DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Ver­steckte Cloud-Ser­vices sind in vielen Unter­nehmen Rea­lität

Schatten_IT

In vielen Unter­nehmen wird mitt­ler­weile Hardware oder Software genutzt, von der die IT-Abteilung kei­nerlei Kenntnis hat.

 

 

 

Während mit­ge­brachte Smart­phones und Tablets in vielen Unter­nehmen unter dem Begriff Bring your own Device schon als Sicher­heits­risiko erkannt werden, und man ver­sucht, ihnen mit Sicher­heits­richt­linien bei­zu­kommen, wird ein anderes Problem teil­weise ver­kannt. Viele inno­vative Mit­ar­beiter, manchmal sogar ganze Abtei­lungen sind in den letzten Jahren dazu über­ge­gangen, sich IT-Leis­tungen aus der Cloud zu holen, die die IT des Unter­nehmens nicht oder zu langsam bereit­stellt.

Diese Mit­ar­beiter oder Abtei­lungen handeln nicht auf­grund hoher kri­mi­neller Energie, sondern, weil sie leis­tungs­bereit sind und die aktuell vor­handene Firmen-IT nicht die pas­sende Software bereit­stellt, um die Auf­gaben zügig zu erle­digen. Aus Sicher­heits­as­pekten ist es aber natürlich ein hohes Risiko, wenn fast 20 Prozent der IT-Leis­tungen im Unter­nehmen ohne Kenntnis und Über­prüfung der IT-Abteilung ein­ge­setzt werden (PWC-Studie).

Im Unter­nehmen ist man nun gefordert, die Nutzer der Schatten-IT in ihrem Arbeits­fluss nicht zu behindern, aber gleich­zeitig darauf zu achten, dass damit Sicher­heits- und Com­p­liance Regeln nicht unter­wandert werden.

IT-Par­al­lel­welten

Aus diesem Grund ist es nicht ange­bracht, das Problem aus rein tech­ni­scher Sicht zu lösen. Denn IT-Abteilung und Admi­nis­tra­toren hätten durchaus die Mög­lichkeit durch Aus­wer­tungen von Log­bü­chern und Reports der Firewall-Systeme  und durch ein nach­ge­la­gertes Sperren von Appli­ka­tionen an der Firewall die uner­wünschten Pro­gramme auf­zu­spüren und ihnen den Garaus zu machen. Eine weitere Mög­lichkeit wäre bei­spiels­weise auch, Kre­dit­kar­ten­ab­rech­nungen, Rei­se­kos­ten­ab­rech­nungen etc. der Abtei­lungen zu über­prüfen. Häufig werden IT-Ser­vices so abge­rechnet, die nicht innerhalb der Unter­nehmens-IT bereit­ge­stellt werden und somit auch nicht den regu­lären War­tungs­pro­zessen unter­liegen. 

Aber damit kann man noch nicht die­je­nigen Mit­ar­beiter dingfest machen, die wichtige Doku­mente über ihr Smart­phone in der Dropbox spei­chern. Das Risiko einer par­al­lelen IT-Infra­struktur und die damit ver­bun­denen Gefahren für die IT-Sicherheit dürfen gerade in Zeiten, in denen die Cloud-Lösungen nur so sprießen, nicht unter­schätzt werden.

Was kann man tun, um die Bedürf­nisse der Mit­ar­beiter und der IT-Abteilung unter einen Hut zu bekommen? Wichtig ist es vor allen Dingen, die Mit­ar­beiter über die Risiken zu schulen, die eigen­mächtige Nutzung von Hard-und Software mit sich bringt. Die Vorgabe einer Bring your own device Richt­linie, also wie mit­ge­brachte Lösungen ein­ge­setzt und genutzt werden können, kann hier bereits ein erster Schritt in die richtige Richtung sein.  So werden bei­spiels­weise die teils pri­vaten, teils beruflich genutzten Geräte im Unter­nehmen bekannt. Das ist besser, als die Nutzung einfach zu unter­sagen. Denn so wird das Risi­ko­po­tenzial bekannt und kann aktiv abge­si­chert werden.

Bekannte Cloud-Lösungen, die von der IT-Abteilung mit­ge­tragen werden, dienen allen. Die Fach­ab­tei­lungen können so ihren Soft­ware­bedarf zügig decken und die IT-Abteilung kann durch gezielte Auswahl die Risiken mini­mieren. So wird auch klar, dass Cloud-Lösungen keine Gefahr für die Arbeits­plätze in IT-Abtei­lungen dar­stellen.  Laut einer Online-Umfrage des IT-Fach­me­diums CIO vom März 2011 haben 18 Prozent der IT-Fach­kräfte in Deutschland Angst davor, dass sie durch Cloud Com­puting über­flüssig werden. Vielmehr ver­ändert sich deren Arbeit dahin­gehend, die nötigen Lösungen unter Sicher­heits­as­pekten ein­zu­führen und auch in den IT-War­tungs­zyklus ein­zu­be­ziehen.

Bild:  © Andreas Preuß / pixelio.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.