Schatten-IT wird für Unternehmen zu einem immer größeren Problem. Das bedeutet, dass neben der offiziellen Unternehmens-IT auch inoffizielle IT-Systeme im Einsatz sind, von denen die verantwortlichen IT-Abteilungen oder der Geschäftsführer des Unternehmens nichts wissen. Das birgt natürlich einige Risiken: Laut dem Marktforschungsunternehmen Gartner wird bis zum Jahr 2020 ein Drittel der Sicherheitsverletzungen auf Schatten-IT zurückzuführen sein. Erfahren Sie im folgenden Beitrag, warum Firmencontent auf Unternehmensplattformen sicherer ist.
Sicherheitsrisiko durch Ex-Mitarbeiter
Um auch unterwegs auf verschiedene Daten wie etwa Telefonnummern von Kunden zugreifen oder Strategiepapiere mit Kollegen austauschen zu können, werden immer häufiger Consumer-Clouds verwendet. Mitarbeiter können sich rasch und unkompliziert mit einem privaten Account registrieren und speichern mit der Zeit immer mehr sensible Daten in der Cloud. In den meisten Fällen wird den Verantwortlichen nicht mitgeteilt, dass man zusätzlich zur offiziellen Firmen-IT auch eine Consumer-Cloud-Lösung nutzt. Man möchte die IT-Abteilung mit diesem Thema nicht behelligen, da man die Lösung meist bereits aus der privaten Nutzung kennt und sie obendrein noch kostenlos zur Verfügung steht.
Diese Schatten-IT wird spätestens beim Ausscheiden eines Mitarbeiters aus dem Unternehmen zum massiven Problem. Denn mit der Person verlassen auch der Account und damit die Daten das Unternehmen. Im schlimmsten Fall handelt es sich dabei um sensible Firmendokumente und sehr wahrscheinlich um personenbezogene Daten.
Bei Business-Cloud-Diensten greift der Mitarbeiter in der Regel mit seinem Firmen-Account zu, bei dem genau kontrolliert werden kann, wer Zugriff hat und wer gesperrt wird.
Weitere Vorteile einer Business-Cloud-Lösung sind:
- eine zeitnahe Skalierbarkeit der IT-Leistungen
- eine gesteigerte organisatorische Flexibilität
- reduzierter IT-Administrationsaufwand
- keine Investitionskosten für Server-Hardware
Meldepflicht und Strafen durch die DSGVO
Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft und mit ihr Regeln zum Schutz personenbezogener Daten. Ein Verlust von personenbezogenen Daten ist vom CEO oder dem Datenschutzverantwortlichen unverzüglich und binnen 72 Stunden bei der österreichischen Datenschutzbehörde zu melden. Wird diese Meldepflicht missachtet, drohen je nach Schwere des Datenschutzverstoßes Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens bis zu 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Gemeldet werden kann natürlich nur das, wovon man weiß. Speichern Mitarbeiter ihre Daten auf privaten Consumer-Cloud-Diensten, bewegen sie sich auf unsicherem Terrain. Die Daten liegen außerhalb der Kontrolle des Unternehmens auf unbekannten Servern und dazu meist außerhalb der EU. Zudem werden oft die Nutzungsbedingungen nicht gelesen, in denen darauf aufmerksam gemacht wird, dass die Daten teilweise an Dritte weitergegeben werden können.
Übersicht über die Daten behalten
Das Herzstück der DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten (VdV). Mit seiner Hilfe kontrolliert die Datenschutzbehörde die internen Verarbeitungsvorgänge in Unternehmen. Dieses Verzeichnis muss unter anderem folgende Daten enthalten:
- Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- Zweck der Datenverarbeitung
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Kunden und Lieferanten; Rechnungsdaten, Adressdaten)
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland (z.B. USA) oder an eine internationale Organisation
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit)
- allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit)
Das Unternehmen muss also immer genau wissen, wessen und welche Daten erhoben werden, aus welchem Grund und wie lange diese gespeichert werden. Vor allem aber muss dokumentiert werden, wo die Daten gespeichert sind, z.B. in einer Cloud oder lokal. Sind im Unternehmen Consumer-Cloud-Dienste in Verwendung von denen die IT-Abteilung nichts weiß, kann der DSGVO nicht Folge geleistet werden.
Sichere Passwortvergabe
Ein großer Schwachpunkt von IT-Systemen sind nach wie vor die Passwörter. 2017 war 123456 das meistgenutzte Passwort der Österreicher, so das deutsche Hasso-Plattner-Institut (HPI). Wenn Mitarbeiter eine Consumer-Cloud-Lösung nutzen und firmensensible Daten darin speichern, sind diese sehr unsicher. Passwörter wie das vorhin genannte lassen sich in nur zwei bis drei Sekunden hacken.
Sind Daten jedoch ausschließlich über Firmenplattformen zugänglich, können bestimmte technische Sicherheitsstandards implementiert werden wie z.B. eine sichere Passwortvergabe. Es kann auch technisch vorgeschrieben werden, dass das Passwort aus einer mindestens achtstelligen Kombination aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen bestehen muss. Außerdem kann der User alle drei bis vier Monate automatisch dazu aufgefordert werden, das Passwort zu aktualisieren.
Usability und Security sollten sich allerdings nicht ausschließen. Müssen lange und komplexe Passwörter häufig gewechselt werden, wird der Mitarbeiter Alternativwege suchen wie z.B. ein Post-It am Bildschirm oder eben auf eine Consumer-Cloud zurückgreifen. Eine mögliche Lösung ist ein fixer und ein variabler Teil des Passwortes. Das bedeutet ein Teil bleibt immer gleich, während einzelne Zeichen regelmäßig geändert werden.
Bei besonders kritischen Anwendungen oder beim Zugriff von außen – etwa über eine unsichere WLAN-Verbindung – kann eine Multifaktor Authentifizierung (MFA) Bedingung sein. Dabei werden, wie z.B. beim Online-Banking, zwei Faktoren zur Authentifizierung abgefragt. Etwa die Login-Daten und ein Passwort, das per SMS zugeschickt werden kann. Hacker müssten somit zwei unterschiedliche Kommunikationswege angreifen, was das Risiko minimiert.
Kontrolle & Service
Sind Firmendaten auf Unternehmensplattformen gespeichert, werden sie zudem von der eigenen IT-Abteilung entsprechend gewartet und gesichert. Vermeintlich lästige Angelegenheiten wie Updates oder Backups werden von den verantwortlichen IT-Experten übernommen, die wissen, worauf es bei Datensicherheit ankommt und die bei Fragen persönlich oder telefonisch im Haus oder im Inland direkt erreichbar sind.
Fazit: Business-Cloud
Das Kleingedruckte liest kaum jemand gerne. Nicht ohne Grund sind die Nutzungsbedingungen bei Consumer-Cloud-Diensten nicht nur lang, sondern teils unverständlich geschrieben. Die Punkte, auf die es ankommt, sind gut versteckt. Wer auf Nummer sicher gehen will, speichert seine sensiblen und personenbezogenen Daten auf Unternehmensplattformen und geht so kein Risiko ein. Ein Datenschutzverstoß kann ab Mai 2018 im schlimmsten Fall bis zu 20 Millionen Euro kosten, vom Imageschaden ganz zu schweigen.
