Ungenehmigte Applikationen aus der Cloud

Autor/Redakteur: Diethelm Siebuhr, Geschäftsführer Central Europe bei Easynet Global Services/gg

Diethelm Siebuhr

Seit nunmehr fünf Jahren diskutieren die Unternehmen schon über Cloud Computing und man kann nicht sagen, dass während dieser Zeitspanne nichts passiert wäre. Eine Reihe von Unternehmen hat sich – meist nach reiflicher Überlegung und nach Rücksprache mit der Rechtsabteilung – aus der Deckung gewagt und arbeitet schon mit der Cloud. Vor allem aber bedient sich der private Anwender, der “Consumer”, überaus rege an der Cloud. Es dürfte heute kaum noch jemanden geben, der sich privat im Web bewegt und dabei nicht Applikationen aus der Cloud verwendet, sei es eines der diversen Mail-Programme, ein Messenger wie WhatsApp oder ein Dateisystem wie Dropbox, aber auch Portale wie YouTube, Flickr oder eBay sind technisch gesehen nichts anderes als Cloud-Applikationen. Je aktiver jemand im Netz ist, je “netzaffiner” er ist, desto größer ist die Wahrscheinlichkeit, dass er nicht nur ein Cloud-Programm, sondern gleich eine ganze Reihe davon im Einsatz hat. Dass in den meisten Fällen auf diesen Lösungen nicht groß und breit “Hic sunt leones” draufsteht, ändert nichts an der Sache.

Unterdessen ist aber über diesen Umweg das Cloud Computing auch in die Unternehmen eingedrungen – und zwar ganz jenseits von Überlegung und Abwägungen Cloud-typischer Fragestellen hinsichtlich Sicherheit, Eigentum an den Daten, Zugriffsmöglichkeiten durch Dritte oder Geschäftsmodell. Und natürlich ohne Rücksprache mit der Rechtsabteilung. Da gibt es Mitarbeiter, die neben dem offiziellen noch parallel ein weiteres Mailprogramm verwenden – gerne auch für Unternehmensbelange – oder ein Grafikprogramm oder sie laden einfach ein paar Dateien bei Dropbox hoch, weil sie dann ganz einfach von unterwegs drauf zugreifen können. Der aktuelle Trend, private Geräte, vornehmlich Smartphones und Tablets auch im und für das Unternehmen einzusetzen (Bring your own device – BYOD), gibt dem noch einmal kräftig Vorschub: Kein Unternehmen weiß, welche Applikationen auf diesen Geräten laufen, zumal es auch kaum Möglichkeiten gibt, das zu überprüfen und laufend zu überwachen. Schließlich gilt noch immer: in der BYOD-Welt ist immer noch der Nutzer Herr über das Gerät und er bestimmt, was darauf installiert wird und was nicht.

In den meisten Fällen haben die Mitarbeiter natürlich gute Gründe diese Cloud-Applikationen zu verwenden, vielleicht weil die unternehmenseigene Software ein paar dringend benötigte Funktionen nicht zur Verfügung stellt, vielleicht auch, weil man das betreffende Cloud-Programm schon gewöhnt ist und es deshalb besser bedienen kann. Effizienz hin oder her, vom Unternehmen nicht autorisierte Anwendungen bleiben in Verbindung mit Unternehmensdaten eine gefährliche Kombination, die alle Überlegungen bezüglich der Cloud unterläuft. E-Mails schnell mal von Firmensystem auf Yahoo oder Gmail überspielen oder eine Unternehmenspräsentation mit Angebotsdaten bei Dropbox hinterlegen oder mit Google Drive bearbeiten, das sollte in Hinblick auf die Sicherheit der Daten ein Tabu sein, so praktisch es sein mag. Die Sicherheitsanforderungen gerade der Publikumsdienste sind ja auch nicht für kritische Unternehmensdaten gedacht und ob die jeweiligen Anbieter, den Vorschriften bezüglich der Verarbeitung personenbezogener Daten nach dem Bundesdatenschutzgesetz (BDSG) genügen, ist noch sehr die Frage. Den Unternehmen darf das nicht gleichgültig sein, denn immerhin müssen sie für die Sicherheit und Integrität ihrer Datenhaltung einstehen. Sie können nicht einfach die Schuld abschieben und sich darauf herausreden, dass der Mitarbeiter die Kundendaten doch über das eignen Tablet in aller Welt verteilt habe.

Da sich die Verwendung ungenehmigter Applikationen technisch nur schwer kontrollieren, geschweige denn verhindern lässt, müssen die Unternehmen anders dafür Sorge tragen, dass entsprechende Compliance-Verschriften – die gibt es hoffentlich! – eingehalten werden. In erster Linie muss das Problem intensiv kommuniziert werden, weil bei den meisten Mitarbeitern, die sich auf die eine oder andere Weise fahrlässig der Cloud bedienen, schlicht das Problembewusstsein fehlt. Wer dann trotzdem kritische Daten bei Dropbox oder Evernote abgibt, riskiert eine Abmahnung, auch das muss klar kommuniziert werden. Ganz kritisch wird die Lage aber, wenn sich herausstellt, dass der betreffende “Übeltäter” der eigene Chef ist, der den Sicherheitsbeauftragten dann treuherzig fragt: “Ach, das war schon Cloud Computing?” Alles schon mal vorgekommen.

[subscribe2]