Nach der Ponemon-Studie kümmern sich die Unternehmen nicht hinreichend um die Sicherheit ihrer sensiblen Daten, wenn sie diese in die Hände eines Cloud-Provider geben. Nicht einmal jedes zehnte Unternehmen unterzieht den in Anspruch genommenen Cloud-Service einer ernsthaften Prüfung oder schult seine Mitarbeiter im Hinblick auf die erhöhten Gefährdungen für die Datensicherheit in.
Trotz Sicherheitsbedenken und der erwarteten Zunahme von Cloud-Services verzichtet die Mehrzahl der Anwender sogar auf jene grundlegenden Sicherheitsprüfungen, die normalerweise selbst bei internen Projekten eingesetzt werden. „Den meisten Unternehmen fehlt es an Prozessen, Richtlinien und Werkzeugen, um die Sicherheit ihrer sensiblen Daten in einer Cloud-Umgebung zu gewährleisten“, schreiben die Studienautoren.
Für die Studie hatten sie 637 US-amerikanische Sicherheitsexperten zum Umgang der Unternehmen mit Cloud Applikations-, Plattform- und Infrastuktur-Services sowie den speziellen Vorkehrungen für deren Sicherheit befragt. Die Ergebnisse sind alarmierend, und wohl nicht von ungefähr haben die Autoren die Studie mit dem Titel „Flying Blind in the Cloud - The State of Information Governance“ versehen.
Insgesamt ist es nur rund ein Viertel der Befragten, das überhaupt über Richtlinien für den Umgang mit sensiblen Daten in Cloud Umgebungen verfügt und sich damit zumindest einigermaßen auf die erhöhte Gefährdungslage einstellt. Was der große Rest der befragten Unternehmen zu Protokoll gibt, klingt eher nach Kapitulation als nach proaktivem Handeln. Die Gründe dafür vielfältig und gehen weit darüber hinaus, dass das Konzept noch relativ jung ist und deshalb erst wenige Erfahrungen damit vorliegen.
Die IT-Abteilung bleibt in Sicherheitsfragen außen vor
Ein entscheidender Faktor für die vernachlässigte Sicherheit liegt in der Tatsache begründet, das sich der Einfluss der IT-Abteilung - und schlimmer noch, der internen IT-Security - in Cloud Computing Umgebungen drastisch verändert. Zwei Drittel der Entscheidungen für den Einsatz von Cloud-Services werden von Anwendern oder dem Business-Management gefällt, ohne dass die Expertise der eigenen IT- und IT-Security-Fachleute in Anspruch genommen wird.
Die Entscheidung für einen Cloud-Provider fällt deshalb oft nach reinem Hörensagen oder dem Renommee des Anbieters. Drei Viertel der befragten IT-Sicherheitsexperten beklagen, dass der internen IT-Abteilung durch Cloud Services komplett die Kontrolle der Anwender entzogen wird.
Die Verantwortung für die IT-Sicherheit verlagert sich von den eigentlich dafür zuständigen IT-Experten auf die Anwender und das Business-Management, denen aber in der Regel das Wissen fehlt, um die IT-technischen Implikationen und die Sicherheitsrisiken abschätzen zu können. Überhaupt nur in einem Fünftel aller Fälle wird die interne IT-Abteilung oder die IT-Sicherheitsabteilung an der Entscheidung beteiligt.
„Die Ergebnisse zeigen, dass viele Unternehmen im Hinblick auf die Sicherheitsaspekte gleichsam „im Blindflug“ in Cloud Umgebungen steuern und damit potenziell ihren Betrieb, die eigenen Daten und die Daten ihrer Kunden gefährden“, warnen die Studienautoren.
Die befragten IT-Sicherheitsfachleute haben deshalb wohl nicht zu Unrecht den Eindruck, dass die Verantwortung für Cloud Computing derzeit ungünstig verteilt ist: 70 Prozent von ihnen glauben, dass IT-sicherheitsrelevante Fragen im Zusammenhang mit Cloud Computing in den Händen der IT-Abteilung (35 Prozent) oder der IT-Sicherheitsabteilung (34 Prozent) liegen sollten.
Konventionelle Sicherheitsmethoden versagen in Cloud-Umgebungen
Als weitere Gründe für das Fehlen angemessener Sicherheitsprüfungen führen die Studienteilnehmer fehlende Ressourcen für Sicherheits-Evaluierungen (50 Prozent) an, ebenso wie unklare Zuständigkeiten („no one is in charge“ 44 Prozent) und dass das Thema generell nicht als dringlich eingestuft wird (43 Prozent).
Die tatsächlich ergriffenen Schutzmaßnahmen beschränken sich meist auf traditionelle IT-Security-Methoden und Entschädigungsansprüche gegen den Cloud-Provider. Zwar bringen Entschädigungsklauseln das Unternehmen rechtlich auf die sichere Seite, Gefahren für die eigentlichen Daten lassen sich damit aber natürlich nicht abwehren.
Und auch konventionelle Methoden der IT-Sicherheit entfalten in Cloud-Umgebungen nur begrenzte Wirkung: „Data Loss Prevention und einige Verschlüsselungstechnologien beispielsweise funktionieren in Cloud-Umgebungen oft nicht. Das deutet darauf hin, dass viele Anwender die spezifischen Risiken und Rechtsfragen des Cloud Computing nicht verstanden haben“, formulieren die Studienautoren.