrauenswürdiger Provider: Ein Anwender möchte gerne wissen, wer seine Daten wo (in Deutschland/ Europa oder gar auf einem anderen Kontinent?) speichert und sichert.
Nachteil 3: Mindestens so wichtig: Die Kontinuität des gewählten Dienstes/Dienstleisters, denn niemand möchte jedes Jahr nach einem neuen Anbieter suchen, weil der gewählte Provider die Dienste vielleicht aus Rentabilitätsgründen einstellt.
Nachteil 4: Die Sicherheit und hier speziell die Sicherheit der Übertragung: Im Idealfall stellt der Anbieter eine End-to-End-Verschlüsselung bereit und die Daten werden auf seinen Systemen nur verschlüsselt abgelegt, so dass selbst die Systemspezialisten des Providers diese Daten nicht einsehen können.
Schatten-IT ist näher als man denkt
Das ist schon lange Realität. Große Unternehmen kontrollieren bereits Reisekosten- und Kreditkartenabrechnungen auf wiederkehrende Zahlungen, denn sie geben Hinweise darauf, ob Fachabteilungen heimlich Cloud-Services beziehen. Oft ist es den Mitarbeitern nicht bewusst, dass die Schatten-IT enorme Probleme verursacht.
Durch unkoordiniertes Cloud-Sourcing können isolierte Dateninseln entstehen, weil Services verschiedener Anbieter selten kompatibel zueinander sind. In der Folge kommt es zu einer Fragmentierung der Informationsarchitektur des Unternehmens. Gefährlich wird es zudem, wenn Mitarbeiter leichtfertig personenbezogene Daten unverschlüsselt in eine außereuropäische Public Cloud übertragen.
Sie verletzten damit deutsche Datenschutzbestimmungen und bescheren ihrem Arbeitgeber schlimmstenfalls ernsthafte rechtliche Probleme. Darüber hinaus hat eine unachtsame Provider-Auswahl Lock-in-Effekte zur Folge. Spätestens wenn die Geschäftsbeziehung zum Provider beendet werden soll, können hohe Kosten für die Datenmigration entstehen. Diese potenziellen Risiken verdeutlichen, warum jeder CIO ein berechtigtes Interesse hat, heimliches Cloud-Sourcing zu unterbinden.
Cloud-Checklisten für den CIO
Cloud Computing Checkliste Wenn Fachbereiche ohne Wissen der IT Cloud-Services beschaffen, entsteht früher oder später eine "Schatten-IT". Hier erfahren Sie, wie Sie die Datensicherheit im Unternehmen erhöhen und dieser Schatten-IT entgegenwirken können. Hierzu sollten die Verantwortung und Aufgaben der Cloud-Strategie, Unternehmensleitung und IT-Abteilung klar geregelt sein.
Die zentrale Cloud-Strategie … legt fest, wie eine Private Cloud im Unternehmen organisiert wird.
Die zentrale Cloud-Strategie … bestimmt, welche SaaS-Anwendungen aus der Public Cloud beziehbar sind.
Die zentrale Cloud-Strategie … regelt, wie virtuelle Server in Public Clouds zu nutzen sind (Stichwort IaaS).
Die zentrale Cloud-Strategie … definiert die Zuständigkeiten der Abteilungen bei der Bestellung von Cloud-Leistungen und Vertragsverhandlungen.
Die zentrale Cloud-Strategie … enthält Vorgaben für Datenschutz und Datensicherheit bei der Cloud-Nutzung.
Die zentrale Cloud-Strategie … untersagt den Mitarbeitern den eigenmächtigen Einsatz von Cloud-Services.
Die Unternehmensleitung muss … IT-Richtlinie im Unternehmen erlassen und für die Umsetzung sorgen.
Die Unternehmensleitung muss … das nötige Know-how zu Cloud-Verträgen im Unternehmen sicherstellen - durch Schulungen, Entwicklung von Standards und Musterregelungen.
Die Unternehmensleitung muss … das Zusammenwirken der Abteilungen bei Vertragsverhandlungen koordinieren.
Die IT-Abteilung schließlich … erarbeitet ein detailliertes Sicherheitskonzept für die Unternehmens-IT und prüft es laufend.
Die IT-Abteilung schließlich … untersucht die Möglichkeiten zur Einbindung von Cloud-Services in Unter-nehmens-IT.
Die IT-Abteilung schließlich … berät die Unternehmensleitung bei der Entwicklung der Cloud-Strategie und deren Umsetzung.
Die IT-Abteilung schließlich … wirkt an Verhandlungen zu SaaS- und Cloud-Verträgen mit, prüft laufend deren Einhaltung, löst auftretende Probleme.
Die IT-Abteilung schließlich … schult Mitarbeiter aller Abteilungen zu Datensicherheit.
Die zentrale IT im Kontroll-Dilemma
Natürlich haben IT-Abteilungen die Möglichkeit, mittels Firewalls und weiteren Sicherheitslösungen den Zugriff auf externe Systeme zu beschränken. Allerdings schüren Kontrollen und Einschränkungen häufig Misstrauen und Vorbehalte der Anwender in den Fachbereichen gegenüber den internen IT-Kollegen.
Sinnvoller ist es, wenn die IT ihre Anwender über Gefahren und Risiken des unkontrollierten IT-Bezugs aufklärt. Hilfreich ist zudem, mit Hilfe von "Leuchtturm-Projekten" die Cloud-Kompetenz der IT sowie Flexibilität und Mehrwert für das Business darzustellen. Dennoch ist die IT-Abteilung auch gefordert, Erwartungen und Anforderungen der Fachseite schnell zu erfüllen. Dafür sind durchdachte und effiziente IT-Governance-Prozesse von Nöten, damit sich Nutzen und Risiken schnell einschätzen lassen. Auf dieser Basis kann die IT schnell auf Anforderungen reagieren und zügig Entscheidungen treffen.
Zugegeben, das ist im Cloud-Umfeld keine triviale Aufgabe. Es müssen zahlreiche technische, rechtliche, ökonomische und organisatorische Faktoren über den gesamten Lebenszyklus eines Cloud-Service hinweg berücksichtigt werden. Ein Unternehmen muss sich daher bereits im Rahmen des IT-Portfolio-Managements folgende Fragen stellen:
Sind die Herausforderungen und Risiken der Cloud bekannt?
Welche Prozesse, Anwendungen und IT-Infrastrukturen können und dürfen in der Cloud betrieben werden?
Welche Kriterien sind für die optimale Auswahl eines Cloud-Anbieters für unser Unternehmen relevant?
Sind diese drei Fragen beantwortet und die IT-Governance-Prozesse den Anforderungen der Cloud angepasst, dann steht dem Weg in die Cloud nichts im Wege. Mit derartigen Vorarbeiten lassen Risiken und minimieren und Entscheidungsprozesse beschleunigen. Die Zufriedenheit aller Stakeholder ist der Lohn der Arbeit. (jha)