Sicherheitsrisiko: Die Nutzung nicht genehmigter Cloud-Dienste

Viele Anwender speichern Firmendaten in nicht genehmigten Cloud-Lösungen – ein erhebliches Sicherheitsrisiko. Was können Unternehmen dagegen tun?

Eine der größten Herausforderungen bei der Cloud Computing Sicherheit ist zu wissen, wo und bei welchen Cloud-Diensten die Daten gespeichert sind. Üblicherweise werden schon durch die reine Notwendigkeit bei den meisten Unternehmen Daten in genehmigten Cloud-Diensten wie Microsoft Office 365, Dropbox, Google Drive oder bei bekannten IaaS-Anbietern gespeichert. Mit Unterstützung durch einen Cloud Access Security Broker (CASB) lassen sich diese Dienste beziehungsweise deren Nutzung ordentlich überwachen und kontrollieren. So lässt sich sicherstellen, das die Richtlinien des Unternehmens und die Sicherheitsvorschriften auch auf die Cloud-Dienste Anwendung finden.

Eine wachsende Herausforderung ist allerdings für Unternehmen, die Nutzung von nicht genehmigten Cloud-Diensten nachzuvollziehen – Stichwort Schatten-IT. Diese Lösungen werden nicht vom Cloud Access Security Broker abgedeckt und bleiben außerhalb der Kontrolle der IT-Sicherheitsabteilung. Meist hat die IT-Abteilung nicht nur keine Kenntnis davon, welche Daten dort gespeichert werden, oft ist noch nicht einmal bekannt, welche Dienste überhaupt genutzt werden. Eine Untersuchung von Ciphercloud hat ergeben, dass in Unternehmen nur 14 Prozent der genutzten Cloud-Dienste offiziell genehmigt sind. Das erhöht signifikant Risiko, dass Daten in unsicheren Umgebungen gespeichert werden und dass es zu einer versehentlichen Datenschutzverletzung kommt. Die natürliche Gegenreaktion wäre all diese Dienste zu sperren, aber das wäre selbstredend kein zeitgemäßer Ansatz.

Cloud-Dienste und die Sicherheit

Unternehmen sollten zunächst einmal feststellen, wie viele ungenehmigte Cloud-Anwendungen durch die Mitarbeiter genutzt werden. Wenn der gesamte Internet-Traffic über einen eigenen Web Proxy läuft, stehen der IT auch die Daten zur Verfügung, welche Cloud-Anwendungen genutzt werden. Das ist nur ein Verfahren von vielen unterschiedlichen Möglichkeiten, die der IT zur Verfügung stehen. Es ist in jedem Fall zu berücksichtigen, dass der Traffic von und zur Cloud das Unternehmensnetzwerk verlassen muss, und so auch verfolgt werden kann.

Im nächsten Schritt gilt es festzustellen, warum die Mitarbeiter genau diese Cloud-Anwendungen einsetzen. Es könnte natürlich böswillig sein, um Daten unerkannt aus dem Firmennetz auszuschleusen. Wahrscheinlicher ist aber, dass die offiziell genehmigten Cloud-Dienste funktionell nicht alle Anforderungen erfüllen, die Anwender nun einmal haben. Wenn dem so ist, sollten die verwendeten Anwendungen genau daraufhin untersucht werden und falls möglich ins offizielle Cloud-Angebot mit aufgenommen werden.

Eine der erfolgreichsten Maßnahmen, um die Nutzung von nicht genehmigten Cloud-Diensten zu unterbinden, ist die Schulung des Sicherheitsbewusstseins der Anwender. Das gilt für viele Bereiche der IT-Sicherheit und ist dann wirksam, wenn die Schulung auf interessante und glaubwürdige Art durchgeführt wird. Der Ursprung des Sicherheitsrisikos liegt darin begründet, dass Mitarbeiter Unternehmensdaten in der Cloud ablegen. Gibt man Mitarbeitern ein Mitspracherecht, welche Cloud-Anwendungen genutzt werden dürfen und schafft das Bewusstsein für das Risiko nicht-genehmiger Apps, kann das Übel unter Umständen an der Wurzel beseitigt werden.

Lassen Sie die Schulung nicht nur interne Trainer abhalten oder gar als E-Learning-Angebot laufen. Die Schulung des IT-Sicherheitsbewusstseins sollte immer sehr lebendig und nachvollziehbar sein und von außen kommen. Damit wird vermieden, dass die Mitarbeiter diese Schulung einfach als eine weitere IT-Präsentation betrachten. Mit einer ergänzenden Überwachung der genutzten Cloud-Dienste können Unternehmen zumindest wieder etwas mehr Kontrolle über ihre Daten bekommen.

Speziell der Problematik der nicht genehmigten Cloud-Anwendungen widmen sich auch zwei Lösungen von IBM und Microsoft. Der IBM Cloud Security Enforcer soll Unternehmen dabei unterstützen, die Cloud-Nutzung der Mitarbeiter besser zu verwalten und abzusichern. Microsoft Cloud App Security soll Administratoren dabei helfen, die Nutzung von Cloud-Anwendungen im Unternehmen besser zu kontrollieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IBM Cloud Security Enforcer – Cloud-Sicherheit mit Zugriffskontrolle.

Microsoft veröffentlicht den Dienst Cloud App Security.

Cloud-Sicherheit: Darauf sollten Sie achten.

Wie kann ein Reverse Proxy Mode die Cloud-Sicherheit erhöhen?

Artikel wurde zuletzt im August 2016 aktualisiert

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close