Über die Hälfte der befragten Unternehmen mit mindestens 500 Mitarbeitern geht in einer Axxcon-Studie davon aus, dass in ihrem Unternehmen neben den zentral eingekauften und administrierten Cloud-Services auch dezentral beschaffte Dienste eingesetzt werden – ohne Wissen von IT-, Security- oder Einkaufsabteilung. Etwa 30 Prozent der IT-Verantwortlichen schätzen, dass es sich dabei um mehr als zehn verschiedene Anwendungen handelt. 45 Prozent der Befragten machten keine Angabe.

"Die Schatten-Cloud, sie sich auf diese Weise bildet, ist ein riesiges Problem für die IT-Sicherheit", warnt Torsten Beyer, Partner und IT-Experte bei Axxcon. Der Dienstleister unterstützt große und mittelständische Unternehmen aus der Energiewirtschaft, Industrie und Dienstleistungsbranche.

Sicherheitsvorfälle durch dezentrale Cloud

Ihm zufolge sind Cloud-Lösungen schnell mit der Kreditkarte im Netz gebucht und stehen dann umgehend zur Verfügung. Das Problem jedoch: Da die IT-Abteilung nicht über den Einsatz informiert ist, kann sie auch nicht sicherstellen, dass die Governance-Regeln des Betriebs eingehalten werden, was zum Beispiel die Nutzungsbedingungen des Anbieters oder den Standort seiner Rechenzentren betrifft.

IT-Verantwortliche sehen durchaus diese Bedrohungen durch nicht genehmigte Clouds: Relevante Sicherheitsvorfälle infolge dezentral beschaffter Cloud-Anwendungen werden aus 17 Prozent der befragten Unternehmen gemeldet. Von ihnen wiederum gibt jedes fünfte mehr als 50 Sicherheitsvorfälle an.

Datenschutz-Grundverordnung verschärft Probleme

Abhilfe schaffen viele der befragten Unternehmen dennoch nicht: So ist zwar in 45 Prozent der Unternehmen die Nutzung von Cloud-Diensten in der Betriebsvereinbarung zwischen Unternehmensleitung und Arbeitnehmervertretung geregelt. 29 Prozent haben jedoch gar keine Vereinbarung dazu. Bei 15 Prozent der Unternehmen bestehen Vereinbarungen zwischen anderen Parteien, elf Prozent machten dazu keine Angaben.

Mit der neuen Datenschutz-Grundverordnung, die seit 25. Mai gilt, haben sich die Anforderungen an den Umgang mit personenbezogenen Daten, etwa von Kunden und Mitarbeitern, verschärft. Das heißt: Jeder Kunde oder Mitarbeiter kann fragen, welche seiner Daten erfasst sind und wo diese gespeichert werden. "Befinden sich Kunden- oder Personaldaten in einer unüberschaubaren Fülle von Cloud-Services, kann das schwierig bis unmöglich werden", so Beyer. Es könne auch sein, dass sich die Daten an Orten befinden, wo sie gar nicht sein dürften.

"Reguläre Clouds können gute Dienste leisten"

Beyer warnt ausdrücklich vor nicht genehmigten Cloud-Services. Regulär eingesetzte Clouds hingegen können Unternehmen sehr gute Dienste leisten und die eigenen IT-Experten sinnvoll entlasten. Die in den befragten Betrieben offiziell am häufigsten genutzten Services sind laut Studie die von Microsoft Office 365 (gesamte Suite: 31 Prozent) und SAP (29 Prozent). Insgesamt wurden 200 Geschäftsführer, CIOs, IT-Leiter und Sicherheitsbeauftragte befragt. (sg)