Es geht so einfach, und es passiert in jedem Unternehmen: Ein Mitarbeiter entdeckt ein kleines Tool in der Cloud, das ihm die Arbeit erleichtert. Flugs legt er einen Account an und lädt die Kollegen ein, den Cloud-Service ebenfalls zu nutzen. Die Begeisterung ist groß. Das Tool glänzt mit einer schicken und leicht bedienbaren Oberfläche, natürlich gibt es auch eine mobile App. In Windeseile hat sich der Cloud-Service im Unternehmen verbreitet, manchmal auch darüber hinaus.
Das kann schon mal vorkommen, wird sich so mancher IT-Verantwortliche denken. Doch die damit entstehende Schatten-IT, die ohne das Wissen von IT-, Security- oder Einkaufsabteilungen sprießt, hat erschreckende Ausmaße angenommen. 48 Prozent der vom amerikanischen Softwarehaus Harmon.ie befragten "Knowledge Worker" etwa gaben zu, dass sie Apps aus der Cloud ohne die Autorisierung ihrer IT-Abteilung einsetzen. Dazu gehören Apps aus den Bereichen Projektmanagement, File Sharing oder Notizenerstellung.
In einem durchschnittlichen Unternehmen sind derzeit 1.022 verschiedene Cloud-Services im Einsatz, hat der Cloud-Security-Anbieter Netskope in einer aktuellen Studie herausgefunden. Mehr als 90 Prozent der Dienste eignen sich demnach nur bedingt für einen Enterprise-Einsatz, weil Management-, Security- und Compliance-Features fehlten. Zwei von drei untersuchten Cloud-Services garantieren in den Nutzungsbedingungen beispielsweise nicht, dass die Daten ausschließlich dem Kunden gehören. In mehr als 80 Prozent der Fälle werden Daten zudem unverschlüsselt beim Provider gespeichert.
Wie ernst das Problem ist, zeigen auch Erkenntnisse von Optiv Security. Der Anbieter von Cloud Risk Assessment Services überwacht die Web-Nutzung von Unternehmen in einem definierten Zeitraum und liefert anschließend Berichte zur Nutzung von Cloud-Anwendungen. "Wir finden buchstäblich tausende Applikationen, die in Unternehmen eingesetzt werden", berichtet John Turner, Senior Director Cloud Security. "Das ist für die IT-Leute oft ein Schock." Noch größer sei das Erstaunen, wenn die Reports detaillierte Erkenntnisse zur Nutzung der Cloud-Anwendungen, zur bewegten Datenmenge und der Art der Daten zutage förderten.
Cloud-Dienste blockieren ist nicht die Lösung
Doch was tun? Cloud-Services einfach zu blockieren, wie es die IT gerne täte, verschlimmere das Problem nur und zwinge Nutzer, unter dem Radar zu arbeiten, kommentiert Turner. Der Widerstand aus den Fachabteilungen könne heftig ausfallen: "In vielen Fällen entsprechen die mit Cloud-Diensten erzielten Produktivitätsverbesserungen exakt den Business-Prioritäten." Blockiere die IT solche Services, werde sie meist mit harscher Kritik an der angebotenen Ersatzlösung konfrontiert. Turner: "Häufig werden solche Entscheidungen von höherrangigen Instanzen wieder kassiert."
Dass es mittlerweile für fast jedes erdenkliche Problem in Unternehmen eine Cloud-Lösung gibt, macht die Sache für IT-Verantwortliche nicht einfacher. "Es ist ein immenses Problem, das immer größer wird", sagt David Holmes, Security-Spezialist beim Softwareanbieter F5 Networks. "Jeder kleine Service, den man sich vorstellen kann, wird cloudifiziert. Es ist einfach, ihn sofort über die Firmenkreditkarte zu buchen."
Ohne Identity Management sind Datenschutzprobleme programmiert
Die Probleme beginnen schon mit den Benutzeridentitäten. Wenn Mitarbeiter sich auf eigene Faust für einen Cloud-Service anmelden, legen sie in der Regel einen neuen persönlichen Account an. "Lange Zeit setzten solche Cloud-Services auf ihre eigenen Identifizierungs- und Authentifizierungssysteme mit einem Benutzernamen und einem Passwort", berichtet Francois Lasnier, Senior President für den Bereich Authentifizierung beim Security-Anbieter Gemalto.
Wer etwa Salesforce.com nutzen wollte, musste sich innerhalb des Systems ein Konto anlegen. Heutzutage bieten die populärsten Services ausgefeilte Provisioning- und Management-Systeme, die auf Standards basieren. Dabei kommt in der Regel die Security Assertion Markup Language (SAML) zum Einsatz. Mit OpenID gewinnt noch ein weiterer Standard an Bedeutung. "Das hilft den Unternehmen beim Einrichten von Access-Management-Lösungen", so Lasnier. Viele Hürden auf dem Weg zu einem breiten Cloud-Einsatz würden damit aus dem Weg geräumt.
Die berüchtigte Schatten-IT lässt sich damit aber nur teilweise eindämmen. Denn nur die großen und weitverbreiteten Cloud-Anwendungen unterstützen solche Standards. Startups oder Consumer-orientierte Cloud-Provider verzichten oft darauf. Kleinere Cloud-Anbieter tun sich bisweilen schwer, Nutzerdaten vor Hackerangriffen zu schützen, kritisiert Mark McArdle, CTO beim kalifornischen Softwareanbieter eSentire. "Security steht da oft nicht im Vordergrund." Vielen kleineren Playern fehle schlicht das Wissen, Sicherheitsfunktionen in ihre Dienste einzubauen.
Ein unzureichendes Identity Management führt unweigerlich zu Datenschutzproblemen. So werden beispielsweise Nutzerkonten von Mitarbeitern, die das Unternehmen verlassen, nicht automatisch deaktiviert. Haben Sie einen Account bei einem File-Sharing-Dienstleister, über den sie Dokumente mit Kollegen oder Geschäftspartnern austauschen, verlieren Unternehmen nach einem Ausscheiden des Angestellten die Kontrolle über diese Daten. "Der Mitarbeiter kann zu jeder Zeit von jedem Ort aus auf solche Daten zugreifen", warnt Erik Brown, CTO beim Softwarehaus GigaTrust. "Das ist großartig für den Mitarbeiter, aber ein Sicherheitsrisiko für das Unternehmen."
"Nur ein Viertel der Cloud-Services ist GDPR-ready"
Risiken ganz anderer Art birgt die Schatten-IT im Bereich Compliance. Laut der Netskope-Untersuchung erfüllt weniger als ein Viertel der von Unternehmen genutzten Cloud-Services die Anforderungen der EU-Datenschutzgrundverordnung (GDPR, General Data Protection Regulation). Das könnte für etliche Organisationen Konsequenzen haben.
Denn ab 25. Mai 2018 müssen Unternehmen mit Strafzahlungen rechnen, wenn sie gegen die Verordnung verstoßen. Selbst Cloud-Dienste, die in der Erhebung in Sachen GDPR-Readiness eine gute Bewertung erhalten haben, sind nicht frei von Problemen. Netskope verweist darauf, dass 57 Prozent dieser Services keine verschlüsselte Datenhaltung beim Provider unterstützen. Mehr als 80 Prozent replizierten Daten in geografisch verteilte Rechenzentren.
Cloud-Dienste können Türen für Malware öffnen
Unsichere und nicht autorisierte Cloud-Services können zudem Kanäle für Angreifer öffnen. Ein kompromittierter Web-Service etwa ist in der Lage, über ein Update der Client-Software auf einem Firmenrechner Malware einzuschleusen. Genau das passierte dem ukrainischen Anbieter einer Steuersoftware im vergangenen Sommer, berichtet Security-Spezialist Mc Ardle von eSentire.
Die infizierte Applikation installierte die Malware Petya, die daraufhin nicht nur ukrainische Banken attackierte, sondern auch Energieversorger, Regierungsbehörden und Überwachungssysteme des Kernkraftwerks Tschernobyl. Petya breitete sich auf zahlreiche andere Länder aus und sorgte auch in Deutschland für Schlagzeilen.
Die Angreifer nehmen dabei längst nicht nur die großen Cloud-Provider ins Visier, berichtet McArdle. Einige Cloud-Services würden zwar von sehr kleinen Teams betreut, spielten in bestimmten Branchen aber eine wichtige Rolle und würden dort intensiv genutzt. "Ein 50-Mann-Startup kann so einen Services etwa in der AWS-Cloud hosten", so der Experte. "Für Angreifer könnte dieser Service ein sehr attraktives Ziel sein. Das ist keine Theorie, solche Attacken gab es bereits."
Cloud Access Security Broker und Single Sign-on sichern Cloud-Dienste
Zu den gängigsten Methoden, den Cloud-Wildwuchs im Griff zu behalten, gehören Cloud Access Security Broker (CASB) und Single Sign-on-Systeme. In diesem Marktsegment tummeln sich mittlerweile etliche Anbieter, darunter Skyhigh, Netskope, Forcepoint oder Okta. Auch Branchenschwergewichte wie IBM, Microsoft, VMware und Cisco und haben ihr Portfolio um CASB-Lösungen erweitert. In vielen Fällen bieten solche Systeme auch Single-Sign-on-Features oder stellen Nutzerportale bereit, über die Anwender besonders einfach auf Web-Services zugreifen können sollen.
Ein Single-Sign-on-System kann Unternehmen helfen, die Anzahl nicht autorisierter Cloud-Anwendungen zu reduzieren, erläutert Security-Spezialist Holmes: "Wenn Sie sich als neuer Mitarbeiter einloggen und die angebotenen Dienste sehen, könnten Sie etwa feststellen, dass im Unternehmen 'Box' und nicht 'Dropbox' genutzt werden soll."
Von einem zentralisierten Sign-in-System für alle benötigten Cloud-Services profitieren aber auch die Nutzer. Sie müssten sich nicht mehr zahlreiche Passwörter merken oder im schlimmsten Fall dasselbe Passwort für alle Dienste verwenden. Damit könnte auch die Akzeptanz in den Fachabteilungen wachsen.